Share via

Schützen des Zugriffs auf Azure Red Hat OpenShift mit Azure Front Door

  • Artikel

In diesem Artikel wird erläutert, wie sie Azure Front Door Premium verwenden, um den Zugriff auf Azure Red Hat OpenShift-Anwendungen zu schützen.

Voraussetzungen

Die folgenden Voraussetzungen müssen erfüllt sein:

  • Sie verfügen über ein Azure Red Hat OpenShift-Cluster. Führen Sie die Schritte in diesem Leitfaden aus, um einen privaten Azure Red Hat OpenShift-Cluster zu erstellen.

  • Der Cluster ist mit privater Sichtbarkeit von eingehendem Datenverkehr konfiguriert.

  • Ein benutzerdefinierter Domänenname wird verwendet, z. B.:

    example.com

Hinweis

Im Anfangszustand ist das DNS nicht konfiguriert. Es werden keine Anwendungen extern aus dem Azure Red Hat OpenShift-Cluster verfügbar gemacht.

In diesem Abschnitt wird erläutert, wie Sie einen Azure Private Link-Dienst erstellen. Ein Azure Private Link-Dienst ist ein Verweis auf Ihren eigenen Dienst, der von Azure Private Link unterstützt wird.

Ihr Dienst, der hinter Azure Load Balancer Standard ausgeführt wird, kann für den Zugriff auf Private Link aktiviert werden, sodass die Nutzer Ihres Dienstes privat über ihre eigenen VNETs darauf zugreifen können. Ihre Kunden können einen privaten Endpunkt in ihrem VNet erstellen und diesem Dienst zuordnen.

Weitere Informationen zum Azure Private Link-Dienst und seiner Verwendung finden Sie unter Was ist der Azure Private Link-Dienst?.

Erstellen Sie ein AzurePrivateLinkSubnet. Dieses Subnetz enthält eine Netzmaske, die die Sichtbarkeit des Subnetzes auf die Steuerungsebene und die Workerknoten des Azure-Clusters zulässt. Delegieren Sie dieses neue Subnetz nicht an Dienste und konfigurieren Sie keine Dienstendpunkte.

Wenn das virtuelle Netzwerk beispielsweise 10.10.0.0/16 ist und:

  • Das vorhandene Subnetz der Azure Red Hat OpenShift-Steuerungsebene 10.10.0.0/24 ist
  • Das vorhandene Azure Red Hat OpenShift-Workersubnetz 10.10.1.0/24 ist
  • Das neue AzurePrivateLinkSubnet 10.10.2.0/24 ist

Erstellen Sie unter Azure Private Link-Dienst einen neuen Private Link-Dienst, wie in den folgenden Schritten erläutert wird:

  1. Konfigurieren Sie auf der Registerkarte Grundlegende Einstellungen die folgenden Optionen:

    • Projektdetails
      • Wählen Sie Ihr Azure-Abonnement.
      • Wählen Sie die Ressourcengruppe aus, in der Ihr Azure Red Hat OpenShift-Cluster bereitgestellt wurde.
    • Instanzendetails
      • Geben Sie einen Namen für Ihren Azure Private Link-Dienst ein, wie im folgenden Beispiel dargestellt wird: example-com-private-link.
      • Wählen Sie eine Region für Ihren Private Link-Dienst aus.

  2. Auf der Registerkarte Einstellungen für Ausgehend:

    • Legen Sie Lastenausgleich auf den Lastenausgleich -internal des Clusters fest, für den Sie den externen Zugriff aktivieren. Die Optionen werden in der Dropdownliste aufgefüllt.

    • Legen Sie die Front-End-IP-Adresse des Lastenausgleichs auf die IP-Adresse des Azure Red Hat OpenShift-Controllers für eingehenden Datenverkehr fest, der in der Regel auf .254 endet. Wenn Sie sich nicht sicher sind, verwenden Sie den folgenden Befehl.

      az aro show -n <cluster-name> -g <resource-group> -o tsv --query ingressProfiles[].ip

    • Das NAT-Quellsubnetz sollte das von Ihnen erstellte AzurePrivateLinkSubnet sein.

    • Unter Einstellungen für Ausgehend sollten keine Elemente geändert werden.

  3. Auf der Registerkarte Zugriffssicherheit sind keine Änderungen erforderlich.

    • Klicken Sie an der Eingabeaufforderung Wer kann Zugriff auf Ihren Dienst anfordern? auf Jeder mit Ihrem Alias.
    • Fügen Sie keine Abonnements für die automatische Genehmigung hinzu.

  4. Klicken Sie auf der Registerkarte Tags auf Überprüfen und erstellen.

  5. Klicken Sie auf Erstellen, um den Azure Private Link-Dienst zu erstellen, und warten Sie dann, bis der Prozess abgeschlossen ist.

  6. Klicken Sie nach Abschluss der Bereitstellung unter Nächste Schritte auf Zu Ressourcengruppe wechseln.

Geben Sie im Azure-Portal den bereitgestellten Azure Private Link-Dienst ein. Behalten Sie den Alias bei, der für den Azure Private Link-Dienst generiert wurde. Dieser wird später noch benötigt.

Registrieren einer Domäne in Azure DNS

In diesem Abschnitt wird erläutert, wie Sie eine Domäne in Azure DNS registrieren.

  1. Erstellen Sie eine globale Azure DNS-Zone für „example.com“.

  2. Erstellen Sie eine globale Azure DNS-Zone für „apps.example.com“.

  3. Beachten Sie die vier Namenserver, die in Azure DNS für „apps.example.com“ vorhanden sind.

  4. Erstellen Sie ein neues NS-Recordset in der Zone „example.com“, die auf apps verweist, und geben Sie die vier Namenserver an, die beim Erstellen der apps-Zone vorhanden waren.

Erstellen eines neuen Azure Front Door Premium-Diensts

So erstellen Sie einen neuen Azure Front Door Premium-Dienst:

  1. Wählen Sie auf der Seite mit dem Vergleich der Microsoft Azure-Angebote die Option Azure Front Door und dann Mit Erstellung eines Front Door-Diensts fortfahren aus.

  2. Wählen Sie auf der Seite Front Door-Profil erstellen unter Abonnement>Ressourcengruppe die Ressourcengruppe aus, in der Ihr Azure Red Hat OpenShift-Cluster bereitgestellt wurde, um Ihre Azure Front Door Premium-Ressource zu speichern.

  3. Benennen Sie Ihren Azure Front Door Premium-Dienst entsprechend. Geben Sie beispielsweise im Feld Name den folgenden Namen ein:

    example-com-frontdoor

  4. Wählen Sie den Tarif Premium aus. Der Premium-Tarif ist die einzige Option, die Azure Private Link unterstützt.

  5. Wählen Sie unter Endpunktname einen Endpunktnamen aus, der für Azure Front Door geeignet ist.

    Für jede bereitgestellte Anwendung wird in Azure DNS ein CNAME erstellt, um auf diesen Hostnamen zu verweisen. Daher ist es wichtig, einen anwendungsunabhängigen Namen auszuwählen. Aus Sicherheitsgründen sollte der Name nicht Rückschlüsse auf die Anwendungen oder die Architektur zulassen, die Sie bereitgestellt haben, z. B. example01.

    Der von Ihnen gewählte Name wird der Domäne .z01.azurefd.net vorangestellt.

  6. Klicken Sie unter Ursprungstyp auf Benutzerdefiniert.

  7. Geben Sie unter Hostname des Ursprungs den folgenden Platzhalter ein:

    changeme.com

    Dieser Platzhalter wird später gelöscht.

    Aktivieren Sie an dieser Stelle nicht den Azure Private Link-Dienst, das Zwischenspeichern oder die WAF-Richtlinie (Web Application Firewall).

  8. Wählen Sie Überprüfen und erstellen aus, um die Azure Front Door Premium-Ressource zu erstellen, und warten Sie dann, bis der Prozess abgeschlossen ist.

Erstkonfiguration von Azure Front Door Premium

So konfigurieren Sie Azure Front Door Premium:

  1. Geben Sie im Azure-Portal den Azure Front Door Premium-Dienst ein, der bereitgestellt wurde.

  2. Ändern Sie im Fenster Endpoint Manager den Endpunkt, indem Sie auf Endpunkt bearbeiten klicken.

  3. Löschen Sie die Standardroute, die als default-route erstellt wurde.

  4. Schließen Sie das Fenster Endpoint Manager.

  5. Löschen Sie im Fenster Ursprungsgruppen die Standardursprungsgruppe mit dem Namen default-origin-group.

Verfügbarmachen einer Anwendungsroute in Azure Red Hat OpenShift

Azure Red Hat OpenShift muss so konfiguriert werden, dass die Anwendung mit demselben Hostnamen genutzt wird, den Azure Front Door extern verfügbar macht („*.apps.example.com“). In unserem Beispiel machen wir die Anwendung „reservations“ mit dem folgenden Hostnamen verfügbar:

reservations.apps.example.com

Erstellen Sie außerdem eine sichere Route in Azure Red Hat OpenShift, die den Hostnamen verfügbar macht.

Konfigurieren von Azure DNS

So konfigurieren Sie Azure DNS:

  1. Geben Sie die öffentliche DNS-Zone apps ein, die zuvor erstellt wurde.

  2. Erstellen Sie einen neuen CNAME-Eintragssatz namens reservation. Dieser CNAME-Eintragssatz ist ein Alias für unseren Azure Front Door-Beispielendpunkt:

    example01.z01.azurefd.net

Konfigurieren von Azure Front Door Premium

In den folgenden Schritten wird erläutert, wie sie Azure Front Door Premium konfigurieren.

  1. Geben Sie im Azure-Portal den Azure Front Door Premium-Dienst ein, den Sie vorher erstellt haben:

    example-com-frontdoor

Im Fenster Domänen:

  1. Da alle DNS-Server in Azure gehostet werden, belassen Sie die DNS-Verwaltung auf die Einstellung Verwaltetes Azure-DNS.

  2. Wählen Sie die Beispieldomäne aus:

    apps.example.com

  3. Wählen Sie in unserem Beispiel den CNAME aus:

    reservations.apps.example.com

  4. Verwenden Sie die Standardwerte für HTTPS und TLS-Mindestversion.

  5. Klicken Sie auf Hinzufügen.

  6. Wenn sich die Überprüfungsstatistik in Ausstehend ändert, klicken Sie auf Ausstehend.

  7. Um den Besitz der DNS-Zone zu authentifizieren, klicken Sie unter DNS-Eintragsstatus auf Hinzufügen.

  8. Wählen Sie Schließen aus.

  9. Klicken Sie wiederholt auf Aktualisieren, bis sich der Überprüfungsstatus der Domäne in Genehmigt und die Endpunktzuordnung in Nicht zugeordnet ändert.

Im Fenster Ursprungsgruppen:

  1. Klicken Sie auf Hinzufügen.

  2. Benennen Sie Ihre Ursprungsgruppe entsprechend, z. B. Reservations-App.

  3. Klicken Sie dann auf Ursprung hinzufügen.

  4. Geben Sie den Namen des Ursprungs ein, z. B. ARO-Cluster-1.

  5. Wählen Sie für den Ursprungstyp die Option Benutzerdefiniert aus.

  6. Geben Sie den FQDN-Hostnamen (Fully Qualified Domain Name) ein, der in Ihrem Azure Red Hat OpenShift-Cluster verfügbar gemacht wurde. Beispiel:

    reservations.apps.example.com

  7. Aktivieren Sie den Private Link-Dienst.

  8. Geben Sie den Alias ein, der vom Azure Private Link-Dienst abgerufen wurde.

  9. Klicken Sie auf Hinzufügen, um zum Erstellungsfenster der Ursprungsgruppe zurückzukehren.

  10. Klicken Sie auf Hinzufügen, um die Ursprungsgruppe hinzuzufügen und zum Azure-Portal zurückzukehren.

Führen Sie die folgenden Schritte aus, um die Genehmigung für example-com-private-link zu erteilen. Dies ist der Azure Private Link-Dienst, den Sie zuvor erstellt haben.

  1. Aktivieren Sie auf der Registerkarte Private Endpunktverbindungen das Kontrollkästchen, das jetzt in der als Von AFDS ausführen beschriebenen Ressource vorhanden ist.

  2. Klicken Sie auf Genehmigen und dann auf Ja, um die Genehmigung zu überprüfen.

Abschließen der Azure Front Door Premium-Konfiguration

In den folgenden Schritten wird erläutert, wie Sie die Konfiguration von Azure Front Door Premium abschließen.

  1. Geben Sie im Azure-Portal den Azure Front Door Premium-Dienst ein, den Sie vorher erstellt haben:

    example-com-frontdoor

  2. Um den Endpunkt zu ändern, klicken Sie im Fenster Endpoint Manager auf Endpunkt bearbeiten.

  3. Klicken Sie unter Routen auf +Hinzufügen.

  4. Geben Sie Ihrer Route einen geeigneten Namen, z. B. Reservations-App-Route-Config.

  5. Wählen Sie unter Domänen und dann unter Verfügbare überprüfte Domänen den vollqualifizierten Domänennamen aus. Beispiel:

    reservations.apps.example.com

  6. Lassen Sie das Kontrollkästchen Umleiten aktiviert, um HTTP-Datenverkehr zur Verwendung von HTTPS umzuleiten.

  7. Klicken Sie unter Ursprungsgruppe auf Reservations-App, die Ursprungsgruppe, die Sie zuvor erstellt haben.

  8. Sie können ggf. das Zwischenspeichern aktivieren.

  9. Klicken Sie auf Hinzufügen, um die Route zu erstellen. Nachdem die Route konfiguriert wurde, füllt der Endpoint Manager die Bereiche Domänen und Ursprungsgruppen mit den anderen Elementen auf, die für diese Anwendung erstellt wurden.

Da Azure Front Door ein globaler Dienst ist, kann die Bereitstellung der Anwendung bis zu 30 Minuten dauern. In der Zwischenzeit können Sie eine WAF für Ihre Anwendung erstellen. Wenn Ihre Anwendung live geht, kann über die in diesem Beispiel verwendete URL darauf zugegriffen werden:

https://reservations.apps.example.com

Nächste Schritte

Erstellen einer Azure Web Application Firewall-Instanz für Azure Front Door im Azure-Portal:

Tutorial: Erstellen einer Web Application Firewall-Richtlinie auf Azure Front Door im Azure-Portal