Témata

Networking

Cloud-native Palo Alto firewall jako služba pro Azure Virtual WAN

Pokud dnes stavíte síťové řešení v cloudu, doporučuji použít Azure Virtual WAN topologii, která nabízí jednodušší propojení a možnost globální architektury, což oceníte zejména, když máte vícero regionů. Jak ale s firewallem v hubu? Žádný problém. Buď použijete cloud-native firewall přímo od Azure (Azure Firewall) nebo některou z třetích stran,...

Téma:  Security  Networking 


Chcete Azure Kubernetes Service, ale máte málo IP adres? Použijte novou Azure CNI overlay.

Jedním ze základních myšlenkových konceptů Kubernetu, v kterém ve své době řešil nepříjemnosti translace portů u většiny konkurence (Docker Swarm, Apache Mesos aka DC/OS, Service Fabric) byla přímá adresovatelnost Podů mezi sebou. Jinak řečeno každý Pod má svou IP adresu a navzájem se vidí. To je velmi přínosné, ale současně...

Téma:  Networking  Kubernetes 


Azure Firewall Basic - levnější bráška pro malá prostředí nebo distribuované IT

Azure Firewall přináší cloud-native způsobem L4-L7 služby pro síťovou bezpečnost a je velmi oblíbený jak u klasické hub-and-spoke architektury tak ve formě “secured hub” v novějším Azure Virtual WAN řešení. Funguje nejen pro L4 segmentaci, ale i jako transparentní proxy s FQDN pravidly, URL pravidly, outbound TLS inspekcí, IDPS, reputační...

Téma:  Networking  Security 


Azure Kubernetes Service v kombinaci s Private Link Service - například pro privátní doručení na Front Door nebo k vašim Azure klientům

Na tomto blogu už jsem popisoval technologii Private Link Service, kdy se můžete pasovat do role providera služby tak jak to třeba děla Microsoft s Azure SQL a svým odběratelům nabídnout začlenění vaší služby přímo do jejich virtuální sítě. Stejnou technologii lze také použít pro zajištění privátního spojení POPů Azure...

Téma:  Networking  Kubernetes 



Azure Private Endpoint - co dělat, když bezpečnostní oddělení požaduje filtraci nebo inspekci komunikace?

Platformní služby se typicky dělí na ty, které dokáží fyzicky běžet uvnitř zákaznické sítě (Azure Database for MySQL/PostgreSQL Flexible Server, Application Gateway, App Service Environment, SQL MI apod.) a ty, které jsou hostované v prostředí Microsoftu a do své vnitřní sítě je připojíte technologií Private Endpoint (Azure SQL, Azure Monitor...

Téma:  Networking  Security 


Service chaining síťových krabiček třetích stran v Azure síti s Gateway LB

Azure nabízí výborné nativní síťové funkce jako je Application Gateway WAF, Front Door, Azure Firewall nebo Traffic Analytics (z NSG flow dat), ale někdy chcete dát přednost třetím stranám - ať z důvodu jednotnosti mezi prostředími, kvůli speciálním funkcím, certifikaci regulátora, využití už nakoupených licencích nebo lepším možnostem úprav specificky...

Téma:  Networking 




Nová generace integrace Azure PaaS do sítě zákazníka se roluje do prvních služeb

Před deseti lety PaaS běžela výhradně v “Internetu” a na mnoho použití to vůbec nevadilo. V posledních letech ale Azure nabídl dva způsoby těsnější integrace do privátní sítě zákazníka - vystavení PaaS přímo ve VNETu nebo promítnutí PaaS služby do zákaznického VNETu přes Private Link technologii. S některými službami nastupuje...

Téma:  Networking  Security 




Kubernetes prakticky: privátní AKS clustery

Za nejdůležitější bezpečnostní nastavení z pohledu přístupu administrátorů do vašeho AKS clusteru považuji určitě integraci na Azure Active Directory a s tím spojené silné přihlašování včetně možnosti více-faktoru, podmíněných přístupů a návazný RBAC. O tom jindy. Nicméně omezení vašeho clusteru po stránce síťové jako další stupeň bezpečnosti mi dává smysl...

Téma:  Kubernetes  Networking  Security 








Kubernetes praticky: nejmocnější Service Mesh část 1 - Istio retry, circuit breaker, copy, balancing

Než se pustíme do Istio, opět připomenu, že jsem nejprve psal o tom, proč Service Mesh ano, ale také proč ne. Nemyslím si, že je pro každého a jsou i jiné, v některých případech lepší, varianty. Také připomínám svůj hodně zjednodušený pohled na tři nejznámější zástupce: Istio, které je zaměřeno...

Téma:  Kubernetes  Networking  ServiceMesh