Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las organizaciones suelen tener estrictos requisitos de seguridad y cumplimiento para regular el tráfico de red de salida (saliente) desde un clúster para eliminar riesgos de filtración de datos. De forma predeterminada, los clústeres estándar de SKU de Azure Kubernetes Service (AKS) tienen acceso a Internet saliente sin restricciones. Este nivel de acceso a la red permite que los nodos y servicios que ejecuta accedan a recursos externos según sea necesario. Si desea restringir el tráfico de salida, es necesario el acceso a un número limitado de puertos y direcciones para mantener las tareas de mantenimiento del clúster en buen estado. El documento conceptual sobre las reglas de nombre de dominio completo (FQDN) y de red saliente para los clústeres de AKS proporciona una lista de los puntos de conexión necesarios para el clúster de AKS y sus complementos y características opcionales.
Una solución común para restringir el tráfico saliente del clúster es usar un dispositivo de firewall para restringir el tráfico en función de las reglas de firewall. El firewall es aplicable cuando la aplicación requiere acceso saliente, pero cuando se deben inspeccionar y proteger las solicitudes salientes. La configuración manual de un firewall con reglas de salida necesarias y FQDN es un proceso complicado, especialmente si el único requisito es crear un clúster de AKS aislado sin dependencias salientes para el arranque del clúster.
Para reducir el riesgo de filtración de datos, el clúster aislado de red permite arrancar el clúster de AKS sin dependencias de red salientes, incluso para capturar componentes o imágenes del clúster de Microsoft Artifact Registry (MAR). El operador de clúster podría configurar incrementalmente el tráfico saliente permitido para cada escenario que quiera habilitar.
Funcionamiento de un clúster aislado de red
En el diagrama siguiente se muestra la comunicación de red entre las dependencias de un clúster aislado de red.
Los clústeres de AKS capturan artefactos necesarios para el clúster y sus características o complementos del Registro de artefactos de Microsoft (MAR). Esta extracción de imágenes permite a AKS proporcionar versiones más recientes de los componentes del clúster y también abordar las vulnerabilidades de seguridad críticas. Un clúster aislado de red intenta extraer esas imágenes y archivos binarios de una instancia privada de Azure Container Registry (ACR) conectada al clúster en lugar de extraer de MAR. Si las imágenes no están presentes, el ACR privado las extrae de MAR y las sirve mediante su punto de conexión privado, lo que elimina la necesidad de habilitar la salida del clúster al punto de conexión de MAR público.
Las dos opciones siguientes son compatibles con un ACR privado asociado a clústeres aislados de red:
ACR administrado por AKS: AKS crea, administra y reconcilia un recurso de ACR en esta opción. No hay nada que hacer.
Nota:
El recurso de ACR administrado por AKS se crea en tu suscripción. Si elimina el clúster con ACR administrado por AKS para el origen del artefacto de arranque. Los recursos relacionados, como ACR administrado por AKS, private link y el punto de conexión privado, también se eliminan automáticamente. Si cambia el tipo de salida de un clúster a cualquier tipo distinto de
noneoblockcon--bootstrap-artifact-sourceretenido comoCache. A continuación, los recursos relacionados no se eliminan.Traiga su propio (BYO) ACR: la opción BYO ACR requiere crear un ACR con un enlace privado entre el recurso ACR y el clúster AKS. Vea Conexión privada a un registro de contenedor de Azure mediante Azure Private Link a fin de comprender cómo configurar un punto de conexión privado para el registro. También debe asignar permisos y administrar las reglas de caché, el vínculo privado y el punto de conexión privado que se usan en el clúster.
Nota:
Al eliminar el clúster de AKS o después de deshabilitar la característica. El ACR de BYO, el vínculo privado y el punto de conexión privado no se eliminan automáticamente. Si agrega imágenes personalizadas y reglas de caché a BYO ACR, se conservan después de la conciliación del clúster.
Para crear un clúster aislado de red, primero debe asegurarse de que el tráfico de red entre el servidor de API y los grupos de nodos permanece solo en la red privada, puede elegir uno de los siguientes modos de clúster privado:
- Clúster basado en vínculo privado : el plano de control o el servidor de API se encuentra en un grupo de recursos de Azure administrado por AKS y el grupo de nodos está en el grupo de recursos. El servidor y el grupo de nodos se pueden comunicar entre sí mediante el servicio Azure Private Link en la red virtual del servidor de API y un punto de conexión privado expuesto en la subred del clúster de AKS.
- integración de red virtual del servidor de API: un clúster configurado con proyectos de integración con red virtual de API Server, el punto de conexión del servidor de API directamente en una subred delegada en la red virtual donde se implementa AKS. API Server VNet Integration permite la comunicación de red entre el servidor de API y los nodos del clúster sin necesidad de ningún vínculo privado o túnel.
También debe asegurarse de que la ruta de acceso de salida del clúster de AKS se controla y limita, puede elegir uno de los siguientes tipos de salida de red:
- Tipo de salida de
none- Si se ha establecidonone. AKS no configura automáticamente las rutas de acceso de salida y no se requiere una ruta predeterminada. Se admite tanto en escenarios de red virtual de tipo BYO (bring-your-own) como en escenarios de red virtual administrada. Para traer su propio escenario de red virtual, debe establecer rutas de salida explícitas si es necesario. - Se establece el tipo de salida de
block(versión preliminar) -Ifblock. AKS configura reglas de red para bloquear activamente todo el tráfico de salida del clúster. Esta opción es útil para entornos muy seguros en los que se debe restringir la conectividad saliente. Se admite en el escenario de red virtual administrada. También puede lograr un efecto similar bloqueando todo el tráfico de salida agregando reglas de grupo de seguridad de red (NSG) connoneen un escenario de red virtual propia.
Nota:
El tipo de salida none está disponible con carácter general.
El tipo de salida block está en versión preliminar.
Importante
Las características en versión preliminar de AKS están disponibles como opción de participación y autoservicio. Las versiones preliminares se proporcionan "tal cual" y "como están disponibles", y están excluidas de los Acuerdos de nivel de servicio y garantía limitada. Las versiones preliminares de AKS reciben cobertura parcial del soporte al cliente en la medida de lo posible. Por lo tanto, estas características no están diseñadas para su uso en producción. Para más información, consulte los siguientes artículos de soporte:
Limitaciones
Unmanagedeste canal no es compatible.- Todavía no se admiten grupos de nodos de Windows.
- No se admiten redes kubenet.
Precaución
Si usa la dirección IP pública del nodo en clústeres de AKS aislados de red, permitirá el tráfico saliente con el tipo nonede salida.
Uso de características, complementos y extensiones que requieren salida
Para clústeres aislados de red con BYO ACR:
- Si desea usar cualquier característica o complemento de AKS que requiera acceso de red saliente en clústeres aislados de red con tipo
nonede salida, este documento contiene los requisitos de red salientes para cada característica. Además, este documento enumera las funciones o complementos que admiten la integración de enlaces privados para una conexión segura desde la red virtual del clúster. Se recomienda configurar puntos de conexión privados para acceder a estas características. Por ejemplo, puede configurar la ingesta basada en puntos de conexión privados para usar Managed Prometheus (área de trabajo de Azure Monitor) y Container Insights (área de trabajo de Log Analytics) en clústeres aislados de red. Si una integración de enlace privado no está disponible para alguna de estas características. Después, puede configurar el clúster con una tabla de enrutamiento definida por el usuario y una instancia de Azure Firewall en función de las reglas de red y las reglas de aplicación necesarias para esa característica. - Si usa el controlador Azure Container Storage Interface (CSI) para Azure Files y Blob Storage, debe crear una clase de almacenamiento personalizada con "networkEndpointType: privateEndpoint", consulte los ejemplos en clases de almacenamiento de Azure Files y clases de Azure Blob Storage.
- Las siguientes extensiones de clúster de AKS aún no se admiten en los clústeres aislados de la red:
Preguntas más frecuentes
¿Cuál es la diferencia entre un clúster aislado de red y Azure Firewall?
Un clúster aislado de red no necesita ningún tráfico de salida más allá de la red virtual en todo el proceso de arranque del clúster. Un clúster aislado de red tiene un tipo de salida como none o block. Si el tipo de salida se establece en none, AKS no configura ninguna conexión saliente para el clúster, lo que permite al usuario configurarlas personalmente. Si el tipo de salida se establece en block, se bloquean todas las conexiones salientes.
Normalmente, un firewall establece una barrera entre una red de confianza y una red que no es de confianza, como Internet. Azure Firewall, por ejemplo, puede restringir el tráfico HTTP y HTTPS saliente basado en el destino. Proporciona un control específico del tráfico de salida, pero al mismo tiempo le permite proporcionar acceso a los FQDN que abarcan las dependencias salientes de un clúster de AKS. Esto es algo que los NSGs no pueden hacer. Por ejemplo, puede establecer el tipo de salida del clúster en userDefinedRouting para forzar el tráfico saliente por el firewall y, después, configurar restricciones de FQDN en el tráfico saliente. Hay muchos casos en los que todavía se necesita un firewall. Por ejemplo, tiene tráfico saliente de todas formas desde la aplicación o desea controlar, inspeccionar y proteger el tráfico del clúster tanto de salida como de entrada.
En resumen, aunque Azure Firewall se puede usar para definir restricciones de salida en clústeres con solicitudes salientes, los clústeres aislados de red van más allá en la postura predeterminada de seguridad al eliminar o bloquear por completo las solicitudes salientes.
¿Es necesario configurar puntos de conexión de lista de permitidos para que el clúster aislado de red funcione?
En las fases de creación y arranque del clúster no se necesita ningún tráfico saliente desde el clúster aislado de red. Las imágenes necesarias para los componentes y complementos de AKS se extraen del ACR privado conectado al clúster en lugar de hacerlo desde el Registro de Artefactos de Microsoft (MAR) a través de puntos de conexión públicos.
Después de configurar un clúster aislado de red. Si desea habilitar características o complementos que necesitan realizar solicitudes salientes a sus puntos de conexión de servicio, puede configurar puntos de conexión privados en los servicios con tecnología de Azure Private Link.
¿Puedo actualizar manualmente los paquetes para actualizar la imagen del grupo de nodos?
No se recomienda actualizar manualmente los paquetes en función del acceso a los repositorios de paquetes. En su lugar, puede actualizar o cambiar manualmente las imágenes del sistema operativo del nodo. Actualmente solo se admiten los canales de actualización NodeImage y None para clústeres aislados de red.
¿Qué ocurre si cambio el tipo de salida distinto de none o block, ¿sigue siendo así un clúster aislado de red?
Los únicos tipos de salida admitidos para un clúster aislado de red son el tipo de salida none y el tipo de salida block. Si usa cualquier otro tipo de salida, el clúster todavía puede extraer artefactos de la instancia de ACR privada asociada, pero eso puede generar tráfico de salida.