Accéder à un serveur d’API Azure Kubernetes Service (AKS)

Azure Bastion

Azure ExpressRoute

Azure Kubernetes Service (AKS)

Azure Private Link

Passerelle VPN Azure

Cet article décrit les options permettant de se connecter au serveur d’API de votre cluster Azure Kubernetes Service (AKS). Dans un cluster AKS standard, le serveur d’API est exposé sur Internet. Dans un cluster AKS privé, vous pouvez uniquement vous connecter à Internet à partir d’un appareil disposant d’un accès réseau au cluster privé.

La planification de l’accès au serveur d’API est une activité quotidienne zéro et la façon dont vous accédez au serveur dépend de votre scénario de déploiement.

Accès au serveur d’API AKS

Pour gérer un cluster AKS, vous interagissez avec son serveur d’API. Il est essentiel de limiter l’accès au serveur d’API aux seuls utilisateurs nécessaires. Vous pouvez fournir un accès granulaire en intégrant le cluster AKS à l’ID Microsoft Entra. Les administrateurs peuvent gérer l’accès à l’aide du contrôle d’accès en fonction du rôle (RBAC). Ils peuvent également placer des utilisateurs et des identités dans des groupes Microsoft Entra et attribuer des rôles et des autorisations appropriés. L’authentification Microsoft Entra est activée dans les clusters AKS via OpenID Connect. Pour plus d’informations, consultez les ressources suivantes :

• Activer l’authentification d’identité managée Azure pour les clusters Kubernetes avec kubelogin

• Intégrer l’ID Microsoft Entra pour le cluster

Note

Vous pouvez améliorer la sécurité du cluster AKS en autorisant uniquement plages d’adresses IP autorisées d’accéder au serveur d’API.

Azure DDoS Protection, combinée aux meilleures pratiques de conception d’application, fournit des fonctionnalités d’atténuation améliorées contre les attaques par déni de service distribué (DDoS). Activez la protection DDoS sur chaque réseau virtuel de périmètre.

Accéder à un cluster AKS via Internet

Lorsque vous créez un cluster non privé qui se résout par défaut au nom de domaine complet (FQDN) du serveur d’API, une adresse IP publique est affectée par défaut. Vous pouvez vous connecter à votre cluster à l’aide du portail Azure ou d’un interpréteur de commandes tel qu’Azure CLI, PowerShell ou une invite de commandes.

Note

Vous pouvez utiliser le client de ligne de commande Kubernetes kubectl pour vous connecter à un cluster sur Internet.

Cloud Shell

azure Cloud Shell est un interpréteur de commandes intégré au portail Azure. Vous pouvez gérer et vous connecter à des ressources Azure à partir de Cloud Shell comme vous pouvez à partir de PowerShell ou d’Azure CLI.

Accéder à un cluster privé AKS

Il existe plusieurs façons de se connecter à un cluster privé AKS. La planification de l’accès est une activité quotidienne zéro basée sur les besoins et les limitations de votre scénario. Vous pouvez vous connecter à votre cluster privé à l’aide des composants et services suivants :

• Une zone de rebond déployée dans un sous-réseau en tant que station de travail d’exploitation : Cette configuration peut être des machines virtuelles persistantes autonomes dans un groupe à haute disponibilité ou groupes de machines virtuelles identiques Azure.

• Azure Container Instances et un client compatible OpenSSH: Déployer une instance de conteneur qui exécute un serveur SSH (Secure Shell), puis utiliser votre client compatible OpenSSH pour accéder au conteneur. Ce conteneur sert de jump box au sein de votre réseau pour atteindre votre cluster privé.

• azure Bastion: Utiliser Azure Bastion pour établir un accès à distance plus sécurisé et basé sur un navigateur à vos machines virtuelles ou des zones de rebond au sein de votre réseau virtuel Azure. Cet accès vous permet de vous connecter plus en toute sécurité à des points de terminaison privés tels que votre serveur d’API AKS.

• réseau privé virtuel (VPN): Créer une connexion VPN sécurisée qui étend votre réseau local ou distant à votre réseau virtuel. Cette connexion vous permet d’accéder à votre cluster privé comme vous êtes connecté localement.

• Azure ExpressRoute: Utiliser ExpressRoute pour créer une connexion privée dédiée entre votre réseau local et Azure. Cette connexion permet de garantir un accès plus sécurisé et fiable à votre cluster privé sans utiliser l’Internet public.

• commande Azure CLI az aks appellent commande : Effectuer des commandes directement sur votre cluster AKS à l’aide d’Azure CLI avec la commande az aks command invoke. Cette commande interagit avec le cluster sans exposer de points de terminaison réseau supplémentaires.

• instance de Cloud Shell déployée dans un sous-réseau connecté au serveur d’API du cluster : Déployer Cloud Shell dans un sous-réseau lié au serveur d’API de votre cluster. Cette approche fournit un environnement de ligne de commande plus sécurisé et géré pour gérer votre cluster privé.

• Azure Virtual Desktop: Accéder à Azure Virtual Desktop pour utiliser des bureaux Windows ou Linux comme des sauts pour gérer de manière plus sécurisée votre cluster privé depuis presque n’importe où.

Note

Tout le trafic vers le serveur d’API est transmis via le protocole de contrôle de transmission au port 443 via HTTPS. Les groupes de sécurité réseau (NSG) ou d’autres pare-feu réseau doivent autoriser le trafic de l’origine vers le nom de domaine complet du serveur d’API sur le port 443 pour HTTPS. Les allocations de trafic doivent être limitées spécifiquement au nom de domaine complet pour le serveur d’API du cluster.

Azure Bastion

Azure Bastion est une offre de plateforme en tant que service qui permet de sécuriser les connexions RDP (Remote Desktop Protocol) ou SSH à une machine virtuelle au sein de votre réseau virtuel qui ne nécessite pas d’adresse IP publique sur la machine virtuelle. Lorsque vous vous connectez à un cluster AKS privé, utilisez Azure Bastion pour accéder à une zone de rebond dans le réseau virtuel hub.

Vous pouvez également utiliser les services SSH, RDP et Bureau à distance pour contrôler à distance les zones de saut. Le cluster AKS réside dans un réseau spoke, qui le sépare de la zone de rebond. Le peering de réseaux virtuels connecte les réseaux hub-and-spoke. La zone de rebond peut résoudre le nom de domaine complet du serveur d’API AKS à l’aide d’Un point de terminaison privé Azure, d’une zone DNS privée et d’un enregistrement DNS A. Cette configuration permet de s’assurer que le nom de domaine complet du serveur d’API est résolvable uniquement dans le réseau virtuel. Cette configuration fournit une connexion approuvée au cluster AKS privé.

Note

Pour l’accès continu à votre cluster AKS privé, la disponibilité et la redondance de vos zones de rebond sont cruciales. Pour garantir cette fiabilité, placez vos sauts dans les groupes à haute disponibilité et utilisez des groupes de machines virtuelles identiques qui ont peu d’instances de machine virtuelle. Pour plus d’informations, consultez les ressources suivantes :

• Vue d’ensemble des groupes à haute disponibilité
• Que sont les groupes de machines virtuelles identiques ?

Diagramme d’architecture montrant l’itinéraire du trafic d’un utilisateur vers un cluster AKS privé. Le trafic transite par Azure Bastion et une zone de rebond. Tout d’abord, un utilisateur tente de se connecter à une zone de rebond à l’aide d’Azure Bastion et d’un navigateur HTML5 avec le chiffrement transport Layer Security. À partir du portail, l’utilisateur sélectionne s’il faut utiliser RDP ou SSH pour se connecter à la zone de rebond. Ils se connectent à la zone de rebond via Azure Bastion et tentent de se connecter au cluster privé AKS à partir de cette zone de rebond. Le réseau virtuel hub a un lien de réseau virtuel vers la zone DNS privée AKS pour résoudre le nom de domaine complet du cluster privé. Les réseaux virtuels hub-and-spoke communiquent via le peering de réseaux virtuels. Pour atteindre le cluster AKS privé, le trafic entre dans la colonne principale Azure où un point de terminaison privé établit une connexion privée et isolée au cluster AKS privé. Le trafic atteint le serveur d’API du cluster AKS privé, ce qui permet à l’utilisateur de gérer des pods, des nœuds et des applications.

Télécharger un fichier Visio de cette architecture.

Dataflow

1. Un utilisateur tente de se connecter à une zone de rebond à l’aide d’Azure Bastion et d’un navigateur HTML5 avec le chiffrement transport Layer Security.

2. L’utilisateur choisit dans le portail s’il faut utiliser RDP ou SSH pour se connecter à la zone de raccourci.

3. L’utilisateur se connecte à la zone de rebond via Azure Bastion. La tentative de connexion au cluster privé AKS est effectuée à partir de cette zone de rebond. Le réseau virtuel hub a un lien de réseau virtuel vers la zone DNS privée AKS pour résoudre le nom de domaine complet du cluster privé.

4. Le réseau virtuel hub et le réseau virtuel spoke communiquent entre eux à l’aide du peering de réseaux virtuels.

5. Pour atteindre le cluster AKS privé, le trafic entre dans la colonne principale Azure. Un point de terminaison privé établit une connexion privée isolée au cluster AKS privé.

6. Le trafic atteint le serveur d’API du cluster AKS privé. L’utilisateur peut ensuite gérer des pods, des nœuds et des applications.

Note

Le nom de domaine complet de votre cluster privé peut être résolu en dehors de votre réseau virtuel si vous ne pas directement désactiver le nom de domaine complet public sur un cluster existant.

Résoudre les problèmes de connexion

Si vous ne pouvez pas vous connecter à votre cluster privé :

• Vérifiez le peering de réseaux virtuels. Ce mécanisme fournit une connectivité réseau à réseau entre deux réseaux virtuels. Pour que le trafic circule entre ces deux réseaux, vous devez établir le peering de réseaux virtuels entre eux. Lorsque vous établissez un peering de réseaux virtuels, un itinéraire est placé dans la table de routage système du réseau virtuel. Cet itinéraire fournit un chemin d’accès pour atteindre l’espace d’adressage de destination. Pour plus d’informations sur la résolution des problèmes de peerings de réseaux virtuels, consultez Créer, modifier ou supprimer un peering de réseaux virtuels.

  Note

  Vous n’avez pas besoin d’un peering de réseaux virtuels si votre jump box se trouve dans le même réseau virtuel que le point de terminaison privé et le cluster privé AKS.

• Vérifiez le lien de réseau virtuel vers la zone DNS privée. Les liens de réseau virtuel permettent aux machines virtuelles qui se trouvent à l’intérieur des réseaux virtuels de se connecter à une zone DNS privée et de résoudre les enregistrements DNS à l’intérieur de la zone. Si vous ne pouvez pas vous connecter à votre cluster AKS privé ou ne pouvez pas résoudre le nom de domaine complet du cluster privé, vérifiez si votre réseau virtuel a un lien de réseau virtuel vers votre zone DNS privée. Le nom de la zone DNS privée doit avoir le format privatelink.<region>.azmk8s.io.

  Pour plus d’informations sur la résolution des problèmes de liens de réseau virtuel, consultez les ressources suivantes :

  • de peering de réseaux virtuels

  • Qu’est-ce qu’un lien de réseau virtuel ?

  Note

  Lorsque vous créez un cluster AKS privé, une zone DNS privée est créée avec un lien de réseau virtuel vers le réseau virtuel qui héberge le cluster AKS privé.

Améliorer la sécurité

Pour sécuriser les charges de travail AKS et vos zones de rebond, utilisez l’accès juste-à-temps (JIT) et une station de travail d’accès privilégié (PAW). L’accès JIT fait partie de Microsoft Defender for Cloud. Il peut aider à réduire la surface d’attaque potentielle et les vulnérabilités en bloquant le trafic entrant vers votre zone de rebond et en autorisant l’accès uniquement pendant une période spécifiée si nécessaire. Une fois l’heure d’expiration terminée, l’accès est automatiquement révoqué. Pour plus d’informations, consultez accès juste-à-temps à l’ordinateur.

Les PW sont des appareils renforcés qui offrent une haute sécurité aux opérateurs en bloquant les vecteurs d’attaque courants tels que la messagerie et la navigation web. Pour plus d’informations, consultez Appareils sécurisés dans le cadre de l’article d’accès privilégié.

VPN

Une connexion VPN fournit une connectivité hybride à partir de votre environnement local vers Azure. Cette connectivité permet d’accéder à un cluster AKS privé. Le serveur d’API du cluster privé n’est pas accessible en dehors de vos réseaux virtuels. Avec un VPN, vous pouvez vous connecter à votre réseau virtuel dans Azure via un tunnel chiffré, accéder à votre zone de rebond, puis vous connecter au serveur d’API du cluster privé.

Diagramme d’architecture montrant le flux de trafic d’un utilisateur vers un cluster AKS privé. L’itinéraire comprend une passerelle VPN, un tunnel IPsec et une zone de rebond. Tout d’abord, un utilisateur lance le trafic RDP ou SSH vers la zone de rebond à partir d’une station de travail locale. Le trafic de jump box quitte les routeurs de périphérie du client et l’appliance VPN et traverse Internet à l’aide d’un tunnel IPsec chiffré. Une fois qu’il atteint Azure, le trafic arrive à la passerelle de réseau virtuel, qui est à la fois le point d’entrée et de sortie de l’infrastructure de réseau virtuel Azure. Le trafic atteint ensuite la zone de rebond, où l’utilisateur tente de se connecter au cluster privé AKS. Le réseau virtuel hub a un lien de réseau virtuel vers la zone DNS privée AKS pour résoudre le nom de domaine complet du cluster privé. Le peering de réseaux virtuels facilite la communication entre les réseaux virtuels hub-and-spoke. Pour atteindre le cluster AKS privé, le trafic entre dans la colonne principale Azure où un point de terminaison privé établit une connexion privée et isolée au cluster. Enfin, le trafic atteint le serveur d’API du cluster AKS privé, ce qui permet à l’utilisateur de gérer des pods, des nœuds et des applications.

Télécharger un fichier Visio de cette architecture.

Dataflow

1. Un utilisateur lance le trafic RDP ou SSH vers la zone de rebond à partir d’une station de travail locale.

2. Le trafic de jump box quitte les routeurs de périphérie du client et l’appliance VPN. Le trafic utilise un tunnel de sécurité internet chiffré pour traverser Internet.

3. Le trafic de saut atteint la passerelle de réseau virtuel dans Azure, qui est à la fois le point d’entrée et de sortie de l’infrastructure de réseau virtuel Azure.

4. Une fois le trafic passé la passerelle de réseau virtuel, il atteint la zone de rebond. La tentative de connexion au cluster privé AKS est effectuée à partir de la zone de rebond. Le réseau virtuel hub a un lien de réseau virtuel vers la zone DNS privée AKS pour résoudre le nom de domaine complet du cluster privé.

5. Le réseau virtuel hub et le réseau virtuel spoke communiquent entre eux à l’aide d’un peering de réseaux virtuels.

6. Pour atteindre le cluster AKS privé, le trafic entre dans la colonne principale Azure. Un point de terminaison privé établit une connexion privée isolée au cluster AKS privé.

7. Le trafic atteint le serveur d’API du cluster AKS privé. L’utilisateur peut ensuite gérer des pods, des nœuds et des applications.

ExpressRoute

ExpressRoute fournit une connectivité à votre cluster privé AKS à partir d’un environnement local. ExpressRoute utilise le protocole border gateway pour échanger des itinéraires entre votre réseau local et Azure. Cette connexion crée un chemin sécurisé entre les ressources d’infrastructure en tant que service et les stations de travail locales. ExpressRoute fournit une connexion dédiée et isolée qui a une bande passante et une latence cohérentes, ce qui le rend idéal pour les environnements d’entreprise.

Diagramme d’architecture montrant l’itinéraire du trafic d’un utilisateur vers un cluster AKS privé. L’itinéraire inclut ExpressRoute et une zone de raccourci. Tout d’abord, un utilisateur lance le trafic RDP ou SSH vers la zone de rebond à partir d’une station de travail locale. Le trafic de jump box quitte les routeurs de périphérie du client et se déplace sur une connexion fibre à l’emplacement de rencontre-moi où réside le circuit ExpressRoute. Le trafic atteint les appareils Microsoft Enterprise Edge (MSEE), puis entre dans l’infrastructure Azure. Le trafic de saut atteint la passerelle ExpressRoute, qui sert à la fois de point d’entrée et de sortie pour l’infrastructure de réseau virtuel Azure. Le trafic atteint ensuite la zone de rebond où une tentative de connexion au cluster privé AKS est effectuée. Le réseau virtuel hub a un lien de réseau virtuel vers la zone DNS privée AKS pour résoudre le nom de domaine complet du cluster privé. Les réseaux virtuels hub-and-spoke communiquent via le peering de réseaux virtuels. Pour atteindre le cluster AKS privé, le trafic entre dans la colonne principale Azure où un point de terminaison privé établit une connexion privée et isolée au cluster. Enfin, le trafic atteint le serveur d’API du cluster AKS privé, ce qui permet à l’utilisateur de gérer des pods, des nœuds et des applications.

Télécharger un fichier Visio de cette architecture.

Dataflow

1. Un utilisateur lance le trafic RDP ou SSH vers la zone de rebond à partir d’une station de travail locale.

2. Le trafic de jump box quitte les routeurs de périphérie du client et se déplace sur une connexion fibre à l’emplacement de rencontre-moi où réside le circuit ExpressRoute. Le trafic atteint les appareils Microsoft Enterprise Edge (MSEE) là-bas. Ensuite, il entre dans l’infrastructure Azure.

3. Le trafic de la zone de rebond atteint la passerelle ExpressRoute, qui est à la fois le point d’entrée et de sortie de l’infrastructure de réseau virtuel Azure.

4. Le trafic atteint la zone de rebond. La tentative de connexion au cluster privé AKS est effectuée à partir de la zone de rebond. Le réseau virtuel hub a un lien de réseau virtuel vers la zone DNS privée AKS pour résoudre le nom de domaine complet du cluster privé.

5. Le réseau virtuel hub et le réseau virtuel spoke communiquent entre eux à l’aide d’un peering de réseaux virtuels.

6. Pour atteindre le cluster AKS privé, le trafic entre dans la colonne principale Azure. Un point de terminaison privé établit une connexion privée isolée au cluster AKS privé.

7. Le trafic atteint le serveur d’API du cluster AKS privé. L’utilisateur peut ensuite gérer des pods, des nœuds et des applications.

Note

ExpressRoute nécessite qu’un fournisseur de connectivité non-Microsoft fournisse une connexion de peering aux routeurs MSEE. trafic ExpressRoute n’est pas chiffré.

Exécuter l’appel de commande aks

Avec un cluster privé AKS, vous pouvez vous connecter à partir d’une machine virtuelle qui a accès au serveur d’API. Utilisez la commande azure CLI aks command invoke pour exécuter des commandes telles que kubectl ou helm à distance via l’API Azure. Cette approche crée un pod temporaire dans le cluster, qui dure uniquement pendant la commande. La commande aks command invoke sert de méthode de connexion alternative si vous n’avez pas de réseau virtuel VPN, ExpressRoute ou appairé. Vérifiez que votre cluster et votre pool de nœuds disposent de ressources suffisantes pour créer le pod temporaire.

Pour plus d’informations, consultez Utiliser l’appel de commande pour accéder à un cluster AKS privé.

Connecter Cloud Shell à un sous-réseau

Lorsque vous déployez Cloud Shell dans un réseau virtuel que vous contrôlez, vous pouvez interagir avec les ressources à l’intérieur de ce réseau. Le déploiement de Cloud Shell dans un sous-réseau que vous gérez permet la connectivité au serveur d’API d’un cluster privé AKS. Ce déploiement vous permet de vous connecter au cluster privé. Pour plus d’informations, consultez Déployer Cloud Shell dans un réseau virtuel Azure.

Utiliser SSH et Visual Studio Code pour les tests

SSH gère et accède en toute sécurité aux fichiers sur un hôte distant à l’aide de paires de clés publiques-privées. À partir de votre ordinateur local, vous pouvez utiliser SSH avec l’extension Visual Studio Code Remote - SSH pour vous connecter à une zone de rebond dans votre réseau virtuel. Le tunnel SSH chiffré se termine à l’adresse IP publique de la zone de rebond, ce qui facilite la modification des fichiers manifeste Kubernetes.

Pour savoir comment vous connecter à votre jump box via SSH, consultez développement à distance via SSH.

Si vous ne pouvez pas vous connecter à votre machine virtuelle via SSH pour gérer votre cluster privé :

• Vérifiez la règle de groupe de sécurité réseau entrante pour le sous-réseau de machine virtuelle. La règle de groupe de sécurité réseau par défaut bloque tout le trafic entrant en dehors d’Azure. Créez donc une règle qui autorise le trafic SSH à partir de l’adresse IP publique de votre ordinateur local.

• Vérifiez l’emplacement du certificat et vérifiez l’emplacement correct des certificats. Vérifiez que la clé privée se trouve dans le répertoire C:\Users\User\.ssh\id_rsa sur votre ordinateur local et que la clé publique se trouve dans le fichier ~/.ssh/id_rsa.pub sur la machine virtuelle dans Azure.

Note

Nous vous recommandons de :

• Évitez d’utiliser une adresse IP publique pour vous connecter aux ressources dans des environnements de production. Utilisez uniquement des adresses IP publiques dans des environnements de développement ou de test. Dans ces scénarios, créez une règle de groupe de sécurité réseau entrante pour autoriser le trafic à partir de l’adresse IP publique de votre ordinateur local. Pour plus d’informations sur les règles de groupe de sécurité réseau, consultez Créer, modifier ou supprimer un groupe de sécurité réseau.

• Évitez d’utiliser SSH pour vous connecter directement aux nœuds ou conteneurs AKS. Utilisez plutôt une solution de gestion externe dédiée. Cette pratique est particulièrement importante lorsque vous utilisez la commande aks command invoke, qui crée un pod temporaire au sein de votre cluster pour l’accès proxié.

Conclusion

• Vous pouvez accéder au serveur d’API de votre cluster AKS via Internet si le nom de domaine complet public est activé.

• Cloud Shell est un interpréteur de commandes intégré dans le portail Azure que vous pouvez utiliser pour vous connecter à un cluster AKS.

• Pour un accès plus sécurisé, utilisez Azure Bastion et un point de terminaison privé.

• Les VPN et ExpressRoute fournissent une connectivité hybride à votre cluster AKS privé.

• Si aucune solution de connectivité externe n’est disponible, vous pouvez utiliser aks command invoke à distance.

• Vous pouvez déployer Cloud Shell directement dans un réseau virtuel que vous gérez pour accéder au cluster privé.

• Vous pouvez utiliser Visual Studio Code avec SSH sur une zone de raccourci pour chiffrer la connexion et simplifier la modification du fichier manifeste. Toutefois, cette approche expose une adresse IP publique dans votre environnement.

Contributeurs

Microsoft gère cet article. Les contributeurs suivants ont écrit cet article.

Auteurs principaux :

• Ayobami Ayodeji | Gestionnaire de programmes 2
• Ariel Ramirez | Senior Consultant
• Bahram Rushenas | Architecte d’incubation

Autres contributeurs :

• Shubham Agnihotri | Consultant

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• Qu’est-ce qu’Azure Bastion ?
• Prise en main d’OpenSSH
• Qu’est-ce qu’un point de terminaison privé ?
• Qu’est-ce qu’ExpressRoute ?
• Qu’est-ce que la passerelle VPN Azure ?

Ressources associées

• Architecture de référence pour un cluster AKS
• Architecture de microservices avancée sur AKS
• Conception de l’architecture AKS

Cet article décrit les options permettant de se connecter au serveur d’API de votre cluster Azure Kubernetes Service (AKS). Dans un cluster AKS standard, le serveur d’API est exposé sur Internet. Dans un cluster AKS privé, vous pouvez uniquement vous connecter à Internet à partir d’un appareil disposant d’un accès réseau au cluster privé.

La planification de l’accès au serveur d’API est une activité quotidienne zéro et la façon dont vous accédez au serveur dépend de votre scénario de déploiement.

Accès au serveur d’API AKS

Pour gérer un cluster AKS, vous interagissez avec son serveur d’API. Il est essentiel de limiter l’accès au serveur d’API aux seuls utilisateurs nécessaires. Vous pouvez fournir un accès granulaire en intégrant le cluster AKS à l’ID Microsoft Entra. Les administrateurs peuvent gérer l’accès à l’aide du contrôle d’accès en fonction du rôle (RBAC). Ils peuvent également placer des utilisateurs et des identités dans des groupes Microsoft Entra et attribuer des rôles et des autorisations appropriés. L’authentification Microsoft Entra est activée dans les clusters AKS via OpenID Connect. Pour plus d’informations, consultez les ressources suivantes :

• Activer l’authentification d’identité managée Azure pour les clusters Kubernetes avec kubelogin

• Intégrer l’ID Microsoft Entra pour le cluster

Note

Vous pouvez améliorer la sécurité du cluster AKS en autorisant uniquement plages d’adresses IP autorisées d’accéder au serveur d’API.

Azure DDoS Protection, combinée aux meilleures pratiques de conception d’application, fournit des fonctionnalités d’atténuation améliorées contre les attaques par déni de service distribué (DDoS). Activez la protection DDoS sur chaque réseau virtuel de périmètre.

Accéder à un cluster AKS via Internet

Lorsque vous créez un cluster non privé qui se résout par défaut au nom de domaine complet (FQDN) du serveur d’API, une adresse IP publique est affectée par défaut. Vous pouvez vous connecter à votre cluster à l’aide du portail Azure ou d’un interpréteur de commandes tel qu’Azure CLI, PowerShell ou une invite de commandes.

Note

Vous pouvez utiliser le client de ligne de commande Kubernetes kubectl pour vous connecter à un cluster sur Internet.

Cloud Shell

azure Cloud Shell est un interpréteur de commandes intégré au portail Azure. Vous pouvez gérer et vous connecter à des ressources Azure à partir de Cloud Shell comme vous pouvez à partir de PowerShell ou d’Azure CLI.

Accéder à un cluster privé AKS

Il existe plusieurs façons de se connecter à un cluster privé AKS. La planification de l’accès est une activité quotidienne zéro basée sur les besoins et les limitations de votre scénario. Vous pouvez vous connecter à votre cluster privé à l’aide des composants et services suivants :

• Une zone de rebond déployée dans un sous-réseau en tant que station de travail d’exploitation : Cette configuration peut être des machines virtuelles persistantes autonomes dans un groupe à haute disponibilité ou groupes de machines virtuelles identiques Azure.

• Azure Container Instances et un client compatible OpenSSH: Déployer une instance de conteneur qui exécute un serveur SSH (Secure Shell), puis utiliser votre client compatible OpenSSH pour accéder au conteneur. Ce conteneur sert de jump box au sein de votre réseau pour atteindre votre cluster privé.

• azure Bastion: Utiliser Azure Bastion pour établir un accès à distance plus sécurisé et basé sur un navigateur à vos machines virtuelles ou des zones de rebond au sein de votre réseau virtuel Azure. Cet accès vous permet de vous connecter plus en toute sécurité à des points de terminaison privés tels que votre serveur d’API AKS.

• réseau privé virtuel (VPN): Créer une connexion VPN sécurisée qui étend votre réseau local ou distant à votre réseau virtuel. Cette connexion vous permet d’accéder à votre cluster privé comme vous êtes connecté localement.

• Azure ExpressRoute: Utiliser ExpressRoute pour créer une connexion privée dédiée entre votre réseau local et Azure. Cette connexion permet de garantir un accès plus sécurisé et fiable à votre cluster privé sans utiliser l’Internet public.

• commande Azure CLI az aks appellent commande : Effectuer des commandes directement sur votre cluster AKS à l’aide d’Azure CLI avec la commande az aks command invoke. Cette commande interagit avec le cluster sans exposer de points de terminaison réseau supplémentaires.

• instance de Cloud Shell déployée dans un sous-réseau connecté au serveur d’API du cluster : Déployer Cloud Shell dans un sous-réseau lié au serveur d’API de votre cluster. Cette approche fournit un environnement de ligne de commande plus sécurisé et géré pour gérer votre cluster privé.

• Azure Virtual Desktop: Accéder à Azure Virtual Desktop pour utiliser des bureaux Windows ou Linux comme des sauts pour gérer de manière plus sécurisée votre cluster privé depuis presque n’importe où.

Note

Tout le trafic vers le serveur d’API est transmis via le protocole de contrôle de transmission au port 443 via HTTPS. Les groupes de sécurité réseau (NSG) ou d’autres pare-feu réseau doivent autoriser le trafic de l’origine vers le nom de domaine complet du serveur d’API sur le port 443 pour HTTPS. Les allocations de trafic doivent être limitées spécifiquement au nom de domaine complet pour le serveur d’API du cluster.

Azure Bastion

Azure Bastion est une offre de plateforme en tant que service qui permet de sécuriser les connexions RDP (Remote Desktop Protocol) ou SSH à une machine virtuelle au sein de votre réseau virtuel qui ne nécessite pas d’adresse IP publique sur la machine virtuelle. Lorsque vous vous connectez à un cluster AKS privé, utilisez Azure Bastion pour accéder à une zone de rebond dans le réseau virtuel hub.

Vous pouvez également utiliser les services SSH, RDP et Bureau à distance pour contrôler à distance les zones de saut. Le cluster AKS réside dans un réseau spoke, qui le sépare de la zone de rebond. Le peering de réseaux virtuels connecte les réseaux hub-and-spoke. La zone de rebond peut résoudre le nom de domaine complet du serveur d’API AKS à l’aide d’Un point de terminaison privé Azure, d’une zone DNS privée et d’un enregistrement DNS A. Cette configuration permet de s’assurer que le nom de domaine complet du serveur d’API est résolvable uniquement dans le réseau virtuel. Cette configuration fournit une connexion approuvée au cluster AKS privé.

Note

Pour l’accès continu à votre cluster AKS privé, la disponibilité et la redondance de vos zones de rebond sont cruciales. Pour garantir cette fiabilité, placez vos sauts dans les groupes à haute disponibilité et utilisez des groupes de machines virtuelles identiques qui ont peu d’instances de machine virtuelle. Pour plus d’informations, consultez les ressources suivantes :

• Vue d’ensemble des groupes à haute disponibilité
• Que sont les groupes de machines virtuelles identiques ?

Diagramme d’architecture montrant l’itinéraire du trafic d’un utilisateur vers un cluster AKS privé. Le trafic transite par Azure Bastion et une zone de rebond. Tout d’abord, un utilisateur tente de se connecter à une zone de rebond à l’aide d’Azure Bastion et d’un navigateur HTML5 avec le chiffrement transport Layer Security. À partir du portail, l’utilisateur sélectionne s’il faut utiliser RDP ou SSH pour se connecter à la zone de rebond. Ils se connectent à la zone de rebond via Azure Bastion et tentent de se connecter au cluster privé AKS à partir de cette zone de rebond. Le réseau virtuel hub a un lien de réseau virtuel vers la zone DNS privée AKS pour résoudre le nom de domaine complet du cluster privé. Les réseaux virtuels hub-and-spoke communiquent via le peering de réseaux virtuels. Pour atteindre le cluster AKS privé, le trafic entre dans la colonne principale Azure où un point de terminaison privé établit une connexion privée et isolée au cluster AKS privé. Le trafic atteint le serveur d’API du cluster AKS privé, ce qui permet à l’utilisateur de gérer des pods, des nœuds et des applications.

Télécharger un fichier Visio de cette architecture.

Dataflow

1. Un utilisateur tente de se connecter à une zone de rebond à l’aide d’Azure Bastion et d’un navigateur HTML5 avec le chiffrement transport Layer Security.

2. L’utilisateur choisit dans le portail s’il faut utiliser RDP ou SSH pour se connecter à la zone de raccourci.

3. L’utilisateur se connecte à la zone de rebond via Azure Bastion. La tentative de connexion au cluster privé AKS est effectuée à partir de cette zone de rebond. Le réseau virtuel hub a un lien de réseau virtuel vers la zone DNS privée AKS pour résoudre le nom de domaine complet du cluster privé.

4. Le réseau virtuel hub et le réseau virtuel spoke communiquent entre eux à l’aide du peering de réseaux virtuels.

5. Pour atteindre le cluster AKS privé, le trafic entre dans la colonne principale Azure. Un point de terminaison privé établit une connexion privée isolée au cluster AKS privé.

6. Le trafic atteint le serveur d’API du cluster AKS privé. L’utilisateur peut ensuite gérer des pods, des nœuds et des applications.

Note

Le nom de domaine complet de votre cluster privé peut être résolu en dehors de votre réseau virtuel si vous ne pas directement désactiver le nom de domaine complet public sur un cluster existant.

Résoudre les problèmes de connexion

Si vous ne pouvez pas vous connecter à votre cluster privé :

• Vérifiez le peering de réseaux virtuels. Ce mécanisme fournit une connectivité réseau à réseau entre deux réseaux virtuels. Pour que le trafic circule entre ces deux réseaux, vous devez établir le peering de réseaux virtuels entre eux. Lorsque vous établissez un peering de réseaux virtuels, un itinéraire est placé dans la table de routage système du réseau virtuel. Cet itinéraire fournit un chemin d’accès pour atteindre l’espace d’adressage de destination. Pour plus d’informations sur la résolution des problèmes de peerings de réseaux virtuels, consultez Créer, modifier ou supprimer un peering de réseaux virtuels.

  Note

  Vous n’avez pas besoin d’un peering de réseaux virtuels si votre jump box se trouve dans le même réseau virtuel que le point de terminaison privé et le cluster privé AKS.

• Vérifiez le lien de réseau virtuel vers la zone DNS privée. Les liens de réseau virtuel permettent aux machines virtuelles qui se trouvent à l’intérieur des réseaux virtuels de se connecter à une zone DNS privée et de résoudre les enregistrements DNS à l’intérieur de la zone. Si vous ne pouvez pas vous connecter à votre cluster AKS privé ou ne pouvez pas résoudre le nom de domaine complet du cluster privé, vérifiez si votre réseau virtuel a un lien de réseau virtuel vers votre zone DNS privée. Le nom de la zone DNS privée doit avoir le format privatelink.<region>.azmk8s.io.

  Pour plus d’informations sur la résolution des problèmes de liens de réseau virtuel, consultez les ressources suivantes :

  • de peering de réseaux virtuels

  • Qu’est-ce qu’un lien de réseau virtuel ?

  Note

  Lorsque vous créez un cluster AKS privé, une zone DNS privée est créée avec un lien de réseau virtuel vers le réseau virtuel qui héberge le cluster AKS privé.

Améliorer la sécurité

Pour sécuriser les charges de travail AKS et vos zones de rebond, utilisez l’accès juste-à-temps (JIT) et une station de travail d’accès privilégié (PAW). L’accès JIT fait partie de Microsoft Defender for Cloud. Il peut aider à réduire la surface d’attaque potentielle et les vulnérabilités en bloquant le trafic entrant vers votre zone de rebond et en autorisant l’accès uniquement pendant une période spécifiée si nécessaire. Une fois l’heure d’expiration terminée, l’accès est automatiquement révoqué. Pour plus d’informations, consultez accès juste-à-temps à l’ordinateur.

Les PW sont des appareils renforcés qui offrent une haute sécurité aux opérateurs en bloquant les vecteurs d’attaque courants tels que la messagerie et la navigation web. Pour plus d’informations, consultez Appareils sécurisés dans le cadre de l’article d’accès privilégié.

VPN

Une connexion VPN fournit une connectivité hybride à partir de votre environnement local vers Azure. Cette connectivité permet d’accéder à un cluster AKS privé. Le serveur d’API du cluster privé n’est pas accessible en dehors de vos réseaux virtuels. Avec un VPN, vous pouvez vous connecter à votre réseau virtuel dans Azure via un tunnel chiffré, accéder à votre zone de rebond, puis vous connecter au serveur d’API du cluster privé.

Diagramme d’architecture montrant le flux de trafic d’un utilisateur vers un cluster AKS privé. L’itinéraire comprend une passerelle VPN, un tunnel IPsec et une zone de rebond. Tout d’abord, un utilisateur lance le trafic RDP ou SSH vers la zone de rebond à partir d’une station de travail locale. Le trafic de jump box quitte les routeurs de périphérie du client et l’appliance VPN et traverse Internet à l’aide d’un tunnel IPsec chiffré. Une fois qu’il atteint Azure, le trafic arrive à la passerelle de réseau virtuel, qui est à la fois le point d’entrée et de sortie de l’infrastructure de réseau virtuel Azure. Le trafic atteint ensuite la zone de rebond, où l’utilisateur tente de se connecter au cluster privé AKS. Le réseau virtuel hub a un lien de réseau virtuel vers la zone DNS privée AKS pour résoudre le nom de domaine complet du cluster privé. Le peering de réseaux virtuels facilite la communication entre les réseaux virtuels hub-and-spoke. Pour atteindre le cluster AKS privé, le trafic entre dans la colonne principale Azure où un point de terminaison privé établit une connexion privée et isolée au cluster. Enfin, le trafic atteint le serveur d’API du cluster AKS privé, ce qui permet à l’utilisateur de gérer des pods, des nœuds et des applications.

Télécharger un fichier Visio de cette architecture.

Dataflow

1. Un utilisateur lance le trafic RDP ou SSH vers la zone de rebond à partir d’une station de travail locale.

2. Le trafic de jump box quitte les routeurs de périphérie du client et l’appliance VPN. Le trafic utilise un tunnel de sécurité internet chiffré pour traverser Internet.

3. Le trafic de saut atteint la passerelle de réseau virtuel dans Azure, qui est à la fois le point d’entrée et de sortie de l’infrastructure de réseau virtuel Azure.

4. Une fois le trafic passé la passerelle de réseau virtuel, il atteint la zone de rebond. La tentative de connexion au cluster privé AKS est effectuée à partir de la zone de rebond. Le réseau virtuel hub a un lien de réseau virtuel vers la zone DNS privée AKS pour résoudre le nom de domaine complet du cluster privé.

5. Le réseau virtuel hub et le réseau virtuel spoke communiquent entre eux à l’aide d’un peering de réseaux virtuels.

6. Pour atteindre le cluster AKS privé, le trafic entre dans la colonne principale Azure. Un point de terminaison privé établit une connexion privée isolée au cluster AKS privé.

7. Le trafic atteint le serveur d’API du cluster AKS privé. L’utilisateur peut ensuite gérer des pods, des nœuds et des applications.

ExpressRoute

ExpressRoute fournit une connectivité à votre cluster privé AKS à partir d’un environnement local. ExpressRoute utilise le protocole border gateway pour échanger des itinéraires entre votre réseau local et Azure. Cette connexion crée un chemin sécurisé entre les ressources d’infrastructure en tant que service et les stations de travail locales. ExpressRoute fournit une connexion dédiée et isolée qui a une bande passante et une latence cohérentes, ce qui le rend idéal pour les environnements d’entreprise.

Diagramme d’architecture montrant l’itinéraire du trafic d’un utilisateur vers un cluster AKS privé. L’itinéraire inclut ExpressRoute et une zone de raccourci. Tout d’abord, un utilisateur lance le trafic RDP ou SSH vers la zone de rebond à partir d’une station de travail locale. Le trafic de jump box quitte les routeurs de périphérie du client et se déplace sur une connexion fibre à l’emplacement de rencontre-moi où réside le circuit ExpressRoute. Le trafic atteint les appareils Microsoft Enterprise Edge (MSEE), puis entre dans l’infrastructure Azure. Le trafic de saut atteint la passerelle ExpressRoute, qui sert à la fois de point d’entrée et de sortie pour l’infrastructure de réseau virtuel Azure. Le trafic atteint ensuite la zone de rebond où une tentative de connexion au cluster privé AKS est effectuée. Le réseau virtuel hub a un lien de réseau virtuel vers la zone DNS privée AKS pour résoudre le nom de domaine complet du cluster privé. Les réseaux virtuels hub-and-spoke communiquent via le peering de réseaux virtuels. Pour atteindre le cluster AKS privé, le trafic entre dans la colonne principale Azure où un point de terminaison privé établit une connexion privée et isolée au cluster. Enfin, le trafic atteint le serveur d’API du cluster AKS privé, ce qui permet à l’utilisateur de gérer des pods, des nœuds et des applications.

Télécharger un fichier Visio de cette architecture.

Dataflow

1. Un utilisateur lance le trafic RDP ou SSH vers la zone de rebond à partir d’une station de travail locale.

2. Le trafic de jump box quitte les routeurs de périphérie du client et se déplace sur une connexion fibre à l’emplacement de rencontre-moi où réside le circuit ExpressRoute. Le trafic atteint les appareils Microsoft Enterprise Edge (MSEE) là-bas. Ensuite, il entre dans l’infrastructure Azure.

3. Le trafic de la zone de rebond atteint la passerelle ExpressRoute, qui est à la fois le point d’entrée et de sortie de l’infrastructure de réseau virtuel Azure.

4. Le trafic atteint la zone de rebond. La tentative de connexion au cluster privé AKS est effectuée à partir de la zone de rebond. Le réseau virtuel hub a un lien de réseau virtuel vers la zone DNS privée AKS pour résoudre le nom de domaine complet du cluster privé.

5. Le réseau virtuel hub et le réseau virtuel spoke communiquent entre eux à l’aide d’un peering de réseaux virtuels.

6. Pour atteindre le cluster AKS privé, le trafic entre dans la colonne principale Azure. Un point de terminaison privé établit une connexion privée isolée au cluster AKS privé.

7. Le trafic atteint le serveur d’API du cluster AKS privé. L’utilisateur peut ensuite gérer des pods, des nœuds et des applications.

Note

ExpressRoute nécessite qu’un fournisseur de connectivité non-Microsoft fournisse une connexion de peering aux routeurs MSEE. trafic ExpressRoute n’est pas chiffré.

Exécuter l’appel de commande aks

Avec un cluster privé AKS, vous pouvez vous connecter à partir d’une machine virtuelle qui a accès au serveur d’API. Utilisez la commande azure CLI aks command invoke pour exécuter des commandes telles que kubectl ou helm à distance via l’API Azure. Cette approche crée un pod temporaire dans le cluster, qui dure uniquement pendant la commande. La commande aks command invoke sert de méthode de connexion alternative si vous n’avez pas de réseau virtuel VPN, ExpressRoute ou appairé. Vérifiez que votre cluster et votre pool de nœuds disposent de ressources suffisantes pour créer le pod temporaire.

Pour plus d’informations, consultez Utiliser l’appel de commande pour accéder à un cluster AKS privé.

Connecter Cloud Shell à un sous-réseau

Lorsque vous déployez Cloud Shell dans un réseau virtuel que vous contrôlez, vous pouvez interagir avec les ressources à l’intérieur de ce réseau. Le déploiement de Cloud Shell dans un sous-réseau que vous gérez permet la connectivité au serveur d’API d’un cluster privé AKS. Ce déploiement vous permet de vous connecter au cluster privé. Pour plus d’informations, consultez Déployer Cloud Shell dans un réseau virtuel Azure.

Utiliser SSH et Visual Studio Code pour les tests

SSH gère et accède en toute sécurité aux fichiers sur un hôte distant à l’aide de paires de clés publiques-privées. À partir de votre ordinateur local, vous pouvez utiliser SSH avec l’extension Visual Studio Code Remote - SSH pour vous connecter à une zone de rebond dans votre réseau virtuel. Le tunnel SSH chiffré se termine à l’adresse IP publique de la zone de rebond, ce qui facilite la modification des fichiers manifeste Kubernetes.

Pour savoir comment vous connecter à votre jump box via SSH, consultez développement à distance via SSH.

Si vous ne pouvez pas vous connecter à votre machine virtuelle via SSH pour gérer votre cluster privé :

• Vérifiez la règle de groupe de sécurité réseau entrante pour le sous-réseau de machine virtuelle. La règle de groupe de sécurité réseau par défaut bloque tout le trafic entrant en dehors d’Azure. Créez donc une règle qui autorise le trafic SSH à partir de l’adresse IP publique de votre ordinateur local.

• Vérifiez l’emplacement du certificat et vérifiez l’emplacement correct des certificats. Vérifiez que la clé privée se trouve dans le répertoire C:\Users\User\.ssh\id_rsa sur votre ordinateur local et que la clé publique se trouve dans le fichier ~/.ssh/id_rsa.pub sur la machine virtuelle dans Azure.

Note

Nous vous recommandons de :

• Évitez d’utiliser une adresse IP publique pour vous connecter aux ressources dans des environnements de production. Utilisez uniquement des adresses IP publiques dans des environnements de développement ou de test. Dans ces scénarios, créez une règle de groupe de sécurité réseau entrante pour autoriser le trafic à partir de l’adresse IP publique de votre ordinateur local. Pour plus d’informations sur les règles de groupe de sécurité réseau, consultez Créer, modifier ou supprimer un groupe de sécurité réseau.

• Évitez d’utiliser SSH pour vous connecter directement aux nœuds ou conteneurs AKS. Utilisez plutôt une solution de gestion externe dédiée. Cette pratique est particulièrement importante lorsque vous utilisez la commande aks command invoke, qui crée un pod temporaire au sein de votre cluster pour l’accès proxié.

Conclusion

• Vous pouvez accéder au serveur d’API de votre cluster AKS via Internet si le nom de domaine complet public est activé.

• Cloud Shell est un interpréteur de commandes intégré dans le portail Azure que vous pouvez utiliser pour vous connecter à un cluster AKS.

• Pour un accès plus sécurisé, utilisez Azure Bastion et un point de terminaison privé.

• Les VPN et ExpressRoute fournissent une connectivité hybride à votre cluster AKS privé.

• Si aucune solution de connectivité externe n’est disponible, vous pouvez utiliser aks command invoke à distance.

• Vous pouvez déployer Cloud Shell directement dans un réseau virtuel que vous gérez pour accéder au cluster privé.

• Vous pouvez utiliser Visual Studio Code avec SSH sur une zone de raccourci pour chiffrer la connexion et simplifier la modification du fichier manifeste. Toutefois, cette approche expose une adresse IP publique dans votre environnement.

Contributeurs

Microsoft gère cet article. Les contributeurs suivants ont écrit cet article.

Auteurs principaux :

• Ayobami Ayodeji | Gestionnaire de programmes 2
• Ariel Ramirez | Senior Consultant
• Bahram Rushenas | Architecte d’incubation

Autres contributeurs :

• Shubham Agnihotri | Consultant

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• Qu’est-ce qu’Azure Bastion ?
• Prise en main d’OpenSSH
• Qu’est-ce qu’un point de terminaison privé ?
• Qu’est-ce qu’ExpressRoute ?
• Qu’est-ce que la passerelle VPN Azure ?

Ressources associées

• Architecture de référence pour un cluster AKS
• Architecture de microservices avancée sur AKS
• Conception de l’architecture AKS