Bagikan melalui

Akses aman ke Azure Red Hat OpenShift dengan Azure Front Door

  • Artikel

Artikel ini menjelaskan cara menggunakan Azure Front Door Premium untuk mengamankan akses ke Azure Red Hat OpenShift.

Prasyarat

Prasyarat berikut diperlukan:

  • Anda memiliki kluster Azure Red Hat OpenShift yang sudah ada. Ikuti panduan ini untuk membuat kluster Azure Red Hat OpenShift privat.

  • Kluster dikonfigurasi dengan visibilitas ingress privat.

  • Nama domain kustom digunakan, misalnya:

    example.com

Catatan

Status awal tidak memiliki DNS yang dikonfigurasi. Tidak ada aplikasi yang diekspos secara eksternal dari kluster Azure Red Hat OpenShift.

Bagian ini menjelaskan cara membuat layanan Azure Private Link. Layanan Azure Private Link adalah referensi ke layanan Anda sendiri yang didukung oleh Azure Private Link.

Layanan Anda, yang berjalan di belakang Azure Standard Load Balancer, dapat diaktifkan untuk akses Private Link sehingga konsumen ke layanan Anda dapat mengaksesnya secara privat dari VNet mereka sendiri. Pelanggan Anda dapat membuat titik akhir privat di dalam VNet mereka dan memetakannya ke layanan ini.

Untuk informasi selengkapnya tentang layanan Azure Private Link dan cara menggunakannya, lihat Layanan Azure Private Link.

Membuat AzurePrivateLinkSubnet. Subnet ini mencakup netmask yang mengizinkan visibilitas subnet ke sarana kontrol dan simpul pekerja kluster Azure. Jangan mendelegasikan subnet baru ini ke layanan apa pun atau mengonfigurasi titik akhir layanan apa pun.

Misalnya, jika jaringan virtual adalah 10.10.0.0/16 dan:

  • Subnet sarana kontrol Azure Red Hat OpenShift yang ada = 10.10.0.0/24
  • Subnet pekerja Azure Red Hat OpenShift yang ada = 10.10.1.0/24
  • AzurePrivateLinkSubnet baru = 10.10.2.0/24

Buat Private Link baru di layanan Azure Private Link, seperti yang dijelaskan dalam langkah-langkah berikut:

  1. Di tab Dasar, konfigurasikan pengaturan berikut:

    • Detail Proyek
      • Pilih langganan Azure Anda.
      • Pilih grup sumber daya tempat kluster Azure Red Hat OpenShift Anda disebarkan.
    • Detail Instans
      • Masukkan Nama untuk layanan Azure Private Link Anda, seperti dalam contoh berikut: example-com-private-link.
      • Pilih Wilayah untuk Private Link Anda.

  2. Pada tab Pengaturan Keluar:

    • Atur Load Balancer ke load balancer -internal kluster tempat Anda mengaktifkan akses eksternal. Pilihan diisi dalam daftar drop-down.

    • Atur alamat IP frontend Load Balancer ke alamat IP pengontrol ingress Azure Red Hat OpenShift, yang biasanya berakhiran .254. Jika Anda tidak yakin, gunakan perintah berikut.

      az aro show -n <cluster-name> -g <resource-group> -o tsv --query ingressProfiles[].ip

    • Subnet NAT Sumber harus berupa AzurePrivateLinkSubnet, yang Anda buat.

    • Tidak ada item yang harus diubah dalam Pengaturan Keluar.

  3. Pada tab Keamanan Akses, tidak ada perubahan yang diperlukan.

    • Di Siapa dapat meminta akses ke layanan Anda? , pilih Siapa pun dengan alias Anda.
    • Jangan tambahkan langganan apa pun untuk persetujuan otomatis.

  4. Pada tab Tag, pilih Tinjau + buat.

  5. Pilih Buat untuk membuat layanan Azure Private Link, lalu tunggu hingga proses selesai.

  6. Saat penyebaran Anda selesai, pilih Buka grup sumber daya di bawah Langkah berikutnya.

Di portal Azure, masukkan layanan Azure Private Link yang disebarkan. Pertahankan Alias yang dihasilkan untuk layanan Azure Private Link. Ini akan digunakan nanti.

Mendaftarkan domain di Azure DNS

Bagian ini menjelaskan cara mendaftarkan domain di Azure DNS.

  1. Buat zona Azure DNS global untuk example.com.

  2. Buat zona Azure DNS global untuk apps.example.com.

  3. Perhatikan empat server nama yang ada di Azure DNS untuk apps.example.com.

  4. Buat kumpulan catatan NS baru di zona example.com yang menunjuk ke aplikasi dan tentukan empat server nama yang ada saat zona aplikasi dibuat.

Membuat layanan Azure Front Door Premium baru

Untuk membuat layanan Azure Front Door Premium baru:

  1. Di Microsoft Azure Bandingkan penawaran pilih Azure Front Door, lalu pilih Lanjutkan untuk membuat Front Door.

  2. Pada halaman Buat profil front door di grup Sumber Daya Langganan>, pilih grup sumber daya tempat kluster Azure Red Hat OpenShift Anda disebarkan untuk menampung sumber daya Azure Front Door Premium Anda.

  3. Beri nama layanan Azure Front Door Premium Anda dengan tepat. Misalnya, di bidang Nama , masukkan nama berikut:

    example-com-frontdoor

  4. Pilih tingkat Premium . Tingkat Premium adalah satu-satunya pilihan yang mendukung Azure Private Link.

  5. Untuk Nama titik akhir, pilih nama titik akhir yang sesuai untuk Azure Front Door.

    Untuk setiap aplikasi yang disebarkan, CNAME akan dibuat di Azure DNS untuk menunjuk ke nama host ini. Oleh karena itu, penting untuk memilih nama yang agnostik untuk aplikasi. Untuk keamanan, nama tidak boleh menyarankan aplikasi atau arsitektur yang telah Anda sebarkan, seperti example01.

    Nama yang Anda pilih akan ditambahkan sebelumnya ke domain .z01.azurefd.net .

  6. Untuk Jenis asal, pilih Kustom.

  7. Untuk Nama Host Asal, masukkan tempat penampung berikut:

    changeme.com

    Tempat penampung ini akan dihapus nanti.

    Pada tahap ini, jangan aktifkan layanan Azure Private Link, penembolokan, atau kebijakan Web Application Firewall (WAF).

  8. Pilih Tinjau + buat untuk membuat sumber daya Azure Front Door Premium, lalu tunggu hingga proses selesai.

Konfigurasi awal Azure Front Door Premium

Untuk mengonfigurasi Azure Front Door Premium:

  1. Di portal Azure, masukkan layanan Azure Front Door Premium yang disebarkan.

  2. Di jendela Endpoint Manager , ubah titik akhir dengan memilih Edit titik akhir.

  3. Hapus rute default, yang dibuat sebagai rute default.

  4. Tutup jendela Endpoint Manager .

  5. Di jendela Grup Asal, hapus grup asal default yang diberi nama default-origin-group.

Mengekspos rute aplikasi di Azure Red Hat OpenShift

Azure Red Hat OpenShift harus dikonfigurasi untuk melayani aplikasi dengan nama host yang sama dengan yang akan diekspos Azure Front Door secara eksternal (*.apps.example.com). Dalam contoh kami, kami akan mengekspos aplikasi Reservasi dengan nama host berikut:

reservations.apps.example.com

Selain itu, buat rute aman di Azure Red Hat OpenShift yang mengekspos nama host.

Mengonfigurasi Azure DNS

Untuk mengonfigurasi Azure DNS:

  1. Masukkan zona DNS aplikasi publik yang sebelumnya dibuat.

  2. Buat kumpulan catatan CNAME baru bernama reservasi. Kumpulan catatan CNAME ini adalah alias untuk contoh titik akhir Azure Front Door kami:

    example01.z01.azurefd.net

Mengonfigurasi Azure Front Door Premium

Langkah-langkah berikut menjelaskan cara mengonfigurasi Azure Front Door Premium.

  1. Di portal Azure, masukkan layanan Azure Front Door Premium yang Anda buat sebelumnya:

    example-com-frontdoor

Di jendela Domain:

  1. Karena semua server DNS dihosting di Azure, biarkan Manajemen DNS diatur ke DNS terkelola Azure.

  2. Pilih domain contoh:

    apps.example.com

  3. Pilih CNAME dalam contoh kami:

    reservations.apps.example.com

  4. Gunakan nilai default untuk HTTPS dan versi TLS Minimum.

  5. Pilih Tambahkan.

  6. Saat statistik Validasi berubah menjadi Tertunda, pilih Tertunda.

  7. Untuk mengautentikasi kepemilikan zona DNS, untuk status catatan DNS, pilih Tambahkan.

  8. Pilih Tutup.

  9. Lanjutkan untuk memilih Refresh hingga status Validasi domain berubah menjadi Disetujui dan Asosiasi titik akhir berubah menjadi Tidak Terkait.

Di jendela Grup Asal:

  1. Pilih Tambahkan.

  2. Beri Nama yang sesuai untuk Grup Asal Anda, seperti Reservations-App.

  3. Pilih Tambahkan asal.

  4. Masukkan nama asal, seperti ARO-Cluster-1.

  5. Pilih Jenis asal Kustom.

  6. Masukkan nama host nama domain yang sepenuhnya memenuhi syarat (FQDN) yang diekspos di kluster Azure Red Hat OpenShift Anda, seperti:

    reservations.apps.example.com

  7. Aktifkan layanan Private Link .

  8. Masukkan Alias yang diperoleh dari layanan Azure Private Link.

  9. Pilih Tambahkan untuk kembali ke jendela pembuatan grup asal.

  10. Pilih Tambahkan untuk menambahkan grup asal dan kembali ke portal Azure.

Untuk memberikan persetujuan ke example-com-private-link, yang merupakan layanan Azure Private Link yang Anda buat sebelumnya, selesaikan langkah-langkah berikut.

  1. Pada tab Koneksi titik akhir privat, pilih kotak centang yang sekarang ada dari sumber daya yang dijelaskan sebagaimana dilakukan dari AFD.

  2. Pilih Setujui, lalu pilih Ya untuk memverifikasi persetujuan.

Menyelesaikan konfigurasi Azure Front Door Premium

Langkah-langkah berikut menjelaskan cara menyelesaikan konfigurasi Azure Front Door Premium.

  1. Di portal Azure, masukkan layanan Azure Front Door Premium yang sebelumnya Anda buat:

    example-com-frontdoor

  2. Di jendela Endpoint Manager , pilih Edit titik akhir untuk mengubah titik akhir.

  3. Pilih +Tambahkan di bawah Rute.

  4. Beri nama rute yang sesuai, seperti Reservations-App-Route-Config.

  5. Di bawah Domain, lalu di bawah Domain yang divalidasi yang tersedia, pilih nama domain yang sepenuhnya memenuhi syarat, misalnya:

    reservations.apps.example.com

  6. Untuk mengalihkan lalu lintas HTTP untuk menggunakan HTTPS, biarkan kotak centang Alihkan dipilih.

  7. Di bawah Grup asal, pilih Reservations-App, grup asal yang sebelumnya Anda buat.

  8. Anda dapat mengaktifkan penembolokan, jika sesuai.

  9. Pilih Tambahkan untuk membuat rute. Setelah rute dikonfigurasi, manajer Titik Akhir mengisi panel grup Domain dan Asal dengan elemen lain yang dibuat untuk aplikasi ini.

Karena Azure Front Door adalah layanan global, aplikasi dapat memakan waktu hingga 30 menit untuk disebarkan. Selama waktu ini, Anda dapat memilih untuk membuat WAF untuk aplikasi Anda. Saat aplikasi Anda ditayangkan, aplikasi dapat diakses menggunakan URL yang digunakan dalam contoh ini:

https://reservations.apps.example.com

Langkah berikutnya

Buat Azure Web Application Firewall di Azure Front Door menggunakan portal Azure:

Tutorial: Membuat kebijakan Web Application Firewall di Azure Front Door menggunakan portal Microsoft Azure