Группа безопасности сети для пересылки Azure Ingress TCP

Question

Я создал службу Ingress, которая перенаправляет TCP-порт 22 в службу в моем кластере. Как и каждый входящий трафик разрешен.

Я хотел бы знать, возможно ли определить правила NSG, чтобы запретить доступ только к определенной подсети. Мне удалось определить это правило с помощью интерфейса Azure. Однако каждый раз, когда служба Ingress редактируется, правила группы сетевой безопасности возвращаются.

Спасибо!

Answer 1

Я думаю, что было бы какое-то недопонимание по поводу NSG в AKS.Итак, сначала давайте взглянем на сеть AKS. Kubernetes использует Сервисы для логической группировки набора модулей и обеспечения сетевого подключения.См. AKS Service для получения более подробной информации.А при создании служб платформа Azure автоматически настраивает любые необходимые правила группы безопасности сети.

Не настраивайте правила группы безопасности сети вручную для фильтрации трафика для модулей в кластере AKS.

Подробнее см. NSG в AKS .Таким образом, в этой ситуации вам не нужно управлять правилом в NSG вручную.

Но не волнуйтесь, вы также можете управлять правилами для ваших модулей по своему усмотрению.См. Безопасный трафик между модулями с использованием сетевых политик в Azure Kubernetes Service .Вы можете установить механизм сетевых политик Calico и создать сетевые политики Kubernetes для управления потоком трафика между модулями в AKS.Хотя это просто предварительная версия, она также может помочь вам с тем, что вы хотите.Но помните, что сетевая политика может быть включена только при создании кластера.

Answer 2

Да!это определенно возможно.Azure NSG предназначен для подсетей и сетевых карт.Вы можете определить CIDR в правиле NSG, чтобы разрешить / запретить трафик на желаемом порту и применить его к NIC и подсети.Следует предостеречь о наличии соответствующих правил на уровне подсети и сетевого адаптера, если кластер находится в одной подсети.В противном случае трафик будет заблокирован внутри и не будет выходить.Этот документ лучше всего описывает их https://blogs.msdn.microsoft.com/igorpag/2016/05/14/azure-network-security-groups-nsg-best-practices-and-lessons-learned/.