Bezpieczny dostęp do usługi Azure Red Hat OpenShift za pomocą usługi Azure Front Door

  • Artykuł

W tym artykule wyjaśniono, jak zabezpieczyć dostęp do usługi Azure Red Hat OpenShift przy użyciu usługi Azure Front Door Premium.

Wymagania wstępne

Wymagane są następujące wymagania wstępne:

  • Masz istniejący klaster usługi Azure Red Hat OpenShift. Postępuj zgodnie z tym przewodnikiem, aby utworzyć prywatny klaster usługi Azure Red Hat OpenShift.

  • Klaster jest skonfigurowany z widocznością prywatnego ruchu przychodzącego.

  • Używana jest niestandardowa nazwa domeny, na przykład:

    example.com

Uwaga

Stan początkowy nie ma skonfigurowanego systemu DNS. Żadne aplikacje nie są udostępniane zewnętrznie z klastra usługi Azure Red Hat OpenShift.

W tej sekcji wyjaśniono, jak utworzyć usługę Azure Private Link. Usługa Azure Private Link to odwołanie do własnej usługi obsługiwanej przez usługę Azure Private Link.

Twoja usługa, która jest uruchomiona za usługą Azure usługa Load Balancer w warstwie Standardowa, można włączyć dostęp do usługi Private Link, aby użytkownicy mogli uzyskiwać do niej dostęp prywatnie z własnych sieci wirtualnych. Klienci mogą utworzyć prywatny punkt końcowy w sieci wirtualnej i zamapować go na tę usługę.

Aby uzyskać więcej informacji na temat usługi Azure Private Link i sposobu jej użycia, zobacz Usługa Azure Private Link.

Utwórz podsieć AzurePrivateLinkSubnet. Ta podsieć zawiera maskę sieci, która umożliwia widoczność podsieci do płaszczyzny sterowania i węzłów roboczych klastra platformy Azure. Nie deleguj tej nowej podsieci do żadnych usług ani nie konfiguruj żadnych punktów końcowych usługi.

Jeśli na przykład sieć wirtualna to 10.10.0.0/16 i:

  • Istniejąca podsieć płaszczyzny sterowania usługi Azure Red Hat OpenShift = 10.10.0.0/24
  • Istniejąca podsieć procesu roboczego usługi Azure Red Hat OpenShift = 10.10.1.0/24
  • Nowa sieć AzurePrivateLinkSubnet = 10.10.2.0/24

Utwórz nowy link prywatny w usłudze Azure Private Link, jak wyjaśniono w poniższych krokach:

  1. Na karcie Podstawowe skonfiguruj następujące opcje:

    • Szczegóły projektu
      • Wybierz subskrypcję platformy Azure.
      • Wybierz grupę zasobów, w której wdrożono klaster usługi Azure Red Hat OpenShift.
    • Szczegóły wystąpienia
      • Wprowadź nazwę usługi Azure Private Link, jak w poniższym przykładzie: example-com-private-link.
      • Wybierz region dla usługi Private Link.

  2. Na karcie Ustawienia wychodzące:

    • Ustaw moduł równoważenia obciążenia na wewnętrzny moduł równoważenia obciążenia klastra, dla którego włączasz dostęp zewnętrzny. Opcje są wypełniane na liście rozwijanej.

    • Ustaw adres IP frontonu modułu równoważenia obciążenia na adres IP kontrolera ruchu przychodzącego usługi Azure Red Hat OpenShift, który zazwyczaj kończy się na 254. Jeśli nie masz pewności, użyj następującego polecenia.

      az aro show -n <cluster-name> -g <resource-group> -o tsv --query ingressProfiles[].ip

    • Źródłowa podsieć TRANSLATOR adresów sieciowych powinna być utworzoną podsiecią AzurePrivateLinkSubnet.

    • W Ustawienia wychodzących nie należy zmieniać żadnych elementów.

  3. Na karcie Zabezpieczenia dostępu nie są wymagane żadne zmiany.

    • Na KtoTo może zażądać dostępu do usługi? monit, wybierz pozycję Każda osoba z twoim aliasem.
    • Nie dodawaj żadnych subskrypcji do automatycznego zatwierdzania.

  4. Na karcie Tagi wybierz pozycję Przejrzyj i utwórz.

  5. Wybierz pozycję Utwórz , aby utworzyć usługę Azure Private Link, a następnie poczekaj na zakończenie procesu.

  6. Po zakończeniu wdrażania wybierz pozycję Przejdź do grupy zasobów w obszarze Następne kroki.

W witrynie Azure Portal wprowadź wdrożona usługa Azure Private Link. Zachowaj alias wygenerowany dla usługi Azure Private Link. Będzie on używany później.

Rejestrowanie domeny w usłudze Azure DNS

W tej sekcji wyjaśniono, jak zarejestrować domenę w usłudze Azure DNS.

  1. Utwórz globalną strefę dns platformy Azure dla example.com.

  2. Utwórz globalną strefę usługi Azure DNS dla apps.example.com.

  3. Zwróć uwagę na cztery serwery nazw, które znajdują się w usłudze Azure DNS dla apps.example.com.

  4. Utwórz nowy zestaw rekordów NS w strefie example.com, która wskazuje aplikacje i określ cztery serwery nazw, które były obecne podczas tworzenia strefy aplikacji .

Tworzenie nowej usługi Azure Front Door Premium

Aby utworzyć nową usługę Azure Front Door Premium:

  1. Na platformie Microsoft Azure Porównaj oferty wybierz pozycję Azure Front Door, a następnie wybierz pozycję Kontynuuj, aby utworzyć usługę Front Door.

  2. Na stronie Tworzenie profilu usługi Front Door w grupie Zasobów subskrypcji>wybierz grupę zasobów, w której wdrożono klaster usługi Azure Red Hat OpenShift do domu zasobu usługi Azure Front Door Premium.

  3. Odpowiednio nadaj nazwę usłudze Azure Front Door Premium. Na przykład w polu Nazwa wprowadź następującą nazwę:

    example-com-frontdoor

  4. Wybierz warstwę Premium . Warstwa Premium jest jedynym wyborem obsługującym usługę Azure Private Link.

  5. W polu Nazwa punktu końcowego wybierz nazwę punktu końcowego odpowiednią dla usługi Azure Front Door.

    Dla każdej wdrożonej aplikacji w usłudze Azure DNS zostanie utworzony rekord CNAME, aby wskazać tę nazwę hosta. Dlatego ważne jest, aby wybrać nazwę niezależną od aplikacji. W przypadku zabezpieczeń nazwa nie powinna sugerować wdrożonych aplikacji ani architektury, takich jak example01.

    Wybrana nazwa będzie poprzedzana domeną .z01.azurefd.net .

  6. W polu Typ źródła wybierz pozycję Niestandardowy.

  7. W polu Nazwa hosta źródła wprowadź następujący symbol zastępczy:

    changeme.com

    Ten symbol zastępczy zostanie usunięty później.

    Na tym etapie nie włączaj usługi Azure Private Link, buforowania ani zasad zapory aplikacji internetowej (WAF).

  8. Wybierz pozycję Przejrzyj i utwórz , aby utworzyć zasób usługi Azure Front Door Premium, a następnie poczekaj na zakończenie procesu.

Początkowa konfiguracja usługi Azure Front Door Premium

Aby skonfigurować usługę Azure Front Door Premium:

  1. W witrynie Azure Portal wprowadź wdrożoną usługę Azure Front Door Premium.

  2. W oknie Endpoint Manager zmodyfikuj punkt końcowy, wybierając pozycję Edytuj punkt końcowy.

  3. Usuń trasę domyślną, która została utworzona jako trasa domyślna.

  4. Zamknij okno programu Endpoint Manager.

  5. W oknie Grupy źródeł usuń domyślną grupę pochodzenia o nazwie default-origin-group.

Udostępnianie trasy aplikacji w usłudze Azure Red Hat OpenShift

Usługa Azure Red Hat OpenShift musi być skonfigurowana tak, aby obsługiwała aplikację przy użyciu tej samej nazwy hosta, którą usługa Azure Front Door będzie uwidaczniać zewnętrznie (*.apps.example.com). W naszym przykładzie uwidocznimy aplikację Rezerwacje przy użyciu następującej nazwy hosta:

reservations.apps.example.com

Ponadto utwórz bezpieczną trasę w usłudze Azure Red Hat OpenShift, która uwidacznia nazwę hosta.

Konfigurowanie usługi Azure DNS

Aby skonfigurować usługę Azure DNS:

  1. Wprowadź wcześniej utworzoną strefę DNS aplikacji publicznych.

  2. Utwórz nowy zestaw rekordów CNAME o nazwie reservation. Ten zestaw rekordów CNAME jest aliasem dla naszego przykładowego punktu końcowego usługi Azure Front Door:

    example01.z01.azurefd.net

Konfigurowanie usługi Azure Front Door Premium

W poniższych krokach wyjaśniono, jak skonfigurować usługę Azure Front Door Premium.

  1. W witrynie Azure Portal wprowadź wcześniej utworzoną usługę Azure Front Door Premium:

    example-com-frontdoor

W oknie Domeny:

  1. Ponieważ wszystkie serwery DNS są hostowane na platformie Azure, pozostaw opcję Zarządzanie usługą DNS ustawioną na usługę Azure Managed DNS.

  2. Wybierz przykładowy domenę:

    apps.example.com

  3. Wybierz rekord CNAME w naszym przykładzie:

    reservations.apps.example.com

  4. Użyj wartości domyślnych dla protokołu HTTPS i minimalnej wersji protokołu TLS.

  5. Wybierz pozycję Dodaj.

  6. Gdy stan weryfikacji zmieni się na Oczekujące, wybierz pozycję Oczekujące.

  7. Aby uwierzytelnić własność strefy DNS, w obszarze Stan rekordu DNS wybierz pozycję Dodaj.

  8. Wybierz Zamknij.

  9. Wybierz pozycję Odśwież, dopóki stan walidacji domeny nie zmieni się na Zatwierdzone, a skojarzenie punktu końcowego zmieni się na Niezwiązane.

W oknie Grupy źródeł:

  1. Wybierz pozycję Dodaj.

  2. Nadaj grupiepochodzenia odpowiednią nazwę, taką jak Reservations-App.

  3. Wybierz pozycję Dodaj źródło.

  4. Wprowadź nazwę źródła, na przykład ARO-Cluster-1.

  5. Wybierz typ źródła niestandardowego.

  6. Wprowadź w pełni kwalifikowaną nazwę hosta (FQDN), która została udostępniona w klastrze usługi Azure Red Hat OpenShift, na przykład:

    reservations.apps.example.com

  7. Włącz usługę Private Link .

  8. Wprowadź alias uzyskany z usługi Azure Private Link.

  9. Wybierz pozycję Dodaj , aby powrócić do okna tworzenia grupy pochodzenia.

  10. Wybierz pozycję Dodaj , aby dodać grupę pochodzenia i wrócić do witryny Azure Portal.

Aby udzielić zatwierdzenia linkowi example-com-private-link, czyli utworzonej wcześniej usłudze Azure Private Link , wykonaj następujące kroki.

  1. Na karcie Połączenia prywatnych punktów końcowych zaznacz pole wyboru, które istnieje teraz z zasobu opisanego zgodnie z afd.

  2. Wybierz pozycję Zatwierdź, a następnie wybierz pozycję Tak , aby zweryfikować zatwierdzenie.

Ukończ konfigurację usługi Azure Front Door Premium

W poniższych krokach wyjaśniono, jak ukończyć konfigurację usługi Azure Front Door Premium.

  1. W witrynie Azure Portal wprowadź wcześniej utworzoną usługę Azure Front Door Premium:

    example-com-frontdoor

  2. W oknie Endpoint Manager wybierz pozycję Edytuj punkt końcowy, aby zmodyfikować punkt końcowy.

  3. Wybierz pozycję +Dodaj w obszarze Trasy.

  4. Nadaj trasie odpowiednią nazwę, taką jak Reservations-App-Route-Config.

  5. W obszarze Domeny, a następnie w obszarze Dostępne zweryfikowane domeny wybierz w pełni kwalifikowaną nazwę domeny, na przykład:

    reservations.apps.example.com

  6. Aby przekierować ruch HTTP do korzystania z protokołu HTTPS, pozostaw zaznaczone pole wyboru Przekierowanie .

  7. W obszarze Grupa pochodzenia wybierz pozycję Rezerwacje—aplikacja, utworzoną wcześniej grupę pochodzenia.

  8. W razie potrzeby można włączyć buforowanie.

  9. Wybierz pozycję Dodaj , aby utworzyć trasę. Po skonfigurowaniu trasy menedżer punktów końcowych wypełnia okienka Domeny i grupy źródła innymi elementami utworzonymi dla tej aplikacji.

Ponieważ usługa Azure Front Door jest usługą globalną, wdrożenie aplikacji może potrwać do 30 minut. W tym czasie możesz utworzyć zaporę aplikacji internetowej dla aplikacji. Po uruchomieniu aplikacji można uzyskać do niej dostęp przy użyciu adresu URL użytego w tym przykładzie:

https://reservations.apps.example.com

Następne kroki

Utwórz zaporę aplikacji internetowej platformy Azure w usłudze Azure Front Door przy użyciu witryny Azure Portal:

Samouczek: tworzenie zasad zapory aplikacji internetowej w usłudze Azure Front Door przy użyciu witryny Azure Portal