У меня есть кластер AKS, работающий в Azure (управляемый Kubernetes). Я хотел бы поставить перед ним WAF, используя шлюз веб-приложений Azure. Я думаю , что это возможно.
Но я также хочу, чтобы перед ним был брандмауэр, чтобы ограничивать как входящий, так и исходящий трафик. Я не вижу документации о том, как объединить шлюз приложений и брандмауэр в Azure.
Возможно ли это? И возможно ли это с помощью AKS? Я попытался заставить шлюз приложений работать с AKS, но безуспешно. Я всегда получаю 502, что означает, что шлюз не может подключиться к внутреннему пулу.
можно поставить шлюз приложений перед акс. просто используйте внутренний балансировщик нагрузки в качестве механизма балансировки для ваших служб и укажите на него правильно настроенный шлюз приложений. Чтобы использовать внутренний балансировщик нагрузки, вы должны создать службу, подобную этой:
apiVersion: v1
kind: Service
metadata:
name: name
annotations:
service.beta.kubernetes.io/azure-load-balancer-internal: "true"
spec:
ports:
- port: port
selector:
app: something
type: LoadBalancer
Я не думаю, что вам нужен брандмауэр Azure, вам нужна группа сетевой безопасности (NSG). Вы можете использовать NSG вместе со шлюзом приложений, но необходимо иметь в виду некоторые ограничения.
https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-faq# конфигурация
В целом - да, это возможно