Prisma Cloud Calcul : comment configurer le type d’équilibrage de charge pour AWS Elastic Kubernetes Service (EKS)

Prisma Cloud Calcul : comment configurer le type d’équilibrage de charge pour AWS Elastic Kubernetes Service (EKS)

23659
Created On 11/11/19 22:03 PM - Last Modified 03/21/24 01:19 AM


Objective


Lors de l’installation de Twistlock sur AWS Elastic Kubernetes Service, le déploiement crée un AWS équilibreur de charge classique (ELB) par défaut, et la console Twistlock est accessible via le ELB. Le ELB est connecté à Internet, avec un groupe de sécurité qui dessert les ports 8081 et 8083 vers Internet. Dans de nombreux cas, ce n’est pas idéal, car toute personne sur Internet portant le nom de l’équilibreur de charge peut accéder à la page de DNS connexion de la console.

À partir de la version 1.9.0, Kubernetes prend en charge l’équilibreur de AWS charge réseau (NLB). Contrairement aux ELB, les NLB transfèrent les IP NLB au nœud. Vous pouvez tirer parti de cette propriété pour restreindre les adresses IP qui peuvent accéder au NLB en définissant . spec.loadBalancerSourceRanges dans votre fichier de déploiement. Si . spec.loadBalancerSourceRanges n’est pas défini, Kubernetes autorise le trafic de 0.0.0.0/0 vers le(s) groupe(s) de sécurité de nœud. Si les nœuds ont des adresses publiques IP , sachez que le non-traficNLB peut également atteindre toutes les instances de ces groupes de sécurité modifiés.

Si vous utilisez un environnement mixte, il est parfois nécessaire d’acheminer le trafic des services à l’intérieur du même VPC. Dans un environnement à horizon divisé DNS , vous auriez besoin de deux services pour pouvoir acheminer le trafic externe et interne vers vos terminaux. C’est là qu’un équilibreur de charge interne serait utile, permettant d’appliquer des paramètres plus restrictifs à l’équilibreur de charge créé par le déploiement de la console Twistlock.

Ce guide vous montre comment modifier la configuration de votre équilibreur de charge. Il est contrôlé par des annotations ajoutées à votre fichier de déploiement du service Twistlock Console.

Environment


  • Prisma Cloud Version SaaS de calcul
  • Prisma Cloud Compute Self-Hosted 21.04 et versions ultérieures
  • AWS EKS Version 1.9.0 et supérieure

Procedure


Conditions préalables à la mise en service d’un équilibreur de charge réseau

  1. Vous avez déjà créé un EKS cluster.
  2. Vous avez twistlock_console.yaml dans votre répertoire de travail actuel. Ce fichier de déploiement est généré avec l’outil twistcli.
Procédure
  1. Ouvrez twistlock_console.yaml pour le modifier.
  2. Ajoutez les annotations suivantes au Service :
Annotations : service.beta.kubernetes.io/aws-load-balancer-type : NLB
  1. (Facultatif) Pour limiter les clients IPqui peuvent accéder à l’équilibrage de la charge réseau, spécifiez les éléments suivants :
spec: loadBalancerSourceRanges:

- « 143.231.0.0/16 »
  1. Déployer la console Twistlock
$ kubectl create -f twistlock_console.yaml

Si cela est fait correctement, la console Twistlock est servie par un Network Load Balancer. Le service YAML résultant dans twistlock_console.yaml doit ressembler à ceci :

---
apiVersion: v1 type: Métadonnées du service
: étiquettes: nom: nom de la console: twistlock-console
espace de noms: Twistlock
annotations: service.beta.kubernetes.io/aws-load-balancer-type: « NLB"
spec: ports: - nom: port de
communication: 8084
- nom: port-gestion-https
port: 8083 - nom
: mgmt-http
port: 8081 loadBalancerSourceRanges: - Sélecteur « 143.231.0.0


/16 » :






nom: twistlock-console nom: twistlock-console

type: LoadBalancer
---
Conditions préalables
à l’approvisionnement d’un équilibreur de charge interne

  • Vous avez déjà créé un EKS cluster.
  • Vous avez twistlock_console.yaml dans votre répertoire de travail actuel. Ce fichier de déploiement est généré avec l’outil twistcli.
Procédure
  1. Ouvrez twistlock_console.yaml pour modification
  2. Ajoutez les annotations suivantes au Service.
Annotations : service.beta.kubernetes.io/aws-load-balancer-internal : 0.0.0.0/0
  1. Déployez la console Twistlock.
$ kubectl create -f twistlock_console.yaml

Pour les équilibreurs de charge internes, votre cluster Amazon EKS doit être configuré pour utiliser au moins un sous-réseau privé dans votre VPC. Kubernetes examine la table de routage de vos sous-réseaux pour déterminer s’ils sont publics ou privés. Les sous-réseaux publics ont un itinéraire direct vers Internet à l’aide d’une passerelle Internet, mais pas les sous-réseaux privés.

Si cela est fait correctement, la console Twistlock est servie dans un équilibreur de charge interne. Le service YAML résultant dans twistlock_console.yaml doit ressembler à ceci :
 
---
apiVersion: v1 type: Métadonnées du service
: étiquettes: nom: nom de la console: twistlock-console espace de noms: Twistlock annotations: service.beta.kubernetes.io/aws-load-balancer-internal: 0.0.0.0/0
spécifications: ports: - nom: port de communication:
8084
- nom: port-gestion-https
port: 8083
- nom: mgmt-http
port: 8081

sélecteur: nom: twistlock-console nom:




twistlock-console




  type : LoadBalancer
---

Pour obtenir la procédure d’installation complète de Kubernetes, consultez Installation de Twistlock sur Kubernetes.

Additional Information


Pour plus d’informations sur l’équilibrage de charge dans , reportez-vous au EKS guide de l’utilisateur de l’équilibrage de charge EKS
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNQZCA4&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language