Compartilhar via

Clusters do Serviço de Kubernetes do Azure (AKS) isolados de rede (versão prévia)

  • Artigo

As organizações geralmente têm requisitos de segurança e conformidade rigorosos para regular o tráfego de rede de saída de um cluster para eliminar riscos de exfiltração de dados. Por padrão, os clusters do Serviço de Kubernetes do Azure (AKS) têm acesso irrestrito à Internet de saída. Esse nível de acesso à rede permite que os nós e os serviços que você executa acessem recursos externos, conforme necessário. Se quiser restringir o tráfego de saída, um número limitado de portas e endereços precisar estar acessível para manter a integridade das tarefas de manutenção de cluster. O documento conceitual sobre as regras de saída de rede e FQDN para clusters do AKS fornece uma lista de pontos de extremidade necessários para o cluster do AKS e seus complementos e recursos opcionais.

Uma solução para restringir o tráfego de saída do cluster é usar um dispositivo de firewall para restringir o tráfego com base em nomes de domínio. Configurar um firewall manualmente com as regras de saída e FQDNs necessárias é um processo trabalhoso e complicado.

Outra solução, um cluster do AKS isolado de rede (versão prévia), simplifica a configuração de restrições de saída para um cluster pronto para uso. O operador de cluster pode configurar incrementalmente o tráfego de saída permitido para cada cenário que deseja habilitar. Um cluster do AKS isolado de rede reduz, assim, o risco de exfiltração de dados.

Importante

As versões prévias do recurso AKS estão disponíveis em uma base de autoatendimento e aceitação. As visualizações são fornecidas "como estão" e "conforme disponíveis" e estão excluídas dos acordos de nível de serviço e da garantia limitada. As versões prévias do AKS são parcialmente cobertas pelo suporte ao cliente em uma base de melhor esforço. Dessa forma, esses recursos não são destinados ao uso em produção. Para obter mais informações, consulte os seguintes artigos:

Como funciona um cluster isolado de rede

O diagrama a seguir mostra a comunicação de rede entre dependências para um cluster do AKS isolado de rede.

Diagrama de tráfego do cluster do AKS isolado de rede.

Os clusters do AKS extrai as imagens necessárias para o cluster e seus recursos ou complementos do Registro de Artefato da Microsoft (MAR). Essa extração de imagem permite que o AKS forneça versões mais recentes dos componentes do cluster e também resolva vulnerabilidades críticas de segurança. Um cluster isolado de rede tenta extrair essas imagens de uma instância privada do Registro de Contêiner do Azure (ACR) conectada ao cluster em vez de extraí-las do MAR. Se as imagens não estiverem presentes, o ACR privado as extrairá do MAR e as servirá por meio de seu ponto de extremidade privado, eliminando a necessidade de ativar a saída do cluster para o ponto de extremidade público do MAR.

As seguintes opções têm suporte para um ACR privado com clusters isolados de rede:

  • ACR gerenciado pelo AKS - O AKS cria, gerencia e reconcilia um recurso ACR nessa opção. Você não precisa atribuir permissões ou gerenciar o ACR. O AKS gerencia as regras de cache, o link privado e o ponto de extremidade privado usados no cluster isolado de rede. Um ACR gerenciado pelo AKS segue o mesmo comportamento de outros recursos (tabela de rotas, Conjuntos de Dimensionamento de Máquinas Virtuais do Azure, etc.) no grupo de recursos de infraestrutura. Para evitar o risco de falha dos componentes do cluster ou da inicialização de novos nós, não atualize ou exclua o ACR, suas regras de cache ou suas imagens do sistema. O ACR gerenciado pelo AKS é continuamente reconciliado para que os componentes do cluster e novos nós funcionem como esperado.

    Observação

    Após excluir um cluster do AKS isolado de rede, recursos relacionados, como o ACR gerenciado pelo AKS, link privado e ponto de extremidade privado, serão excluídos automaticamente.

  • Traga seu próprio ACR (BYO) - A opção BYO ACR requer a criação de um ACR com um link privado entre o recurso ACR e o cluster do AKS. Confira Conectar-se de forma privada a um registro de contêiner do Azure usando o Link Privado do Azure para entender como configurar um ponto de extremidade privado para seu registro.

    Observação

    Ao excluir o cluster do AKS, o BYO ACR, link privado e ponto de extremidade privado não serão excluídos automaticamente. Se você adicionar imagens personalizadas e regras de cache ao BYO ACR, elas persistirão após a reconciliação do cluster, depois você desabilitar o recurso ou após excluir o cluster do AKS.

Ao criar um cluster do AKS isolado de rede, você poderá escolher um dos seguintes modos de cluster privado:

  • Cluster do AKS baseado em link privado - O plano de controle ou servidor de API está em um grupo de recursos do Azure gerenciado pelo AKS, e seu pool de nós está no seu grupo de recursos. O servidor e o pool de nós podem se comunicar entre si por meio do serviço de Link Privado do Azure na rede virtual do servidor de API e um ponto de extremidade privado que é exposto na sub-rede do seu cluster do AKS.
  • Integração da VNet do Servidor de API (versão prévia) - Um cluster configurado com Integração da VNet do Servidor de API projeta o ponto de extremidade do servidor de API diretamente em uma sub-rede delegada na rede virtual em que o AKS está implantado. A Integração de VNet do Servidor de API permite a comunicação de rede entre o servidor de API e os nós de cluster, sem a necessidade de um túnel ou um link privado.

Limitações

Perguntas frequentes

Qual é a diferença entre o cluster isolado de rede e o Firewall do Azure?

Um cluster isolado de rede não requer nenhum tráfego de saída além da VNet durante todo o processo de inicialização do cluster. Um cluster isolado de rede terá o tipo de saída como none ou block. Se o tipo de saída estiver definido como none, o AKS não configurará nenhuma conexão de saída para o cluster, permitindo que o usuário as configure por conta própria. Se o tipo de saída estiver definido como block, todas as conexões de saída serão bloqueadas.

Normalmente, um firewall forma uma barreira entre uma rede confiável e uma rede não confiável, como a Internet. O Firewall do Azure, por exemplo, pode restringir o tráfego HTTP e HTTPS de saída com base no FQDN do destino, proporcionando um controle refinado do tráfego de saída, mas ao mesmo tempo permite que você forneça acesso aos FQDNs que abrangem as dependências de saída de um cluster do AKS (algo que os NSGs não podem fazer). Por exemplo, você pode definir o tipo de saída do cluster para userDefinedRouting para forçar o tráfego de saída através do firewall e, em seguida, configurar restrições de FQDN no tráfego de saída.

Em resumo, enquanto o Firewall do Azure pode ser usado para definir restrições de saída em clusters com solicitações de saída, os clusters isolados de rede vão além na postura segura por padrão, eliminando ou bloqueando as solicitações de saída por completo.

Preciso configurar algum ponto de extremidade de lista de permissões para o cluster isolado de rede funcionar?

As etapas de criação e inicialização do cluster não requerem nenhum tráfego de saída do cluster isolado de rede. As imagens necessárias para os componentes e complementos do AKS são extraídas do ACR privado conectado ao cluster, em vez de serem extraídas do Registro de Artefato da Microsoft (MAR) por meio de pontos de extremidade públicos.

Após configurar um cluster isolado de rede, se você quiser habilitar recursos ou complementos que precisam fazer solicitações de saída para seus pontos de extremidade de serviço, pontos de extremidade privados poderão ser configurados para os serviços da plataforma Link Privado do Azure.

Posso atualizar pacotes manualmente para atualizar a imagem do pool de nós?

Não há suporte para a atualização manual de pacotes com base na saída para os repositórios de pacotes. Em vez disso, você pode atualizar automaticamente suas imagens do SO do nó. Há suporte apenas para o canal de atualização automática do SO do nó NodeImage para clusters isolados de rede.

Próximas etapas