Delen via

Beveiligde toegang tot Azure Red Hat OpenShift met Azure Front Door

  • Artikel

In dit artikel wordt uitgelegd hoe u Azure Front Door Premium gebruikt om de toegang tot Azure Red Hat OpenShift te beveiligen.

Vereisten

De volgende vereisten zijn vereist:

  • U hebt een bestaand Azure Red Hat OpenShift-cluster. Volg deze handleiding om een privé-Azure Red Hat OpenShift-cluster te maken.

  • Het cluster is geconfigureerd met zichtbaarheid van privé-inkomend verkeer.

  • Er wordt een aangepaste domeinnaam gebruikt, bijvoorbeeld:

    example.com

Notitie

De initiële status heeft geen DNS geconfigureerd. Er worden geen toepassingen extern weergegeven vanuit het Azure Red Hat OpenShift-cluster.

In deze sectie wordt uitgelegd hoe u een Azure Private Link-service maakt. Een Azure Private Link-service is een verwijzing naar uw eigen service die wordt mogelijk gemaakt door Azure Private Link.

Uw service, die achter de Azure Standard Load Balancer wordt uitgevoerd, kan worden ingeschakeld voor Private Link-toegang, zodat consumenten naar uw service deze privé kunnen openen vanuit hun eigen VNets. Uw klanten kunnen een privé-eindpunt in hun VNet maken en toewijzen aan deze service.

Zie de Azure Private Link-service voor meer informatie over de Azure Private Link-service en hoe deze wordt gebruikt.

Maak een AzurePrivateLinkSubnet. Dit subnet bevat een netmasker waarmee het subnet zichtbaar is voor het besturingsvlak en werkknooppunten van het Azure-cluster. Delegeer dit nieuwe subnet niet aan services of configureer eventuele service-eindpunten.

Als het virtuele netwerk bijvoorbeeld 10.10.0.0/16 is en:

  • Bestaand Azure Red Hat OpenShift-besturingsvlaksubnet = 10.10.0.0/24
  • Bestaand Azure Red Hat OpenShift-werkrolsubnet = 10.10.1.0/24
  • Nieuw AzurePrivateLinkSubnet = 10.10.2.0/24

Maak een nieuwe Private Link bij de Azure Private Link-service, zoals wordt uitgelegd in de volgende stappen:

  1. Configureer de volgende opties op het tabblad Basisbeginselen :

    • Projectgegevens
      • Selecteer uw Azure-abonnement.
      • Selecteer de resourcegroep waarin uw Azure Red Hat OpenShift-cluster is geïmplementeerd.
    • Exemplaardetails
      • Voer een naam in voor uw Azure Private Link-service, zoals in het volgende voorbeeld: example-com-private-link.
      • Selecteer een regio voor uw Private Link.

  2. Op het tabblad Uitgaand Instellingen:

    • Stel de load balancer in op de interne load balancer van het cluster waarvoor u externe toegang inschakelt. De opties worden ingevuld in de vervolgkeuzelijst.

    • Stel het front-end-IP-adres van de Load Balancer in op het IP-adres van de Azure Red Hat OpenShift-ingangscontroller, die meestal eindigt op .254. Als u niet zeker weet, gebruikt u de volgende opdracht.

      az aro show -n <cluster-name> -g <resource-group> -o tsv --query ingressProfiles[].ip

    • Het bron-NAT-subnet moet het AzurePrivateLinkSubnet zijn dat u hebt gemaakt.

    • Er mogen geen items worden gewijzigd in uitgaande Instellingen.

  3. Op het tabblad Toegangsbeveiliging zijn geen wijzigingen vereist.

    • Selecteer Iedereen met uw alias op het Wie toegang tot uw service kunt aanvragen?
    • Voeg geen abonnementen toe voor automatische goedkeuring.

  4. Selecteer Beoordelen en maken op het tabblad Tags.

  5. Selecteer Maken om de Azure Private Link-service te maken en wacht tot het proces is voltooid.

  6. Wanneer de implementatie is voltooid, selecteert u Ga naar de resourcegroep onder Volgende stappen.

Voer in Azure Portal de Azure Private Link-service in die is geïmplementeerd. Behoud de alias die is gegenereerd voor de Azure Private Link-service. Deze wordt later gebruikt.

Domein registreren in Azure DNS

In deze sectie wordt uitgelegd hoe u een domein registreert in Azure DNS.

  1. Maak een globale Azure DNS-zone voor example.com.

  2. Maak een globale Azure DNS-zone voor apps.example.com.

  3. Let op de vier naamservers die aanwezig zijn in Azure DNS voor apps.example.com.

  4. Maak een nieuwe NS-recordset in de example.com zone die verwijst naar apps en geef de vier naamservers op die aanwezig waren toen de app-zone werd gemaakt.

Een nieuwe Azure Front Door Premium-service maken

Ga als volgt te werk om een nieuwe Azure Front Door Premium-service te maken:

  1. Selecteer Azure Front Door in Microsoft Azure Compare-aanbiedingen en selecteer vervolgens Doorgaan om een Front Door te maken.

  2. Selecteer op de pagina Een front door-profiel maken in de abonnementsresourcegroep> de resourcegroep waarin uw Azure Red Hat OpenShift-cluster is geïmplementeerd om uw Azure Front Door Premium-resource op te slaan.

  3. Geef uw Azure Front Door Premium-service de juiste naam. Voer bijvoorbeeld in het veld Naam de volgende naam in:

    example-com-frontdoor

  4. Selecteer de Premium-laag . De Premium-laag is de enige keuze die Ondersteuning biedt voor Azure Private Link.

  5. Kies voor eindpuntnaam een eindpuntnaam die geschikt is voor Azure Front Door.

    Voor elke geïmplementeerde toepassing wordt een CNAME gemaakt in de Azure DNS om naar deze hostnaam te verwijzen. Daarom is het belangrijk om een naam te kiezen die agnostisch is voor toepassingen. Voor beveiliging moet de naam geen toepassingen of architectuur voorstellen die u hebt geïmplementeerd, zoals voorbeeld01.

    De naam die u kiest, wordt voorafgegaan door het .z01.azurefd.net-domein .

  6. Selecteer Aangepast voor het type Oorsprong.

  7. Voer voor de hostnaam van de oorsprong de volgende tijdelijke aanduiding in:

    changeme.com

    Deze tijdelijke aanduiding wordt later verwijderd.

    Schakel in dit stadium de Azure Private Link-service, caching of het WAF-beleid (Web Application Firewall) niet in.

  8. Selecteer Beoordelen en maken om de Azure Front Door Premium-resource te maken en wacht tot het proces is voltooid.

Initiële configuratie van Azure Front Door Premium

Azure Front Door Premium configureren:

  1. Voer in Azure Portal de Azure Front Door Premium-service in die is geïmplementeerd.

  2. Wijzig het eindpunt in het venster Endpoint Manager door het eindpunt bewerken te selecteren.

  3. Verwijder de standaardroute, die is gemaakt als standaardroute.

  4. Sluit het venster Endpoint Manager .

  5. Verwijder in het venster Origin Groups de standaard origin-groep met de naam default-origin-group.

Een toepassingsroute beschikbaar maken in Azure Red Hat OpenShift

Azure Red Hat OpenShift moet zijn geconfigureerd om de toepassing te bedienen met dezelfde hostnaam die Azure Front Door extern beschikbaar maakt (*.apps.example.com). In ons voorbeeld maken we de toepassing Reserveringen beschikbaar met de volgende hostnaam:

reservations.apps.example.com

Maak ook een beveiligde route in Azure Red Hat OpenShift die de hostnaam beschikbaar maakt.

Azure DNS configureren

De Azure DNS configureren:

  1. Voer de DNS-zone voor openbare apps in die u eerder hebt gemaakt.

  2. Maak een nieuwe CNAME-recordset met de naam reservering. Deze CNAME-recordset is een alias voor ons Azure Front Door-voorbeeldeindpunt:

    example01.z01.azurefd.net

Azure Front Door Premium configureren

In de volgende stappen wordt uitgelegd hoe u Azure Front Door Premium configureert.

  1. Voer in Azure Portal de Azure Front Door Premium-service in die u eerder hebt gemaakt:

    example-com-frontdoor

In het venster Domeinen:

  1. Omdat alle DNS-servers worden gehost in Azure, laat u DNS-beheer ingesteld op door Azure beheerde DNS.

  2. Selecteer het voorbeelddomein:

    apps.example.com

  3. Selecteer de CNAME in ons voorbeeld:

    reservations.apps.example.com

  4. Gebruik de standaardwaarden voor HTTPS en minimale TLS-versie.

  5. Selecteer Toevoegen.

  6. Wanneer de validatiestat wordt gewijzigd in In behandeling, selecteert u In behandeling.

  7. Als u het eigendom van de DNS-zone wilt verifiëren, selecteert u Toevoegen voor de DNS-recordstatus.

  8. Selecteer Sluiten.

  9. Blijf vernieuwen selecteren totdat de validatiestatus van het domein wordt gewijzigd in Goedgekeurd en de eindpuntkoppeling verandert in Niet-gekoppeld.

In het venster Origin Groups:

  1. Selecteer Toevoegen.

  2. Geef uw origin-groep een geschikte naam, zoals Reservations-App.

  3. Selecteer Een oorsprong toevoegen.

  4. Voer de naam van de oorsprong in, zoals ARO-Cluster-1.

  5. Kies een type Oorsprong van Aangepast.

  6. Voer de FQDN-hostnaam (Fully Qualified Domain Name) in die is weergegeven in uw Azure Red Hat OpenShift-cluster, zoals:

    reservations.apps.example.com

  7. Schakel de Private Link-service in.

  8. Voer de alias in die is verkregen via de Azure Private Link-service.

  9. Selecteer Toevoegen om terug te keren naar het venster voor het maken van de oorspronkelijke groep.

  10. Selecteer Toevoegen om de oorspronkelijke groep toe te voegen en terug te keren naar Azure Portal.

Voer de volgende stappen uit om goedkeuring te verlenen aan de voorbeeld-com-private-link. Dit is de Azure Private Link-service die u eerder hebt gemaakt.

  1. Schakel op het tabblad Privé-eindpuntverbindingen het selectievakje in dat nu bestaat uit de resource die wordt beschreven vanuit AFD.

  2. Selecteer Goedkeuren en selecteer vervolgens Ja om de goedkeuring te controleren.

Azure Front Door Premium-configuratie voltooien

In de volgende stappen wordt uitgelegd hoe u de configuratie van Azure Front Door Premium voltooit.

  1. Voer in Azure Portal de Azure Front Door Premium-service in die u eerder hebt gemaakt:

    example-com-frontdoor

  2. Selecteer in het venster Endpoint Manager het eindpunt bewerken om het eindpunt te wijzigen.

  3. Selecteer +Toevoegen onder Routes.

  4. Geef uw route een geschikte naam, zoals Reservations-App-Route-Config.

  5. Selecteer onder Domeinen onder Beschikbare gevalideerde domeinen de volledig gekwalificeerde domeinnaam, bijvoorbeeld:

    reservations.apps.example.com

  6. Als u HTTP-verkeer wilt omleiden om HTTPS te gebruiken, laat u het selectievakje Omleiden ingeschakeld.

  7. Selecteer onder Origin-groep Reserveringen-App, de oorspronkelijke groep die u eerder hebt gemaakt.

  8. U kunt caching inschakelen, indien van toepassing.

  9. Selecteer Toevoegen om de route te maken. Nadat de route is geconfigureerd, vult Endpoint Manager de deelvensters Domeinen en Origin-groepen in met de andere elementen die voor deze toepassing zijn gemaakt.

Omdat Azure Front Door een globale service is, kan het tot 30 minuten duren voordat de toepassing wordt geïmplementeerd. Gedurende deze tijd kunt u ervoor kiezen om een WAF te maken voor uw toepassing. Wanneer uw toepassing live gaat, kan deze worden geopend met behulp van de URL die in dit voorbeeld wordt gebruikt:

https://reservations.apps.example.com

Volgende stappen

Maak een Azure Web Application Firewall in Azure Front Door met behulp van Azure Portal:

Zelfstudie: Een Web Application Firewall-beleid maken in Azure Front Door met behulp van Azure Portal