Zabezpečený přístup k Azure Red Hat OpenShiftu pomocí služby Azure Front Door
Tento článek vysvětluje, jak pomocí služby Azure Front Door Premium zabezpečit přístup k Azure Red Hat OpenShiftu.
Předpoklady
Jsou vyžadovány následující požadavky:
Máte existující cluster Azure Red Hat OpenShift. Podle tohoto průvodce vytvořte privátní cluster Azure Red Hat OpenShift.
Cluster je nakonfigurovaný s viditelností privátního příchozího přenosu dat.
Používá se například vlastní název domény:
example.com
Poznámka:
Počáteční stav nemá nakonfigurovaný DNS. Z clusteru Azure Red Hat OpenShift nejsou externě zpřístupněny žádné aplikace.
Vytvoření služby Azure Private Link
Tato část vysvětluje, jak vytvořit službu Azure Private Link. Služba Azure Private Link je odkazem na vlastní službu, která využívá Službu Azure Private Link.
Vaše služba, která běží za Službou Azure Standard Load Balancer, může být povolená pro přístup k privátnímu propojení, aby k ní uživatelé ve vaší službě měli privátní přístup ze svých vlastních virtuálních sítí. Vaši zákazníci můžou ve své virtuální síti vytvořit privátní koncový bod a namapovat ho na tuto službu.
Další informace o službě Azure Private Link a o tom, jak se používá, najdete ve službě Azure Private Link.
Vytvořte AzurePrivateLinkSubnet. Tato podsíť zahrnuje masku sítě, která umožňuje viditelnost podsítě do řídicí roviny a pracovních uzlů clusteru Azure. Nelegujte tuto novou podsíť na žádné služby ani nenakonfigurujte žádné koncové body služby.
Pokud je například virtuální síť 10.10.0.0/16 a:
- Existující podsíť řídicí roviny Azure Red Hat OpenShift = 10.10.0.0/24
- Existující podsíť pracovního procesu Azure Red Hat OpenShift = 10.10.1.0/24
- Nová podsíť AzurePrivateLinkSubnet = 10.10.2.0/24
Vytvořte novou službu Private Link ve službě Azure Private Link, jak je vysvětleno v následujících krocích:
Na kartě Základy nakonfigurujte následující možnosti:
- Podrobnosti projektu
- Vyberte své předplatné Azure.
- Vyberte skupinu prostředků, ve které byl nasazen cluster Azure Red Hat OpenShift.
- Podrobnosti o instanci
- Zadejte název služby Azure Private Link, jak je znázorněno v následujícím příkladu: example-com-private-link.
- Vyberte oblast pro privátní propojení.
- Podrobnosti projektu
Na kartě Odchozí Nastavení:
Nastavte Load Balancer na interní nástroj pro vyrovnávání zatížení clusteru, pro který povolujete externí přístup. Volby se vyplní v rozevíracím seznamu.
Nastavte ip adresu front-endu Load Balanceru na IP adresu kontroleru příchozího přenosu dat Azure Red Hat OpenShiftu, který obvykle končí na 0,254. Pokud si nejste jistí, použijte následující příkaz.
az aro show -n <cluster-name> -g <resource-group> -o tsv --query ingressProfiles[].ipZdrojová podsíť NAT by měla být Podsíť AzurePrivateLinkSubnet, kterou jste vytvořili.
Ve odchozích Nastavení by se neměly měnit žádné položky.
Na kartě Zabezpečení přístupu nejsou potřeba žádné změny.
- V Kdo můžete požádat o přístup k vaší službě? Výzva vyberte Komukoli s vaším aliasem.
- Nepřidávejte žádná předplatná pro automatické schvalování.
Na kartě Značky vyberte Zkontrolovat a vytvořit.
Výběrem možnosti Vytvořit vytvořte službu Azure Private Link a počkejte na dokončení procesu.
Po dokončení nasazení v části Další kroky vyberte Přejít do skupiny prostředků.
Na webu Azure Portal zadejte službu Azure Private Link, která byla nasazena. Zachovejte alias vygenerovaný pro službu Azure Private Link. Použije se později.
Registrace domény v Azure DNS
Tato část vysvětluje, jak zaregistrovat doménu v Azure DNS.
Vytvořte globální zónu Azure DNS pro example.com.
Vytvořte globální zónu Azure DNS pro apps.example.com.
Všimněte si čtyř názvových serverů, které jsou k dispozici v Azure DNS pro apps.example.com.
Vytvořte novou sadu záznamů NS v zóně example.com, která odkazuje na aplikace , a zadejte čtyři názvové servery, které byly přítomné při vytvoření zóny aplikací .
Vytvoření nové služby Azure Front Door Premium
Vytvoření nové služby Azure Front Door Premium:
V nabídce Microsoft Azure Compare vyberte Azure Front Door a pak vyberte Pokračovat a vytvořte Front Door.
Na stránce Vytvořit profil služby Front Door ve skupině prostředků předplatného>vyberte skupinu prostředků, ve které byl cluster Azure Red Hat OpenShift nasazený pro hostování prostředku Azure Front Door Premium.
Službu Azure Front Door Premium pojmenujte odpovídajícím způsobem. Do pole Název zadejte například následující název:
example-com-frontdoorVyberte úroveň Premium. Úroveň Premium je jedinou volbou, která podporuje Azure Private Link.
Jako název koncového bodu zvolte název koncového bodu, který je vhodný pro Azure Front Door.
Pro každou nasazenou aplikaci se v Azure DNS vytvoří záznam CNAME, který bude odkazovat na tento název hostitele. Proto je důležité zvolit název, který je nezávislý na aplikacích. Pro zabezpečení by název neměl navrhovat aplikace ani architekturu, které jste nasadili, například example01.
Název, který zvolíte, se předsadí do domény .z01.azurefd.net .
Jako typ zdroje vyberte Vlastní.
Jako název hostitele zdroje zadejte následující zástupný symbol:
changeme.comTento zástupný symbol bude později odstraněn.
V této fázi nepovolujte službu Azure Private Link, ukládání do mezipaměti ani zásady firewallu webových aplikací (WAF).
Výběrem možnosti Zkontrolovat a vytvořit vytvořte prostředek Azure Front Door Premium a pak počkejte, až se proces dokončí.
Počáteční konfigurace služby Azure Front Door Premium
Konfigurace služby Azure Front Door Premium:
Na webu Azure Portal zadejte službu Azure Front Door Premium, která byla nasazena.
V okně Endpoint Manageru upravte koncový bod výběrem možnosti Upravit koncový bod.
Odstraňte výchozí trasu, která byla vytvořena jako výchozí trasa.
Zavřete okno Endpoint Manageru.
V okně Skupiny původu odstraňte výchozí skupinu původu s názvem default-origin-group.
Zveřejnění trasy aplikace v Azure Red Hat OpenShiftu
Azure Red Hat OpenShift musí být nakonfigurovaný tak, aby obsluhoval aplikaci se stejným názvem hostitele, jaký bude azure Front Door vystavit externě (*.apps.example.com). V našem příkladu zveřejníme aplikaci Reservations s následujícím názvem hostitele:
reservations.apps.example.com
Vytvořte také zabezpečenou trasu v Azure Red Hat OpenShiftu, která zveřejňuje název hostitele.
Konfigurace Azure DNS
Konfigurace Azure DNS:
Zadejte dříve vytvořenou zónu DNS veřejných aplikací .
Vytvořte novou sadu záznamů CNAME s názvem rezervace. Tato sada záznamů CNAME je aliasem pro náš ukázkový koncový bod služby Azure Front Door:
example01.z01.azurefd.net
Konfigurace služby Azure Front Door Premium
Následující postup vysvětluje, jak nakonfigurovat Azure Front Door Premium.
Na webu Azure Portal zadejte službu Azure Front Door Premium, kterou jste vytvořili dříve:
example-com-frontdoor
V okně Domény:
Vzhledem k tomu, že jsou všechny servery DNS hostované v Azure, ponechte správu DNS nastavenou na Spravované DNS Azure.
Vyberte ukázku domény:
apps.example.comV našem příkladu vyberte CNAME:
reservations.apps.example.comPoužijte výchozí hodnoty pro https a minimální verzi protokolu TLS.
Vyberte Přidat.
Když se statistika ověření změní na Čekající, vyberte Čeká na vyřízení.
Pokud chcete ověřit vlastnictví zóny DNS, jako stav záznamu DNS vyberte Přidat.
Vyberte Zavřít.
Pokračujte výběrem možnosti Aktualizovat, dokud se stav ověření domény nezmění na Schváleno a změny přidružení koncového bodu na Nepřidruženo.
V okně Skupiny původu:
Vyberte Přidat.
Pojmenujte svoji skupinu původu odpovídajícím názvem, například rezervace-aplikace.
Vyberte Přidat zdroj.
Zadejte název původu, například ARO-Cluster-1.
Zvolte typ původu vlastního typu.
Zadejte plně kvalifikovaný název hostitele (FQDN), který byl zpřístupněný v clusteru Azure Red Hat OpenShift, například:
reservations.apps.example.comPovolte službu Private Link.
Zadejte alias získaný ze služby Azure Private Link.
Výběrem možnosti Přidat se vraťte do okna pro vytvoření původní skupiny.
Výběrem možnosti Přidat přidejte skupinu původu a vraťte se na web Azure Portal.
Udělení schválení ve službě Azure Private Link
Pokud chcete udělit schválení příklad-com-private-link, což je služba Azure Private Link , kterou jste vytvořili dříve, proveďte následující kroky.
Na kartě Připojení privátního koncového bodu zaškrtněte políčko, které teď existuje z prostředku popsaného jako z AFD.
Vyberte Schválit a pak výběrem možnosti Ano ověřte schválení.
Dokončení konfigurace Azure Front Door Premium
Následující kroky vysvětlují, jak dokončit konfiguraci služby Azure Front Door Premium.
Na webu Azure Portal zadejte službu Azure Front Door Premium, kterou jste vytvořili dříve:
example-com-frontdoorV okně Endpoint Manageru vyberte Upravit koncový bod a upravte koncový bod.
Vyberte +Přidat v části Trasy.
Zadejte vhodný název trasy, například Reservations-App-Route-Config.
V části Domény pak v části Dostupné ověřené domény vyberte plně kvalifikovaný název domény, například:
reservations.apps.example.comPokud chcete přesměrovat provoz HTTP tak, aby používal PROTOKOL HTTPS, ponechte políčko Přesměrovat zaškrtnuté.
V části Skupina Původ vyberte Reservations-App( Skupina původu), kterou jste vytvořili dříve.
Pokud je to vhodné, můžete ukládání do mezipaměti povolit.
Vyberte Přidat a vytvořte trasu. Po nakonfigurování trasy správce koncových bodů naplní podokna skupiny Domény a původu dalšími prvky vytvořenými pro tuto aplikaci.
Vzhledem k tomu, že Azure Front Door je globální služba, může nasazení aplikace trvat až 30 minut. Během této doby se můžete rozhodnout vytvořit WAF pro vaši aplikaci. Když vaše aplikace přejde do provozu, bude k ní možné získat přístup pomocí adresy URL použité v tomto příkladu:
https://reservations.apps.example.com
Další kroky
Vytvořte firewall webových aplikací Azure ve službě Azure Front Door pomocí webu Azure Portal: