Compartir a través de

Traiga su propio grupo de seguridad de red (NSG) a un clúster de Red Hat OpenShift (ARO) en Azure

  • Artículo

Normalmente, al configurar un clúster ARO, debe designar un grupo de recursos para implementar el objeto de clúster ARO (denominado Grupo de recursos base en el diagrama siguiente). En estos escenarios, puede usar el mismo grupo de recursos para la red virtual (VNET) y el clúster, o puede optar por un grupo de recursos independiente únicamente para la red virtual. Ninguno de estos grupos de recursos corresponde directamente a un único clúster ARO, lo que le concede un control total sobre ellos. Esto significa que puede crear, modificar o eliminar recursos libremente dentro de estos grupos de recursos.

Durante el proceso de creación del clúster, el proveedor de recursos (RP) de ARO establece un grupo de recursos dedicado específico de las necesidades del clúster. Este grupo alberga varios recursos específicos del clúster, como máquinas virtuales de nodo, equilibradores de carga y grupos de seguridad de red (NSG), como se muestra en el grupo de recursos administrados en el diagrama siguiente. El grupo de recursos administrado está estrechamente protegido, lo que prohíbe cualquier modificación en su contenido, incluido el grupo de seguridad de red vinculado a las subredes de red virtual especificadas durante la creación del clúster. En algunas situaciones, el grupo de seguridad de red generado por el RP de ARO podría no cumplir las directivas de seguridad de determinadas organizaciones.

Diagrama que muestra información general sobre cómo funcionan los grupos de seguridad de red en un clúster ARO típico.

En este artículo se muestra cómo usar la característica "traiga su propio" grupo de seguridad de red (NSG) para adjuntar su propio grupo de seguridad de red preconfigurado que resida en el grupo de recursos (RG) de base/de red virtual (que se muestra en el diagrama siguiente como BYO-NSG) a las subredes del clúster ARO. Dado que posee este grupo de seguridad de red preconfigurado, puede agregar o quitar reglas durante la vigencia del clúster ARO.

Diagrama que muestra información general sobre cómo funciona traer su propio grupo de seguridad de red en Red Hat OpenShift en Azure.

Funcionalidades y limitaciones generales

  • Debe adjuntar los NSG preconfigurados a subredes maestras y de trabajo antes de crear el clúster. Si no se adjuntan los NSG preconfigurados a ambas subredes, se produce un error.

  • Puede optar por usar los mismos grupos de seguridad de red preconfigurados o diferentes para subredes maestras y de trabajo.

  • Al usar su propio grupo de seguridad de red, el RP de ARO todavía crea un NSG en el grupo de recursos administrado (NSG predeterminado), pero ese grupo de seguridad de red no está asociado a las subredes de trabajo o maestras.

  • No se puede habilitar la característica de NSG preconfigurada en un clúster ARO existente. Actualmente, esta característica solo se puede habilitar en el momento de la creación del clúster.

  • La opción NSG preconfigurada no se puede configurar desde Azure Portal.

  • Si usó esta característica durante la versión preliminar, los clústeres preconfigurados existentes ahora son totalmente compatibles.

Nota:

Si usa la característica "traiga su propio" grupo de seguridad de red y quiere usar los registros de flujo del grupo de seguridad de red, consulte Registro de flujo de los grupos de seguridad de red en la documentación de Azure Network Watcher, en lugar de la documentación sobre los registros de flujo específicos de ARO (que no funcionará con la característica traiga su propio grupo de seguridad de red).

Usar reglas

Advertencia

Los NSG preconfigurados no se actualizan automáticamente con reglas al crear servicios de tipo Kubernetes LoadBalancer o rutas OpenShift dentro del clúster ARO. Por lo tanto, debe actualizar estas reglas manualmente, según sea necesario. Este comportamiento es diferente del comportamiento de ARO original, donde el NSG predeterminado se actualiza mediante programación en tales situaciones.

  • El grupo de seguridad de red del clúster ARO predeterminado (no asociado a ninguna subred mientras usa esta característica) se seguirá actualizando con reglas al crear servicios de tipo Kubernetes LoadBalancer o rutas OpenShift dentro del clúster ARO.

  • Puede desasociar los NSG preconfigurados de las subredes del clúster creados con esta característica. Da como resultado un clúster con subredes que no tienen NSG. A continuación, puede adjuntar un conjunto diferente de grupos de seguridad de red preconfigurados al clúster. Como alternativa, puede adjuntar el grupo de seguridad de red predeterminado de ARO a las subredes del clúster (en cuyo caso su clúster será como cualquier otro clúster que no utilice esta característica).

  • Los NSG preconfigurados no deben tener reglas INBOUND/OUTBOUND DENY de los siguientes tipos, ya que pueden interferir con el funcionamiento del clúster o impedir que los equipos de soporte técnico/SRE de ARO proporcionen soporte técnico o administración. (Aquí, el término subred indica cualquiera o todas las direcciones IP de la subred y todos los puertos correspondientes a esa subred):

    • Subred maestra ←→ Subred maestra

    • Subred de trabajo ←→ Subred de trabajo

    • Subred maestra ←→ Subred de trabajo

    • Las reglas mal configuradas dan lugar a una señal usada por Azure Monitor para ayudar a solucionar problemas de NSG preconfigurados.

  • Para permitir el tráfico entrante al clúster público de ARO, establezca las siguientes reglas INBOUND ALLOW (o equivalentes) en el grupo de seguridad de red. Consulte el grupo de seguridad de red predeterminado del clúster para obtener detalles específicos y el grupo de seguridad de red de ejemplo que se muestra en Implementación. Puede crear un clúster incluso sin estas reglas en el grupo de seguridad de red.

    • Para el acceso al servidor de API → Desde Internet (o las direcciones IP de origen preferidas) al puerto 6443 en la subred maestra.
    • Para acceder al enrutador OpenShift (y, por lo tanto, a la consola OpenShift y a las rutas OpenShift) → Desde Internet (o las direcciones IP de origen preferidas) a los puertos 80 y 443 en la dirección IP pública v4 predeterminada en el equilibrador de carga público del clúster.
    • Para acceder a cualquier servicio Kubernetes de tipo Equilibrador de carga → Desde Internet (o las direcciones IP de origen preferidas) a los puertos de servicio en la dirección IP pública correspondiente al servicio en el equilibrador de carga público del clúster.

Implementación

Crear una red virtual, y crear y configurar el grupo de seguridad de red preconfigurado

  1. Cree una red virtual y, a continuación, cree subredes maestras y de trabajo dentro de ella.

  2. Cree grupos de seguridad de red preconfigurados con reglas predeterminadas (o sin reglas) y adjúntelos a las subredes maestras y de trabajo.

Crear un clúster ARO y actualizar grupos de seguridad de red preconfigurados

  1. Cree el clúster.

    az aro create \
--resource-group BASE_RESOURCE_GROUP_NAME \
--name CLSUTER_NAME \
--vnet VNET_NAME \
--master-subnet MASTER_SUBNET_NAME \
--worker-subnet WORKER_SUBNET_NAME \
--client-id CLUSTER_SERVICE_PRINCIPAL_ID \
--client-secret CLUSTER_SERVICE_PRINCIPAL_SECRET \
--enable-preconfigured-nsg

  2. Actualice los NSG preconfigurados con reglas según sus necesidades teniendo en cuenta también los puntos mencionados en Funcionalidades y limitaciones.

    En el ejemplo siguiente se incluye el equilibrador de carga público del clúster, como se muestra en la salida de la CLI/captura de pantalla:

    Captura de pantalla del equilibrador de carga público del clúster, tal como se muestra con la salida del comando. 

    $ oc get svc | grep tools
tools LoadBalancer 172.30.182.7 20.141.176.3 80:30520/TCP 143m
$ $ oc get svc -n openshift-ingress | grep Load
router-default LoadBalancer 172.30.105.218 20.159.139.208 80:31157/TCP,443:31177/TCP 
5d20

    Captura de pantalla que muestra las reglas de seguridad entrantes y salientes.