Azure AKS accede solo dalla lan interna

0

Ho una domanda e non riesco davvero a trovare una risposta o una query di Google per iniziare a cercare ..

Ho gestito Azure K8s (Azure AKS) ed è accessibile via internet https://somek8scluster.azureregion.azmk8s.io e voglio / devo poterlo accedere da una sottorete specifica. Per tutte le altre cose che sto facendo con NSG, ma come "collegare" NSG a questo oggetto Azure AKS? Posso bloccare l'accesso a nodi e altre risorse che Azure AKS sta creando nel suo fittizio RG, ma il cluster stesso è accessibile da Internet :)

Ho provato con Application Gateway ma non funziona davvero, perché Azure AKS "non ha" una sottorete, posso scegliere le sottoreti dei nodi, ecc.

Spero di averlo scritto chiaramente, se hai domande per i dettagli, ti preghiamo di chiedere. Alla ricerca di qualsiasi guida, indichi dove cercare la soluzione.

networking  azure 
Smeedoo
fonte

Risposte:

1

In realtà, se vuoi fare qualcosa con la rete virtuale associata all'AKS, dovresti usare la rete avanzata per AKS quando la crei.

Naturalmente, è possibile utilizzare Application Gateway per l'AKS e bloccare l'accesso con il gruppo di sicurezza di rete. Per maggiori dettagli sui passaggi, vedere Bilanciatori di carico interni con Application Gateway (AKS) .

Inoltre, è possibile accedere all'applicazione al suo interno da una sottorete specifica se si crea l'applicazione con un bilanciamento del carico interno .

Spero che questo ti possa aiutare.

Charles Xu
fonte
È sufficiente creare servizi con tipo interno in Azure per proteggere i servizi da Internet, ma i collegamenti forniti non risolvono il mio problema, voglio proteggere il mio cluster stesso, se guardi kube config per Azure AKS è un nome DNS pubblico fornito di Azure e tutti possono accedervi. Ovviamente è protetto con RBAC ed ecc., Ma se incontriamo qualche exploit Auth può essere vulnerabile ..
Smeedoo,
Ma se il cluster AKS non può accedere da Internet, come lo gestisci? Per il cluster AKS, esiste solo il nodo master con l'IP pubblico mentre i nodi agent non lo hanno.
Charles Xu,
Non potrò gestirlo solo dalla mia lan / vpn interna. Inoltre, i servizi non saranno esposti a Internet.
Smeedoo,
Se vuoi solo usare il cluster Kubernetes in una rete privata, forse AKS non è adatto a te. Suggerisco che puoi semplicemente creare il cluster Kubernetes con le macchine virtuali di Azure.
Charles Xu,
Azure AKS è molto meno supporto e mal di testa :)
Smeedoo,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.