مجموعات خدمة Azure Kubernetes (AKS) المعزولة للشبكة (معاينة)

عادة ما يكون لدى المؤسسات متطلبات أمان وتوافق صارمة لتنظيم حركة مرور شبكة الخروج (الصادرة) من نظام مجموعة للقضاء على مخاطر تسرب البيانات. بشكل افتراضي، تحتوي مجموعات خدمة Azure Kubernetes (AKS) على وصول غير مقيد إلى الإنترنت الصادر. يسمح هذا المستوى من الوصول إلى الشبكة للعقد والخدمات التي تقوم بتشغيلها بالوصول إلى الموارد الخارجية حسب الحاجة. إذا كنت ترغب في تقييد حركة الخروج، يجب أن يكون هناك عدد محدود من المنافذ والعناوين متاحة للحفاظ على مهام صيانة نظام المجموعة الصحي. يوفر المستند المفاهيمي على الشبكة الصادرة وقواعد FQDN لمجموعات AKS قائمة بنقاط النهاية المطلوبة لمجموعة AKS والوظائف الإضافية والميزات الاختيارية الخاصة بها.

أحد الحلول لتقييد نسبة استخدام الشبكة الصادرة من نظام المجموعة هو استخدام جهاز جدار حماية لتقييد نسبة استخدام الشبكة استنادا إلى أسماء المجالات. تكوين جدار حماية يدويا مع قواعد الخروج المطلوبة وFQDNs عملية مرهقة ومعقدة.

حل آخر، نظام مجموعة AKS معزولة للشبكة (معاينة)، يبسط إعداد القيود الصادرة لنظام مجموعة خارج الصندوق. يمكن لعامل تشغيل نظام المجموعة بعد ذلك إعداد نسبة استخدام الشبكة الصادرة المسموح بها بشكل متزايد لكل سيناريو يريد تمكينه. وبالتالي، تقلل شبكة نظام مجموعة AKS المعزولة من مخاطر تسرب البيانات.

كيفية عمل نظام مجموعة معزولة للشبكة

يوضح الرسم التخطيطي التالي اتصال الشبكة بين التبعيات لنظام مجموعة معزولة لشبكة AKS.

تسحب مجموعات AKS الصور المطلوبة للمجموعة وميزاتها أو وظائفها الإضافية من Microsoft Artifact Registry (MAR). يسمح سحب الصورة هذا ل AKS بتوفير إصدارات أحدث من مكونات نظام المجموعة ومعالجة الثغرات الأمنية الحرجة أيضا. تحاول مجموعة شبكة معزولة سحب تلك الصور من مثيل Azure Container Registry (ACR) خاص متصل بالمجموعة بدلا من السحب من MAR. إذا لم تكن الصور موجودة، يسحبها ACR الخاص من MAR ويخدمها عبر نقطة النهاية الخاصة به، ما يلغي الحاجة إلى تمكين الخروج من المجموعة إلى نقطة نهاية MAR العامة.

يتم دعم الخيارات التالية ل ACR خاص مع مجموعات معزولة عن الشبكة:

• ACR المدار بواسطة AKS - يقوم AKS بإنشاء مورد ACR وإدارته وتسويةه في هذا الخيار. لا تحتاج إلى تعيين أي أذونات أو إدارة ACR. تدير AKS قواعد ذاكرة التخزين المؤقت والارتباط الخاص ونقطة النهاية الخاصة المستخدمة في نظام المجموعة المعزولة للشبكة. يتبع ACR المدار بواسطة AKS نفس سلوك الموارد الأخرى (جدول التوجيه ومجموعات مقياس الجهاز الظاهري Azure وما إلى ذلك) في مجموعة موارد البنية الأساسية. لتجنب مخاطر فشل مكونات نظام المجموعة أو فشل تمهيد تشغيل العقدة الجديدة، لا تقم بتحديث أو حذف ACR أو قواعد ذاكرة التخزين المؤقت الخاصة به أو صور النظام الخاصة به. تتم تسوية ACR المدارة بواسطة AKS باستمرار بحيث تعمل مكونات نظام المجموعة والعقد الجديدة كما هو متوقع.

  إشعار

  بعد حذف مجموعة شبكة AKS المعزولة، يتم حذف الموارد ذات الصلة مثل ACR المدار بواسطة AKS والارتباط الخاص ونقطة النهاية الخاصة تلقائيا.

• إحضار ACR (BYO) الخاص بك - يتطلب خيار BYO ACR إنشاء ACR مع ارتباط خاص بين مورد ACR ومجموعة AKS. راجع الاتصال بشكل خاص بسجل حاوية Azure باستخدام Azure Private Link لفهم كيفية تكوين نقطة نهاية خاصة للسجل الخاص بك.

  إشعار

  عند حذف نظام مجموعة AKS، لا يتم حذف BYO ACR والارتباط الخاص ونقطة النهاية الخاصة تلقائيا. إذا قمت بإضافة صور مخصصة وقواعد ذاكرة التخزين المؤقت إلى BYO ACR، فإنها تستمر بعد تسوية نظام المجموعة، بعد تعطيل الميزة، أو بعد حذف نظام مجموعة AKS.

عند إنشاء مجموعة AKS معزولة للشبكة، يمكنك اختيار أحد أوضاع نظام المجموعة الخاصة التالية:

• مجموعة AKS المستندة إلى الارتباط الخاص - وحدة التحكم أو خادم API في مجموعة موارد Azure المدارة بواسطة AKS، وتجمع العقدة الخاص بك في مجموعة الموارد الخاصة بك. يمكن للخادم وتجمع العقدة الاتصال مع بعضهما البعض من خلال خدمة Azure Private Link في الشبكة الظاهرية لخادم API ونقطة نهاية خاصة يتم كشفها على الشبكة الفرعية لمجموعة AKS الخاصة بك.
• API Server VNet Integration (معاينة) - يقوم نظام مجموعة تم تكوينه باستخدام API Server VNet Integration بمشاريع نقطة نهاية خادم API مباشرة في شبكة فرعية مفوضة في الشبكة الظاهرية حيث يتم نشر AKS. يتيح تكامل الشبكة الظاهرية لخادم API اتصال الشبكة بين خادم API وعقد نظام المجموعة دون الحاجة إلى ارتباط خاص أو نفق.

القيود

• يتم دعم أنظمة المجموعات المعزولة للشبكة على مجموعات AKS باستخدام الإصدار 1.30 من Kubernetes أو أعلى.
• NodeImage يتم دعم قناة الترقية التلقائية فقط لصور نظام التشغيل العقدة للمجموعات المعزولة للشبكة
• تجمعات عقد Windows غير مدعومة حاليا.
• ملحقات نظام مجموعة AKS التالية غير مدعومة حتى الآن على أنظمة المجموعات المعزولة للشبكة:
  • Dapr
  • تكوين تطبيق Azure
  • التعلم الآلي من Microsoft Azure
  • Flux (GitOps)
  • Azure Container Storage
  • Azure Backup ل AKS

الأسئلة الشائعة

ما الفرق بين نظام المجموعة المعزولة للشبكة وجدار حماية Azure؟

لا تتطلب المجموعة المعزولة للشبكة أي حركة مرور خروج تتجاوز VNet خلال عملية تمهيد نظام المجموعة. سيكون لمجموعة شبكة معزولة نوع صادر إما none أو block. إذا تم تعيين النوع الصادر إلى none، فلن يقوم AKS بإعداد أي اتصالات صادرة لنظام المجموعة، مما يسمح للمستخدم بتكوينها بنفسه. إذا تم تعيين النوع الصادر إلى block، حظر كافة الاتصالات الصادرة.

يُنشئ جدار الحماية عادةً حاجزًا بين شبكة موثوقة وشبكة غير موثوق بها، مثل الإنترنت. يمكن لجدار حماية Azure، على سبيل المثال، تقييد حركة مرور HTTP وHTTPS الصادرة استنادا إلى FQDN للوجهة، ما يمنحك تحكما دقيقا في نسبة استخدام الشبكة للخروج، ولكن في الوقت نفسه يسمح لك بتوفير الوصول إلى FQDNs التي تشمل التبعيات الصادرة لمجموعة AKS (شيء لا يمكن أن تفعله NSGs). على سبيل المثال، يمكنك تعيين النوع الصادر من نظام المجموعة لفرض userDefinedRouting حركة المرور الصادرة من خلال جدار الحماية ثم تكوين قيود FQDN على حركة المرور الصادرة.

باختصار، بينما يمكن استخدام Azure Firewall لتحديد قيود الخروج على المجموعات ذات الطلبات الصادرة، فإن المجموعات المعزولة للشبكة تذهب إلى أبعد من ذلك في الوضع الآمن افتراضيا عن طريق إزالة الطلبات الصادرة أو حظرها تماما.

هل أحتاج إلى إعداد أي نقاط نهاية قائمة السماح لمجموعة شبكة الاتصال المعزولة للعمل؟

لا تتطلب مراحل إنشاء نظام المجموعة وتمهيدها أي حركة مرور صادرة من نظام المجموعة المعزولة للشبكة. يتم سحب الصور المطلوبة لمكونات ووظائف AKS الإضافية من ACR الخاص المتصل بالمجموعة بدلا من السحب من Microsoft Artifact Registry (MAR) عبر نقاط النهاية العامة.

بعد إعداد مجموعة شبكة معزولة، إذا كنت تريد تمكين الميزات أو الوظائف الإضافية التي تحتاج إلى تقديم طلبات صادرة إلى نقاط نهاية الخدمة الخاصة بهم، يمكن إعداد نقاط النهاية الخاصة إلى الخدمات التي يتم تشغيلها بواسطة Azure Private Link.

هل يمكنني ترقية الحزم يدويا لترقية صورة تجمع العقدة؟

ترقية الحزم يدويا استنادا إلى الخروج إلى مستودعات الحزمة غير مدعوم. بدلا من ذلك، يمكنك التحديث التلقائي لصور نظام تشغيل العقدة. يتم دعم قناة التحديث التلقائي لنظام التشغيل للعقدة فقط NodeImage للمجموعات المعزولة للشبكة.

الخطوات التالية

• إنشاء مجموعة معزولة للشبكة