Chuyển tới nội dung chính

DFKE Advanced Firewall

Tổng quan về sản phẩm Kubernetes tích hợp Firewall

Khác với sản phẩm Kubernetes tiêu chuẩn của FPT Cloud, sản phẩm Kubernetes tích hợp Firewall đặt một Advanced Firewall phía trước Gateway của Tenant. Advanced Firewall đảm nhiệm việc bảo vệ và cấu hình các rule bảo mật (Allow, Drop) và các rule NAT (DNAT, SNAT) cho Kubernetes cluster.

Các thành phần chính:

  • Advanced Firewall (ví dụ: Checkpoint)
  • Gateway (Internet Gateway, Firewall L4)
  • Load balancer
  • Kubernetes cluster: Master node (API, ETCD), Worker node (App và Service)

file

Các rule cần thiết cho Kubernetes cluster phía sau Advanced Firewall

Luồng traffic đến các Kubernetes node:

file

ghi chú
  • Tất cả các rule inbound và outbound cho Kubernetes cluster được cấu hình trên Advanced Firewall.
  • Tất cả các rule NAT cho Kubernetes cluster được cấu hình trên Advanced Firewall.
  • Public IP được đặt trên Advanced Firewall.

Bảng kế hoạch rule firewall cho Kubernetes cluster trên Advanced Firewall:

file

Bảng kế hoạch rule NAT cho Kubernetes cluster trên Advanced Firewall:

file

Gateway cũng có các rule Firewall và NAT để đảm bảo kết nối traffic từ Gateway tới Firewall. Các rule mặc định này được tạo tự động. Tạo thêm rule cho ứng dụng của bạn nếu cần (tùy chọn).

Tạo Kubernetes cluster tích hợp Firewall

Yêu cầu:

  • Quota CPU, RAM, Storage và Instance đủ cho cấu hình Kubernetes cluster mong muốn.
  • Một network subnet dành cho Kubernetes Node (yêu cầu subnet có Static IP Pool). Subnet này cần được lập kế hoạch và thiết kế cẩn thận để cho phép định tuyến từ các nguồn bên ngoài qua Firewall và Gateway đến các Kubernetes Node.
  • Thông tin IP của Firewall: một Public IP và một Private IP cho Firewall.
  • Thông tin IP của Gateway: một Private IP được dùng để cấu hình route từ Firewall đến Gateway.

Các bước tạo:

  1. Từ FPT Cloud Portal, chọn Kubernetes. Chọn tab Dedicated và nhấn Create. Nhập thông tin Kubernetes cluster mong muốn.
  2. Trong phần cài đặt Firewall, tích chọn Enable Firewall.

file

  1. Nhập thông tin Firewall (Gateway IP, Checkpoint Public IP và Private IP).
  2. Nhấn Create, kiểm tra lại thông tin, sau đó nhấn Agree để bắt đầu tạo.
  3. Theo dõi trạng thái tạo Kubernetes cluster. Khi trạng thái là Succeeded (Running), bạn có thể bắt đầu triển khai ứng dụng.
Cập nhật lần cuối vào bởi Dang Tran