Compartir a través de

Protección del acceso a Red Hat OpenShift en Azure con Azure Front Door

En este artículo se explica cómo usar Azure Front Door Premium para proteger el acceso a Red Hat OpenShift en Azure.

Prerrequisitos

Se necesitan los siguientes requisitos previos:

Nota:

El estado inicial no tiene DNS configurado. No se expone ninguna aplicación externamente desde el clúster de Red Hat OpenShift de Azure.

En esta sección se explica cómo crear un servicio Azure Private Link. Un servicio de Azure Private Link es una referencia a un servicio propio impulsado por Azure Private Link.

El servicio, que se ejecuta detrás del Azure Standard Load Balancer, se puede habilitar para el acceso mediante Private Link, de modo que los consumidores de su servicio puedan acceder a él de forma privada desde sus propias redes virtuales. Sus clientes pueden crear un punto de conexión privado dentro de su red virtual y asignarlo a este servicio.

Para más información sobre el servicio Azure Private Link y cómo se usa, consulte Servicio Azure Private Link.

Cree un AzurePrivateLinkSubnet. Esta subred incluye una máscara de red que permite la visibilidad de la subred en el plano de control y los nodos de trabajo del clúster de Azure. No delegue esta nueva subred a ningún servicio ni configure ningún punto de conexión de servicio.

Por ejemplo, si la red virtual es 10.10.0.0/16 y:

  • Subred del plano de control existente de Azure Red Hat OpenShift = 10.10.0.0/24
  • Subred de trabajo de Red Hat OpenShift existente de Azure = 10.10.1.0/24
  • Nuevo AzurePrivateLinkSubnet = 10.10.2.0/24

Cree un nuevo private Link en el servicio Azure Private Link, como se explica en los pasos siguientes:

  1. En la pestaña Información básica, configure las siguientes opciones:

    • Detalles del proyecto
      • Seleccione su suscripción a Azure.
      • Seleccione el grupo de recursos en el que se implementó el clúster de Red Hat OpenShift de Azure.
    • Detalles de la instancia
      • Escriba un nombre para el servicio Azure Private Link, como en el ejemplo siguiente: example-com-private-link.
      • Seleccione una región para Private Link.

  2. En la pestaña Configuración de salida :

    • Establezca el Load Balancer en el equilibrador de carga interno del clúster para el cual está habilitando el acceso externo. Las opciones se rellenan en la lista desplegable.

    • Establezca la dirección IP de front-end del equilibrador de carga en la dirección IP del controlador de entrada red Hat OpenShift de Azure, que normalmente termina en .254. Si no está seguro, use el siguiente comando.

      az aro show -n <cluster-name> -g <resource-group> -o tsv --query ingressProfiles[].ip

    • La subred NAT de origen debe ser AzurePrivateLinkSubnet, que creó.

    • No se debe cambiar ningún elemento en Configuración de salida.

  3. En la pestaña Seguridad de acceso , no se requieren cambios.

    • En el mensaje ¿Quién puede solicitar acceso a su servicio?, seleccione Cualquiera con su alias.
    • No agregue ninguna suscripción para la aprobación automática.

  4. En la pestaña Etiquetas , seleccione Revisar y crear.

  5. Seleccione Crear para crear el servicio Azure Private Link y espere a que se complete el proceso.

  6. Una vez completada la implementación, seleccione Ir al grupo de recursos en Pasos siguientes.

En Azure Portal, escriba el servicio Azure Private Link que se implementó. Conserve el alias que se generó para el servicio Azure Private Link. Se usará más adelante.

Registro de un dominio en Azure DNS

En esta sección se explica cómo registrar un dominio en Azure DNS.

  1. Cree una zona DNS global de Azure para example.com.

  2. Cree una zona DNS global de Azure para apps.example.com.

  3. Tenga en cuenta los cuatro servidores de nombres que están presentes en Azure DNS para apps.example.com.

  4. Cree un nuevo conjunto de registros NS en la zona de example.com que apunte a las aplicaciones y especifique los cuatro servidores de nombres que estaban presentes cuando se creó la zona de aplicaciones .

Creación de un nuevo servicio Azure Front Door Premium

Para crear un nuevo servicio Azure Front Door Premium:

  1. En Comparación de ofertas de Microsoft Azure , seleccione Azure Front Door y, a continuación, seleccione Continuar para crear una instancia de Front Door.

  2. En la página Crear un perfil de front door en la suscripción>grupo de recursos, seleccione el grupo de recursos en el que se implementó su clúster de Azure Red Hat OpenShift para alojar su recurso de Azure Front Door Premium.

  3. Asigne un nombre adecuado al servicio Azure Front Door Premium. Por ejemplo, en el campo Nombre , escriba el nombre siguiente:

    example-com-frontdoor

  4. Seleccione el nivel Premium . El nivel Premium es la única opción que admite Azure Private Link.

  5. En Nombre del punto de conexión, elija un nombre de punto de conexión adecuado para Azure Front Door.

    Para cada aplicación implementada, se creará un CNAME en el DNS de Azure para que apunte a este nombre de host. Por lo tanto, es importante elegir un nombre independiente de las aplicaciones. Por motivos de seguridad, el nombre no debe sugerir las aplicaciones ni la arquitectura que ha implementado, como example01.

    El nombre que elija se anteponerá al dominio .z01.azurefd.net .

  6. En Tipo de origen, seleccione Personalizado.

  7. En Nombre de host de origen, escriba el siguiente texto provisional:

    changeme.com

    Este marcador de posición se eliminará más adelante.

    En esta fase, no habilite el servicio Azure Private Link, el almacenamiento en caché ni la directiva de Firewall de aplicaciones web (WAF).

  8. Seleccione Revisar y crear para crear el recurso de Azure Front Door Premium y, a continuación, espere a que se complete el proceso.

Configuración inicial de Azure Front Door Premium

Para configurar Azure Front Door Premium:

  1. En Azure Portal, escriba el servicio Azure Front Door Premium que se implementó.

  2. En la ventana Endpoint Manager , modifique el punto de conexión seleccionando Editar punto de conexión.

  3. Elimine la ruta predeterminada, que se creó como ruta predeterminada.

  4. Cierre la ventana Endpoint Manager .

  5. En la ventana Grupos de origen , elimine el grupo de origen predeterminado denominado default-origin-group.

Exponer una ruta de aplicación en Azure Red Hat OpenShift

Red Hat OpenShift en Azure debe configurarse para atender la aplicación con el mismo nombre de host que Azure Front Door expondrá externamente (*.apps.example.com). En nuestro ejemplo, expondremos la aplicación Reservations con el siguiente nombre de host:

reservations.apps.example.com

Además, cree una ruta segura en Red Hat OpenShift en Azure que exponga el nombre de host.

Configuración de Azure DNS

Para configurar Azure DNS:

  1. Ingrese la zona DNS pública de apps creada anteriormente.

  2. Cree un nuevo conjunto de registros CNAME denominado reservation. Este conjunto de registros CNAME es un alias para nuestro punto de conexión de Azure Front Door de ejemplo:

    example01.z01.azurefd.net

Configuración de Azure Front Door Premium

En los pasos siguientes se explica cómo configurar Azure Front Door Premium.

  1. En Azure Portal, escriba el servicio Azure Front Door Premium que creó anteriormente:

    example-com-frontdoor

En la ventana Dominios:

  1. Dado que todos los servidores DNS se hospedan en Azure, deje la administración de DNS establecida en DNS administrado por Azure.

  2. Seleccione el dominio de ejemplo:

    apps.example.com

  3. Seleccione el CNAME en nuestro ejemplo:

    reservations.apps.example.com

  4. Use los valores predeterminados para HTTPS y la versión mínima de TLS.

  5. Selecciona Agregar.

  6. Cuando la estadísticas de validación cambie a Pendiente, seleccione Pendiente.

  7. Para autenticar la propiedad de la zona DNS, en Estado del registro DNS, seleccione Agregar.

  8. Selecciona Cerrar.

  9. Continúe seleccionando Actualizar hasta que el estado validación del dominio cambie a Aprobado y la asociación del punto de conexión cambie a No asociado.

En la ventana Grupos de origen:

  1. Selecciona Agregar.

  2. Asigne un nombre adecuado al grupo de origen , como Reservations-App.

  3. Seleccione Agregar un origen.

  4. Escriba el nombre del origen, como ARO-Cluster-1.

  5. Elija un tipo de origen de Personalizado.

  6. Escriba el nombre de dominio completo (FQDN) que se expone en su clúster de Red Hat OpenShift de Azure, como:

    reservations.apps.example.com

  7. Habilite el servicio Private Link .

  8. Escriba el alias obtenido del servicio Azure Private Link.

  9. Seleccione Agregar para volver a la ventana de creación del grupo de origen.

  10. Seleccione Agregar para agregar el grupo de origen y volver a Azure Portal.

Para conceder aprobación al vínculo example-com-private-link, que es el servicio Azure Private Link que creó anteriormente, complete los pasos siguientes.

  1. En la pestaña Conexiones de punto de conexión privado, active la casilla que ahora existe en el recurso descrito como do from AFD.

  2. Seleccione Aprobar y, a continuación, seleccione para comprobar la aprobación.

Completar la configuración de Azure Front Door Premium

En los pasos siguientes se explica cómo completar la configuración de Azure Front Door Premium.

  1. En Azure Portal, escriba el servicio Azure Front Door Premium que creó anteriormente:

    example-com-frontdoor

  2. En la ventana Endpoint Manager , seleccione Editar punto de conexión para modificar el punto de conexión.

  3. Seleccione +Agregar en Rutas.

  4. Asigne un nombre adecuado a la ruta, como Reservations-App-Route-Config.

  5. En Dominios, en Dominios validados disponibles, seleccione el nombre de dominio completo, por ejemplo:

    reservations.apps.example.com

  6. Para redirigir el tráfico HTTP para usar HTTPS, deje activada la casilla Redirección .

  7. En Grupo de origen, seleccione Reservations-App, el grupo de origen que creó anteriormente.

  8. Puede habilitar el almacenamiento en caché, si procede.

  9. Seleccione Agregar para crear la ruta. Una vez configurada la ruta, Endpoint Manager rellena los paneles Dominios y grupos de orígenes con los demás elementos creados para esta aplicación.

Dado que Azure Front Door es un servicio global, la aplicación puede tardar hasta 30 minutos en implementarse. Durante este tiempo, puede optar por crear un WAF para la aplicación. Cuando la aplicación se pone en marcha, se puede acceder a ella mediante la dirección URL que se usa en este ejemplo:

https://reservations.apps.example.com

Pasos siguientes

Cree un firewall de aplicaciones web de Azure en Azure Front Door mediante Azure Portal:

Tutorial: Creación de una directiva de firewall de aplicaciones web en Azure Front Door mediante Azure Portal