Bearbeiten

Freigeben über

Bereitstellen von AKS und API Management mit mTLS

Microsoft Entra ID
Azure Kubernetes Service (AKS)
Azure API Management
Azure Container Registry
Microsoft Defender für Cloud

Lösungsmöglichkeiten

In diesem Artikel ist ein Lösungsvorschlag beschrieben. Ihr Cloudarchitekt kann diesen Leitfaden verwenden, um die Hauptkomponenten einer typischen Implementierung dieser Architektur zu visualisieren. Verwenden Sie diesen Artikel als Ausgangspunkt, um eine gut durchdachte Lösung zu entwerfen, die den spezifischen Anforderungen Ihrer Workload entspricht.

Diese Lösung veranschaulicht, wie Sie Azure Kubernetes Service (AKS) und Azure API Management über mTLS (Mutual TLS) in eine Architektur integrieren, die End-to-End-Verschlüsselung bietet.

Aufbau

Diagramm: Architektur für die Integration von AKS und API Management über mTLS

Laden Sie eine Visio-Datei dieser Architektur herunter.

Datenfluss

  1. Ein Benutzer stellt über das Internet eine Anforderung an den Anwendungsendpunkt.
  2. Azure Application Gateway empfängt Datenverkehr als HTTPS und präsentiert dem Benutzer ein PFX-Zertifikat, das zuvor aus Azure Key Vault geladen wurde.
  3. Application Gateway verwendet private Schlüssel zum Entschlüsseln des Datenverkehrs (SSL-Auslagerung), führt Firewallüberprüfungen von Webanwendungen durch und verschlüsselt den Datenverkehr mithilfe öffentlicher Schlüssel neu (End-to-End-Verschlüsselung).
  4. Application Gateway wendet Regeln und Back-End-Einstellungen basierend auf dem Back-End-Pool an und sendet Datenverkehr über HTTPS an den API Management-Back-End-Pool.
  5. API Management wird im internen virtuellen Netzwerkmodus (nur Entwickler- oder Premium-Tarif) mit einer privaten IP-Adresse bereitgestellt. Es empfängt Datenverkehr als HTTPS mit PFX-Zertifikaten für benutzerdefinierte Domänen.
  6. Microsoft Entra ID stellt die Authentifizierung bereit und wendet API Management-Richtlinien über die OAuth- und Clientzertifikatüberprüfung an. Zum Empfangen und Überprüfen von Clientzertifikaten über HTTP/2 in API Management müssen Sie Clientzertifikat aushandeln auf dem Blatt Benutzerdefinierte Domänen in API Management aktivieren.
  7. API Management sendet Datenverkehr über HTTPS an einen Eingangsdatencontroller für einen privaten AKS-Cluster.
  8. Der AKS-Eingangsdatencontroller empfängt den HTTPS-Datenverkehr und überprüft das PEM-Serverzertifikat und den privaten Schlüssel. Die meisten Eingangsdatencontroller auf Unternehmensebene unterstützen mTLS. Beispiele hierfür sind NGINX und AGIC.
  9. Der Eingangsdatencontroller verarbeitet TLS-Geheimnisse (Kubernetes-Geheimnisse) mithilfe von cert.pem und key.pem. Der Eingangsdatencontroller entschlüsselt den Datenverkehr mithilfe eines privaten Schlüssels (ausgelagert). Für die Geheimnisverwaltung mit erweiterter Sicherheit, die auf Anforderungen basiert, ist die CSI-Treiberintegration mit AKS verfügbar.
  10. Der Eingangsdatencontroller verschlüsselt den Datenverkehr mithilfe privater Schlüssel erneut und sendet Datenverkehr über HTTPS an AKS-Pods. Je nach Ihren Anforderungen können Sie AKS-Eingangsvorgänge als HTTPS-Back-End oder Passthrough konfigurieren.

Komponenten

  • Application Gateway. Application Gateway ist ein Lastenausgleich für Webdatenverkehr, mit dem Sie den eingehenden Datenverkehr für Webanwendungen verwalten können.
  • AKS. AKS bietet vollständig verwaltete Kubernetes-Cluster für die Bereitstellung, Skalierung und Verwaltung containerisierter Anwendungen.
  • Azure Container Registry: Container Registry ist ein verwalteter, privater Docker-Registrierungsdienst in Azure. Sie können Container Registry zum Speichern von privaten Docker-Images verwenden, die im Cluster bereitgestellt werden.
  • Microsoft Entra ID. Wenn AKS mit Microsoft Entra ID integriert ist, können Sie Microsoft Entra-Benutzer*innen, -Gruppen oder -Dienstprinzipale als Entitäten bei der Kubernetes-RBAC verwenden, um AKS-Ressourcen zu verwalten.
    • Verwaltete Identitäten. Durch verwaltete Microsoft Entra-Identitäten müssen keine Anmeldeinformationen wie Zertifikate, Geheimnisse und Schlüssel mehr verwaltet werden.
  • Azure SQL-Datenbank. SQL-Datenbank ist ein vollständig verwalteter und intelligenter relationaler Datenbankdienst, der für die Cloud entwickelt wurde. Sie können SQL-Datenbank verwenden, um eine leistungsstarke Datenspeicherebene mit Hochverfügbarkeit für Ihre modernen Cloudanwendungen zu erstellen.
  • Azure Cosmos DB. Azure Cosmos DB ist ein vollständig verwalteter NoSQL-Datenbankdienst zum Erstellen und Modernisieren von skalierbaren Hochleistungsanwendungen.
  • API Management. Sie können API Management verwenden, um APIs für Ihre Entwickler, Partner und Mitarbeiter zu veröffentlichen.
  • Azure Private Link: Private Link bietet Zugriff auf PaaS-Dienste, die in Azure gehostet werden, sodass Sie Ihre Daten im Microsoft-Netzwerk speichern können.
  • Key Vault. Key Vault kann erweiterte Sicherheit für Schlüssel und andere Geheimnisse bieten.
  • Defender für Cloud. Defender for Cloud ist eine Lösung für die Verwaltung des Sicherheitsstatus in der Cloud und den Schutz von Workloads in der Cloud. Es findet Schwachstellen in Ihrer Cloud-Konfiguration, stärkt die Sicherheit Ihrer Umgebung und kann Workloads in Multi-Cloud- und Hybrid-Umgebungen vor neuen Bedrohungen schützen.
  • Azure Monitor: Mit Azure Monitor können Sie Telemetriedaten aus Ihren Azure- und lokalen Umgebungen sammeln, analysieren und auf sie reagieren. Azure Monitor trägt dazu bei, die Leistung und Verfügbarkeit Ihrer Anwendungen zu maximieren und Probleme proaktiv zu erkennen.
    • Log Analytics: Über Log Analytics können Sie Protokollabfragen mit Daten in Azure Monitor-Protokollen bearbeiten und ausführen.
    • Application Insights: Application Insights ist eine Erweiterung von Azure Monitor. Es ermöglicht die Überwachung der Anwendungsleistung.
  • Microsoft Sentinel. Microsoft Sentinel ist eine cloudnative Plattform für Sicherheitsinformationen und Ereignis-Manager, die integrierte KI verwendet, um große Datenmengen zu analysieren.
  • Azure Bastion. Azure Bastion ist ein vollständig verwalteter Dienst, der RDP- und SSH-Zugriff auf VMs ohne Gefährdung über öffentliche IP-Adressen bietet. Sie können den Dienst direkt in Ihrem lokalen Netzwerk oder im virtuellen Netzwerk mit Peering bereitstellen, um Unterstützung für alle VMs in diesem Netzwerk zu erhalten.
  • Privates Azure-DNS Sie können „Privates DNS“ verwenden, um Domänennamen in einem virtuellen Netzwerk zu verwalten und aufzulösen, ohne eine benutzerdefinierte DNS-Lösung hinzuzufügen.

Szenariodetails

Sie können diese Lösung verwenden, um AKS und API Management über mTLS in eine Architektur zu integrieren, die End-to-End-Verschlüsselung bietet.

Mögliche Anwendungsfälle

  • AKS-Integration mit API Management und Application Gateway über mTLS
  • End-to-End-mTLS zwischen API Management und AKS
  • Bereitstellungen mit hoher Sicherheit für Organisationen, die End-to-End-TLS benötigen Beispielsweise können Organisationen im Finanzsektor von dieser Lösung profitieren.

Mit diesem Ansatz können Sie die folgenden Szenarien verwalten:

  • Stellen Sie API Management im internen Modus bereit, und machen Sie APIs mithilfe von Application Gateway verfügbar.
  • Konfigurieren Sie mTLS und End-to-End-Verschlüsselung für hohe Sicherheit und Datenverkehr über HTTPS.
  • Stellen Sie eine Verbindung mit Azure PaaS-Diensten her, indem Sie einen erweiterten privaten Sicherheitsendpunkt verwenden.
  • Implementieren Sie die Sicherheit von Defender for Containers.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

Andere Mitwirkende:

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte