Ağdan yalıtılmış Azure Kubernetes Service (AKS) kümeleri (Önizleme)
Kuruluşların genellikle veri sızdırma risklerini ortadan kaldırmak için kümeden çıkış (giden) ağ trafiğini düzenlemek için katı güvenlik ve uyumluluk gereksinimleri vardır. Azure Kubernetes Service (AKS) kümeleri varsayılan olarak sınırsız giden İnternet erişimine sahiptir. Bu ağ erişimi düzeyi, çalıştırdığınız düğümlerin ve hizmetlerin gerektiğinde dış kaynaklara erişmesine olanak tanır. Çıkış trafiğini kısıtlamak istiyorsanız, küme bakım görevlerinin sürdürülmesi için sınırlı sayıda bağlantı noktası ve adres erişilebilir olmalıdır. AKS kümeleri için giden ağ ve FQDN kurallarıyla ilgili kavramsal belge, AKS kümesi için gerekli uç noktaların ve isteğe bağlı eklentilerinin ve özelliklerinin listesini sağlar.
Kümeden giden trafiği kısıtlamanın bir çözümü, etki alanı adlarına göre trafiği kısıtlamak için bir güvenlik duvarı cihazı kullanmaktır. Güvenlik duvarını gerekli çıkış kuralları ve FQDN'lerle el ile yapılandırmak zahmetli ve karmaşık bir işlemdir.
Ağdan yalıtılmış AKS kümesi (önizleme) olan başka bir çözüm, bir küme için giden kısıtlamaların kullanıma hazır olarak ayarlanmasını basitleştirir. Küme operatörü daha sonra etkinleştirmek istediği her senaryo için izin verilen giden trafiği artımlı olarak ayarlayabilir. Ağdan yalıtılmış AKS kümesi, veri sızdırma riskini azaltır.
Önemli
AKS önizleme özellikleri self servis ve kabul temelinde kullanılabilir. Önizlemeler "olduğu gibi" ve "kullanılabilir" olarak sağlanır ve hizmet düzeyi sözleşmelerinin ve sınırlı garantinin dışında tutulur. AKS önizlemeleri, müşteri desteği tarafından kısmen en iyi çaba temelinde ele alınmaktadır. Bu nedenle, bu özellikler üretim kullanımı için tasarlanmamıştır. Daha fazla bilgi için aşağıdaki destek makalelerine bakın:
Ağdan yalıtılmış küme nasıl çalışır?
Aşağıdaki diyagramda AKS ağı yalıtılmış kümesi için bağımlılıklar arasındaki ağ iletişimi gösterilmektedir.
AKS kümeleri, küme ve özellikleri veya eklentileri için gereken görüntüleri Microsoft Yapıt Kayıt Defteri (MAR) üzerinden çeker. Bu görüntü çekme, AKS'nin küme bileşenlerinin daha yeni sürümlerini sağlamasına ve kritik güvenlik açıklarını gidermesine olanak tanır. Ağdan yalıtılmış bir küme, bu görüntüleri MAR'dan çekmek yerine kümeye bağlı özel bir Azure Container Registry (ACR) örneğinden çekmeye çalışır. Görüntüler mevcut değilse, özel ACR bunları MAR'dan çeker ve özel uç noktası üzerinden sunar ve kümeden genel MAR uç noktasına çıkışı etkinleştirme gereksinimini ortadan kaldırır.
Ağdan yalıtılmış kümelere sahip özel bir ACR için aşağıdaki seçenekler desteklenir:
AKS tarafından yönetilen ACR - AKS, bu seçenekte bir ACR kaynağı oluşturur, yönetir ve mutabık tutar. Herhangi bir izin atamanız veya ACR'yi yönetmeniz gerekmez. AKS, ağdan yalıtılmış kümede kullanılan önbellek kurallarını, özel bağlantıyı ve özel uç noktayı yönetir. AKS tarafından yönetilen ACR, altyapı kaynak grubundaki diğer kaynaklarla (yönlendirme tablosu, Azure Sanal Makine Ölçek Kümeleri vb.) aynı davranışı izler. Küme bileşenlerinin veya yeni düğüm önyüklemesinin başarısız olması riskini önlemek için ACR'yi, önbellek kurallarını veya sistem görüntülerini güncelleştirin veya silmeyin.. AKS tarafından yönetilen ACR, küme bileşenlerinin ve yeni düğümlerin beklendiği gibi çalışması için sürekli olarak uzlaştırılır.
Not
AKS ağı yalıtılmış kümesini sildikten sonra AKS tarafından yönetilen ACR, özel bağlantı ve özel uç nokta gibi ilgili kaynaklar otomatik olarak silinir.
Kendi ACR'nizi getirin (BYO) ACR - BYO ACR seçeneği, ACR kaynağı ile AKS kümesi arasında özel bağlantı içeren bir ACR oluşturulmasını gerektirir. Kayıt defteriniz için özel uç nokta yapılandırmayı anlamak için bkz. Azure Özel Bağlantı kullanarak Azure kapsayıcı kayıt defterine özel olarak bağlanma.
Not
AKS kümesini sildiğinizde BYO ACR, özel bağlantı ve özel uç nokta otomatik olarak silinmez. BYO ACR'ye özelleştirilmiş görüntüler ve önbellek kuralları eklerseniz, bunlar küme mutabakatı sonrasında, özelliği devre dışı bıraktıktan sonra veya AKS kümesini sildikten sonra kalır.
Ağdan yalıtılmış aks kümesi oluştururken aşağıdaki özel küme modlarından birini seçebilirsiniz:
- Özel bağlantı tabanlı AKS kümesi - Denetim düzlemi veya API sunucusu AKS tarafından yönetilen bir Azure kaynak grubunda ve düğüm havuzunuz kaynak grubunuzdadır. Sunucu ve düğüm havuzu, API sunucusu sanal ağındaki Azure Özel Bağlantı hizmeti ve AKS kümenizin alt ağında kullanıma sunulan özel uç nokta aracılığıyla birbirleriyle iletişim kurabilir.
- API Server Sanal Ağ Tümleştirmesi (Önizleme) - API Server Sanal Ağ Tümleştirmesi ile yapılandırılmış bir küme, API sunucusu uç noktasını AKS'nin dağıtıldığı sanal ağdaki temsilci alt ağına doğrudan projelendirir. API Server Sanal Ağ Tümleştirmesi, özel bağlantı veya tünel gerektirmeden API sunucusu ile küme düğümleri arasında ağ iletişimi sağlar.
Sınırlamalar
- Ağdan yalıtılmış kümeler, Kubernetes sürüm 1.30 veya üzeri kullanılarak AKS kümelerinde desteklenir.
- Ağdan yalıtılmış kümeler için yalnızca
NodeImage
düğüm işletim sistemi görüntüleri için otomatik yükseltme kanalı desteklenir - Windows düğüm havuzları şu anda desteklenmiyor.
- Aşağıdaki AKS kümesi uzantıları henüz ağdan yalıtılmış kümelerde desteklenmemektedir:
Sık sorulan sorular
Ağdan yalıtılmış küme ile Azure Güvenlik Duvarı arasındaki fark nedir?
Ağdan yalıtılmış bir küme, küme önyükleme işlemi boyunca sanal ağın ötesinde çıkış trafiği gerektirmez. Ağdan yalıtılmış bir kümenin giden türü veya block
olurnone
. Giden türü olarak ayarlanırsa none
AKS, küme için giden bağlantı ayarlamaz ve kullanıcının bunları kendi başına yapılandırmasına izin verir. Giden türü olarak ayarlanırsa block
, tüm giden bağlantılar engellenir.
Güvenlik duvarı genellikle güvenilir ağ ile İnternet gibi güvenilmeyen bir ağ arasında bir engel oluşturur. Örneğin Azure Güvenlik Duvarı, hedefin FQDN'sine bağlı olarak giden HTTP ve HTTPS trafiğini kısıtlayabilir ve ayrıntılı çıkış trafik denetimi sağlar, ancak aynı zamanda AKS kümesinin giden bağımlılıklarını kapsayan FQDN'lere (NSG'lerin yapamayabileceği bir şey) erişim sağlamanıza da olanak tanır. Örneğin, güvenlik duvarı üzerinden giden trafiği zorlamak için userDefinedRouting
kümenin giden türünü ayarlayabilir ve ardından giden trafikte FQDN kısıtlamalarını yapılandırabilirsiniz.
Özetle, giden istekleri olan kümelerde çıkış kısıtlamalarını tanımlamak için Azure Güvenlik Duvarı kullanılabilse de, ağdan yalıtılmış kümeler giden istekleri tamamen ortadan kaldırarak veya engelleyerek varsayılan olarak güvenli duruşa geçer.
Ağdan yalıtılmış kümenin çalışması için izin verilenler listesi uç noktalarını ayarlamam gerekiyor mu?
Küme oluşturma ve önyükleme aşamaları, ağdan yalıtılmış kümeden giden trafik gerektirmez. AKS bileşenleri ve eklentileri için gereken görüntüler, genel uç noktalar üzerinden Microsoft Yapıt Kayıt Defteri (MAR) yerine kümeye bağlı özel ACR'den çekilir.
Ağdan yalıtılmış bir küme ayarladıktan sonra, hizmet uç noktalarına giden istekler yapması gereken özellikleri veya eklentileri etkinleştirmek istiyorsanız, özel uç noktalar Azure Özel Bağlantı tarafından desteklenen hizmetlere ayarlanabilir.
Düğüm havuzu görüntüsünü yükseltmek için paketleri el ile yükseltebilir miyim?
Paketlerin çıkış temelinde paket depolarına el ile yükseltilmesi desteklenmez. Bunun yerine düğüm işletim sistemi görüntülerinizi otomatik olarak yükseltebilirsiniz. Ağdan yalıtılmış kümeler için yalnızca NodeImage
düğüm işletim sistemi otomatik sürüm düşürme kanalı desteklenir.
Sonraki adımlar
Azure Kubernetes Service