Rearchitect AWS EKS-Webanwendung für Azure Kubernetes Service (AKS)

Nachdem Sie nun ein besseres Verständnis der Plattformunterschiede zwischen AWS und Azure haben, untersuchen wir die Webanwendungsarchitektur auf AWS und die Änderungen, die erforderlich sind, um sie mit Azure Kubernetes Service (AKS) kompatibel zu machen.

Yelb-Anwendungsarchitektur

Die Yelb-Beispielwebanwendung besteht aus einer Front-End-Komponente, die aufgerufen wird yelb-ui, und einer Anwendungskomponente, die aufgerufen wird yelb-appserver.

Architekturdiagramm der Yelb-Webanwendung.

Der yelb-ui JavaScript-Code dient dem Browser. Dieser Code wird aus einer Angular-Anwendung kompiliert. Die yelb-ui Komponente kann je nach Bereitstellungsmodell auch einen nginx Proxy enthalten. Dies yelb-appserver ist eine Sinatra-Anwendung , die mit einem Cacheserver (redis-server) und einer Postgres-Back-End-Datenbank (yelb-db) interagiert. Redis Cache speichert die Anzahl der Seitenaufrufe, während PostgreSQL die Stimmen speichert. Beide Dienste werden auf Kubernetes bereitgestellt, ohne einen verwalteten Dienst zum Speichern von Daten in AWS oder Azure zu verwenden.

Die ursprüngliche Yelb-Anwendung ist eigenständig und basiert nicht auf externen Diensten, sodass Sie sie ohne Codeänderungen von AWS zu Azure migrieren können. In Azure können Sie Azure Managed Redis und Azure Database für PostgreSQL als Ersatz für die redis Cache- und PostgreSQL-Dienste verwenden, die auf AKS bereitgestellt werden.

Mit der Yelb-Beispielanwendung können Benutzer über eine Reihe von Alternativen (Restaurants) abstimmen und Kreisdiagramme basierend auf der Anzahl der empfangenen Stimmen dynamisch aktualisieren. Die Anwendung verfolgt auch die Anzahl der Seitenaufrufe und zeigt den Hostnamen der yelb-appserver Instanz an, die die API-Anforderung nach einer Abstimmung oder einer Seitenaktualisierung bedient. Mit diesem Feature können Sie die Anwendung unabhängig oder gemeinsam demoieren.

Screenshot der Yelb-Dienstschnittstelle.

Architektur auf AWS

Um Webanwendungen und APIs vor allgemeinen Web-Exploits zu schützen, bietet AWS Web Application Firewall (WAF) und AWS Firewall Manager an.

Zuordnen von AWS-Diensten zu Azure-Diensten

Um die AWS-Workload in Azure mit minimalen Änderungen neu zu erstellen, verwenden Sie ein Azure-Äquivalent für jeden AWS-Dienst. In der folgenden Tabelle sind die Dienstzuordnungen zusammengefasst:

Dienstzuordnung	AWS-Dienst	Azure-Dienst
Webzugriffsfirewall	AWS Web Application Firewall (WAF)	Azure Web Application Firewall (WAF)
Anwendungslastenausgleich	Application Load Balancer (ALB)	Azure Application Gateway Anwendungsgateway für Container (AGC)
Inhaltsübermittlungsnetzwerk	Amazon CloudFront	Azure Front Door (AFD)
Orchestrierung	Elastic Kubernetes Service (EKS)	Azure Kubernetes Service (AKS)
Geheimnistresor	AWS Key Management Service (KMS)	Azure Key Vault
Containerregistrierung	Amazon Elastic Container Registry (ECR)	Azure Container Registry (ACR)
Domänennamenserver (DNS)	Amazon Route 53	Azure DNS
Zwischenspeicherung	Amazon ElastiCache	Azure Managed Redis
NoSQL	Amazon DynamoDB	Azure-Datenbank für PostgreSQL

Einen umfassenden Vergleich zwischen Azure- und AWS-Diensten finden Sie im Vergleich zwischen AWS und Azure-Diensten.

Architektur in Azure

In dieser Lösung wird die Yelb-Anwendung in einem AKS-Cluster bereitgestellt und über einen Eingangscontroller wie den NGINX-Eingangscontroller verfügbar gemacht. Der Ingress-Controller-Dienst wird über einen internen (oder privaten) Load Balancer bereitgestellt. Weitere Informationen zur Verwendung eines internen Lastenausgleichs zum Einschränken des Zugriffs auf Ihre Anwendungen in AKS finden Sie unter Verwenden eines internen Lastenausgleichs mit Azure Kubernetes Service (AKS).

Dieses Beispiel unterstützt die Installation eines verwalteten NGINX-Eingangscontrollers mit dem Anwendungsrouting-Add-On oder einem nicht verwalteten NGINX-Eingangscontroller mithilfe des Helm-Diagramms. Das Anwendungsrouting-Add-On mit NGINX-Eingangscontroller bietet die folgenden Features:

Einfache Konfiguration von verwalteten NGINX-Eingangscontrollern basierend auf Kubernetes NGINX-Eingangscontrollern.
Integration in Azure DNS für die Verwaltung öffentlicher und privater Zonen.
SSL-Beendigung mit Zertifikaten, die in Azure Key Vault gespeichert sind.

Weitere Konfigurationen finden Sie in den folgenden Artikeln:

Die Yelb-Anwendung wird mit einer Azure Application Gateway-Ressource gesichert, die in einem dedizierten Subnetz innerhalb desselben virtuellen Netzwerks wie der AKS-Cluster oder in einem peered virtual network bereitgestellt wird. Sie können den Zugriff auf die Yelb-Anwendung mithilfe der Azure-Webanwendungsfirewall (WAF) sichern, die einen zentralen Schutz von Webanwendungen vor gängigen Exploits und Sicherheitsrisiken bietet.

Design der Lösungsarchitektur

Das folgende Diagramm zeigt die empfohlene Architektur in Azure:

Die Lösungsarchitektur besteht aus folgenden Komponenten:

Das Anwendungsgateway verarbeitet TLS-Beendigung und kommuniziert mit der Back-End-Anwendung über HTTPS.
Der Anwendungsgatewaylistener verwendet ein SSL-Zertifikat, das aus Azure Key Vault abgerufen wurde.
Die dem Listener zugeordnete Azure WAF-Richtlinie führt OWASP-Regeln und benutzerdefinierte Regeln für eingehende Anforderungen aus und blockiert böswillige Angriffe.
Die HTTP-Einstellungen für das Anwendungsgateway rufen die Yelb-Anwendung über HTTPS auf Port 443 auf.
Der Application Gateway-Back-End-Pool und Integritätstests rufen den NGINX-Eingangsdatencontroller über den internen AKS-Lastenausgleich mithilfe von HTTPS auf.
Der NGINX-Eingangscontroller verwendet den internen AKS-Lastenausgleich.
Der AKS-Cluster ist mit dem Azure Key Vault-Anbieter für Secrets Store CSI Driver-Add-On konfiguriert, um Geheimnisse, Zertifikate und Schlüssel aus Azure Key Vault über ein CSI-Volume abzurufen.
Eine SecretProviderClass ruft dasselbe Zertifikat ab, das vom Anwendungsgateway aus Azure Key Vault verwendet wird.
Ein Kubernetes-Ingressobjekt verwendet den NGINX-Eingangscontroller, um die Anwendung über HTTPS über den internen AKS-Lastenausgleich verfügbar zu machen.
Der Yelb-Dienst ist vom Typ ClusterIP und wird über den NGINX-Eingangscontroller verfügbar gemacht.

Ausführliche Anweisungen zum Bereitstellen der Yelb-Anwendung auf AKS mithilfe dieser Architektur finden Sie im Begleitbeispiel.

Alternative Lösungen

Azure bietet mehrere Optionen zum Bereitstellen einer Webanwendung auf einem AKS-Cluster und zum Sichern mit einer Webanwendungsfirewall:

Der Application Gateway Ingress Controller (AGIC) ist eine Kubernetes-Anwendung, sodass Sie das native Application Gateway L7-Lastenausgleich von Azure nutzen können, um Cloud-Software über das Internet für Ihre Azure Kubernetes Service (AKS)-Workloads verfügbar zu machen. AGIC überwacht den Kubernetes-Cluster, auf dem es gehostet wird, und aktualisiert kontinuierlich ein Anwendungsgateway, sodass ausgewählte Dienste für das Internet verfügbar gemacht werden.

Der Ingress-Controller läuft in seinem eigenen Pod auf dem AKS-Cluster. AGIC überwacht eine Teilmenge von Kubernetes-Ressourcen auf Änderungen, übersetzt den Status des Clusters in eine spezifische Konfiguration des Anwendungsgateways und wendet sie auf Azure Resource Manager (ARM) an. Weitere Informationen finden Sie unter Was ist application Gateway Ingress Controller?.

Die folgende Tabelle enthält Vor- und Nachteile des Application Gateway Ingress Controller (AGIC):

Vorteile	Benachteiligungen
* Native Integration: AGIC bietet native Integration mit Azure-Diensten, insbesondere Azure-Anwendungsgateway, das ein nahtloses und effizientes Routing von Datenverkehr zu Diensten ermöglicht, die auf AKS ausgeführt werden. * Vereinfachte Bereitstellungen: Die Bereitstellung von AGIC als AKS-Add-on ist im Vergleich zu anderen Methoden einfacher. Es ermöglicht eine schnelle und einfache Einrichtung eines Application Gateway und eines AKS-Clusters mit aktiviertem AGIC. * Vollständig verwalteter Dienst: AGIC als Add-On ist ein vollständig verwalteter Dienst, der Vorteile wie automatische Updates und erhöhte Unterstützung von Microsoft bietet. Dadurch wird sichergestellt, dass der Ingress-Controller up-to-date bleibt und eine zusätzliche Unterstützungsebene hinzufügt.	* Single Cloud-Ansatz: AGIC wird in erster Linie von Kunden übernommen, die einen Single-Cloud-Ansatz einführen. Es ist möglicherweise nicht die beste Wahl, wenn Sie eine Multicloud-Architektur benötigen, bei der die Bereitstellung auf verschiedenen Cloudplattformen eine Anforderung ist. In diesem Fall sollten Sie einen cloudagnostischen Eingangscontroller wie NGINX, Traefik oder HAProxy verwenden, um Vendo-Lockin-Probleme zu vermeiden.

Vorteile

Benachteiligungen

* Native Integration: AGIC bietet native Integration mit Azure-Diensten, insbesondere Azure-Anwendungsgateway, das ein nahtloses und effizientes Routing von Datenverkehr zu Diensten ermöglicht, die auf AKS ausgeführt werden.
* Vereinfachte Bereitstellungen: Die Bereitstellung von AGIC als AKS-Add-on ist im Vergleich zu anderen Methoden einfacher. Es ermöglicht eine schnelle und einfache Einrichtung eines Application Gateway und eines AKS-Clusters mit aktiviertem AGIC.
* Vollständig verwalteter Dienst: AGIC als Add-On ist ein vollständig verwalteter Dienst, der Vorteile wie automatische Updates und erhöhte Unterstützung von Microsoft bietet. Dadurch wird sichergestellt, dass der Ingress-Controller up-to-date bleibt und eine zusätzliche Unterstützungsebene hinzufügt.

* Single Cloud-Ansatz: AGIC wird in erster Linie von Kunden übernommen, die einen Single-Cloud-Ansatz einführen. Es ist möglicherweise nicht die beste Wahl, wenn Sie eine Multicloud-Architektur benötigen, bei der die Bereitstellung auf verschiedenen Cloudplattformen eine Anforderung ist. In diesem Fall sollten Sie einen cloudagnostischen Eingangscontroller wie NGINX, Traefik oder HAProxy verwenden, um Vendo-Lockin-Probleme zu vermeiden.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Das Azure-Anwendungsgateway für Container bietet Lastenausgleich und dynamische Datenverkehrsverwaltung für Anwendungen in Kubernetes-Clustern.

Wichtigste Funktionen

Das Azure-Anwendungsgateway für Container baut auf den Funktionen des Application Gateway Ingress Controller (AGIC) auf und ermöglicht Es Ihnen, das systemeigene Anwendungsgateway-Lastenausgleichsmodul von Azure zu verwenden. Zu den wichtigsten Features gehören:

Lastenausgleich: Verteilt eingehenden Datenverkehr effizient über mehrere Container für optimale Leistung und Skalierbarkeit.
Gateway-API-Implementierung: Unterstützt die Gateway-API, sodass Sie Routingregeln und Richtlinien auf kubernetes-native Weise definieren können.
Benutzerdefinierte Integritätstest: Definieren Sie benutzerdefinierte Integritätstests, um die Containerintegrität zu überwachen und Datenverkehr automatisch von fehlerhaften Instanzen wegzuleiten.
Sitzungsaffinität: Stellt Sitzungsaffinität bereit, indem nachfolgende Anfragen vom selben Client an denselben Container geleitet werden und gewährleistet so eine konsistente Benutzererfahrung.
TLS-Richtlinie: Unterstützt die TLS-Beendigung, sodass SSL/TLS-Verschlüsselung und Entschlüsselung in das Gateway entladen werden können.
Headerumschreibungen: Schreiben Sie HTTP-Header von Clientanforderungen und -antworten von Back-End-Zielen mithilfe der IngressExtension benutzerdefinierten Ressourcendefinition neu. Weitere Informationen finden Sie unter Ingress-API und Gateway-API.
URL-Neuschreibungen: Ändern Sie die URL von Clientanforderungen, einschließlich Hostname und/oder Pfad, und fügen Sie die neu geschriebene URL ein, wenn Anforderungen an Back-End-Ziele initiiert werden. Weitere Informationen finden Sie unter Ingress-API und Gateway-API.

Einschränkungen

Derzeit unterstützt Das Azure-Anwendungsgateway für Container die folgenden Features nicht:

Weitere Informationen finden Sie unter Deploying an Azure Kubernetes Service (AKS) Cluster with Application Gateway for Containers.

Azure Front Door ist ein globaler Lastenausgleich der Ebene 7, der Arbeitslasten sicher verfügbar macht und schützt, die in AKS mit der Azure Web Application Firewall und einem Azure Private Link-Dienst ausgeführt werden.

Diese Lösung verwendet Azure Front Door Premium, End-to-End-TLS-Verschlüsselung, Azure Web Application Firewall und einen Privaten Link-Dienst , um eine Workload, die in AKS ausgeführt wird, sicher verfügbar zu machen und zu schützen.

Die Azure Front Door-Funktionen zur TLS- und SSL-Auslagerung (Secure Sockets Layer) ermöglichen das Beenden von TLS-Verbindungen und Entschlüsseln von eingehendem Datenverkehr in Front Door. Azure Front Door verschlüsselt den eingehenden Datenverkehr erneut, bevor er an die von AKS gehostete Webanwendung weitergeleitet wird. Bei dieser Vorgehensweise wird die End-to-End-TLS-Verschlüsselung für den gesamten Anforderungsprozess vom Client zum Ursprung erzwungen. Weitere Informationen finden Sie unter Sichern Sie Ihren Ursprung mit Private Link in Azure Front Door Premium.

Der NGINX-Eingangscontroller macht die von AKS gehostete Webanwendung verfügbar. Sie ist für die Verwendung einer privaten IP-Adresse als Front-End-IP-Konfiguration des kubernetes-internal internen Lastenausgleichs konfiguriert und verwendet HTTPS als Transportprotokoll, um die Webanwendung verfügbar zu machen. Weitere Informationen finden Sie unter Erstellen eines Eingangscontrollers mithilfe einer internen IP-Adresse.

Wir empfehlen diese Lösung für Szenarien, in denen Sie dieselbe Webanwendung für mehrere regionale AKS-Cluster für Geschäftskontinuität und Notfallwiederherstellung oder sogar über mehrere Cloudplattformen oder lokale Installationen bereitstellen. In diesem Fall kann Front Door eingehende Anrufe mit einer der folgenden Routingmethoden an eines der Back-Ends (auch als Ursprünge bezeichnet) weiterleiten:

Latenz: Latenzbasiertes Routing stellt sicher, dass Anforderungen an die niedrigste Latenzherkunft gesendet werden, die innerhalb eines Sensitivitätsbereichs zulässig sind. Anders ausgedrückt: Anforderungen werden an den nächstgelegenen Satz von Ursprüngen bezogen auf die Netzwerklatenz gesendet.
Priorität: Sie können Prioritäten auf Ursprünge festlegen, wenn Sie einen primären Ursprung für den gesamten Datenverkehr konfigurieren möchten. Der sekundäre Ursprung kann eine Sicherung sein, falls der primäre Ursprung nicht verfügbar ist.
Gewichtet: Sie können Ihren Ursprüngen eine Gewichtung zuweisen, wenn Sie den Datenverkehr über eine Reihe von Ursprüngen gleichmäßig oder entsprechend den Gewichtskoeffizienten verteilen möchten. Der Datenverkehr wird nach dem Gewichtungswert verteilt, wenn sich die Latenzen der Ursprünge innerhalb des zulässigen Latenzempfindlichkeitsbereichs in der Ursprungsgruppe befinden.
Sitzungsaffinität: Sie können die Sitzungsaffinität für Ihre Frontend-Hosts oder Domänen konfigurieren, um sicherzustellen, dass Anforderungen desselben Endbenutzers an denselben Ursprung gesendet werden.

Weitere Informationen finden Sie unter Verwenden von Azure Front Door zum Sichern von AKS-Workloads.

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-01