Mit dem Unternehmensnetzwerk verbundene Cluster
- Aktualisiert2026-05-15
- 3 Minute(n) Lesezeit
Eine mit dem Unternehmensnetzwerk verbundene Cluster-Bereitstellung integriert SystemLink in die private Netzwerkinfrastruktur Ihrer Organisation und gewährleistet so sicheren Zugriff sowie eine sichere Integration mit lokalen Systemen.
Eine mit dem Unternehmensnetzwerk verbundene Cluster-Bereitstellung integriert SystemLink Enterprise über private Konnektivität in die vorhandene Netzwerkinfrastruktur Ihrer Organisation. Diese Architektur eignet sich für Organisationen, die Folgendes benötigen:
- Zugriff für interne Benutzer bereitstellen
- Integration mit lokalen Systemen
- SystemLink innerhalb der Unternehmenssicherheitsgrenzen betreiben
Was ist eine mit dem Unternehmensnetzwerk verbundene Bereitstellung?
Bei einer mit dem Unternehmensnetzwerk verbundenen Bereitstellung greifen Benutzer über das private Netzwerk Ihres Unternehmens und nicht über das öffentliche Internet auf SystemLink zu. Die Verbindung zwischen Ihrem Unternehmensnetzwerk und dem cloud-gehosteten Kubernetes-Cluster erfolgt über private Verbindungslösungen wie VPN, AWS Direct Connect oder Azure ExpressRoute. Die gesamte SystemLink-Infrastruktur einschließlich Cluster-Knoten, Datenbanken und Dienste verbleibt in privaten Subnetzen ohne direkte Internet-Exponierung.
Architekturüberblick
Eine typische mit dem Unternehmensnetzwerk verbundene SystemLink-Bereitstellung verwendet die folgende Netzwerkarchitektur:
- Private Subnetze: Hosten Kubernetes-Cluster-Knoten, Datenbanken, Load Balancer und alle SystemLink-Dienste ohne direkten Internetzugang
- Private Konnektivität: VPN, AWS Direct Connect oder Azure ExpressRoute bieten eine verschlüsselte Verbindung zwischen Unternehmensnetzwerk und Cloud-VPC/VNet
- NAT Gateway: Bietet ausgehende Internetverbindung für Cluster-Knoten zum Herunterladen von Updates und zum Abrufen von Container-Images oder verwendet VPC/VNet-Endpunkte für private Konnektivität zu Cloud-Diensten
- Interner Load Balancer: Leitet Datenverkehr vom Unternehmensnetzwerk zu SystemLink-Diensten unter Verwendung privater IP-Adressen weiter
Phasen eines typischen Datenverkehrsflusses:
- Benutzer im Unternehmensnetzwerk verbindet sich mit internem DNS-Namen. Beispielsweise systemlink.example.com.
- Das Unternehmens-DNS löst die private IP-Adresse des internen Load Balancers in der Cloud VPC/VNet auf.
- Datenverkehr wird über VPN oder dedizierte Verbindung zur Cloud übertragen
- Interner Load Balancer leitet den Datenverkehr im privaten Subnetz an den Kubernetes-Ingress-Controller weiter
- Ingress-Controller leitet Anfragen an die entsprechenden SystemLink-Service-Pods
- Dienste antworten über denselben Pfad zurück
Detaillierte Informationen zur Subnetzarchitektur und -konfiguration finden Sie unter AWS VPC oder Azure VNet.
Hybride Architekturen
Organisationen können hybride Architekturen implementieren, die öffentliche und private Zugriffsmuster kombinieren, um spezifische Sicherheits- und Zugriffsanforderungen zu erfüllen.
Zum Beispiel die Verwendung der öffentlichen Web-UI mit privatem Salt Master. Hier stellen Sie Web-UI- und API-Endpunkte öffentlich für Internetzugriff bereit, während der Salt Master Load Balancer auf einem privaten Endpunkt verbleibt und Salt Minion-Verbindungen auf Systeme im Unternehmensnetzwerk beschränkt werden.
Bei der Implementierung hybrider Architekturen sollten Sie sicherstellen, dass für jedes Zugriffsmuster die passenden Sicherheitsmaßnahmen angewendet werden.
Sicherheitsvorgaben
NI empfiehlt die folgenden Sicherheitsmaßnahmen für mit dem Unternehmensnetzwerk verbundene Bereitstellungen, welche sich von internetorientierten Bereitstellungen unterscheiden.
NI empfiehlt die Verwendung von TLS für den Datenverkehr zwischen Unternehmensbenutzern und SystemLink:
- Zertifikatsbeschaffung: Verwenden Sie Zertifikate von Ihrer Unternehmenszertifizierungsstelle, verwaltete Zertifikate Ihres Cloud-Anbieters (AWS Certificate Manager, Azure Key Vault Certificates) oder beziehen Sie Zertifikate von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle
- TLS-Beendigung: NI empfiehlt, die TLS-Beendigung am Load Balancer zu konfigurieren, um das Zertifikatsmanagement zu vereinfachen
NI empfiehlt die Konfiguration der folgenden Sicherheitskontrollen für private Konnektivität:
- Sicherheitsgruppen: Konfigurieren Sie Sicherheitsgruppen (AWS) oder Netzwerksicherheitsgruppen (Azure), um den Datenverkehr nur aus Unternehmens-IP-Bereichen zuzulassen
- Routentabellen: Konfigurieren Sie Routentabellen, um den Datenverkehr des Unternehmensnetzwerks über VPN oder dedizierte Verbindung zu leiten
- Private Endpunkte: Verwenden Sie AWS PrivateLink oder Azure Private Link für den Zugriff auf Cloud-Dienste (S3, ECR, Key Vault), ohne das Internet zu nutzen
Private Konnektivitätsoptionen
Zum Anschluss Ihres Unternehmensnetzwerks an den cloud-gehosteten SystemLink-Cluster stehen mehrere private Konnektivitätsoptionen zur Verfügung. Wählen Sie entsprechend der Netzwerkarchitektur Ihrer Organisation.
Zu den gängigen Verbindungsoptionen gehören:
- VPN-Verbindungen: AWS Site-to-Site VPN oder Azure VPN Gateway für verschlüsselte Verbindungen über das Internet
- Dedizierte Verbindungen: AWS Direct Connect oder Azure ExpressRoute für dedizierte private Netzwerkverbindungen mit höherer Bandbreite und geringerer Latenz
- Zentralisierte Konnektivitätshubs: AWS Transit Gateway oder Azure Virtual WAN zur Verwaltung komplexer Multi-VPC/VNet-Umgebungen
- VPC/VNet-Peering: Direkte Verbindungen zwischen virtuellen Cloud-Netzwerken für Cloud-zu-Cloud-Konnektivität
- Drittanbieterlösungen: Multi-Cloud-Netzwerkplattformen wie Aviatrix für einheitliches Management über Cloud-Anbieter hinweg
DNS-Konfiguration
Erstellen Sie DNS-Einträge für SystemLink-Endpunkte in Ihrem Unternehmens-DNS oder einer cloud-gehosteten privaten DNS-Zone wie Route 53 Private Hosted Zones bei AWS, Azure Private DNS bei Azure. Siehe Layer 7 (Application) Ingress für Web-UI- und API-Konfiguration und Layer 4 (TCP) Ingress für Salt Master Konfiguration. Informationen zur OIDC-Umleitungs-URI-Konfiguration finden Sie unter Identitäts- und Zugriffsmanagement.
Verwandte Inhalte
- Vorbereitung auf das Hosting und den Betrieb von SystemLink Enterprise
Bevor Sie SystemLink Enterprise installieren, stellen Sie sicher, dass die folgende Netzwerk-, Rechen-, Speicher- und Sicherheitsinfrastruktur vorhanden ist.
- Öffentliche und private Subnetze
Öffentliche und private Subnetze sind grundlegende Netzwerkkonstrukte in Cloud-Umgebungen, die eine Netzwerksegmentierung und Sicherheitsisolierung ermöglichen. Zu verstehen, wie diese Subnetze ordnungsgemäß konfiguriert werden, ist unerlässlich, um SystemLink Enterprise sicher in AWS oder Azure bereitzustellen.
- AWS VPC
Eine Virtual Private Cloud (VPC) ist eine isolierte Netzwerkumgebung in AWS.
- Azure VNet
Ein Azure Virtual Network (VNet) ist eine isolierte Netzwerkumgebung in Azure.
- Internetorientierte Cluster
Geben Sie hier eine kurze Beschreibung Ihres Konzepts ein (optional).
- Netzwerke und TLS
Hier erfahren Sie, wie Sie Netzwerk und Transport Layer Security (TLS) für SystemLink Enterprise. konfigurieren.
- Hinweise zu DNS- und Netzwerksicherheit
SystemLink Enterprise wird in einem Kubernetes-Cluster gehostet. SystemLink Enterprise stellt Verbindungen zu Testsystemen her, um Daten zu Überwachungs- und Analysezwecken zu aggregieren.
- Private Zertifizierungsstellen
Wenn Sie eine private Zertifizierungsstelle (CA) verwenden, müssen Sie SystemLink Enterprise für die Verwendung der CA konfigurieren.
- Layer 7 (Application) Ingress
Layer 7 Ingress bietet HTTPS-Lastverteilung und Routing für Webdienste auf Anwendungsebene. SystemLink Enterprise verwendet Layer 7 Ingress, um HTTP-basierte Dienste über zwei separate Ingress-Endpunkte verfügbar zu machen: einen Endpunkt für die Web-UI und einen Endpunkt für den API-Zugriff.
- Layer 7 Ingress in AWS
In diesem Abschnitt wird die Layer 7 Ingress-Konfiguration mit dem AWS Application Load Balancer (ALB) für SystemLink Enterprise beschrieben, die auf Amazon EKS bereitgestellt werden. Das ALB bietet HTTPS-Lastverteilung und Routing für die SystemLink UI und API Hosts.
- Globale Ingress-Konfiguration von AWS
SystemLink Enterprise konfiguriert separate Ingress-Ressourcen für die UI-Endpunkte und API-Endpunkte. Konfigurieren Sie die folgenden Anmerkungen in Ihrer Helmkonfigurationsdatei.
- Layer 7 Ingress in Azure
Dieser Abschnitt beschreibt die Layer 7 Ingress-Konfiguration mit dem Azure Application Gateway für SystemLink Enterprise, das auf Azure Kubernetes Service (AKS) bereitgestellt wird. Das Application Gateway bietet HTTPS Lastverteilung und Routing für die SystemLink UI und API Hosts.
- Globale Ingress-Konfiguration von Azure
SystemLink Enterprise konfiguriert separate Ingress-Ressourcen für die UI-Endpunkte und API-Endpunkte. Konfigurieren Sie die folgenden Anmerkungen in Ihrer Helmkonfigurationsdatei.
- Layer 7 Ingress in Traefik
SystemLink Enterprise unterstützt das Traefik Hub API Gateway als Layer 7 Ingress Controller. Traefik Hub bietet HTTPS-Lastverteilung und -Routing für die SystemLink UI und API Hosts.
- Layer 4 (TCP) Ingress
Layer 4 Ingress bietet eine Lastverteilung auf TCP-Ebene für Dienste, die direkte TCP-Verbindungen erfordern. SystemLink Enterprise verwendet Layer 4 Ingress für den Salt Master-Dienst.
- Salt-Kommunikation in AWS aktivieren
SystemLink Enterprise verwendet Salt zur Verwaltung von Testsystemen. Salt kommuniziert mit Testsystemen über ein TCP-basiertes Protokoll auf den Ports 4505 und 4506. In diesem Abschnitt wird die Verwendung des AWS Network Load Balancer (NLB) für Layer 4 (TCP) Ingress-Verkehr mit dem Salt Master-Dienst beschrieben.
- Salt-Kommunikation in Azure aktivieren
SystemLink Enterprise verwendet Salt zur Verwaltung von Testsystemen. Salt kommuniziert mit Testsystemen über ein TCP-basiertes Protokoll auf den Ports 4505 und 4506. In diesem Abschnitt wird die Verwendung des Azure Load Balancer für Layer 4 (TCP) mit dem Salt Master-Dienst beschrieben.