Hálózati topológia
Az Azure Kubernetes Service-fürt egyik ajánlott architektúrája a hub-spoke hálózati topológia. A központ és a küllő(k) különálló virtuális hálózatokban van üzembe helyezve, amelyek átfűzéssel vannak összekötve. A topológia néhány előnye:
- Szegregált felügyelet. Lehetővé teszi az irányítás alkalmazását és a minimális jogosultság elvének betartását. Emellett támogatja a Azure-beli célzóna fogalmát a feladatok elkülönítésével.
- Minimalizálja az Azure-erőforrások nyilvános interneten való közvetlen kitettségét.
- A szervezetek gyakran regionális küllős topológiákkal működnek. A küllős hálózati topológiák a jövőben bővíthetők, és elkülöníthetők a számítási feladatoktól.
- Minden webalkalmazáshoz webalkalmazási tűzfal (WAF) szolgáltatás szükséges a HTTP-forgalom szabályozásához.
- Természetes választás több előfizetést felölelő számítási feladatokhoz.
- Bővíthetővé teszi az architektúrát. Az új funkciók vagy számítási feladatok elhelyezéséhez a hálózati topológia újratervezése helyett új küllők is hozzáadhatók.
- Bizonyos erőforrások, például a tűzfal és a DNS megosztható a hálózatok között.
Központ
A központi virtuális hálózat a kapcsolat és a megfigyelhetőség központi pontja. A központ tartalmaz egy Azure Firewallt, amely a központi informatikai csapatok által meghatározott globális tűzfalszabályzatokkal rendelkezik a szervezeti szintű tűzfalszabályzat, az Azure Bastion és az Azure Monitor számára a hálózat megfigyelhetősége érdekében.
A hálózaton belül három alhálózat van üzembe helyezve.
Alhálózat az Azure Firewall üzemeltetéséhez
Az Azure Firewall egy szolgáltatásként nyújtott tűzfal. A tűzfalpéldány védi a kimenő hálózati forgalmat. E biztonsági réteg nélkül ez a forgalom egy rosszindulatú külső szolgáltatással kommunikálhat, amely bizalmas vállalati adatokat képes kiszűrni. Azure Firewall Manager lehetővé teszi több Azure Firewall-példány központi telepítését és konfigurálását, valamint az Azure Firewall-szabályzatok kezelését ehhez a központi virtuális hálózati architektúratípushoz.
Átjáró üzemeltetéséhez tartozó alhálózat
Ez az alhálózat egy VPN- vagy ExpressRoute-átjáró helyőrzője. Az átjáró kapcsolatot biztosít a helyszíni hálózat útválasztói és a virtuális hálózat között.
Alhálózat az Azure Bastion üzemeltetéséhez
Ez az alhálózat az Azure Bastion helyőrzője. A Bastion használatával biztonságosan elérheti az Azure-erőforrásokat anélkül, hogy az erőforrásokat az interneten tárja fel. Ez az alhálózat csak felügyelethez és műveletekhez használható.
Küllő
A spoke virtuális hálózat tartalmazza az AKS-fürtöt és más kapcsolódó erőforrásokat. A küllő négy alhálózattal rendelkezik:
Alhálózat az Azure Application Gateway üzemeltetéséhez
Az Azure Application Gateway egy webes forgalom terheléselosztója, amely a 7. rétegben működik. A referencia-implementáció az Application Gateway v2 termékváltozatot használja, amely lehetővé teszi a webalkalmazási tűzfal (WAF) használatát. A WAF biztosítja a bejövő forgalmat a gyakori webes forgalommal kapcsolatos támadásoktól, beleértve a robotokat is. A példány nyilvános előtérbeli IP-konfigurációval rendelkezik, amely felhasználói kéréseket fogad. Az Application Gateway tervezés szerint dedikált alhálózatot igényel.
A bejövő erőforrások üzemeltetésére használt alhálózat
A forgalom irányításához és elosztásához egy bejövő vezérlő teljesíti a Kubernetes bejövő erőforrásait. Az Azure belső terheléselosztói ebben az alhálózatban találhatók.
Alhálózat a fürtcsomópontok üzemeltetéséhez
Az AKS két külön csomópontcsoportot (vagy csomópontkészletet) tart fenn. A rendszercsomópontkészlet az alapvető fürtszolgáltatásokat futtató podokat üzemelteti. A felhasználói csomópontkészlet futtatja a számítási feladatot és a bejövő forgalomvezérlőt a számítási feladat felé irányuló bejövő kommunikáció engedélyezéséhez.
Private Link-végpontok üzemeltetésére szolgáló alhálózat
Azure Private Link-kapcsolatok jönnek létre az Azure Container Registryhez és az Azure Key Vaulthoz, így ezek a szolgáltatások a küllős virtuális hálózaton belüli privát végponttal érhetők el. A privát végpontok nem igényelnek dedikált alhálózatot, és a központi virtuális hálózaton is elhelyezhetők. Az alapkonfigurációban a küllős virtuális hálózaton belül egy dedikált alhálózaton helyezik üzembe őket. Ez a módszer csökkenti a társhálózati kapcsolaton áthaladó forgalmat, és ugyanazon a virtuális hálózaton tartja a fürthöz tartozó erőforrásokat.