Поддерживается ли использование NSG в расширенной сетевой подсети AKS и какие порты необходимо открыть между узлами и мастером?

Question

Поддерживается ли использование NSG в расширенной сетевой подсети AKS и какие порты необходимо открыть между узлами и мастером?

Какой порт для связи TCP/UDP должен быть открыт между узлами и мастером служб Azure kubernetes, когда узлы находятся в подсети, которая использует расширенные возможности работы в сети?

По соображениям безопасности мы должны использовать Группу сетевой безопасности в каждой подсети, которая подключена к сети onpremises через VPN в Azure. Этот NSG должен запретить любой неявный трафик между машинами, даже в одной подсети, чтобы препятствовать атакам атак между системами. То же самое относится и к службам Azure Kubernetes с расширенными сетевыми возможностями, которые используют подсеть, подключенную через пиринг vnet.

Мы не смогли найти ответ, если это поддерживаемый сценарий, чтобы иметь NSG в подсети расширенной сети AKS и какие порты необходимы для его работы.

Мы попробовали нашу NSG по умолчанию, которая запрещает внутренний трафик между хостами, но это мешает нам подключаться к сервисам и от узлов, чтобы они появлялись без ошибок.

1

azure-aks azure-nsg

Источник

user9924422 07 апр '19 в 18:42

1 ответ

Решение

Другие вопросы по тегам azure-aks azure-nsg

user9773937 08 апр '19 в 07:45 2019-04-08 07:45 · Accepted Answer · 2019-04-08 07:45

AKS - это управляемый кластер. И мастер управляемого кластера означает, что вам не нужно настраивать компоненты, такие как высокодоступные etcdхранить, но это также означает, что вы не можете получить доступ к мастеру кластера напрямую.

При создании кластера AKS мастер кластера автоматически создается и настраивается. А платформа Azure настраивает безопасную связь между мастером кластера и узлами. Взаимодействие с мастером кластера происходит через API-интерфейсы Kubernetes, такие как kubectl или панель управления Kubernetes.

Дополнительные сведения см. В основных концепциях Kubernetes для службы Azure Kubernetes (AKS). Если вам нужно настроить мастер кластера и все остальное самостоятельно, вы можете развернуть свой собственный кластер Kubernetes с помощью aks-engine.

Для безопасности ваших модулей вы можете использовать сетевую политику для ее улучшения. Хотя это всего лишь предварительная версия.

Кроме того, не рекомендуется предоставлять удаленное подключение к узлам кластера AKS, если вы хотите подключиться к узлам AKS. Предполагается, что в управляющей виртуальной сети создайте хост-бастион или поле перехода. Используйте хост-бастион для безопасной маршрутизации трафика в кластере AKS для выполнения задач удаленного управления. Для получения дополнительной информации см. Безопасное подключение к узлам через хост-бастион.

Если у вас есть еще вопросы, пожалуйста, дайте мне знать. Я рад предоставить больше помощи.