Prisma Cloud コンピューティング: のロード バランサー タイプを構成する方法AWSエラスティック Kubernetes サービス (EKS )

Prisma Cloud コンピューティング: のロード バランサー タイプを構成する方法AWSエラスティック Kubernetes サービス (EKS )

23499
Created On 11/11/19 22:03 PM - Last Modified 03/21/24 01:19 AM


Objective


ツイストロック装着時AWSElastic Kubernetes Service では、デプロイによってAWSクラシック ロード バランサー (ELB ) がデフォルトで設定されており、Twistlock コンソールにはELB. のELBはインターネットに接続されており、ポート 8081 と 8083 をインターネットに提供するセキュリティ グループがあります。 多くの場合、これは理想的ではありません。DNS name は、コンソールのログイン ページにアクセスできます。

バージョン 1.9.0 以降、Kubernetes はAWSネットワーク ロード バランサー (NLB )。 ELB とは異なり、NLB はクライアントのIPノードまで。 このプロパティを利用して、アクセスできる IP を制限できます。NLB設定することにより.spec.loadBalancerSourceRanges展開ファイルで。 もしも.spec.loadBalancerSourceRangesが設定されていない場合、Kubernetes は 0.0.0.0/0 からノード セキュリティ グループへのトラフィックを許可します。 ノードにパブリックがある場合IPアドレスでは、非NLBトラフィックは、変更されたセキュリティ グループ内のすべてのインスタンスにも到達できます。

混合環境を利用する場合、同じ環境内のサービスからトラフィックをルーティングする必要がある場合があります。VPC . スプリットホライズンでDNS環境では、外部トラフィックと内部トラフィックの両方をエンドポイントにルーティングできるようにするために、2 つのサービスが必要になります。 これは、内部ロード バランサーが役立つ場所であり、Twistlock コンソールの展開によって作成されたロード バランサーに、より制限的な設定を適用できるようにします。

このガイドでは、ロード バランサーの構成を変更する方法について説明します。 これは、Twistlock Console サービス展開ファイルに追加された注釈によって制御されます。

Environment


  • Prisma Cloud コンピューティング SaaS バージョン
  • Prisma Cloud Compute セルフホスト 21.04 以降
  • AWS EKS バージョン 1.9.0 以降

Procedure


Network Load Balancer をプロビジョニングする

前提条件
  1. あなたはすでにEKS集まる。
  2. あなたが持っているtwistlock_console.yaml現在の作業ディレクトリにあります。 この展開ファイルは twistcli ツールで生成されます。
手順
  1. twistlock_console.yaml を開いて編集します。
  2. 次の注釈をサービスに追加します。
注釈: service.beta.kubernetes.io/aws-load-balancer-type: nlb
  1. (オプション) クライアントを制限するにはIPが Network Load Balancer にアクセスできるようにするには、次を指定します。
仕様:
loadBalancerSourceRanges:
- 「143.231.0.0/16」
  1. Twistlock コンソールをデプロイする
$ kubectl create -f twistlock_console.yaml

正しく行われた場合、Twistlock コンソールは Network Load Balancer を通じて提供されます。 結果のサービスYAMLtwistlock_console.yaml は次のようになります。

---
apiバージョン: v1
種類: サービス
メタデータ:
ラベル:
名前: コンソール
名前: ツイストロック コンソール
名前空間: ツイストロック
注釈: service.beta.kubernetes.io/aws-load-balancer-type: "nlb"
仕様:
ポート:
- 名前: 通信ポート
ポート: 8084
- 名前: 管理ポート https
ポート: 8083
- 名前: mgmt-http
ポート: 8081
loadBalancerSourceRanges:
- 「143.231.0.0/16」
セレクタ:
名前: ツイストロック コンソール
名前: ツイストロック コンソール
タイプ: ロードバランサー
---

内部ロード バランサーのプロビジョニング

前提条件
  • あなたはすでにEKS集まる。
  • あなたが持っているtwistlock_console.yaml現在の作業ディレクトリにあります。 この展開ファイルは twistcli ツールで生成されます。
手順
  1. twistlock_console.yaml を開いて編集する
  2. 次の注釈を Service に追加します。
注釈: service.beta.kubernetes.io/aws-load-balancer-internal: 0.0.0.0/0
  1. Twistlock コンソールをデプロイします。
$ kubectl create -f twistlock_console.yaml

内部ロードバランサーの場合、AmazonEKSクラスターは、少なくとも 1 つのプライベート サブネットを使用するように構成する必要があります。VPC . Kubernetes はサブネットのルート テーブルを調べて、サブネットがパブリックかプライベートかを識別します。 パブリック サブネットには、インターネット ゲートウェイを使用したインターネットへの直接のルートがありますが、プライベート サブネットにはありません。

正しく行われた場合、Twistlock コンソールは内部ロード バランサー全体で提供されます。 結果のサービスYAMLtwistlock_console.yaml は次のようになります。
---
apiバージョン: v1
種類: サービス
メタデータ:
ラベル:
名前: コンソール
名前: ツイストロック コンソール
名前空間: ツイストロック
注釈: service.beta.kubernetes.io/aws-load-balancer-internal: 0.0.0.0/0
仕様:
ポート:
- 名前: 通信ポート
ポート: 8084
- 名前: 管理ポート https
ポート: 8083
- 名前: mgmt-http
ポート: 8081
セレクタ:
名前: ツイストロック コンソール
名前: ツイストロック コンソール
タイプ: ロードバランサー
---

Kubernetes の完全なインストール手順については、次を参照してください。 Kubernetes に Twistlock をインストールする.

Additional Information


のロード バランシングの詳細については、EKS 、参照EKS負荷分散ユーザー ガイド
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNQZCA4&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language