Share via

Proteggere l'accesso ad Azure Red Hat OpenShift con Frontdoor di Azure

  • Articolo

Questo articolo illustra come usare Frontdoor di Azure Premium per proteggere l'accesso ad Azure Red Hat OpenShift.

Prerequisiti

Sono richiesti i prerequisiti seguenti:

  • Si dispone di un cluster Azure Red Hat OpenShift esistente. Seguire questa guida per creare un cluster Azure Red Hat OpenShift privato.

  • Il cluster è configurato con visibilità in ingresso privato.

  • Viene usato un nome di dominio personalizzato, ad esempio:

    example.com

Nota

Lo stato iniziale non dispone di DNS configurato. Nessuna applicazione viene esposta esternamente dal cluster Azure Red Hat OpenShift.

Questa sezione illustra come creare un servizio collegamento privato di Azure. Un servizio collegamento privato di Azure è un riferimento al proprio servizio basato su collegamento privato di Azure.

Il servizio, in esecuzione dietro l'Load Balancer Standard di Azure, può essere abilitato per l'accesso collegamento privato in modo che i consumer del servizio possano accedervi privatamente dalle proprie reti virtuali. I clienti possono creare un endpoint privato all'interno della loro rete virtuale ed eseguirne il mapping a questo servizio.

Per altre informazioni sul servizio collegamento privato di Azure e su come viene usato, vedere collegamento privato di Azure servizio.

Creare un'istanza di AzurePrivateLinkSubnet. Questa subnet include una netmask che consente la visibilità della subnet sul piano di controllo e sui nodi di lavoro del cluster di Azure. Non delegare questa nuova subnet ad alcun servizio o configurare endpoint di servizio.

Ad esempio, se la rete virtuale è 10.10.0.0/16 e:

  • Subnet del piano di controllo azure Red Hat OpenShift esistente = 10.10.0.0/24
  • Subnet del ruolo di lavoro di Azure Red Hat OpenShift esistente = 10.10.1.0/24
  • Nuovo AzurePrivateLinkSubnet = 10.10.2.0/24

Creare una nuova collegamento privato nel servizio collegamento privato di Azure, come illustrato nei passaggi seguenti:

  1. Nella scheda Informazioni di base configurare le opzioni seguenti:

    • Dettagli del progetto
      • Seleziona la tua sottoscrizione di Azure.
      • Selezionare il gruppo di risorse in cui è stato distribuito il cluster Azure Red Hat OpenShift.
    • Dettagli dell'istanza
      • Immettere un nome per il servizio collegamento privato di Azure, come nell'esempio seguente: example-com-private-link.
      • Selezionare un'area per il collegamento privato.

  2. Nella scheda Impostazioni in uscita:

    • Impostare Load Balancer sul servizio di bilanciamento del carico interno del cluster per cui si abilita l'accesso esterno. Le scelte vengono popolate nell'elenco a discesa.

    • Impostare l'indirizzo IP front-end di Load Balancer sull'indirizzo IP del controller di ingresso di Azure Red Hat OpenShift, che in genere termina con .254. Se non si è certi, usare il comando seguente.

      az aro show -n <cluster-name> -g <resource-group> -o tsv --query ingressProfiles[].ip

    • La subnet NAT di origine deve essere AzurePrivateLinkSubnet, creata.

    • Nessun elemento deve essere modificato nelle Impostazioni in uscita.

  3. Nella scheda Sicurezza di accesso non sono necessarie modifiche.

    • Al prompt Chi può richiedere l'accesso al servizio? selezionare Chiunque abbia l'alias.
    • Non aggiungere sottoscrizioni per l'approvazione automatica.

  4. Nella scheda Tag selezionare Rivedi e crea.

  5. Selezionare Crea per creare il servizio collegamento privato di Azure e quindi attendere il completamento del processo.

  6. Al termine della distribuzione, selezionare Vai al gruppo di risorse in Passaggi successivi.

Nella portale di Azure immettere il servizio collegamento privato di Azure distribuito. Mantenere l'alias generato per il servizio collegamento privato di Azure. Verrà usato in un secondo momento.

Registrare un dominio in DNS di Azure

Questa sezione illustra come registrare un dominio in DNS di Azure.

  1. Creare una zona DNS di Azure globale per example.com.

  2. Creare una zona DNS di Azure globale per apps.example.com.

  3. Si notino i quattro server dei nomi presenti in DNS di Azure per apps.example.com.

  4. Creare un nuovo set di record NS nella zona example.com che punta alle app e specificare i quattro server dei nomi presenti al momento della creazione dell'area app .

Creare un nuovo servizio Frontdoor di Azure Premium

Per creare un nuovo servizio Frontdoor di Azure Premium:

  1. In Confronto offerte di Microsoft Azure selezionare Frontdoor di Azure e quindi selezionare Continua per creare una frontdoor.

  2. Nella pagina Crea un profilo frontdoor nel gruppo Risorse sottoscrizione>selezionare il gruppo di risorse in cui è stato distribuito il cluster Azure Red Hat OpenShift per ospitare la risorsa Di Frontdoor Premium di Azure.

  3. Assegnare un nome appropriato al servizio Frontdoor Premium di Azure. Ad esempio, nel campo Nome immettere il nome seguente:

    example-com-frontdoor

  4. Selezionare il livello Premium . Il livello Premium è l'unica scelta che supporta collegamento privato di Azure.

  5. Per Nome endpoint scegliere un nome di endpoint appropriato per Frontdoor di Azure.

    Per ogni applicazione distribuita, verrà creato un CNAME nel DNS di Azure in modo che punti a questo nome host. È quindi importante scegliere un nome indipendente dalle applicazioni. Per la sicurezza, il nome non deve suggerire le applicazioni o l'architettura distribuite, ad esempio example01.

    Il nome scelto verrà anteporre al dominio .z01.azurefd.net .

  6. In Tipo di origine selezionare Personalizzato.

  7. Per Origin Host Name (Nome host origine) immettere il segnaposto seguente:

    changeme.com

    Questo segnaposto verrà eliminato in un secondo momento.

    In questa fase, non abilitare il servizio collegamento privato di Azure, la memorizzazione nella cache o i criteri web application firewall (WAF).

  8. Selezionare Rivedi e crea per creare la risorsa Frontdoor di Azure Premium e quindi attendere il completamento del processo.

Configurazione iniziale di Frontdoor di Azure Premium

Per configurare Frontdoor di Azure Premium:

  1. Nella portale di Azure immettere il servizio Frontdoor di Azure Premium distribuito.

  2. Nella finestra Endpoint Manager modificare l'endpoint selezionando Modifica endpoint.

  3. Eliminare la route predefinita, creata come route predefinita.

  4. Chiudere la finestra di Endpoint Manager .

  5. Nella finestra Gruppi di origine eliminare il gruppo di origine predefinito denominato default-origin-group.

Esposizione di una route dell'applicazione in Azure Red Hat OpenShift

Azure Red Hat OpenShift deve essere configurato per gestire l'applicazione con lo stesso nome host esposto da Frontdoor di Azure esternamente (*.apps.example.com). In questo esempio si esporrà l'applicazione Prenotazioni con il nome host seguente:

reservations.apps.example.com

Creare anche una route sicura in Azure Red Hat OpenShift che espone il nome host.

Configurare DNS di Azure

Per configurare IL DNS di Azure:

  1. Immettere la zona DNS delle app pubbliche creata in precedenza.

  2. Creare un nuovo set di record CNAME denominato reservation. Questo set di record CNAME è un alias per l'endpoint frontdoor di Azure di esempio:

    example01.z01.azurefd.net

Configurare Frontdoor di Azure Premium

La procedura seguente illustra come configurare Frontdoor di Azure Premium.

  1. Nella portale di Azure immettere il servizio Frontdoor di Azure Premium creato in precedenza:

    example-com-frontdoor

Nella finestra Domini:

  1. Poiché tutti i server DNS sono ospitati in Azure, lasciare dns management impostato su DNS gestito di Azure.

  2. Selezionare il dominio di esempio:

    apps.example.com

  3. Selezionare il CNAME nell'esempio seguente:

    reservations.apps.example.com

  4. Usare i valori predefiniti per HTTPS e Versione minima di TLS.

  5. Seleziona Aggiungi.

  6. Quando lo stato convalida diventa In sospeso, selezionare In sospeso.

  7. Per autenticare la proprietà della zona DNS, per lo stato del record DNS selezionare Aggiungi.

  8. Selezionare Chiudi.

  9. Continuare a selezionare Aggiorna fino a quando lo stato di convalida del dominio non viene modificato in Approvato e l'associazioneendpoint cambia in Non associati.

Nella finestra Gruppi di origine:

  1. Seleziona Aggiungi.

  2. Assegnare al gruppo di origine un nome appropriato, ad esempio Reservations-App.

  3. Selezionare Aggiungi un'origine.

  4. Immettere il nome dell'origine, ad esempio ARO-Cluster-1.

  5. Scegliere un tipo diorigine personalizzato.

  6. Immettere il nome host completo (FQDN) esposto nel cluster Azure Red Hat OpenShift, ad esempio:

    reservations.apps.example.com

  7. Abilitare il servizio collegamento privato.

  8. Immettere l'alias ottenuto dal servizio collegamento privato di Azure.

  9. Selezionare Aggiungi per tornare alla finestra di creazione del gruppo di origine.

  10. Selezionare Aggiungi per aggiungere il gruppo di origine e tornare al portale di Azure.

Per concedere l'approvazione al collegamento example-com-private-, ovvero il servizio collegamento privato di Azure creato in precedenza, completare i passaggi seguenti.

  1. Nella scheda Connessioni endpoint privato selezionare la casella di controllo che ora esiste dalla risorsa descritta come da AFD.

  2. Selezionare Approva e quindi Sì per verificare l'approvazione.

Completare la configurazione di Frontdoor di Azure Premium

La procedura seguente illustra come completare la configurazione di Frontdoor di Azure Premium.

  1. Nella portale di Azure immettere il servizio Frontdoor di Azure Premium creato in precedenza:

    example-com-frontdoor

  2. Nella finestra Endpoint Manager selezionare Modifica endpoint per modificare l'endpoint.

  3. Selezionare +Aggiungi in Route.

  4. Assegnare alla route un nome appropriato, ad esempio Reservations-App-Route-Config.

  5. In Domini, quindi in Domini convalidati disponibili selezionare il nome di dominio completo, ad esempio:

    reservations.apps.example.com

  6. Per reindirizzare il traffico HTTP per l'uso di HTTPS, lasciare selezionata la casella di controllo Reindirizzamento .

  7. In Gruppo di origine selezionare Prenotazioni-App, il gruppo di origine creato in precedenza.

  8. È possibile abilitare la memorizzazione nella cache, se appropriato.

  9. Selezionare Aggiungi per creare la route. Dopo aver configurato la route, Endpoint Manager popola i riquadri Domini e Gruppi di origine con gli altri elementi creati per questa applicazione.

Poiché Frontdoor di Azure è un servizio globale, la distribuzione dell'applicazione può richiedere fino a 30 minuti. Durante questo periodo, è possibile scegliere di creare un WAF per l'applicazione. Quando l'applicazione diventa attiva, è possibile accedervi usando l'URL usato in questo esempio:

https://reservations.apps.example.com

Passaggi successivi

Creare un Web application firewall di Azure in Frontdoor di Azure usando il portale di Azure:

Esercitazione: Creare criteri di Web Application Firewall in Frontdoor di Azure usando il portale di Azure