Architecture-center: Amankan aliran jaringan - Bagaimana cara kerjanya
Dalam diagram alur jaringan aman, diagram ini menggambarkan lalu lintas yang dimulai dari luar dalam warna hijau dan lalu lintas yang dimulai klaster dalam warna oranye: https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/containers/aks/secure-baseline -aks#aman -aliran -jaringan
Saya tidak melihat permintaan/tanggapan lalu lintas hijau akan berfungsi seperti pada diagram
Lalu lintas kembali hijau putus-putus harus melalui Azure Firewall karena pengaturan UDR. Itu sebabnya dokumen AKS menyebutkan perlunya menggunakan NAT masuk di Az Firewall
Terima kasih,
Mahmud
Detail Dokumen
Jangan edit bagian ini.
- ID: 46723a24-75ac-f6e2-c172-d3827ca0b7d6
- Versi ID Independen: c975744e-e594-5667-14b3-c38824bbe24c
- Konten: Arsitektur dasar untuk cluster Azure Kubernetes Service (AKS) - Pusat Arsitektur Azure
- Sumber Konten: docs/reference-architectures/containers/aks/secure-baseline-aks.md
- Layanan: pusat arsitektur
- Sub-layanan: referensi-arsitektur
- Masuk GitHub: @PageWriter-MSFT
- Microsoft Alias : pnp
melzayet
Semua 4 komentar
Terima kasih telah melaporkan - masalah ini sedang ditinjau. Ini adalah ID Bug DevOps Internal Microsoft AB#271079
absheik
pada 21 Jul 2020
Terima kasih telah menghubungi @melzayet. Kedua arus lalu lintas tersebut berasal dari sumber yang berbeda. Alur (hijau) teratas adalah lalu lintas HTTP yang ditujukan untuk beban kerja cluster Anda (aplikasi web/api, dll) yang berjalan pada node dalam cluster. respons HTTP untuk permintaan tersebut akan keluar kembali ke WAF dan ke klien.
Aliran bawah (oranye) adalah lalu lintas yang berasal dari subnet yang berisi node. Ini akan menjadi lalu lintas keluar ke pendaftar penampung eksternal, server API Kubernetes, dll. Pada dasarnya semua lalu lintas yang berasal dari klaster yang ingin kami lindungi dengan aturan firewall keluar perusahaan kami.
Karena lalu lintas berasal dari luar jaringan yang diatur UDR dan fakta bahwa kami menggunakan penyeimbang beban _internal_ di subnet terpisah, dibutuhkan jalur kembali yang sama. Aturan UDR berlaku untuk lalu lintas yang berasal dalam cakupannya.
Juga, untuk lebih jelasnya, solusi ini hanya menyajikan solusi untuk kuncian jalan keluar (sebagaimana didefinisikan sebagai lalu lintas yang berasal dari kluster), tidak menyalurkan masuk dan keluar melalui firewall.
Saya berasumsi bagian DNAT yang Anda bicarakan berasal dari bagian ini di dokumen AKS ( khususnya this ). Dalam hal ini, mereka juga memaksa semua lalu lintas masuk juga mengalir melalui firewall. Dalam kasus mereka, mereka menggunakan penyeimbang beban _public_ untuk masuk, solusi kami TIDAK menggunakan penyeimbang beban publik untuk masuk. Kami melakukan kontak dengan AAG, yang kemudian dirutekan melalui penyeimbang beban _internal_ di subnet ingress khusus, yang kemudian tidak akan tunduk pada masalah perutean asimetris. Jika Anda mengekspos layanan Anda secara langsung melalui IP penyeimbang beban publik, maka Anda pasti akan mengalami masalah perutean asimetris.
Beri tahu saya jika saya dapat membantu mengklarifikasi lagi - saya tahu ini tampaknya agak "berlawanan dengan intuisi". Jangan ragu untuk menerapkan menggunakan implementasi referensi, di akhir perjalanan itu Anda akan memiliki situs web tempat lalu lintas HTTP beban kerja ditangani melalui rute masuk (Klien -> WAF -> LB internal -> nodepool -> WAF -> Klien) dan lalu lintas yang berasal dari cluster (nodepool -> FW -> sumber daya eksternal -> FW -> nodepool) ditangani melalui rute jalan keluar.
ckittel
pada 22 Jul 2020
@ckittel Terima kasih telah berbagi wawasan tentang ini! Saya menyerahkan masalah ini kepada Anda.
PramodValavala-MSFT
pada 22 Jul 2020
@ckittel terima kasih banyak atas jawaban yang detail dan informatif. Saya pikir kebingungan saya berasal dari masalah asimetris tetapi Anda mengklarifikasi dengan sangat baik. Sekali lagi terima kasih telah meluangkan waktu
melzayet
pada 22 Jul 2020
Masalah terkait
joslat
·
4Komentar
bagira-kr
·
8Komentar
t2kx
·
4Komentar
simonbrowndotje
·
8Komentar
adrianwells
·
5Komentar