Prisma Cloud Compute: So konfigurieren Sie den Load Balancer-Typ für AWS Elastic Kubernetes Service (EKS)

Prisma Cloud Compute: So konfigurieren Sie den Load Balancer-Typ für AWS Elastic Kubernetes Service (EKS)

23517
Created On 11/11/19 22:03 PM - Last Modified 03/21/24 01:19 AM


Objective


Bei der Installation von Twistlock auf Elastic Kubernetes Service erstellt die Bereitstellung standardmäßig einen AWS Classic Load Balancer (ELB) und der Zugriff auf AWS die Twistlock-Konsole erfolgt über .ELB Die ELB ist mit dem Internet verbunden, mit einer Sicherheitsgruppe, die die Ports 8081 und 8083 für das Internet bereitstellt. In vielen Fällen ist dies nicht ideal, da jeder im Internet mit dem Namen des Load Balancers DNS auf die Anmeldeseite der Konsole zugreifen kann.

Ab Version 1.9.0 unterstützt Kubernetes den AWS Network Load Balancer (NLB). Im Gegensatz zu ELBs leiten NLBs IP den Client an den Knoten weiter. Sie können diese Eigenschaft nutzen, um einzuschränken, welche IP-Adressen auf die NLB zugreifen können, indem Sie . spec.loadBalancerSourceRanges in der Bereitstellungsdatei festlegen. Wenn . spec.loadBalancerSourceRanges nicht festgelegt ist, lässt Kubernetes Datenverkehr von 0.0.0.0/0 zu den Knotensicherheitsgruppen zu. Wenn Knoten über öffentliche IP Adressen verfügen, beachten Sie, dass Nicht-DatenverkehrNLB auch alle Instanzen in diesen geänderten Sicherheitsgruppen erreichen kann.

Wenn Sie eine gemischte Umgebung verwenden, ist es manchmal erforderlich, Datenverkehr von Diensten innerhalb derselben VPC. In einer Split-Horizon-Umgebung DNS benötigen Sie zwei Dienste, um sowohl externen als auch internen Datenverkehr an Ihre Endpunkte weiterleiten zu können. Hier wäre ein interner Load Balancer nützlich, mit dem restriktivere Einstellungen auf den Load Balancer angewendet werden können, der von der Bereitstellung der Twistlock-Konsole erstellt wurde.

In dieser Anleitung erfahren Sie, wie Sie die Konfiguration Ihres Load Balancers ändern. Es wird durch Anmerkungen gesteuert, die Ihrer Twistlock-Konsolendienstbereitstellungsdatei hinzugefügt werden.

Environment


  • Prisma Cloud Compute SaaS-Version
  • Prisma Cloud Compute Self-Hosted 21.04 und höher
  • AWS EKS Version 1.9.0 und höher

Procedure


Voraussetzungen für die Bereitstellung eines Netzwerklastenausgleichs

  1. Sie haben bereits einen EKS Cluster erstellt.
  2. Sie haben twistlock_console.yaml in Ihrem aktuellen Arbeitsverzeichnis. Diese Bereitstellungsdatei wird mit dem Tool twistcli generiert.
Verfahren
  1. Öffnen Sie twistlock_console.yaml zur Bearbeitung.
  2. Fügen Sie dem Dienst die folgenden Anmerkungen hinzu:
Anmerkungen: service.beta.kubernetes.io/aws-load-balancer-type: NLB
  1. (Optional) Geben Sie Folgendes an, um einzuschränken, welche Clients IPauf den Network Load Balancer zugreifen können:
spec: loadBalancerSourceRanges:

- "143.231.0.0/16"
  1. Twistlock-Konsole bereitstellen
$ kubectl create -f twistlock_console.yaml

Wenn es richtig gemacht wird, wird die Twistlock-Konsole über einen Network Load Balancer bereitgestellt. Der resultierende Dienst YAML in twistlock_console.yaml sollte wie folgt aussehen:

---
apiVersion: v1 Art: Service-Metadaten
: labels: Name: Konsolenname: twistlock-console

namespace: twistlock
Anmerkungen: service.beta.kubernetes.io/aws-load-balancer-type: "nlb"spec: ports: - Name: communication-port port: 8084
- name: management-port-https
port: 8083 - name: mgmt-http
port
: 8081 loadBalancerSourceRanges: - "143.231.0.0


/16"

Selektor:





name: twistlock-console name: twistlock-console

type: LoadBalancer
---

Voraussetzungen für das Bereitstellen eines internen Lastenausgleichsmoduls

  • Sie haben bereits einen EKS Cluster erstellt.
  • Sie haben twistlock_console.yaml in Ihrem aktuellen Arbeitsverzeichnis. Diese Bereitstellungsdatei wird mit dem Tool twistcli generiert.
Verfahren
  1. Öffnen Sie twistlock_console.yaml zur Bearbeitung
  2. Fügen Sie dem Dienst die folgenden Anmerkungen hinzu.
Anmerkungen: service.beta.kubernetes.io/aws-load-balancer-internal: 0.0.0.0/0
  1. Stellen Sie die Twistlock-Konsole bereit.
$ kubectl create -f twistlock_console.yaml

Für interne Load Balancer muss Ihr Amazon-Cluster EKS so konfiguriert sein, dass mindestens ein privates Subnetz in Ihrem VPC. Kubernetes untersucht die Routing-Tabelle für Ihre Subnetze, um festzustellen, ob sie öffentlich oder privat sind. Öffentliche Subnetze verfügen über ein Internetgateway über eine direkte Route ins Internet, private Subnetze jedoch nicht.

Wenn es richtig gemacht wird, wird die Twistlock-Konsole über einen internen Load Balancer bereitgestellt. Der resultierende Dienst YAML in twistlock_console.yaml sollte wie folgt aussehen:
 
---
apiVersion: v1 Art: Service-Metadaten
: labels: Name: Konsolenname: twistlock-console
namespace: twistlock Anmerkungen: service.beta.kubernetes.io/aws-load-balancer-internal: 0.0.0.0/0
spec: ports: - name: communication-port port: 8084
- name: management-port-https
port: 8083
- name: mgmt-http
port
: 8081

selektor: name: twistlock-console name:




twistlock-console



  Typ: LoadBalancer
---

Das vollständige Kubernetes-Installationsverfahren finden Sie unter Installieren von Twistlock auf Kubernetes.

Additional Information


Weitere Informationen zum Lastenausgleich in EKSfinden Sie im EKS Benutzerhandbuch für den Lastenausgleich
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNQZCA4&lang=de%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language