Tomáš Kubica

Chcete Azure Kubernetes Service, ale máte málo IP adres? Použijte novou Azure CNI overlay.

Jedním ze základních myšlenkových konceptů Kubernetu, v kterém ve své době řešil nepříjemnosti translace portů u většiny konkurence (Docker Swarm, Apache Mesos aka DC/OS, Service Fabric) byla přímá adresovatelnost Podů mezi sebou. Jinak řečeno každý Pod má svou IP adresu a navzájem se vidí. To je velmi přínosné, ale současně...

2. 11. 2022

Téma: Networking Kubernetes

Azure Firewall Basic - levnější bráška pro malá prostředí nebo distribuované IT

Azure Firewall přináší cloud-native způsobem L4-L7 služby pro síťovou bezpečnost a je velmi oblíbený jak u klasické hub-and-spoke architektury tak ve formě “secured hub” v novějším Azure Virtual WAN řešení. Funguje nejen pro L4 segmentaci, ale i jako transparentní proxy s FQDN pravidly, URL pravidly, outbound TLS inspekcí, IDPS, reputační...

6. 10. 2022

Téma: Networking Security

Azure Kubernetes Service v kombinaci s Private Link Service - například pro privátní doručení na Front Door nebo k vašim Azure klientům

Na tomto blogu už jsem popisoval technologii Private Link Service, kdy se můžete pasovat do role providera služby tak jak to třeba děla Microsoft s Azure SQL a svým odběratelům nabídnout začlenění vaší služby přímo do jejich virtuální sítě. Stejnou technologii lze také použít pro zajištění privátního spojení POPů Azure...

3. 6. 2022

Téma: Networking Kubernetes

Hybridní DNS jako služba v Azure

Většina velkých zákazníků buduje hybridní prostředí, jehož součástí je i schopnost přes DNS adresovat z cloudu do onprem a naopak včetně například přístupu z onprem na platformní služby s využitím Private Endpoint. Azure poměrně dlouho podporuje privátní DNS domény, ale do nedávna tyto nepodporovaly DNS forwarding - klíčovou vlastnost pro...

24. 5. 2022

Téma: Networking

Azure Private Endpoint - co dělat, když bezpečnostní oddělení požaduje filtraci nebo inspekci komunikace?

Platformní služby se typicky dělí na ty, které dokáží fyzicky běžet uvnitř zákaznické sítě (Azure Database for MySQL/PostgreSQL Flexible Server, Application Gateway, App Service Environment, SQL MI apod.) a ty, které jsou hostované v prostředí Microsoftu a do své vnitřní sítě je připojíte technologií Private Endpoint (Azure SQL, Azure Monitor...

4. 2. 2022

Téma: Networking Security

Service chaining síťových krabiček třetích stran v Azure síti s Gateway LB

Azure nabízí výborné nativní síťové funkce jako je Application Gateway WAF, Front Door, Azure Firewall nebo Traffic Analytics (z NSG flow dat), ale někdy chcete dát přednost třetím stranám - ať z důvodu jednotnosti mezi prostředími, kvůli speciálním funkcím, certifikaci regulátora, využití už nakoupených licencích nebo lepším možnostem úprav specificky...

24. 1. 2022

Téma: Networking

Síťová integrace Confluent Cloud s Azure

Cloud poskytovatel jako je Azure nabízí velké množství služeb a to jak těch vlastních s otevřeným nebo standardizovaným API (například Cosmos DB, Event Hub, Service Bus), těch řešených jako managed open source (Azure Database for MySQL, HDInsights, Azure Kubernetes Service) tak těch vzniklých spoluprací se specializovanou firmou ale tak, že...

19. 10. 2021

Téma: Networking

Kubernetes prakticky: jak napojit Ingress na Open Service Mesh se zapnutým mTLS (zero trust)

Použitím Open Service Mesh, který je k dispozici jako nativní addon do Azure Kubernetes Service, se dá krásně dostat na zero trust postavený na mTLS. Ale Ingress neparticipuje v service mesh - jak tedy zařídit, aby Ingress mohl mluvit se službou v service mesh aniž by tato musela vypnout explicitní...

15. 10. 2021

Téma: Kubernetes Networking

Nová generace integrace Azure PaaS do sítě zákazníka se roluje do prvních služeb

Před deseti lety PaaS běžela výhradně v “Internetu” a na mnoho použití to vůbec nevadilo. V posledních letech ale Azure nabídl dva způsoby těsnější integrace do privátní sítě zákazníka - vystavení PaaS přímo ve VNETu nebo promítnutí PaaS služby do zákaznického VNETu přes Private Link technologii. S některými službami nastupuje...

7. 9. 2021

Téma: Networking Security

Dynamický routing v Azure s vašim vlastním zařízením - Azure Route Server

Pokud jdete nativní cestou dokáže Azure VPN a Azure Express Route Gateway synchronizovat směrování s vaší sítí přes BGP a tyto cesty programovat do Azure. Pokud se rozhodnete do cesty ještě přidat další zařízení jako je Azure Firewall, budete muset ve spoke sítích přidat směrování na něj (User Defined Route)....

11. 5. 2021

Téma: Networking

Kubernetes prakticky: automatizovaná integrace privátní i veřejné DNS

Při vystavování služeb běžících v Kubernetes clusteru ke konzumaci okolním světem, ať už v privátní síti nebo veřejně, bývá k vidění celá řada přístupů. Ty nejčastější jsou manuální konfigurace, wildcard záznamy, API management a nebo dnešní téma - automatické vytváření záznamů v DNS mimo cluster s projektem External DNS.

8. 2. 2021

Téma: Kubernetes Networking

Kubernetes prakticky: privátní AKS clustery

Za nejdůležitější bezpečnostní nastavení z pohledu přístupu administrátorů do vašeho AKS clusteru považuji určitě integraci na Azure Active Directory a s tím spojené silné přihlašování včetně možnosti více-faktoru, podmíněných přístupů a návazný RBAC. O tom jindy. Nicméně omezení vašeho clusteru po stránce síťové jako další stupeň bezpečnosti mi dává smysl...

2. 2. 2021

Téma: Kubernetes Networking Security

Hej ty cloude, jak jsi daleko? Test latence vybraných Azure regionů v Evropě.

Azure má na rozdíl od ostatních globálních konkurentů v Evropě opravdu velké množství regionů. Jaké to jsou? A jak si mám vybrat ten pravý? Jsou rozdíly v cenách? Je ten nejblíž pro mě ideální?

6. 10. 2020

Téma: Networking Compute

Azure Front Door prakticky - routovací engine

Služba Azure Front Door je vlastně reverse proxy s Web Application Firewall distribuovaná po celé planetě na POP místech Microsoft sítě včetně Prahy. Jedna konfigurace, 165 lokalit a uživatel se přes anycast dostane vždy na tu nejbližší, kde je jeho TLS session terminována. Dnes se podíváme na rules engine pro...

8. 7. 2020

Téma: Networking

Privátní leč cenově dostupná WebApp díky Private Link pro App Service v Azure

Azure Applicaiton Services a především její slavná WebApp je jedna z nejstarších a nejpoužívanějších služeb Azure společně s Azure SQL. Původně začala jako platforma pro provoz .NET aplikací, ale už před pěti lety uměla Javu a další jazyky a v posledních letech přišla i podpora kontejnerů a Linux verze včetně...

11. 5. 2020

Téma: Networking Security AppService

Kudy posílat odchozí provoz z Azure do Internetu aneb LB vs. VNET NAT vs. Azure FW

Před asi dvěma lety se v oblasti IaaS zahájila změna v Azure z implicitního řešení odchozího provozu (Azure LB Basic apod.) do více předvídatelného a řiditelného modelu. To je myslím pozitivní, ale všechno je dobré si víc rozmyslet. A to dnes uděláme a vyzkoušíme jednu novinku v této oblasti -...

18. 3. 2020

Téma: Networking

Azure DDoS Protection Standard: jak funguje a proč si pořídit

Azure má k dispozici DDoS ochranu s celkovou kapacitou přes 30 Tbps, což je minimálně 10x víc, než dosud nejsilnější zaznamenaný útok. Jak vás může chránit, jak funguje a proč si pořídit? Důležitým věcem typu jaký je rozdíl mezi volumetrickým, protokolovým a aplikačním útokem nebo co zahrnuje Azure DDoS Protection...

12. 2. 2020

Téma: Networking Security

Kubernetes praticky: nejmocnější Service Mesh část 2 - traffic management

Minule jsme si prošli základní věci typu retry, circuit breaker a dnes se pustíme do pokročilého směrování provozu. Budeme pokračovat s prostředím z minula, kdy Istio jako takové mám zprovozněno a pustili jsme si dva deploymenty, každý v jiné verzi. apiVersion: apps/v1beta2 kind: Deployment metadata: name: myweb-deployment-v1 spec: replicas: 3...

4. 2. 2020

Téma: Kubernetes Networking ServiceMesh

Kubernetes praticky: nejmocnější Service Mesh část 1 - Istio retry, circuit breaker, copy, balancing

Než se pustíme do Istio, opět připomenu, že jsem nejprve psal o tom, proč Service Mesh ano, ale také proč ne. Nemyslím si, že je pro každého a jsou i jiné, v některých případech lepší, varianty. Také připomínám svůj hodně zjednodušený pohled na tři nejznámější zástupce: Istio, které je zaměřeno...

28. 1. 2020

Téma: Kubernetes Networking ServiceMesh

Kubernetes praticky: Service Mesh zaměřený na rychlost a efektivitu - Linkerd

Než se pustíme do Linkerd, rád bych připomenul předchozí článek, který se zamýšlí nad rolí service mesh, jestli to vůbec potřebuji a jaké výhody a nevýhody přináší. V rámci pokračování tématu se budu věnovat třem implementacím a dopustím se v úvodu velmi hrubého a nepřesného zjednodušení: Istio, které je zaměřeno...

9. 1. 2020

Téma: Kubernetes Networking ServiceMesh

Kubernetes praticky: role Service Mesh

V poslední době je mnoho diskusí kolem konceptu Service Mesh a mnoho lidí se na něj dívá jako ná spásu světa. Něco na tom je, ale nic není zadarmo - roste složitost, latence a spotřeba zdrojů. Stojí to za to? Na to se dnes zkusím podívat. A jak si mám...

12. 12. 2019

Téma: Kubernetes Networking Security ServiceMesh

Privátní napojení vaší vlastní služby v SaaS stylu s Azure Private Link Service

Před časem jsem popisoval a testoval službu Private Link, která vás může přímo z vašeho VNETu napojit do platformní služby v Azure. Zkoušel jsem Storage account a Azure SQL, ale chystá se i plejáda dalších služeb. Víte ale, že celá technologie není určena jen pro Azure PaaS, ale můžete ji...

6. 11. 2019

Téma: Security Networking

Privátní napojení PaaS služeb do VNETu s Azure Private Link

Existují platformní služby, které v single-tenant režimu napojíte rovnou do VNETu (tedy na privátní adresy) a můžete je pak využívat z IaaS infrastruktury nebo přes Azure VPN či Express Route. Tyto alternativy ale mohou mít trochu jinou funkčnost a mohou být dražší (což je logické, protože jsou single-tenantní a tím...

18. 9. 2019

Téma: Security Networking Storage SQL

Automatické získávání IP range PaaS služeb v Azure přes API

Platformní služby Azure typicky běží na public endpointech a zejména při komunikaci z on-premises se vám může hodit znát rozsahy veřejných IP adres, na kterých běží. Důvody mohou být pro implementaci klasického pohledu na bezpečnost, ale také důvody praktické. Jsou služby, které mohou znamena masivní přenosy dat (třeba storage account)...

19. 8. 2019

Téma: Networking Security

Kubernetes praticky: vystavování aplikací s Ingress a Azure App Gateway (WAF)

Na tomto blogu už jsem ukazoval vystavování aplikací přes objekt Service a s využitím typu LoadBalancer vám Kubernetes ve spolupráci s Azure Load Balancer zajistí vystrčení ven z clusteru na private nebo public IP adresu. Nicméně to má své nevýhody. Adres může být zbytečně moc, neřeší to L7 funkce jako...

12. 8. 2019

Téma: Kubernetes Networking Security

IPv6 v Azure

Nepředpokládám, že většina z vás bude IPv6 potřebovat. A pokud už ano, půjde vám asi o možnost vystavit aplikaci přes IPv6 spíše, než plnohodnotnou podporu IPv6 uvnitř VNETu a to už je delší dobu možné s využitím IPv6 laod balanceru nebo ve službě jako je Azure Front Door. Nicméně jsou...

1. 8. 2019

Téma: Networking

Testování síťového výkonu v Azure

Jak správně testovat síťovou latenci a prostupnost? Jaké jsou parametry sítí v Azure a jaké jsou možnosti z pohledu optimalizací pro potřeby vašich aplikací? Nejprve se podíváme na koncepty Accelerated Networking, Proximity placement group, Availability zóny a regiony. Následně si popíšeme správné testovací nástroje a vyzkoušíme si, co naměříme. Datová...

23. 7. 2019

Téma: Networking

Update - náklady na můj blog v Azure a apex doména

Před časem jsem popsal jak jsem na svém blogu přešel z dynamického obsahu ve Wordpress na statický obsah generovaný z Jekyll. Stránky servíruji ze Storage Account a https zajišťuji přes Azure CDN. Dnes chci popsat novinku - podporu apex domény (tomaskubica.cz) přes Azure DNS a CDN, což mi řeší problém,...

12. 4. 2019

Téma: Networking Storage

Modernizujte konektivitu vašich poboček s Azure Virtual WAN

Jak máte víc a víc aplikací v Azure z nichž řada z nich vyžaduje privátní konektivitu možná vám začne dávat smysl využít Azure i pro propojení poboček po celém světě. Tradiční řešení, L3 VPN MPLS služba operátora, se dá dobře využít s Express Route, kdy se z Azure stane vlastně...

2. 4. 2019

Téma: Networking Security

Kubernetes prakticky: síťová bezpečnost s Network Policy

Otevíráte uvnitř vaší sítě komunikaci jen odkud kam je to potřeba nebo jedete stylem “od vnějšku mě odděluje firewall, tak vevnitř může být klidně všechno se vším, tady si věříme”? Dnešní přístup k bezpečnosti vychází spíše z assume breach, tedy útočník se dříve či později dovnitř dostane. A když už...

14. 3. 2019

Téma: Kubernetes Networking

Co přinesl rok 2018 v Azure v síťařině

Rok 2018 byl v oblasti síťařiny v Azure velmi plodný. Co všechno se do Azure přidalo za jediný rok? Plné rozšíření servisních endpointů Na konci 2017 přišla zajímavá metoda integrace IaaS s PaaS na síťové úrovni. PaaS typicky běží na public endpointu a přístup z IaaS tak jde přes veřejné...

22. 1. 2019

Téma: Networking

Azure Front Door prakticky - základní nasazení globální služby

V minulém díle jsme se teoreticky seznámili s Azure Front Door Service a dnes už si ji vyzkoušíme prakticky. Začneme z nejjednodušších věcí a prozkoumáme jak to funguje. Na pokročilé záležitosti se podíváme zas příště. Připravíme si aplikaci Po dnešní jednoduchý test potřebuji webovku v Evropě a USA. Nechce se...

17. 1. 2019

Téma: FrontDoor Networking

Globální aplikace s dveřmi blízko uživatelů díky Azure Front Door

Jak udělat globální aplikaci tak, aby uživatel měl co nejlepší přístup z hlediska latence, pásma a stability spojení? Prozkoumejme Azure Front Door. O čem dnes bude řeč? Microsoft aplikace běžící v Azure jako jsou Office365 nebo XBOX musí být nasazené co nejblíže uživatelům, ale přestože je seznam datových center Azure...

9. 1. 2019

Téma: FrontDoor Networking

Jak jsem přešel z Wordpress na statické stránky Jekyll v Azure a proč

Proč Wordpress Když jsem někdy v roce 2012 začínal svůj první blog, potřeboval jsem něco jednoduchého, co mi zprovozní přímo poskytovatel a já se jen napojím a budu psát články. Víc jsem o tom nevěděl a vědět nechtěl. Zvolil jsem Wordpress. Na konci 2016 jsem zakládal svůj hlavní osobní blog...

2. 1. 2019

Téma: Storage Networking

Azure DDoS ochrana pro vaše aplikace

Mirai botnet v roce 2016 vedl na DDoS útok o síle 650 Gbps. O dva roky později bylo zneužito protokolu Memcached, který umožnil zesilující faktor 1:50000 a výsledkem byl globální útok kolem 1,3 Tbps. Týká se DDoS i vás? A jak se chránit s využitím Azure? Pomůže Azure i pro...

12. 11. 2018

Téma: Networking

Azure Stack: networking

Jak se Azure Stack začleňuje do existující sítě datového centra? Proč jsou součástí balíčku i síťové prvky a co na nich technici hardwarového dodavatele mají zprovozněno? A protože všechno je softwarově definované jak vlastně SDN v Azure Stack funguje? Pojďme na to mrknout. Integrace Azure Stack do sítě datového centra...

17. 9. 2018

Téma: Networking AzureStack

Nový Azure Firewall: na co se hodí a v čem je jiný, než NSG nebo App Gateway?

Před pár dny bylo uvedeno preview produktu Azure Firewall. Kdy mám použít Network Security Group, kdy Application Gateway, kdy Azure Firewall a kdy prvky třetích stran? Pojďme si na to odpovědět a Azure Firewall vyzkoušet. Řízení síťového provozu v Azure Azure nabízí dva nativní prostředky, které jsou k dispozici zdarma....

23. 7. 2018

Téma: Security Networking

Jak navrhnout FW pravidla v Azure s NSG a ASG

Pokud z nějakého důvodu nemůžete použít platformní službu (PaaS), možná stojíte před úkolem jak nastavit firewall pravidla pro aplikaci ve VM, která má dvojici webových serverů přístupných z venku a dvě databázové VM. Jak to udělat? Mikrosegmentace per VM? Nebo pravidla na subnet? A co aplikační objekty s ASG? Podívejme...

20. 4. 2018

Téma: Security Networking

Co přinesl rok 2017 v Azure v síťařině

Rok je v cloudu dlouhá doba. V této sérii zpětných pohledů se pokouším ohlédnout za největšími novinkami, které rok 2017 přinesl. Tentokrát o tom, co je základem pro naprosto všechno. Něco, bez čeho jsou dokonalé servery, storage, databáze i aplikace k ničemu - networking. Ten fyzický vám je skryt (ale...

26. 12. 2017

Téma: Networking

Jak připojit počítač vývojáře z domova do privátní sítě v Azure

Pokud potřebujete mít v Azure privátní prostředí bez veřejných IP adres, můžete se k němu připojit přes site-to-site VPN ve firmě, ExpressRoute ve spolupráci s operátorem a nebo vytočit VPN přímo ze svého počítače (point-to-site). Dnes se chci věnovat té poslední možnosti - jak si mohou například vývojáři vytočit VPNku do...

23. 10. 2017

Téma: Networking

Přístup k PaaS SQL nebo Storage z vnitřní sítě Azure VNet

Platformní služby mají velmi příjemné vlastnosti z hlediska funkcí, ale i škály a cenové dostupnosti. To ale typicky znamená, že pro využití výnosů z rozsahu jsou některé jejich komponenty multi-tenantní - například jejich interní balancer apod. To znemožňuje nebo znesnadňuje (prodražuje) jejich instalaci ve VNET, privátní síti. Většinou to nevadí....

2. 10. 2017

Téma: Security Networking

Bezpečný přístup z PaaS webu do databáze v IaaS nebo on-premises

Platformní služba, například aplikace běžící v Azure App Service, je v principu veřejná služba. Pokud přistupojete k platformní databázi (Azure SQL, MySQL, Postgresql, Cosmos DB) tak se tak děje na úrovni public endpointů, ale zůstává uvnitř Microsoft sítě (nejde přes Internet). Totéž platí pro DB v IaaS VM s veřejnou...

24. 9. 2017

Téma: Networking AppService ServiceBus

Networking v cloudu: IP balancing s Azure Load Balancer

Azure nabízí vysoce výkonný naprosto elastický SDN-based L4 balancer, který je protokolově transparentní. V nabídce je také L7 balancer (Azure Application Gateway) a globální DNS balancer (Azure Traffic Manager). Podívejme se dnes na Azure Load Balancer, který je zcela zdarma jako součást SDN fabric v Azure. Jak Azure Load Balancer...

11. 9. 2017

Téma: Networking

Networking v cloudu: Routing a service insertion v Azure

Azure VNET nabízí váš vlastní L3 prostor se směrováním mezi subnety, napojením na VPN a tak podobně. Jak vlastně směrování ve VNETu funguje? Dá se nějak ovlivnit, například do dráhy paketu vsunout vaše vlastní virtuální bezpečnostní zařízení, ať už je to Linux, Cisco, Palo Alto, Fortinet, A10, KEMP, Check Point,...

16. 8. 2017

Téma: Networking

Networking v cloudu: DNS balancer s Azure Traffic Manager

Azure nabízí tři prostředky balancování. Univerzální L4 balancer (ten je zdarma), pokročilejší L7 balancer (webová proxy) a také globální DNS balancing pro překlápění celých datových center. Podívejme se dnes na Azure Traffic Manager, DNS balancer, který můžete použít s Azure i bez, a je zásadní pro celou řadu scénářů jako...

24. 7. 2017

Téma: Networking

Networking v cloudu: Pokročilé kousky s Azure VPN a BGP

Jak se má síťař orientovat v cloudu? To je hlavní téma této série článků a tentokrát se podíváme na VPN spojení cloudu a vaší sítě. Ukážeme si základní scénáře, ale i pokročilé situace s dynamickým směrováním, napojením několika lokalit u vás i v cloudu. Site-to-site se statickým směrováním Začneme jednoduchým...

10. 7. 2017

Téma: Networking

Networking v cloudu: packet capture

Síťaři jistě rádi vzpomínají na doby, kdy servery byly jen fyzické, napojilo se to drátem do switche a dalo se zjistit spoustu věcí, třeba zachytit pakety z konkrétního OS. Virtualizace to všechno zkomplikovala a cloud je jen velký síťový blackbox … ale je to opravdu tak? Azure Network Watcher vám...

15. 5. 2017

Téma: Networking

Síťařina v DC/OS v Azure Container Service

V síťařině jsem působil mnoho let a vždycky to bylo docela složité. Virtualizace a cloud situaci díky nástupu overlay sítím a mikrosegmentaci zrovna nezjednodušují a dnes se pak musí řešit otázka síťařiny v kontejnerech běžících nad virtualizací. Azure Container Service odladila a připravila robustní řešení pro open source orchestrátor dle vaší volby...

5. 4. 2017

Téma: Networking

Síťařina v Kubernetes v Azure Container Service

V síťařině jsem působil mnoho let a vždycky to bylo docela složité. Virtualizace a cloud situaci díky nástupu overlay sítí a mikrosegmentaci zrovna nezjednodušují a dnes se pak musí řešit otázka síťařiny v kontejnerech běžících nad virtualizací. Azure Container Service odladila a připravila robustní řešení pro open source orchestrátor dle vaší volby...

8. 3. 2017

Téma: Kubernetes Networking