Prisma Cloud Compute: Cómo configurar el tipo de balanceador de carga para AWS Elastic Kubernetes Service (EKS)

Prisma Cloud Compute: Cómo configurar el tipo de balanceador de carga para AWS Elastic Kubernetes Service (EKS)

23535
Created On 11/11/19 22:03 PM - Last Modified 03/21/24 01:19 AM


Objective


Al instalar Twistlock en AWS Elastic Kubernetes Service, la implementación crea un AWS Classic Load Balancer (ELB) de forma predeterminada y se accede a Twistlock Console a través del ELB. Está ELB orientado a Internet, con un grupo de seguridad que sirve los puertos 8081 y 8083 a Internet. En muchos casos, esto no es ideal, porque cualquier persona en Internet con el nombre del equilibrador de carga puede acceder a la página de DNS inicio de sesión de la consola.

A partir de la versión 1.9.0, Kubernetes admite Network AWS Load Balancer (NLB). A diferencia de los ELB, los NLB reenvían el cliente IP al nodo. Puede aprovechar esta propiedad para restringir qué direcciones IP pueden tener acceso al estableciendo .NLBspec.loadBalancerSourceRanges en el archivo de implementación. Si no se establece . spec.loadBalancerSourceRanges , Kubernetes permite el tráfico desde 0.0.0.0/0 a los grupos de seguridad de nodos. Si los nodos tienen direcciones públicas IP , tenga en cuenta que la falta de tráfico también puede llegar a todas las instancias de esos grupos deNLB seguridad modificados.

Si utiliza un entorno mixto, a veces es necesario enrutar el tráfico de los servicios dentro del mismo VPC. En un entorno de horizonte DNS dividido, necesitaría dos servicios para poder enrutar el tráfico externo e interno a sus puntos finales. Aquí es donde un equilibrador de carga interno sería útil, permitiendo aplicar configuraciones más restrictivas al equilibrador de carga creado por la implementación de la consola Twistlock.

En esta guía se muestra cómo cambiar la configuración del equilibrador de carga. Se controla mediante anotaciones agregadas al archivo de implementación del servicio Twistlock Console.

Environment


  • Prisma Cloud Versión de Compute SaaS
  • Prisma Cloud Compute Self-Hosted 21.04 y superior
  • AWS EKS Versión 1.9.0 y superior

Procedure


Aprovisionar un equilibrador de carga de red

Requisitos previos
  1. Ya ha creado un EKS clúster.
  2. Tiene twistlock_console.yaml en su directorio de trabajo actual. Este archivo de implementación se genera con la herramienta twistcli.
Procedimiento
  1. Abra twistlock_console.yaml para editarlo.
  2. Agregue las siguientes anotaciones al Servicio:
Anotaciones: service.beta.kubernetes.io/aws-load-balancer-type: NLB
  1. (Opcional) Para limitar qué cliente IPpuede acceder al equilibrador de carga de red, especifique lo siguiente:
spec: loadBalancerSourceRanges:

- "143.231.0.0/16"
  1. Implementar la consola de Twistlock
$ kubectl create -f twistlock_console.yaml

Si se hace correctamente, la consola Twistlock se sirve a través de un equilibrador de carga de red. El servicio YAML resultante en twistlock_console.yaml debería tener este aspecto:

---
apiVersion: v1 kind: Metadatos de servicio: Etiquetas: Nombre: Nombre de la consola
: Twistlock-Console
Espacio de nombres: Twistlock
Anotaciones: service.beta.kubernetes.io/aws-load-balancer-type: "NLB"spec: puertos: - nombre: puerto de comunicación: 8084
- nombre: puerto de

administración-https
: 8083 - nombre: mgmt-http
puerto: 8081 loadBalancerSourceRanges: - Selector "143.231.0.0


/16":







nombre: twistlock-console nombre: twistlock-console

tipo: LoadBalancer
---

Aprovisionar un equilibrador de carga interno

Requisitos previos
  • Ya ha creado un EKS clúster.
  • Tiene twistlock_console.yaml en su directorio de trabajo actual. Este archivo de implementación se genera con la herramienta twistcli.
Procedimiento
  1. Abrir twistlock_console.yaml para editarlo
  2. Agregue las siguientes anotaciones al Servicio.
Anotaciones: service.beta.kubernetes.io/aws-load-balancer-internal: 0.0.0.0/0
  1. Implemente la consola Twistlock.
$ kubectl create -f twistlock_console.yaml

Para los balanceadores de carga internos, el clúster de Amazon EKS debe estar configurado para utilizar al menos una subred privada en el VPC. Kubernetes examina la tabla de ruteo de las subredes para identificar si son públicas o privadas. Las subredes públicas tienen una ruta directamente a Internet mediante una puerta de enlace de Internet, pero las subredes privadas no.

Si se hace correctamente, la consola Twistlock se sirve a través de un equilibrador de carga interno. El servicio YAML resultante en twistlock_console.yaml debería tener este aspecto:
 
---
apiVersion: v1 kind: Service metadata: labels
: name: console name: twistlock-console namespace: twistlock anotaciones: service.beta.kubernetes.io/aws-load-balancer-internal: 0.0.0.0/0
spec: ports: - name: communication-port port: 8084
- name: management-port-https

puerto: 8083
- nombre: mgmt-http
puerto: 8081

selector: nombre: twistlock-console


nombre:




twistlock-console

  tipo: LoadBalancer
---

Para obtener el procedimiento completo de instalación de Kubernetes, consulte Instalación de Twistlock en Kubernetes.

Additional Information


Para obtener más información acerca del equilibrio de carga en EKS, consulte la EKS guía del usuario de equilibrio de carga
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNQZCA4&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language