Säker åtkomst till Azure Red Hat OpenShift med Azure Front Door

Den här artikeln beskriver hur du använder Azure Front Door Premium för att skydda åtkomsten till Azure Red Hat OpenShift.

Förutsättningar

Följande krav krävs:

• Du har ett befintligt Azure Red Hat OpenShift-kluster. Följ den här guiden för att skapa ett privat Azure Red Hat OpenShift-kluster.

• Klustret har konfigurerats med privat insyn i ingressen.

• Ett anpassat domännamn används, till exempel:

  example.com

Kommentar

Det inledande tillståndet har inte DNS konfigurerat. Inga program exponeras externt från Azure Red Hat OpenShift-klustret.

Skapa en Azure Private Link-tjänst

I det här avsnittet beskrivs hur du skapar en Azure Private Link-tjänst. En Azure Private Link-tjänst är en referens till din egen tjänst som drivs av Azure Private Link.

Din tjänst, som körs bakom Azure Standard Load Balancer, kan aktiveras för Private Link-åtkomst så att användare till din tjänst kan komma åt den privat från sina egna virtuella nätverk. Dina kunder kan skapa en privat slutpunkt i sitt virtuella nätverk och mappa den till den här tjänsten.

Mer information om Azure Private Link-tjänsten och hur den används finns i Azure Private Link-tjänsten.

Skapa ett AzurePrivateLinkSubnet. Det här undernätet innehåller en nätmask som tillåter synlighet för undernätet till kontrollplanet och arbetsnoderna i Azure-klustret. Delegera inte det nya undernätet till några tjänster eller konfigurera några tjänstslutpunkter.

Om det virtuella nätverket till exempel är 10.10.0.0/16 och:

• Befintligt Undernät för Azure Red Hat OpenShift-kontrollplan = 10.10.0.0/24
• Befintligt Azure Red Hat OpenShift-arbetsundernät = 10.10.1.0/24
• Nytt AzurePrivateLinkSubnet = 10.10.2.0/24

Skapa en ny Private Link på Azure Private Link-tjänsten enligt beskrivningen i följande steg:

1. På fliken Grundläggande konfigurerar du följande alternativ:

   • Projektinformation
     • Välj din Azure-prenumerationen.
     • Välj den resursgrupp där ditt Azure Red Hat OpenShift-kluster distribuerades.
   • Instansinformation
     • Ange ett namn för din Azure Private Link-tjänst, som i följande exempel: example-com-private-link.
     • Välj en region för din privata länk.

2. På fliken Utgående Inställningar:

   • Ange lastbalanseraren till den interna lastbalanseraren för klustret som du aktiverar extern åtkomst för. Alternativen fylls i i listrutan.

   • Ange IP-adressen för Load Balancer-klientdelen till IP-adressen för Azure Red Hat OpenShift-ingresskontrollanten, som vanligtvis slutar med .254. Om du är osäker använder du följande kommando.

     az aro show -n <cluster-name> -g <resource-group> -o tsv --query ingressProfiles[].ip
     

   • Nat-källundernätet ska vara AzurePrivateLinkSubnet, som du skapade.

   • Inga objekt ska ändras i Utgående Inställningar.

3. Inga ändringar krävs på fliken Åtkomstsäkerhet .

   • Välj Alla med ditt alias på Vem kan begära åtkomst till din tjänst?
   • Lägg inte till några prenumerationer för automatiskt godkännande.

4. På fliken Taggar väljer du Granska + skapa.

5. Välj Skapa för att skapa Azure Private Link-tjänsten och vänta sedan tills processen har slutförts.

6. När distributionen är klar väljer du Gå till resursgrupp under Nästa steg.

I Azure-portalen anger du den Azure Private Link-tjänst som distribuerades. Behåll aliaset som genererades för Azure Private Link-tjänsten. Den kommer att användas senare.

Registrera domän i Azure DNS

I det här avsnittet beskrivs hur du registrerar en domän i Azure DNS.

1. Skapa en global Azure DNS-zon för example.com.

2. Skapa en global Azure DNS-zon för apps.example.com.

3. Observera de fyra namnservrar som finns i Azure DNS för apps.example.com.

4. Skapa en ny NS-postuppsättning i example.com zon som pekar på appar och ange de fyra namnservrar som fanns när appzonen skapades.

Skapa en ny Azure Front Door Premium-tjänst

Så här skapar du en ny Azure Front Door Premium-tjänst:

1. I Microsoft Azure Compare-erbjudanden väljer du Azure Front Door och sedan Fortsätt för att skapa en Front Door.

2. På sidan Skapa en ytterdörrsprofil i gruppen Prenumerationsresurs>väljer du den resursgrupp där ditt Azure Red Hat OpenShift-kluster distribuerades för att hysa din Azure Front Door Premium-resurs.

3. Ge Azure Front Door Premium-tjänsten ett lämpligt namn. I fältet Namn anger du till exempel följande namn:

   example-com-frontdoor

4. Välj Premium-nivån. Premium-nivån är det enda valet som stöder Azure Private Link.

5. För Slutpunktsnamn väljer du ett slutpunktsnamn som är lämpligt för Azure Front Door.

   För varje distribuerat program skapas ett CNAME i Azure DNS för att peka på det här värdnamnet. Därför är det viktigt att välja ett namn som är agnostiskt för program. För säkerhet bör namnet inte föreslå de program eller arkitektur som du har distribuerat, till exempel exempel01.

   Namnet som du väljer läggs till i domänen .z01.azurefd.net .

6. Som Typ av ursprung väljer du Anpassad.

7. För Ursprungsvärdnamn anger du följande platshållare:

   changeme.com

   Platshållaren tas bort senare.

   I det här skedet ska du inte aktivera Azure Private Link-tjänsten, cachelagring eller WAF-principen (Web Application Firewall).

8. Välj Granska + skapa för att skapa Azure Front Door Premium-resursen och vänta sedan tills processen har slutförts.

Inledande konfiguration av Azure Front Door Premium

Så här konfigurerar du Azure Front Door Premium:

1. I Azure-portalen anger du den Azure Front Door Premium-tjänst som distribuerades.

2. I fönstret Endpoint Manager ändrar du slutpunkten genom att välja Redigera slutpunkt.

3. Ta bort standardvägen, som skapades som standardväg.

4. Stäng fönstret Endpoint Manager .

5. I fönstret Ursprungsgrupper tar du bort den standardgrupp för ursprung som har namnet default-origin-group.

Exponera en programväg i Azure Red Hat OpenShift

Azure Red Hat OpenShift måste konfigureras för att hantera programmet med samma värdnamn som Azure Front Door exponerar externt (*.apps.example.com). I vårt exempel exponerar vi reservationsprogrammet med följande värdnamn:

reservations.apps.example.com

Skapa också en säker väg i Azure Red Hat OpenShift som exponerar värdnamnet.

Konfigurera Azure DNS

Så här konfigurerar du Azure DNS:

1. Ange dns-zonen för offentliga appar som skapades tidigare.

2. Skapa en ny CNAME-postuppsättning med namnet reservation. Den här CNAME-postuppsättningen är ett alias för vår exempelslutpunkt för Azure Front Door:

   example01.z01.azurefd.net

Konfigurera Azure Front Door Premium

Följande steg beskriver hur du konfigurerar Azure Front Door Premium.

1. I Azure-portalen anger du den Azure Front Door Premium-tjänst som du skapade tidigare:

   example-com-frontdoor

I fönstret Domäner:

1. Eftersom alla DNS-servrar finns i Azure lämnar du DNS Management inställt på Azure Managed DNS.

2. Välj exempeldomänen:

   apps.example.com

3. Välj CNAME i vårt exempel:

   reservations.apps.example.com

4. Använd standardvärdena för HTTPS och lägsta TLS-version.

5. Markera Lägga till.

6. När valideringsstatistiken ändras till Väntar väljer du Väntar.

7. Om du vill autentisera ägarskapet för DNS-zonen väljer du Lägg till för DNS-poststatus.

8. Välj Stäng.

9. Fortsätt att välja Uppdatera tills valideringstillståndet för domänen ändras till Godkänd och Slutpunktsassocieringen ändras till Ej associerad.

I fönstret Ursprungsgrupper:

1. Markera Lägga till.

2. Ge din ursprungsgrupp ett lämpligt namn, till exempel Reservations-App.

3. Välj Lägg till ett ursprung.

4. Ange namnet på ursprunget, till exempel ARO-Cluster-1.

5. Välj en Typ av ursprung för Anpassad.

6. Ange det fullständigt kvalificerade domännamnet (FQDN) som exponerades i ditt Azure Red Hat OpenShift-kluster, till exempel:

   reservations.apps.example.com

7. Aktivera Private Link-tjänsten.

8. Ange aliaset som hämtades från Azure Private Link-tjänsten.

9. Välj Lägg till för att återgå till fönstret för att skapa ursprungsgruppen.

10. Välj Lägg till för att lägga till ursprungsgruppen och återgå till Azure-portalen.

Bevilja godkännande i Azure Private Link

Utför följande steg för att bevilja godkännande till exempel-com-private-link, som är den Azure Private Link-tjänst som du skapade tidigare.

1. På fliken Privata slutpunktsanslutningar markerar du kryssrutan som nu finns från resursen som beskrivs som från AFD.

2. Välj Godkänn och välj sedan Ja för att verifiera godkännandet.

Slutför Azure Front Door Premium-konfigurationen

Följande steg beskriver hur du slutför konfigurationen av Azure Front Door Premium.

1. I Azure-portalen anger du den Azure Front Door Premium-tjänst som du skapade tidigare:

   example-com-frontdoor

2. I fönstret Endpoint Manager väljer du Redigera slutpunkt för att ändra slutpunkten.

3. Välj +Lägg till under Vägar.

4. Ge din väg ett lämpligt namn, till exempel Reservations-App-Route-Config.

5. Under Domäner väljer du sedan det fullständigt kvalificerade domännamnet under Tillgängliga verifierade domäner, till exempel:

   reservations.apps.example.com

6. Om du vill omdirigera HTTP-trafik till https lämnar du kryssrutan Omdirigering markerad.

7. Under Ursprungsgrupp väljer du Reservations-App, den ursprungsgrupp som du skapade tidigare.

8. Du kan aktivera cachelagring, om det är lämpligt.

9. Välj Lägg till för att skapa vägen. När vägen har konfigurerats fyller Slutpunktshanteraren i fönstret Domäner och Ursprung-grupper med de andra elementen som skapats för det här programmet.

Eftersom Azure Front Door är en global tjänst kan det ta upp till 30 minuter att distribuera programmet. Under den här tiden kan du välja att skapa en WAF för ditt program. När programmet går live kan det nås med hjälp av url:en som används i det här exemplet:

https://reservations.apps.example.com

Nästa steg

Skapa en Azure Web Application Firewall på Azure Front Door med hjälp av Azure-portalen:

Självstudie: Skapa en brandväggsprincip för webbprogram i Azure Front Door med hjälp av Azure-portalen