Aracılığıyla paylaş

Azure Front Door ile Azure Red Hat OpenShift'e güvenli erişim

  • Makale

Bu makalede, Azure Red Hat OpenShift'e erişimin güvenliğini sağlamak için Azure Front Door Premium'un nasıl kullanılacağı açıklanmaktadır.

Ön koşullar

Aşağıdaki önkoşullar gereklidir:

  • Mevcut bir Azure Red Hat OpenShift kümeniz var. Özel bir Azure Red Hat OpenShift kümesi oluşturmak için bu kılavuzu izleyin.

  • Küme özel giriş görünürlüğüyle yapılandırılır.

  • Özel bir etki alanı adı kullanılır, örneğin:

    example.com

Dekont

İlk durumda DNS yapılandırılmamış. Azure Red Hat OpenShift kümesinden dışarıdan kullanıma sunulan uygulama yok.

Bu bölümde bir Azure Özel Bağlantı hizmetinin nasıl oluşturulacağı açıklanmaktadır. Azure Özel Bağlantı hizmeti, Azure Özel Bağlantı tarafından desteklenen kendi hizmetinize yönelik bir başvurudur.

Azure Standart Load Balancer arkasında çalışan hizmetiniz, hizmetinizdeki tüketicilerin kendi sanal ağlarından özel olarak erişebilmesi için Özel Bağlantı erişim için etkinleştirilebilir. Müşterileriniz sanal ağlarının içinde özel bir uç nokta oluşturabilir ve bunu bu hizmetle eşleyebilir.

Azure Özel Bağlantı hizmeti ve nasıl kullanıldığı hakkında daha fazla bilgi için bkz. Azure Özel Bağlantı hizmeti.

AzurePrivateLinkSubnet oluşturun. Bu alt ağ, azure kümesinin denetim düzlemi ve çalışan düğümleri için alt ağın görünürlüğünü sağlayan bir netmask içerir. Bu yeni alt ağı hiçbir hizmete devretmeyin veya hizmet uç noktalarını yapılandırmayın.

Örneğin, sanal ağ 10.10.0.0/16 ise ve:

  • Mevcut Azure Red Hat OpenShift denetim düzlemi alt ağı = 10.10.0.0/24
  • Mevcut Azure Red Hat OpenShift çalışan alt ağı = 10.10.1.0/24
  • Yeni AzurePrivateLinkSubnet = 10.10.2.0/24

Aşağıdaki adımlarda açıklandığı gibi Azure Özel Bağlantı hizmetinde yeni bir Özel Bağlantı oluşturun:

  1. Temel Bilgiler sekmesinde aşağıdaki seçenekleri yapılandırın:

    • Proje Ayrıntıları
      • Azure aboneliği seçin.
      • Azure Red Hat OpenShift kümenizin dağıtıldığı kaynak grubunu seçin.
    • Örnek Ayrıntıları
      • Aşağıdaki örnekte olduğu gibi Azure Özel Bağlantı hizmetiniz için bir Ad girin: example-com-private-link.
      • Özel Bağlantı için bir Bölge seçin.

  2. Giden Ayarlar sekmesinde:

    • Load Balancer'ı, dış erişimi etkinleştirdiğiniz kümenin -iç yük dengeleyicisine ayarlayın. Seçenekler açılan listede doldurulur.

    • Load Balancer ön uç IP adresini, genellikle .254 ile biten Azure Red Hat OpenShift giriş denetleyicisinin IP adresine ayarlayın. Emin değilseniz aşağıdaki komutu kullanın.

      az aro show -n <cluster-name> -g <resource-group> -o tsv --query ingressProfiles[].ip

    • Kaynak NAT alt ağı, oluşturduğunuz AzurePrivateLinkSubnet olmalıdır.

    • Giden Ayarlar hiçbir öğe değiştirilmemelidir.

  3. Access Güvenliği sekmesinde değişiklik gerekmez.

    • Hizmetinize kimler erişim isteyebilir? isteminde Diğer adınızla herkes'i seçin.
    • Otomatik onay için abonelik eklemeyin.

  4. Etiketler sekmesinde Gözden Geçir ve oluştur'u seçin.

  5. oluştur'u seçerek Azure Özel Bağlantı hizmetini oluşturun ve işlemin tamamlanmasını bekleyin.

  6. Dağıtımınız tamamlandığında, Sonraki adımlar'ın altında Kaynak grubuna git'i seçin.

Azure portalında dağıtılan Azure Özel Bağlantı hizmetini girin. Azure Özel Bağlantı hizmeti için oluşturulan Diğer Adı koruyun. Daha sonra kullanılacaktır.

Etki alanını Azure DNS'ye kaydetme

Bu bölümde, Azure DNS'de bir etki alanının nasıl kaydedilecekleri açıklanmaktadır.

  1. example.com için genel bir Azure DNS bölgesi oluşturun.

  2. apps.example.com için genel bir Azure DNS bölgesi oluşturun.

  3. apps.example.com için Azure DNS'de bulunan dört ad sunucusuna dikkat edin.

  4. example.com bölgesinde uygulamalara işaret eden yeni bir NS kayıt kümesi oluşturun ve uygulamalar bölgesi oluşturulduğunda mevcut olan dört ad sunucusunu belirtin.

Yeni bir Azure Front Door Premium hizmeti oluşturma

Yeni bir Azure Front Door Premium hizmeti oluşturmak için:

  1. Microsoft Azure Karşılaştırma tekliflerinde Azure Front Door'u ve ardından Front Door oluşturmak için Devam'ı seçin.

  2. Abonelik>Kaynağı grubunun Ön kapı profili oluştur sayfasında, Azure Front Door Premium kaynağınızı barındıracak Azure Red Hat OpenShift kümenizin dağıtıldığı kaynak grubunu seçin.

  3. Azure Front Door Premium hizmetinizi uygun şekilde adlandırabilirsiniz. Örneğin, Ad alanına aşağıdaki adı girin:

    example-com-frontdoor

  4. Premium katmanını seçin. Premium katmanı, Azure Özel Bağlantı destekleyen tek seçenektir.

  5. Uç nokta adı için Azure Front Door'a uygun bir uç nokta adı seçin.

    Dağıtılan her uygulama için Azure DNS'de bu ana bilgisayar adına işaret edecek bir CNAME oluşturulur. Bu nedenle, uygulamalardan bağımsız bir ad seçmek önemlidir. Güvenlik için, adın dağıttığınız uygulamaları veya mimariyi önermemesi gerekir, örneğin example01.

    Seçtiğiniz ad .z01.azurefd.net etki alanına eklenecektir.

  6. Kaynak türü için Özel'i seçin.

  7. Kaynak Ana Bilgisayar Adı için aşağıdaki yer tutucuyu girin:

    changeme.com

    Bu yer tutucu daha sonra silinecek.

    Bu aşamada Azure Özel Bağlantı hizmeti, önbelleğe alma veya Web Uygulaması Güvenlik Duvarı (WAF) ilkesini etkinleştirmeyin.

  8. Gözden geçir + oluştur'u seçerek Azure Front Door Premium kaynağını oluşturun ve işlemin tamamlanmasını bekleyin.

Azure Front Door Premium'un ilk yapılandırması

Azure Front Door Premium'ı yapılandırmak için:

  1. Azure portalında dağıtılan Azure Front Door Premium hizmetini girin.

  2. Uç Nokta Yöneticisi penceresinde Uç noktayı düzenle'yi seçerek uç noktayı değiştirin.

  3. Varsayılan yol olarak oluşturulan varsayılan yolu silin.

  4. Endpoint Manager penceresini kapatın.

  5. Kaynak Grupları penceresinde, default-origin-group adlı varsayılan kaynak grubunu silin.

Azure Red Hat OpenShift'te uygulama rotasını ortaya çıkarma

Azure Red Hat OpenShift, Uygulamaya Azure Front Door'un dışarıdan göstereceği ana bilgisayar adıyla (*.apps.example.com) hizmet verecek şekilde yapılandırılmalıdır. Örneğimizde, Reservations uygulamasını şu ana bilgisayar adıyla kullanıma sağlayacağız:

reservations.apps.example.com

Ayrıca, Azure Red Hat OpenShift'te konak adını kullanıma sunan güvenli bir yol oluşturun.

Azure DNS'yi yapılandırma

Azure DNS'yi yapılandırmak için:

  1. Daha önce oluşturulan genel uygulamalar DNS bölgesini girin.

  2. Reservation adlı yeni bir CNAME kayıt kümesi oluşturun. Bu CNAME kayıt kümesi, örnek Azure Front Door uç noktamız için bir diğer addır:

    example01.z01.azurefd.net

Azure Front Door Premium'ı yapılandırma

Aşağıdaki adımlarda Azure Front Door Premium'un nasıl yapılandırılması açıklanmaktadır.

  1. Azure portalında, daha önce oluşturduğunuz Azure Front Door Premium hizmetini girin:

    example-com-frontdoor

Etki Alanları penceresinde:

  1. Tüm DNS sunucuları Azure'da barındırıldığından, DNS Yönetimi'nin Azure tarafından yönetilen DNS olarak ayarlanmasını sağlayın.

  2. Örnek etki alanını seçin:

    apps.example.com

  3. Örneğimizde CNAME'yi seçin:

    reservations.apps.example.com

  4. HTTPS ve En Düşük TLS sürümü için varsayılan değerleri kullanın.

  5. Ekle'yi seçin.

  6. Doğrulama durumu Beklemede olarak değiştiğinde Beklemede'yi seçin.

  7. DNS bölgesinin sahipliğini doğrulamak için DNS kaydı durumu için Ekle'yi seçin.

  8. Kapat'ı seçin.

  9. Etki alanının Geçerlilik durumu Onaylandı ve Uç Nokta ilişkilendirmesi İlişkisiz olarak değişene kadar Yenile'yi seçmeye devam edin.

Kaynak Grupları penceresinde:

  1. Ekle'yi seçin.

  2. Kaynak Grubunuz için Reservations-App gibi uygun bir ad verin.

  3. Kaynak ekle'yi seçin.

  4. Kaynağın adını (örneğin, ARO-Cluster-1) girin.

  5. Özel çıkış noktası türünü seçin.

  6. Azure Red Hat OpenShift kümenizde kullanıma sunulan tam etki alanı adını (FQDN) girin, örneğin:

    reservations.apps.example.com

  7. Özel Bağlantı hizmetini etkinleştirin.

  8. Azure Özel Bağlantı hizmetinden alınan Diğer Adı girin.

  9. Kaynak grubu oluşturma penceresine dönmek için Ekle'yi seçin.

  10. Kaynak grubunu eklemek ve Azure portalına dönmek için Ekle'yi seçin.

Daha önce oluşturduğunuz Azure Özel Bağlantı hizmeti olan example-com-private-link'e onay vermek için aşağıdaki adımları tamamlayın.

  1. Özel uç nokta bağlantıları sekmesinde, AFD'den olduğu açıklanan kaynaktan artık var olan onay kutusunu seçin.

  2. Onayı doğrulamak için Onayla'yı ve ardından Evet'i seçin.

Azure Front Door Premium yapılandırmasını tamamlama

Aşağıdaki adımlarda Azure Front Door Premium yapılandırmasını nasıl tamamlayacağınız açıklanmaktadır.

  1. Azure portalında, daha önce oluşturduğunuz Azure Front Door Premium hizmetini girin:

    example-com-frontdoor

  2. Uç Nokta Yöneticisi penceresinde Uç noktayı düzenle'yi seçerek noktayı değiştirin.

  3. Yollar'ın altında +Ekle'yi seçin.

  4. Rotanıza Reservations-App-Route-Config gibi uygun bir ad verin.

  5. Etki Alanları'nın altında, doğrulanmış kullanılabilir etki alanları'nın altında tam etki alanı adını seçin, örneğin:

    reservations.apps.example.com

  6. HTTP trafiğini HTTPS kullanmak üzere yeniden yönlendirmek için Yeniden Yönlendir onay kutusunu seçili bırakın.

  7. Kaynak grubu'nun altında, daha önce oluşturduğunuz kaynak grubu olan Rezervasyonlar-Uygulama'yı seçin.

  8. Uygunsa önbelleğe almayı etkinleştirebilirsiniz.

  9. Yolu oluşturmak için Ekle'yi seçin. Yol yapılandırıldıktan sonra Endpoint manager, Etki Alanları ve Kaynak grupları bölmelerini bu uygulama için oluşturulan diğer öğelerle doldurur.

Azure Front Door genel bir hizmet olduğundan uygulamanın dağıtılması 30 dakika kadar sürebilir. Bu süre boyunca uygulamanız için bir WAF oluşturmayı seçebilirsiniz. Uygulamanız canlı yayına geçtiğinde, bu örnekte kullanılan URL kullanılarak uygulamaya erişilebilir:

https://reservations.apps.example.com

Sonraki adımlar

Azure portalını kullanarak Azure Front Door'da Azure Web Uygulaması Güvenlik Duvarı oluşturun:

Öğretici: Azure portalını kullanarak Azure Front Door'da Web Uygulaması Güvenlik Duvarı ilkesi oluşturma