Azure Kubernetes Service (AKS) için AWS EKS web uygulamasını yeniden tasarlama

AWS ile Azure arasındaki platform farklarını daha iyi anladığınıza göre, AWS'de web uygulaması mimarisini ve Azure Kubernetes Service (AKS) ile uyumlu hale getirmek için gereken değişiklikleri inceleyelim.

Yelb uygulama mimarisi

Yelb örnek web uygulaması adlı bir ön uç bileşeninden ve adlı yelb-uiyelb-appserverbir uygulama bileşeninden oluşur.

Tarayıcıya yelb-ui JavaScript kodu sağlar. Bu kod bir Angular uygulamasından derlenmiş. Bileşen, yelb-ui dağıtım modeline bağlı olarak bir nginx ara sunucu da içerebilir. yelb-appserver bir önbellek sunucusu () ve Postgres arka uç veritabanı (redis-server) ile etkileşim kuran bir yelb-db uygulamasıdır. Redis Cache sayfa görüntüleme sayısını depolarken PostgreSQL oyları kalıcı hale getirmektedir. Her iki hizmet de AWS veya Azure'da veri depolamak için hiçbir yönetilen hizmet kullanılmadan Kubernetes'e dağıtılır.

Özgün Yelb uygulaması bağımsızdır ve dış hizmetlere dayanmaz, bu nedenle kod değişikliği yapmadan AWS'den Azure'a geçirebilirsiniz. Azure'da, AKS'de dağıtılan Redis Cache ve PostgreSQL hizmetlerinin yerine Redis için Azure Cache ve PostgreSQL için Azure Veritabanı'nı kullanabilirsiniz.

Örnek Yelb uygulaması, kullanıcıların bir dizi alternatif (restoran) üzerinde oy kullanmasına ve pasta grafikleri alınan oy sayısına göre dinamik olarak güncelleştirmesine olanak tanır. Uygulama ayrıca sayfa görüntüleme sayısını izler ve ne zaman bir oy verilir veya bir sayfa yenilenirse, API isteğini sunan örneğin ana bilgisayar adını yelb-appserver görüntüler. Bu özellik, uygulamayı bağımsız veya işbirliğine dayalı olarak tanıtmanızı sağlar.

AWS'de mimari

AWS, web uygulamalarının ve API'lerin yaygın web açıklarından korunmasına yardımcı olmak için AWS Web Uygulaması Güvenlik Duvarı (WAF) ve AWS Güvenlik Duvarı Yöneticisi sunar.

AWS hizmetlerini Azure hizmetlerine eşleme

Azure'da AWS iş yükünü en az değişiklikle yeniden oluşturmak için her AWS hizmeti için bir Azure eşdeğeri kullanın. Aşağıdaki tablo, hizmet eşlemelerini özetlemektedir.

Hizmet eşleme	AWS hizmeti	Azure hizmeti
Web erişimi güvenlik duvarı	AWS Web Uygulaması Güvenlik Duvarı (WAF)	Azure Web Uygulaması Güvenlik Duvarı (WAF)
Uygulama yük dengeleme	Uygulama Yük Dengeleyici (ALB)	Kapsayıcılar için Azure Application GatewayAzure Uygulama Geçidi (AGC)
İçerik teslim ağı	Amazon CloudFront	Azure Front Door (AFD)
Orkestrasyon	Elastic Kubernetes Service (EKS)	Azure Kubernetes Service (AKS)
Sırlar kasası	AWS Anahtar Yönetimi Hizmeti (KMS)	Azure Key Vault
Container kayıt defteri	Amazon Elastic Container Registry (ECR)	Azure Container Registry (ACR)
Alan Adı Sistemi (DNS)	Amazon Route 53	Azure DNS
Önbellekleme	Amazon ElastiCache	Redis için Azure Önbelleği
NoSQL	Amazon DynamoDB	PostgreSQL için Azure Veritabanı

Azure ile AWS hizmetleri arasında kapsamlı bir karşılaştırma için bkz. AWS ile Azure hizmetleri karşılaştırması.

Azure'da mimari

Bu çözümde Yelb uygulaması bir AKS kümesine dağıtılır ve NGINX giriş denetleyicisi gibi bir giriş denetleyicisi aracılığıyla kullanıma sunulur. Giriş denetleyicisi hizmeti bir iç (veya özel) yük dengeleyici aracılığıyla kullanıma sunulur. AKS'de uygulamalarınıza erişimi kısıtlamak için iç yük dengeleyici kullanma hakkında daha fazla bilgi için bkz. Azure Kubernetes Service (AKS) ile iç yük dengeleyici kullanma.

Bu örnek, Helm şemasını kullanarak uygulama yönlendirme eklentisi ile birlikte yönetilen bir NGINX giriş denetleyicisi veya yönetilmeyen bir NGINX giriş denetleyicisi yüklemeyi destekler. NGINX giriş denetleyicisi ile uygulama yönlendirme eklentisi aşağıdaki özellikleri sağlar:

• Kubernetes NGINX giriş denetleyicisini temel alan yönetilen NGINX giriş denetleyicilerinin kolay yapılandırılması.
• Genel ve özel bölge yönetimi için Azure DNS ile tümleştirme.
• Azure Key Vault'ta depolanan sertifikalarla SSL sonlandırma.

Diğer yapılandırmalar için aşağıdaki makalelere bakın:

• DNS ve SSL yapılandırması
• Uygulama yönlendirme eklentisi yapılandırması
• Azure özel DNS bölgesi için iç NGINX giriş denetleyicisini yapılandırma

Yelb uygulaması, AKS kümesiyle aynı sanal ağ içinde veya eşlenmiş bir sanal ağda ayrılmış bir alt ağa dağıtılan bir Azure Application Gateway kaynağıyla güvenli hale getirilir. Web uygulamalarının yaygın açıklardan ve güvenlik açıklarından merkezi olarak korunmasını sağlayan Azure Web Uygulaması Güvenlik Duvarı'nı (WAF) kullanarak Yelb uygulamasına erişimi güvenli hale getirebilirsiniz.

Çözüm mimarisi tasarımı

Aşağıdaki diyagramda Azure'da önerilen mimari gösterilmektedir:

Çözüm mimarisi aşağıdakilerden oluşur:

1. Application Gateway TLS sonlandırmasını işler ve HTTPS üzerinden arka uç uygulamasıyla iletişim kurar.
2. Application Gateway Dinleyicisi , Azure Key Vault'tan alınan bir SSL sertifikası kullanır.
3. Dinleyici ile ilişkili Azure WAF İlkesi, gelen isteklere karşı OWASP kurallarını ve özel kuralları çalıştırır ve kötü amaçlı saldırıları engeller.
4. Application Gateway Arka Uç HTTP Ayarları, 443 numaralı bağlantı noktasında HTTPS aracılığıyla Yelb uygulamasını çağırır.
5. Application Gateway Arka Uç Havuzu ve Sistem Durumu Yoklaması, HTTPS kullanarak AKS iç yük dengeleyici aracılığıyla NGINX giriş denetleyicisini çağırır.
6. NGINX giriş denetleyicisi AKS iç yük dengeleyicisini kullanır.
7. AKS kümesi, Secrets Store CSI Sürücüsü eklentisi için Azure Key Vault sağlayıcısı ile bir CSI birimi aracılığıyla Azure Key Vault'tan sırları, sertifikaları ve anahtarları almak üzere yapılandırılmıştır.
8. SecretProviderClass, Azure Key Vault'tan Application Gateway tarafından kullanılan sertifikayı alır.
9. Kubernetes giriş nesnesi, UYGULAMAYı AKS iç yük dengeleyici aracılığıyla HTTPS aracılığıyla kullanıma açmak için NGINX giriş denetleyicisini kullanır.
10. Yelb hizmeti türündedir ClusterIP ve NGINX giriş denetleyicisi aracılığıyla kullanıma sunulur.

Bu mimariyi kullanarak AKS'de Yelb uygulamasını dağıtma hakkında kapsamlı yönergeler için yardımcı örneğe bakın.

Alternatif çözümler

Azure, AKS kümesinde bir web uygulaması dağıtmak ve bir web uygulaması güvenlik duvarı ile güvenli hale getirmek için çeşitli seçenekler sunar:

Application Gateway Giriş Denetleyicisi

Application Gateway Giriş Denetleyicisi (AGIC), bir Kubernetes uygulaması olduğundan Azure Kubernetes Service (AKS) iş yükleriniz için bulut yazılımını İnternet'te kullanıma sunma amacıyla Azure'ın yerel Application Gateway L7 yük dengeleyicisini kullanabilirsiniz. AGIC, barındırılan Kubernetes kümesini izler ve bir Application Gateway'i sürekli güncelleştirerek seçili hizmetlerin İnternet'e açık olmasını sağlar.

Giriş Denetleyicisi, AKS kümesindeki kendi podunda çalışır. AGIC, değişiklikler için Kubernetes Kaynaklarının bir alt kümesini izler, kümenin durumunu Application Gateway'e özgü bir yapılandırmaya çevirir ve Bunu Azure Resource Manager'a (ARM) uygular. Daha fazla bilgi için bkz. Application Gateway Giriş Denetleyicisi nedir?.

Aşağıdaki tabloda Application Gateway Giriş Denetleyicisi'nin (AGIC) avantajları ve dezavantajları özetlenmiştir:

Avantajlar

Dezavantajlar

* Yerel tümleştirme: AGIC, Aks üzerinde çalışan hizmetlere trafiğin sorunsuz ve verimli bir şekilde yönlendirilmesine olanak tanıyan Azure hizmetleriyle, özellikle de Azure Application Gateway ile yerel tümleştirme sağlar. * Basitleştirilmiş dağıtımlar: AGIC'yi AKS eklentisi olarak dağıtmak, diğer yöntemlerle karşılaştırıldığında basit ve basittir. AgIC özellikli bir Application Gateway ve AKS kümesinin hızlı ve kolay bir şekilde ayarlanmasını sağlar. * Tam olarak yönetilen hizmet: Eklenti olarak AGIC, otomatik güncelleştirmeler ve Microsoft'un artan desteği gibi avantajlar sağlayan tam olarak yönetilen bir hizmettir. Giriş Denetleyicisinin güncel kalmasını sağlar ve ek bir destek katmanı ekler.

* Tek bulut yaklaşımı: AGIC öncelikli olarak tek bulut yaklaşımını benimseyen müşteriler tarafından benimsenmiştir. Farklı bulut platformları arasında dağıtımın gerekli olduğu çok bulutlu bir mimariye ihtiyacınız varsa, bu en iyi seçenek olmayabilir. Bu durumda vendo-lockin sorunlarından kaçınmak için NGINX, Traefik veya HAProxy gibi buluttan bağımsız bir giriş denetleyicisi kullanmak isteyebilirsiniz.

Daha fazla bilgi için aşağıdaki kaynaklara bakın:

• Application Gateway Giriş Denetleyicisi nedir?
• Application Gateway Giriş Denetleyicisi belgeleri

Kapsayıcılar için Azure Application Gateway

Kapsayıcılar için Azure Application Gateway , Kubernetes kümelerindeki uygulamalar için yük dengeleme ve dinamik trafik yönetimi sağlar.

Temel özellikler

Kapsayıcılar için Azure Application Gateway, Application Gateway Giriş Denetleyicisi'nin (AGIC) özelliklerini kullanır ve Azure'ın yerel Application Gateway yük dengeleyicisini kullanmanıza olanak tanır. Önemli özellikler şunlardır:

• Yük dengeleme: En iyi performans ve ölçeklenebilirlik için gelen trafiği birden çok kapsayıcıya verimli bir şekilde dağıtır.
• Ağ Geçidi API'sinin uygulanması: Yönlendirme kurallarını ve ilkelerini Kubernetes'te yerel bir şekilde tanımlamanızı sağlayan Ağ Geçidi API'sini destekler.
• Özel durum yoklamaları: Kapsayıcı durumunu izlemek ve trafiği otomatik olarak iyi durumda olmayan örneklerden uzağa yönlendirmek için özel durum yoklamaları tanımlayın.
• Oturum benzitesi: Tutarlı bir kullanıcı deneyimi için aynı istemciden gelen sonraki istekleri aynı kapsayıcıya yönlendirerek oturum benzitesi sağlar.
• TLS ilkesi: TLS sonlandırmayı destekler ve SSL/TLS şifrelemesi ve şifre çözmenin ağ geçidine yüklenmesine izin verir.
• Üst bilgi yeniden yazmaları: Özel kaynak tanımını kullanarak IngressExtension arka uç hedeflerinden gelen istemci isteklerinin ve yanıtlarının HTTP üst bilgilerini yeniden yazın. Daha fazla bilgi için bkz. Giriş API'si ve Ağ Geçidi API'si.
• URL yeniden yazma: Ana bilgisayar adı ve/veya yol dahil olmak üzere istemci isteklerinin URL'sini değiştirin ve yeni yeniden yazılmış URL'yi arka uç hedeflerine istekler başlatırken ekleyin. Daha fazla bilgi için bkz. Giriş API'si ve Ağ Geçidi API'si.

Sınırlamalar

Şu anda Kapsayıcılar için Azure Application Gateway aşağıdaki özellikleri desteklemez:

• Azure Web Uygulaması Güvenlik Duvarı
• Azure CNI Katmanı
• WebSockets
• Özel ön uçlar

Daha fazla bilgi için bkz. Kapsayıcılar için Application Gateway ile Azure Kubernetes Service (AKS) Kümesi Dağıtma.

Azure Front Door

Azure Front Door , Azure Web Uygulaması Güvenlik Duvarı'nı ve azureözel bağlantı hizmetini kullanarak AKS'de çalışan iş yüklerini güvenli bir şekilde kullanıma sunan ve koruyan genel katman 7 yük dengeleyicidir.

Bu çözüm, AKS'de çalışan bir iş yükünü güvenli bir şekilde kullanıma açmak ve korumak için Azure Front Door Premium, uçtan uca TLS şifrelemesi, Azure Web Uygulaması Güvenlik Duvarı ve Özel Bağlantı hizmetini kullanır.

Azure Front Door, TLS bağlantılarını sonlandırmak ve ön kapıda gelen trafiğin şifresini çözmek için TLS ve Güvenli Yuva Katmanı (SSL) iş yükünü boşaltma yeteneğine sahiptir. Azure Front Door gelen trafiği AKS tarafından barındırılan web uygulamasına iletmeden önce yeniden şifreler. Bu uygulama, istemciden kaynağına kadar tüm istek işlemi için uçtan uca TLS şifrelemesi uygular. Daha fazla bilgi için bkz. Azure Front Door Premium'da Özel Bağlantı ile kaynağınızın güvenliğini sağlama.

NGINX giriş denetleyicisi AKS tarafından barındırılan web uygulamasını kullanıma sunar. İç yük dengeleyicinin ön uç IP yapılandırması kubernetes-internal olarak özel bir IP adresi kullanacak şekilde yapılandırılır ve web uygulamasını kullanıma açmak için aktarım protokolü olarak HTTPS kullanır. Daha fazla bilgi için bkz İç IP adresi kullanarak bir giriş denetleyicisi oluşturma.

Aynı web uygulamasını iş sürekliliği ve olağanüstü durum kurtarma için birden çok bölgesel AKS kümesinde, hatta birden çok bulut platformunda veya şirket içi yüklemede dağıttığınız senaryolar için bu çözümü öneririz. Bu durumda Front Door, aşağıdaki yönlendirme yöntemlerinden birini kullanarak gelen çağrıları arka uçlardan birine ( çıkış noktaları olarak da bilinir) iletebilir:

• Gecikme süresi: Gecikme süresi tabanlı yönlendirme, isteklerin bir duyarlılık aralığında kabul edilebilir en düşük gecikme süresi kaynaklarına gönderilmesini sağlar. Başka bir deyişle istekler, ağ gecikme süresi açısından en yakın kaynak kümesine gönderilir.
• Öncelik: Tüm trafiğe hizmet vermek için birincil kaynak yapılandırmak istediğinizde, öncelikleri çıkış noktalarına ayarlayabilirsiniz. birincil kaynağın kullanılamaz duruma gelmesi durumunda ikincil kaynak bir yedekleme olabilir.
• Ağırlıklı: Trafiği bir dizi çıkış noktası arasında eşit olarak veya ağırlık katsayılarına göre dağıtmak istediğinizde çıkış noktalarınıza ağırlık atayabilirsiniz. Eğer kaynak grubundaki kaynakların gecikme süreleri kabul edilebilir gecikme süresi duyarlılık aralığındaysa, trafik ağırlık değeri ile dağıtılır.
• Oturum yapışkanlığı: Aynı son kullanıcıdan gelen isteklerin aynı kaynağa yönlendirilmesini sağlamak için ön uç konaklarınız veya etki alanlarınız için oturum yapışkanlığını yapılandırabilirsiniz.

Daha fazla bilgi için bkz. AKS iş yüklerinin güvenliğini sağlamak için Azure Front Door kullanma.

NGINX giriş denetleyicisi

Aşağıdaki çözüm, önceden tanımlanmış OWASP veya özel kurallara göre kötü amaçlı veya şüpheli trafiği engellemek için Yelb uygulamasını ve ModSecurity'yi kullanıma açmak için NGINX giriş denetleyicisini kullanır. ModSecurity Apache, NGINX ve ISS gibi popüler web sunucularıyla uyumlu bir açık kaynak web uygulaması güvenlik duvarıdır (WAF). Güçlü bir kural tanımı dili kullanarak çok çeşitli saldırılara karşı koruma sağlar.

Kubernetes aracılığıyla kullanıma sunulan web uygulamalarına ek bir güvenlik katmanı sağlamak için NGINX giriş denetleyicisiyle ModSecurity kullanabilirsiniz. NGINX giriş denetleyicisi, trafiği web uygulamasına ileterek ters ara sunucu işlevi görürken ModSecurity gelen istekleri inceler ve tanımlanan kurallara göre kötü amaçlı veya şüpheli trafiği engeller.

Kubernetes'te NGINX Giriş denetleyicileriyle ModSecurity'nin kullanılması, herhangi bir bulut platformundaki yönetilen Kubernetes kümelerine dağıtabileceğiniz buluttan bağımsız bir çözüm sağlar. Bu çözüm, tutarlı güvenlik önlemlerini korurken bulut sağlayıcıları arasında geçiş yapmanıza veya çoklu bulut kurulumuna sahip olmanıza olanak tanır.

Sonraki adım

AWS web uygulaması dağıtımlarını AKS'ye geçirme

Katkıda Bulunanlar

Microsoft bu makaleyi korur. Başlangıçta aşağıdaki katkıda bulunanlar yazdı:

Asıl yazar:

• Paolo Salvatori | Baş Müşteri Mühendisi

Diğer katkıda bulunanlar:

• Ken Kilty | Baş TPM
• Russell de Pina | Baş TPM
• Erin Schaffer | İçerik Geliştirici 2