AKSをセキュアに利用する構築デモのバックアップ(No.1)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
環境
構成
手順
参考

↑

環境 †

↑

シェル †

Azure Cloud Shell (Bash) からの作業を想定

20分でタイムアウトしてしまうため、
- タイムアウトで、変数が失われてしまう。
- これを避けるため、パラメタ設定スクリプトを、
- テキスト・ファイルなどにコピーして残しておく。

↑

操作者の権限 †

以下の権限を持つユーザで作業

Ownerロール権限
AzADに対してSPNを作成する権限

↑

その他 †

↑

パスワード †

以下で固定になってる。

--admin-password "p&ssw0rdp&ssw0rd"

↑

...見つけ次第、書く。 †

↑

構成 †

↑

全体構成図 †

↑

ネットワーク構成 †

↑

推奨設定を採用 †

コチラの推奨設定

Azure CNI プラグインを利用した分離型 VNET 構成
ARM API、Master API はプライベート化しない（詳しくは認証・認可を参照）

↑

入力経路 †

インバウンド（イングレス

アプリ
- Azure Private Endpoint → ILB(Internal Load Balancer)
- Azure Application Gateway → ILB(Internal Load Balancer)

保守アクセス
- Azure Private Endpoint 方式
- Azure Bastion 方式

↑

出力経路 †

インバウンド（エグレス

以下の併用

Azure Firewall：インターネット・アクセス
Azure Private Endpoint：Azureの他のサービスへのアクセス

↑

認証・認可 †

保守用端末を VNET 内に設置する想定。

↑

Azure Portal, Azure CLI (ARM API) †

プライベート化しない（既存のアクセス制限機能を想定）

↑

制御プレーンの実行アカウント (SPN) †

Managed ID 方式で作成する。

↑

ダッシュボード, Kubernetes CLI (Master API) †

クラスタ管理者のkube configを使って、
必要なら、追加でIPアドレス制限を想定

↑

AKSユーザ・アプリからのリソース・アクセス †

Secret機能を使用

↑

基盤保守 †

↑

日次パッチ †

ノード VM は日次パッチ適用（既定で自動）
Kured をインストールして自動再起動させる。

↑

オンデマンド †

必要に応じて

制御プレーン
ノードプール

バージョンアップを手動で実施。

↑

開発～デプロイ †

VNET 内に本番用コンテナ・レジストリを配置するのみ
（ACR（コンテナ・レジストリ）をプライベート化する。）

↑

手順 †

https://github.com/tsubasaxZZZ/aks-hardway/blob/master/deploy-private-cluster.md

↑

準備作業 †

↑

サブスクリプションの選択 †

※ 「SUBSCRIPTION_NAMEは各自で書き換え」とのこと。

※ 再開の際は、再実行（テキスト・ファイルへ）。

↑

パラメタの設定 †

※ 「NAME_PREFIXは各自で書き換え」とのこと。

※ 再開の際は、再実行（テキスト・ファイルへ）。

↑

Azure CLI拡張機能のインストール †

↑

AKS プレビュー機能のインストール †

※ 「時間かかるので注意（20 分ぐらい）」とのこと。

↑

共通準備 †

↑

パラメタの設定 †

以下のパートのスクリプトを実行して、パラメタを設定

# Parameters

※ 再開の際は、再実行（テキスト・ファイルへ）。

↑

リソース・グループの作成 †

以下のパートのスクリプトを実行

# Create Resouce Group

↑

診断ログ・ストレージの作成 †

以下のパートのスクリプトを実行

# Create Diagnostics Storage

↑

Log Analytics & AppInsights? の作成 †

以下のパートのスクリプトを実行

↑

サブスクリプションのアクティビティ・ログの有効化 †

以下のパートのスクリプトを実行

# Enable Subscription Activity Logging

だが、現時点では UI から実施とのこと。

参考
- Azure Monitor での Azure アクティビティログの収集と分析 | Microsoft Docs
  https://docs.microsoft.com/ja-jp/azure/azure-monitor/platform/activity-log-collect

↑

オンプレ模倣環境の作成 †

VNETにVMを新設して、そこをオンプレに見立てるということらしい。
多分、後述の、Bastionの作成手順で代替できる。

↑

パラメタの設定 †

以下のパートのスクリプトを実行して、パラメタを設定

# Parameters

※ 再開の際は、再実行（テキスト・ファイルへ）。

↑

VNET・サブネットの作成 †

以下のパートのスクリプトを実行

# Create Onpremise VNET

↑

VMの作成 †

以下のパートのスクリプトを実行

# Create uservm1 (Public IP + Open RDP Port)

※ VM生成のAzure CLIスクリプトとして参考になる。

※ Visual Studio のアクティブ・サブスクライバでない場合は、
　　Windows 10 ではなく Windows Server 2019 を利用（ライセンスの関係らしい）
　　既定のスクリプトは、Windows 10になっているので、必要に応じて変更。

↑

AKS 配置環境の準備 †

↑

パラメタの設定 †

以下のパートのスクリプトを実行して、パラメタを設定

# Variables

※ 再開の際は、再実行（テキスト・ファイルへ）。

↑

VNET・サブネットの作成 †

以下のパートのスクリプトを実行

#Create VNET & Subnets

↑

周辺サービスの作成と引き込み †

ACR の作成と Azure Private Endpoint 引き込み

ACR の作成
以下のパートのスクリプトを実行
```
# Create ACR
```

Azure Private Endpoint 引き込み
以下のパートのスクリプトを実行
```
# Create PrivateLink to ACR
...
# azrefarcacr... の A レコード作成
```
※ Previewなので変更の可能性アリとのこと → 特にDNS弄る所。

Azure SQL Database 作成と Azure Private Endpoint 引き込み
- Azure SQL Database 作成
```
...
```
  ※ よくよく見ると、DBを作ってないので、
  　最終的には、以下の接続文字列でアクセス可能なSQL Serverが必要になる。
  　jdbc:sqlserver://azrefarc.database.windows.net:1433;databaseName=pubs

Azure Private Endpoint 引き込み
以下のパートのスクリプトを実行
```
# Service Endpoint for SQL DB
```
※ マネージド・インスタンスは、Private Endpoint が使えない
　らしいので Service Endpoint を利用と言うエクスキューズがある。

参考
- Azure SQL Databaseをプライベート化する。
- ACR（コンテナ・レジストリ）をプライベート化する。

↑

Azure Firewallの作成 †

Azure Firewallの作成
```
# Create Azure Firewall
```

UDRの設定
以下のパートのスクリプトを実行
```
# Create UDR and assign UDR
```
※ 既定のUDRとして、アウトバウンド（0.0.0.0/0）をAzure Firewallにルーティング

ルールの作成
以下のパートのスクリプトを実行
```
# Create Firewall Rules
```
※ 作成にはかなり時間がかかるらしい。

プライベートAKSクラスタの要件
以下のパートのスクリプトを実行
```
# Required for private AKS cluster
az network firewall application-rule create...
```

Azure での Linux VM の時刻同期
以下のパートのスクリプトを実行
```
# ntp.ubuntu.com -> *
az network firewall network-rule create...
```

プライベートAKSクラスタのオプション
以下のパートのスクリプトを実行
```
# Optional for AKS cluster
az network firewall application-rule create...
```

ContainersのAzure Monitor
以下のパートのスクリプトを実行

# Azure Monitor for containers
az network firewall application-rule create...

AKSクラスタのAzure Policy
以下のパートのスクリプトを実行

# Azure Policy for AKS clusters (preview, subject to be changed)
az network firewall application-rule create...

↑

他によく必要になる URL †

AKS ツール
- download.opensuse.org
- packages.microsoft.com
- dc.services.visualstudio.com
- *.opinsights.azure.com
- *.monitoring.azure.com
- gov-prod-policy-data.trafficmanager.net
- apt.dockerproject.org
- nvidia.github.io

OS update
- download.opensuse.org
- *.ubuntu.com
- packages.microsoft.com
- snapcraft.io,api.snapcraft.io

↑

保守端末の準備 †

↑

管理マシン（Windows）の作成 †

オンプレから接続する踏み台相当。

パラメタの設定
以下のパートのスクリプトを実行して、パラメタを設定
```
# Parameters
```
※ 再開の際は、再実行（テキスト・ファイルへ）。

UDRの設定
以下のパートのスクリプトを実行
```
# UDR でルートを塞ぐ
```
※ 既出の「AKS_UDR_NAME」を指定。

ILB, NIC の作成
以下のパートのスクリプトを実行

# ILB 配下に VM を作成
# NIC を先に作成（IP アドレスを確定させる）

Azure Firewallの設定
以下のパートのスクリプトを実行

# Azure Firewall ルールで Windows Update などを許可
# Azure Firewall ルールで） Azure Portal （を許可

VM の作成
以下のパートのスクリプトを実行
```
# VM 作成 (Windows 2019)
# Create mgmt-win-vm1
```
※ 何故か、コチラは、2019

Azure Private Link, Azure Private Endpoint の作成
以下のパートのスクリプトを実行
```
# Private Link Service 作成
# Create Private Endpoint to MgmtVM ILB
```

ツールのインストール
Windows上で環境を構築する。

AKSのバージョンを確認
以下のパートのスクリプトを実行

# Cloud Shell 上でインストールする aks バージョンを確認しておく

Azure CLIをインストールしてログイン

先に取得したバージョン番号に対応する kubectl を
- 取得してインストールすると、
  .azure-kubectl フォルダ下にインストールされるので、
```
>az aks install-cli --client-version=1.16.7
```
  ・ファイルをコピーする
```
>copy %HOMEPATH%\.azure-kubectl\kubectl.exe %HOMEPATH%\kubectl.exe
```
  ・またはパスを通す
```
...
```

または
・下記 URL からダウンロードし
https://storage.googleapis.com/kubernetes-release/release/v1.16.8/bin/windows/amd64/kubectl.exe
・%HOMEPATH% 下へコピー
https://v1-16.docs.kubernetes.io/ja/docs/tasks/tools/install-kubectl/
https://v1-16.docs.kubernetes.io/docs/tasks/tools/install-kubectl/#install-kubectl-on-windows

Helm(v3 系列)をインストール
- 下記 URL からダウンロード（持ち込み）
  https://get.helm.sh/helm-v3.1.2-windows-amd64.zip
- %HOMEPATH% 下へコピー
  helm.exe を mgmtvm1 の c:\users<username> にコピー

VS Code
- 下記 URL からダウンロード（持ち込み）
  https://code.visualstudio.com/download
- オフラインインストーラでインストール

Microsoft Edge(Chromium 版)
- 下記 URL からダウンロード（持ち込み）
  https://www.microsoft.com/en-us/edge/business/download
- オフラインインストーラでインストール

↑

管理マシン（Linux）の作成 †

踏み台から接続し、アプリのビルドや、Dockerコンテナ作業を行う。

パラメタの設定
以下のパートのスクリプトを実行して、パラメタを設定
```
# Parameters
```
※ 再開の際は、再実行（テキスト・ファイルへ）。

UDRの設定
以下のパートのスクリプトを実行
```
# UDR でルートを塞ぐ
```
※ 既出の「AKS_UDR_NAME」を指定。

ILB, NIC の作成
以下のパートのスクリプトを実行
```
# NIC を先に作成（IP アドレスを確定させる）
```

Azure Firewallの設定
以下のパートのスクリプトを実行
```
# Azure Firewall ルールで通信を許可
```

VM の作成
以下のパートのスクリプトを実行
```
# Create mgmt-linux-vm1 (Ubuntu)
```

ツールのインストール
Linux上で環境を構築する。

0. VM にログイン
Windows 保守端末からログインする。
```
ssh mgmt-linux-vm1
```

1. Azure CLIのインストール
https://docs.microsoft.com/ja-jp/cli/azure/install-azure-cli-apt?view=azure-cli-latest
```
curl -sL https://aka.ms/InstallAzureCLIDeb | sudo bash
```

2. kubectl インストール
https://v1-16.docs.kubernetes.io/ja/docs/tasks/tools/install-kubectl/

sudo apt-get update && sudo apt-get install -y apt-transport-https
curl -s https://packages.cloud.google.com/apt/doc/apt-key.gpg | sudo apt-key add -
echo "deb https://apt.kubernetes.io/ kubernetes-xenial main" | sudo tee -a /etc/apt/sources.list.d/kubernetes.list
sudo apt-get update
sudo apt-get install -y kubectl

3. Docker インストール

sudo apt-get update
sudo apt-get install -y apt-transport-https ca-certificates curl software-properties-common
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
sudo apt-get update
sudo apt-get install -y docker-ce
sudo docker version

4. Helm インストール

sudo apt-get update
sudo apt-get install snapd
sudo snap install helm --classic

↑

Bastionの作成 †

オンプレ模倣環境の作成をスキップできる。

パラメタの設定
以下のパートのスクリプトを実行して、パラメタを設定
```
BASTION_NAME="${NAME_PREFIX}-bastion"
BASTION_PUBLIC_IP_NAME="${BASTION_NAME}-ip"
```
※ 再開の際は、再実行（テキスト・ファイルへ）。

UDRの設定
以下のパートのスクリプトを実行

az network public-ip create --name $BASTION_PUBLIC_IP_NAME --resource-group $RG_AKS --sku Standard
az network bastion create --name $BASTION_NAME --public-ip-address $BASTION_PUBLIC_IP_NAME --resource-group $RG_AKS --vnet-name $AKS_VNET_NAME --location $LOCATION

↑

参考 †

https://github.com/tsubasaxZZZ/aks-hardway
- https://github.com/tsubasaxZZZ/aks-hardway/blob/master/deploy-private-cluster.md

Tags: :クラウド, :コンテナ, :Azure, :AKS, :セキュリティ, :通信技術, :セキュリティ, :認証基盤

AKSをセキュアに利用する構築デモ のバックアップ(No.1)

目次 †

環境 †

シェル †

操作者の権限 †

その他 †

パスワード †

...見つけ次第、書く。 †

構成 †

全体構成図 †

ネットワーク構成 †

推奨設定を採用 †

入力経路 †

出力経路 †

認証・認可 †

Azure Portal, Azure CLI (ARM API) †

制御プレーンの実行アカウント (SPN) †

ダッシュボード, Kubernetes CLI (Master API) †

AKSユーザ・アプリからのリソース・アクセス †

基盤保守 †

日次パッチ †

オンデマンド †

開発～デプロイ †

手順 †

パラメタの設定 †

リソース・グループの作成 †

診断ログ・ストレージの作成 †

Log Analytics & AppInsights? の作成 †

サブスクリプションのアクティビティ・ログの有効化 †

パラメタの設定 †

VNET・サブネットの作成 †

VMの作成 †

パラメタの設定 †

VNET・サブネットの作成 †

周辺サービスの作成と引き込み †

Azure Firewallの作成 †

他によく必要になる URL †

管理マシン（Windows）の作成 †

管理マシン（Linux）の作成 †

[[AKS クラスタの作成>]] †

[[アプリケーションの配置>]] †

[[オンプレ模倣環境から AKS アプリへの接続>]] †

[[インターネットからの接続>]] †

[[ノード自動再起動>]] †

[[モニタリング（監視）>]] †

テキスト・ファイル †

AKSをセキュアに利用する構築デモのバックアップ(No.1)