Redigera

Dela via

Distribuera AKS och API Management med mTLS

Microsoft Entra ID
Azure Kubernetes Service (AKS)
Azure API Management
Azure Container Registry
Microsoft Defender for Cloud

Lösningsidéer

I den här artikeln beskrivs en lösningsidé. Molnarkitekten kan använda den här vägledningen för att visualisera huvudkomponenterna för en typisk implementering av den här arkitekturen. Använd den här artikeln som utgångspunkt för att utforma en välkonstruerad lösning som överensstämmer med arbetsbelastningens specifika krav.

Den här lösningen visar hur du integrerar Azure Kubernetes Service (AKS) och Azure API Management via ömsesidig TLS (mTLS) i en arkitektur som tillhandahåller kryptering från slutpunkt till slutpunkt.

Arkitektur

Diagram som visar en arkitektur för integrering av AKS och API Management via mTLS.

Ladda ned en Visio-fil med den här arkitekturen.

Dataflöde

  1. En användare skickar en begäran till programslutpunkten från Internet.
  2. Azure Application Gateway tar emot trafik som HTTPS och visar ett PFX-certifikat som tidigare lästs in från Azure Key Vault till användaren.
  3. Application Gateway använder privata nycklar för att dekryptera trafik (SSL-avlastning), utför brandväggsinspektioner för webbprogram och krypterar trafiken igen med hjälp av offentliga nycklar (kryptering från slutpunkt till slutpunkt).
  4. Application Gateway tillämpar regler och serverdelsinställningar baserat på serverdelspoolen och skickar trafik till API Management-serverdelspoolen via HTTPS.
  5. API Management distribueras i internt virtuellt nätverksläge (endast developer eller Premium-nivå) med en privat IP-adress. Den tar emot trafik som HTTPS med pfx-certifikat för anpassad domän.
  6. Microsoft Entra ID tillhandahåller autentisering och tillämpar API Management-principer via OAuth och verifiering av klientcertifikat. För att ta emot och verifiera klientcertifikat via HTTP/2 i API Management måste du aktivera Negotiate-klientcertifikatet på bladet Anpassade domäner i API Management.
  7. API Management skickar trafik via HTTPS till en ingresskontrollant för ett privat AKS-kluster.
  8. AKS-ingresskontrollanten tar emot HTTPS-trafiken och verifierar PEM-servercertifikatet och den privata nyckeln. De flesta ingresskontrollanter på företagsnivå stöder mTLS. Exempel är NGINX och AGIC.
  9. Ingresskontrollanten bearbetar TLS-hemligheter (Kubernetes-hemligheter) med hjälp av cert.pem och key.pem. Ingresskontrollanten dekrypterar trafik med hjälp av en privat nyckel (avlastad). För förbättrad säkerhetshemlighetshantering som baseras på krav är CSI-drivrutinsintegrering med AKS tillgänglig.
  10. Ingresskontrollanten krypterar om trafiken med hjälp av privata nycklar och skickar trafik via HTTPS till AKS-poddar. Beroende på dina krav kan du konfigurera AKS-ingress som HTTPS-serverdel eller genomströmning.

Komponenter

  • Application Gateway. Application Gateway är en lastbalanserare för webbtrafik som du kan använda för att hantera trafik till webbprogram.
  • AKS. AKS tillhandahåller fullständigt hanterade Kubernetes-kluster för distribution, skalning och hantering av containerbaserade program.
  • Azure Container Registry. Container Registry är en hanterad, privat Docker-registertjänst i Azure. Du kan använda Container Registry för att lagra privata Docker-avbildningar som distribueras till klustret.
  • Microsoft Entra-ID. När AKS är integrerat med Microsoft Entra-ID kan du använda Microsoft Entra-användare, grupper eller tjänstens huvudnamn som ämnen i Kubernetes RBAC för att hantera AKS-resurser.
    • Hanterade identiteter. Microsoft Entra-hanterade identiteter eliminerar behovet av att hantera autentiseringsuppgifter som certifikat, hemligheter och nycklar.
  • Azure SQL Database. SQL Database är en fullständigt hanterad och intelligent relationsdatabastjänst som är byggd för molnet. Du kan använda SQL Database för att skapa ett datalagringslager med hög tillgänglighet och höga prestanda för dina moderna molnprogram.
  • Azure Cosmos DB. Azure Cosmos DB är en fullständigt hanterad NoSQL-databastjänst för att skapa och modernisera skalbara, högpresterande program.
  • API Management. Du kan använda API Management för att publicera API:er till dina utvecklare, partner och anställda.
  • Azure Private Link. Private Link ger åtkomst till PaaS-tjänster som finns i Azure, så att du kan behålla dina data i Microsoft-nätverket.
  • Key Vault. Key Vault kan ge förbättrad säkerhet för nycklar och andra hemligheter.
  • Defender för molnet. Defender for Cloud är en lösning för hantering av molnsäkerhetsstatus och molnarbetsbelastningsskydd. Den hittar svaga punkter i molnkonfigurationen, hjälper till att stärka säkerheten i din miljö och kan skydda arbetsbelastningar i miljöer med flera moln och hybridmiljöer från att utveckla hot.
  • Azure Monitor. Du kan använda Monitor för att samla in, analysera och agera på telemetridata från dina Azure- och lokala miljöer. Övervaka hjälper dig att maximera prestanda och tillgänglighet för dina program och proaktivt identifiera problem.
    • Log Analytics. Du kan använda Log Analytics för att redigera och köra loggfrågor med data i Azure Monitor-loggar.
    • Application Insights. Application Insights är ett tillägg till Azure Monitor. Det ger övervakning av programprestanda.
  • Microsoft Sentinel. Microsoft Sentinel är en molnbaserad säkerhetsinformations- och event manager-plattform som använder inbyggd AI för att hjälpa dig att analysera stora mängder data.
  • Azure Bastion. Azure Bastion är en fullständigt hanterad tjänst som ger RDP- och SSH-åtkomst till virtuella datorer utan exponering via offentliga IP-adresser. Du kan etablera tjänsten direkt i ditt lokala eller peer-kopplade virtuella nätverk för att få stöd för alla virtuella datorer i nätverket.
  • Privat DNS i Azure. Du kan använda privat DNS för att hantera och matcha domännamn i ett virtuellt nätverk utan att lägga till en anpassad DNS-lösning.

Information om scenario

Du kan använda den här lösningen för att integrera AKS och API Management via mTLS i en arkitektur som tillhandahåller kryptering från slutpunkt till slutpunkt.

Potentiella användningsfall

  • AKS-integrering med API Management och Application Gateway via mTLS.
  • MTLS från slutpunkt till slutpunkt mellan API Management och AKS.
  • Högsäkerhetsdistributioner för organisationer som behöver TLS från slutpunkt till slutpunkt. Organisationer inom finanssektorn kan till exempel dra nytta av den här lösningen.

Du kan använda den här metoden för att hantera följande scenarier:

  • Distribuera API Management i internt läge och exponera API:er med hjälp av Application Gateway.
  • Konfigurera mTLS- och end-to-end-kryptering för hög säkerhet och trafik via HTTPS.
  • Anslut till Azure PaaS-tjänster med hjälp av en förbättrad privat säkerhetsslutpunkt.
  • Implementera Säkerhet för Defender för containrar.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Övriga medarbetare:

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg