Plages d'adresses IP autorisées par le serveur d'API dans Azure Kubernetes Service (AKS) - Azure Kubernetes Service (2023)

Le serveur d'API Kubernetes est le cœur du plan de contrôle Kubernetes et constitue le moyen central d'interagir avec et de gérer vos clusters. Pour améliorer la sécurité de vos clusters et minimiser les risques d'attaques, nous vous recommandons de limiter les plages d'adresses IP pouvant accéder au serveur d'API. Pour ce faire, vous pouvez utiliser lePlages d'adresses IP autorisées pour le serveur d'APIfonctionnalité.

Cet article vous explique comment utiliserPlages d'adresses IP autorisées du serveur d'APIfonctionnalité pour limiter les adresses IP et les CIDR pouvant accéder au plan de contrôle.

Avant que tu commences

• Vous devez installer et configurer Azure CLI version 2.0.76 ou ultérieure. Couriraz --versionpour trouver la version. Si vous devez installer ou mettre à niveau, consultezInstaller Azure CLI.
• Pour savoir quelles adresses IP inclure lors de l'intégration de votre cluster AKS avec Azure DevOps, consultez le Azure DevOpsAdresses IP et URL de domaine autoriséesarticle.

Limites

LePlages d'adresses IP autorisées pour le serveur d'APIfonctionnalité présente les limitations suivantes :

• LePlages d'adresses IP autorisées pour le serveur d'APIla fonctionnalité a été retirée de l'aperçu en octobre 2019. Pour les clusters créés après que la fonctionnalité a été retirée de l'aperçu, cette fonctionnalité n'est prise en charge que sur leStandardÉquilibreur de charge SKU. Tous les clusters existants sur leBasiqueÉquilibreur de charge SKU avecPlages d'adresses IP autorisées pour le serveur d'APIla fonctionnalité activée continuera de fonctionner telle quelle. Cependant, ces clusters ne peuvent pas être migrés vers unStandardÉquilibreur de charge SKU. Les clusters existants continueront de fonctionner si la version et le plan de contrôle de Kubernetes sont mis à niveau.
• LePlages d'adresses IP autorisées pour le serveur d'APIla fonctionnalité n'est pas prise en charge sur les clusters privés.
• Lorsque vous utilisez cette fonctionnalité avec des clusters qui utilisentIP publique du nœud, les pools de nœuds utilisant l'adresse IP publique du nœud doivent utiliser des préfixes d'adresse IP publique. Les préfixes IP publics doivent être ajoutés en tant que plages autorisées.

Présentation des plages d'adresses IP autorisées pour le serveur d'API

Le serveur d'API Kubernetes est la façon dont les API Kubernetes sous-jacentes sont exposées. Ce composant fournit l'interaction pour les outils de gestion, tels quekubectlou le tableau de bord Kubernetes. AKS fournit un plan de contrôle de cluster à locataire unique, avec un serveur d'API dédié. Par défaut, le serveur d'API se voit attribuer une adresse IP publique et vous devez contrôler l'accès à l'aide du contrôle d'accès basé sur les rôles Kubernetes (Kubernetes RBAC) ou Azure RBAC.

Pour sécuriser l'accès au plan de contrôle/serveur d'API AKS autrement accessible au public, vous pouvez activer et utiliser des plages d'adresses IP autorisées. Ces plages d'adresses IP autorisées autorisent uniquement les plages d'adresses IP définies à communiquer avec le serveur d'API. Une requête adressée au serveur d'API à partir d'une adresse IP ne faisant pas partie de ces plages d'adresses IP autorisées est bloquée. Continuez à utiliser Kubernetes RBAC ou Azure RBAC pour autoriser les utilisateurs et les actions qu'ils demandent.

Pour plus d'informations sur le serveur d'API et les autres composants du cluster, consultezConcepts de base de Kubernetes pour AKS.

Créer un cluster AKS avec les plages d'adresses IP autorisées du serveur d'API activées

Créez un cluster à l'aide deaz aks créeret précisez le--api-server-authorized-ip-rangesparamètre pour fournir une liste des plages d'adresses IP publiques autorisées. Lorsque vous spécifiez une plage CIDR, commencez par la première adresse IP de la plage. Par exemple,137.117.106.90/29est une plage valide, mais assurez-vous de spécifier la première adresse IP de la plage, telle que137.117.106.88/29.

L'exemple suivant crée un cluster à nœud unique nommémonAKSClusterdans le groupe de ressources nommémongroupe de ressourcesavec les plages d'adresses IP autorisées du serveur d'API activées. Les plages d'adresses IP autorisées sont73.140.245.0/24:

az aks create \ --resource-group myResourceGroup \ --name myAKSCluster \ --node-count 1 \ --vm-set-type VirtualMachineScaleSets \ --load-balancer-sku standard \ --api-server-authorized-ip -plages 73.140.245.0/24 \ --generate-ssh-keys

Spécifiez les adresses IP sortantes pour l'équilibreur de charge SKU standard

Lors de la création d'un cluster AKS, si vous spécifiez les adresses IP sortantes ou les préfixes du cluster, ils sont également autorisés. Par exemple:

az aks create \ --resource-group myResourceGroup \ --name myAKSCluster \ --node-count 1 \ --vm-set-type VirtualMachineScaleSets \ --load-balancer-sku standard \ --api-server-authorized-ip -ranges 73.140.245.0/24 \ --load-balancer-outbound-ips , \ --generate-ssh-keys

Dans l'exemple ci-dessus, toutes les adresses IP fournies dans le paramètre--load-balancer-outbound-ip-prefixessont autorisés avec les adresses IP dans le--api-server-authorized-ip-rangesparamètre.

Au lieu de cela, vous pouvez spécifier le--load-balancer-outbound-ip-prefixesparamètre pour autoriser les préfixes IP de l'équilibreur de charge sortant.

Autoriser uniquement l'adresse IP publique sortante de l'équilibreur de charge SKU standard

Lorsque vous activez les plages d'adresses IP autorisées du serveur d'API lors de la création du cluster, l'adresse IP publique sortante de l'équilibreur de charge SKU standard pour votre cluster est également autorisée par défaut en plus des plages que vous spécifiez. Pour autoriser uniquement l'adresse IP publique sortante de l'équilibreur de charge SKU standard, utilisez0.0.0.0/32lors de la spécification du--api-server-authorized-ip-rangesparamètre.

Dans l'exemple suivant, seule l'adresse IP publique sortante de l'équilibreur de charge SKU standard est autorisée, et vous ne pouvez accéder au serveur d'API qu'à partir des nœuds du cluster.

az aks create \ --resource-group myResourceGroup \ --name myAKSCluster \ --node-count 1 \ --vm-set-type VirtualMachineScaleSets \ --load-balancer-sku standard \ --api-server-authorized-ip -plages 0.0.0.0/32 \ --generate-ssh-keys

Mettre à jour les plages d'adresses IP autorisées du serveur d'API d'un cluster

Pour mettre à jour les plages d'adresses IP autorisées du serveur d'API sur un cluster existant, utilisezaz aks mise à jourcommandez et utilisez le--api-server-authorized-ip-ranges,--load-balancer-outbound-ip-prefixes,--load-balancer-outbound-ips, ou--load-balancer-outbound-ip-prefixesparamètres.

L'exemple suivant met à jour les plages d'adresses IP autorisées du serveur d'API sur le cluster nommémonAKSClusterdans le groupe de ressources nommémongroupe de ressources. La plage d'adresses IP à autoriser est73.140.245.0/24:

az aks update \ --resource-group myResourceGroup \ --name myAKSCluster \ --api-server-authorized-ip-ranges 73.140.245.0/24

Vous pouvez aussi utiliser0.0.0.0/32lors de la spécification du--api-server-authorized-ip-rangespour autoriser uniquement l'adresse IP publique de l'équilibreur de charge SKU standard.

Désactiver les plages d'adresses IP autorisées

Pour désactiver les plages d'adresses IP autorisées, utilisezaz aks mise à jouret spécifiez une plage vide pour désactiver les plages d'adresses IP autorisées du serveur d'API. Par exemple:

az aks update \ --resource-group myResourceGroup \ --name myAKSCluster \ --api-server-authorized-ip-ranges ""

Rechercher des plages d'adresses IP autorisées existantes

Pour rechercher des plages d'adresses IP autorisées, utilisezle spectacle akset spécifiez le nom du cluster et le groupe de ressources. Par exemple:

az aks show \ --resource-group myResourceGroup \ --name myAKSCluster \ --query apiServerAccessProfile.authorizedIpRanges

Mettre à jour, désactiver et rechercher des plages d'adresses IP autorisées à l'aide du portail Azure

Les opérations ci-dessus d'ajout, de mise à jour, de recherche et de désactivation des plages d'adresses IP autorisées peuvent également être effectuées dans le portail Azure. Pour y accéder, accédez àLa mise en réseausousParamètresdans le panneau de menu de votre ressource de cluster.

Comment trouver mon IP à inclure dans--api-server-authorized-ip-ranges?

Vous devez ajouter vos machines de développement, vos outils ou vos adresses IP d'automatisation à la liste des plages IP approuvées du cluster AKS pour accéder au serveur d'API à partir de là.

Une autre option consiste à configurer un jumpbox avec les outils nécessaires à l'intérieur d'un sous-réseau séparé dans le réseau virtuel du pare-feu. Cela suppose que votre environnement dispose d'un pare-feu avec le réseau respectif et que vous avez ajouté les adresses IP du pare-feu aux plages autorisées. De même, si vous avez forcé le tunneling du sous-réseau AKS vers le sous-réseau du pare-feu, il est également acceptable d'avoir le jumpbox dans le sous-réseau du cluster.

Pour ajouter une autre adresse IP aux plages approuvées, utilisez les commandes suivantes.

# Récupérez votre adresse IPCURRENT_IP=$(dig +short "myip.opendns.com" "@resolver1.opendns.com")

# Ajouter à AKS approuvé listaz aks update -g $RG -n $AKSNAME --api-server-authorized-ip-ranges $CURRENT_IP/24,73.140.245.0/24

Une autre option consiste à utiliser la commande suivante sur les systèmes Windows pour obtenir l'adresse IPv4 publique, ou vous pouvez suivre les étapes deTrouver votre adresse IP.

Appelez-RestMethod http://ipinfo.io/json | Sélectionnez -exp ip

Vous pouvez également trouver cette adresse en cherchant surquelle est mon adresse IPdans un navigateur Internet.

Prochaines étapes

Dans cet article, vous avez activé les plages d'adresses IP autorisées du serveur d'API. Cette approche fait partie de la façon dont vous pouvez exécuter en toute sécurité un cluster AKS. Pour plus d'informations, voirConcepts de sécurité pour les applications et les clusters dans AKSetMeilleures pratiques pour la sécurité des clusters et les mises à niveau dans AKS.