Azure 解决方案：如何在AKS上安全地运行微服务？

Azure 解决方案：如何在AKS上安全地运行微服务？

51CTO 博客地址：提供了不同的方式来构建和运行微服务，从Service Fabric到Azure Kubernetes服务，从App Services到Azure Spring Cloud，甚至在Azure上以IAAS模式运行Docker Enterprise和Apache Mesos 等等，本文，我们将重点介绍在Azure Kubernetes 服务中心如何安全地运行微服务？

为了确保部署的安全性，以下列出的考量点可在初级阶段作为参照方案。

• 使用Private AKS Cluster部署Bastion和Jumpbox访问，之后使用self-hosted agents，而不是使用Microsoft hosted Azure DevOps Agent部署到Private AKS Cluster• 使用防火墙（如Azure防火墙或任何其他NVA）来控制入站和输出过滤，检测和阻止恶意流量----通常我们建议在Hub VNet中部署防火墙，在一个典型的Hub-Spoke拓扑中，可以集中地对多个Spoke VNet进行控制。• Azure 机密计算，AKS现在支持运行机密计算节点（使用Intel SGX处理器），在使用过程中保护数据。• 使用KURED实现节点安全，管理和维护VMs是其责任，虽然Azure平台会自动应用OS安全补丁，但它不能也不应该重启VM，所以当需要时监控并重启这些节点是客户的责任，使用像KURED这样的开源解决方案是非常有帮助的• 在DevOps管道中使用容器图像之前扫描它们的漏洞，或者启用Azure DEFENDER for Container Registres，可以在发现问题时通知你

下面我们将具体介绍一下部署过程：

作为最佳实践，我们将使用Azure Storage作为远程后端来存储Terraform state。

注意：这个存储帐户TF_STATE_STORAGE_ACCOUNT_NAME和密钥库KEYVAULT_NAME与应用程序将使用的不同。

我将使用Azure DevOps管道来构建和发布这个项目，所有的东西(包括初始基础设施)都将通过这个管道来部署，这里强调一下： 使用AZ CLI任务运行Terraform 通过Azure DevOps变量覆盖Terraform variables，同样，在我们部署这个terraform代码之前，我们必须为AKS集群管理员创建一个Azure AD组，并将其objectId分配给terraform变量aks_admin_group_id——这个AAD组的成员将拥有对我们集群的管理员访问权限。 我们将在该App使用多阶段构建方法和分层Jar模式，并在我们的图像中提取不同的层 部署到AKS相关参考资料：• Azure Kubernetes Services（AKS• Microservices Architecture on Azure Kubernetes Service （AKS）

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。