Udostępnij przez

Przenoszenie własnej sieciowej grupy zabezpieczeń (NSG) do klastra usługi Azure Red Hat OpenShift

Zazwyczaj podczas konfigurowania klastra należy wyznaczyć grupę zasobów do wdrożenia obiektu klastra (określanego jako podstawowa grupa zasobów na poniższym diagramie). W takich scenariuszach można użyć tej samej grupy zasobów zarówno dla sieci wirtualnej, jak i klastra, albo wybrać oddzielną grupę zasobów wyłącznie dla sieci wirtualnej. Żadna z tych grup zasobów nie odpowiada bezpośrednio pojedynczemu klastrowi, udzielając pełnej kontroli nad nimi. Oznacza to, że możesz swobodnie tworzyć, modyfikować lub usuwać zasoby w tych grupach zasobów.

Podczas procesu tworzenia klastra dostawca zasobów ustanawia dedykowaną grupę zasobów specyficzną dla potrzeb klastra. Ta grupa zawiera różne zasoby specyficzne dla klastra, takie jak maszyny wirtualne węzłów, moduły równoważenia obciążenia i sieciowe grupy zabezpieczeń, w Zarządzanej Grupie Zasobów, jak przedstawiono na poniższym diagramie. Zarządzana grupa zasobów jest ściśle chroniona, co uniemożliwia wszelkie modyfikacje jej zawartości, w tym sieciowej grupy zabezpieczeń (NSG) połączonej z podsieciami VNET określonymi podczas tworzenia klastra. W niektórych sytuacjach sieciowa grupa zabezpieczeń wygenerowana przez dostawcę usług może nie być zgodna z zasadami zabezpieczeń niektórych organizacji.

Diagram przedstawiający przegląd sposobu działania sieciowych grup zabezpieczeń w typowym klastrze.

W tym artykule pokazano, jak używać funkcji "bring your own" network security group (NSG) w celu dołączenia własnej wstępnie skonfigurowanej sieciowej grupy zabezpieczeń znajdującej się w grupie zasobów Base/VNET (RG) (pokazanej na poniższym diagramie jako BYO-NSG) do podsieci klastra. Ponieważ posiadasz wstępnie skonfigurowaną sieciową grupę zabezpieczeń, możesz dodawać/usuwać reguły w okresie istnienia klastra.

Diagram przedstawiający przegląd działania funkcji

Ogólne możliwości i ograniczenia

  • Przed utworzeniem klastra należy przypisać wstępnie skonfigurowane sieciowe grupy zabezpieczeń do obu, zarówno głównych, jak i roboczych, podsieci. Błąd podczas dołączania wstępnie skonfigurowanych sieciowych grup zabezpieczeń do obu podsieci powoduje wystąpienie błędu.

  • Możesz użyć tych samych lub różnych wstępnie skonfigurowanych sieciowych grup zabezpieczeń dla podsieci głównych i roboczych.

  • W przypadku korzystania z własnej sieciowej grupy zabezpieczeń dostawca zasobów nadal tworzy sieciową grupę zabezpieczeń w zarządzanej grupie zasobów (domyślna sieciowa grupa zabezpieczeń), ale sieciowa grupa zabezpieczeń nie jest dołączona do podsieci procesów roboczych ani głównych.

  • Nie można włączyć wstępnie skonfigurowanej funkcji NSG w istniejącym klastrze. Obecnie tę funkcję można włączyć tylko w momencie tworzenia klastra.

  • Opcja wstępnie skonfigurowana NSG nie jest konfigurowalna w portalu Azure.

  • Jeśli ta funkcja była używana w wersji zapoznawczej, istniejące wstępnie skonfigurowane klastry są teraz w pełni obsługiwane.

Uwaga / Notatka

Jeśli używasz funkcji "przynieś własną" sieciową grupę zabezpieczeń i chcesz używać dzienników przepływów sieciowej grupy zabezpieczeń, zapoznaj się z tematem Rejestrowanie przepływu dla sieciowych grup zabezpieczeń w dokumentacji usługi Azure Network Watcher, a nie dokumentacji określonego dziennika przepływu (która nie będzie działać z funkcją bring your own NSG).

Korzystanie z reguł

Ostrzeżenie

Wstępnie skonfigurowane sieciowe grupy zabezpieczeń nie są automatycznie aktualizowane przy użyciu reguł podczas tworzenia usług typu Kubernetes LoadBalancer ani tras OpenShift w klastrze. W związku z tym należy ręcznie zaktualizować te reguły zgodnie z wymaganiami. To zachowanie jest różne od oryginalnego, gdzie programowo aktualizuje się domyślną Grupę Zabezpieczeń Sieci w takich sytuacjach.

  • Domyślne NSG klastra (nieprzypisane do żadnej podsieci podczas korzystania z tej funkcji) będzie nadal zaktualizowane zgodnie z regułami podczas tworzenia usług typu Kubernetes LoadBalancer lub tras OpenShift w klastrze.

  • Możesz odłączyć wstępnie skonfigurowane NSG od podsieci klastra utworzonego za pomocą tej funkcji. Powoduje to utworzenie klastra z podsieciami, które nie mają sieciowych grup zabezpieczeń. Następnie możesz dołączyć inny zestaw wstępnie skonfigurowanych grup zabezpieczeń sieci do klastra. Alternatywnie można dołączyć domyślną sieciową grupę zabezpieczeń (NSG) do podsieci klastra, a wówczas klaster będzie jak każdy inny klaster, który nie korzysta z tej funkcji.

  • Wstępnie skonfigurowane sieciowe grupy zabezpieczeń nie mogą zawierać reguł ODMOWY INBOUND/OUTBOUND następujących typów, ponieważ mogą one zakłócać działanie klastra i/lub utrudniać zespołom pomocy technicznej/SRE świadczenie wsparcia oraz zarządzania. (W tym miejscu podsieć wskazuje wszystkie lub wszystkie adresy IP w podsieci i wszystkie porty odpowiadające tej podsieci):

    • Podsieć Główna ←→ Podsieć Główna

    • Podsieć robocza ←→ Podsieć robocza

    • Podsieć nadrzędna ←→ Podsieć pomocnicza

    • Błędnie skonfigurowane reguły powodują sygnał używany przez usługę Azure Monitor do rozwiązywania wstępnie skonfigurowanych sieciowych grup zabezpieczeń.

  • Aby zezwolić na ruch przychodzący do klastra publicznego, ustaw następujące reguły ZEZWALANIA RUCHU PRZYCHODZĄCEgo (lub równoważnego) w sieciowej grupie zabezpieczeń. Zapoznaj się z domyślną sieciową grupą zabezpieczeń klastra, aby uzyskać szczegółowe informacje i przykładową sieciową grupę zabezpieczeń pokazaną w temacie Wdrażanie. Klaster można utworzyć nawet bez takich reguł w NSG.

    • Dostęp do serwera API → z Internetu (lub preferowanych źródłowych adresów IP) do portu 6443 na podsieci master.
    • Aby uzyskać dostęp do routera OpenShift (a tym samym do konsoli OpenShift i tras OpenShift) → z Internetu (lub preferowanych źródłowych adresów IP) do portów 80 i 443 na domyślnym publicznym adresie IP v4 w publicznym module równoważenia obciążenia klastra.
    • Aby uzyskać dostęp do dowolnej usługi Kubernetes typu Load-balancer → z Internetu (lub z preferowanych adresów IP źródłowych) do portów usługi na publicznym adresie IP odpowiadającym usłudze w publicznym Load-balancerze klastra.

  • Aby uzyskać więcej informacji na temat przepływów sieciowych i wymagań dotyczących portów OpenShift, które mogą być przydatne przy konfigurowaniu wstępnie skonfigurowanej sieciowej grupy zabezpieczeń z minimalnymi uprawnieniami (NSG), zobacz Podstawowe przepływy sieciowe.

Wdrożenie

Utwórz sieć wirtualną oraz utwórz i skonfiguruj wstępnie skonfigurowaną sieciową grupę zabezpieczeń (NSG)

  1. Utwórz sieć wirtualną, a następnie utwórz w niej podsieci główne i robocze.

  2. Utwórz wstępnie skonfigurowane sieciowe grupy zabezpieczeń z regułami domyślnymi (lub bez reguł) i dołącz je do podsieci głównych i roboczych.

Tworzenie klastra i aktualizowanie wstępnie skonfigurowanych sieciowych grup zabezpieczeń

  1. Tworzenie klastra.

    az aro create \
--resource-group BASE_RESOURCE_GROUP_NAME \
--name CLUSTER_NAME \
--vnet VNET_NAME \
--master-subnet MASTER_SUBNET_NAME \
--worker-subnet WORKER_SUBNET_NAME \
--client-id CLUSTER_SERVICE_PRINCIPAL_ID \
--client-secret CLUSTER_SERVICE_PRINCIPAL_SECRET \
--enable-preconfigured-nsg

  2. Zaktualizuj wstępnie skonfigurowane sieciowe grupy zabezpieczeń zgodnie z zasadami spełniającymi twoje wymagania, uwzględniając również punkty wymienione w temacie Możliwości i ograniczenia.

    Poniższy przykład zawiera publiczny równoważnik obciążenia klastra, jak pokazano na zrzucie ekranu lub w danych wyjściowych CLI.

    Zrzut ekranu przedstawiający publiczny moduł równoważenia obciążenia klastra, jak pokazano z danymi wyjściowymi polecenia . 

    $ oc get svc | grep tools
tools LoadBalancer 172.30.182.7 20.141.176.3 80:30520/TCP 143m
$ $ oc get svc -n openshift-ingress | grep Load
router-default LoadBalancer 172.30.105.218 20.159.139.208 80:31157/TCP,443:31177/TCP 
5d20

    Zrzut ekranu przedstawiający reguły zabezpieczeń dla ruchu przychodzącego i wychodzącego.

  • Last updated on