#AzureArc 対応 #Kubernetes での #FireWall 越えのクラスター接続
Azure Arc 対応 Kubernetes でのファイアウォール越えクラスター接続 この記事の内容 ファイアウォールの内側にある Kubernetes クラスターに、インターネット越しで外部から接続する方法を紹介します Azure Arc の Connected Cluster 機能を使い、グローバル側から穴あけなしで接続を実現します az connectedk8s proxy コマンドによるローカルプロキシ経由の接続手順を解説します Azure Active Directory ユーザー認証を用いた ClusterRoleBinding の設定方法を説明します ハイブリッドクラウド・エッジ環境への応用可能性についても触れます Azure Arc とファイアウォール越え接続の概要 通常、ファイアウォールの内側にある Kubernetes クラスターには、外部のパブリッククラウドや一般のインターネットからアクセスすることができません。ファイアウォールに穴を開ける(インバウンド許可ルールを追加する)必要があるため、セキュリティリスクが生じます。 Azure Arc の Connected Cluster 機能を使うと、クラスター側からのアウトバウンド接続のみを利用して、外部からクラスターへのアクセスを実現できます。つまり、ファイアウォールのインバウンドルールを一切変更することなく、世界中どこからでもそのクラスターに接続できるようになります。 検証環境 この検証では、以下の環境を使用しています。 ベースマシン: SE3号機(お借りしている環境) Hyper-V 上に Azure Local(旧 Azure Stack HCI)の OS を構築 その上に AKS(Azure Kubernetes Service)を導入 AKS のサービス上で Kubernetes クラスター(ワークロードクラスター)を1つ作成済み クラスターの kubeconfig ファイルは事前にダウンロードし、~/.kube/config に配置してあります。サーバーは 192.168.1.211 というプライベート IP アドレスで、ファイアウォールの設定は変更していない状態です。 ファイアウォール内のネットワークから直接 kubectl を実行すると、プライベート IP で疎通できるため問題なく動作します。 ...