Internetorientierte Cluster
- Aktualisiert2026-05-15
- 2 Minute(n) Lesezeit
Geben Sie hier eine kurze Beschreibung Ihres Konzepts ein (optional).
Eine internetorientierte Cluster-Bereitstellung macht die SystemLink Enterprise Anwendung über das öffentliche Internet zugänglich, wobei die Kubernetes-Cluster-Infrastruktur in privaten Subnetzen verbleibt. Diese Architektur eignet sich für Organisationen, die:
- Remote-Zugriff auf verteilte Teams
- Verwaltung geografisch verteilter Testsysteme
Was ist eine internetorientierte Bereitstellung?
Bei einer internetorientierten Bereitstellung greifen Benutzer über HTTPS über das öffentliche Internet auf die SystemLink Web-UI und API zu. Der Begriff "internet-facing" bezieht sich auf die Zugänglichkeit der Anwendung, nicht auf die Cluster-Infrastruktur selbst. Die Kubernetes-Cluster-Knoten, Datenbanken und internen Dienste verbleiben in privaten Subnetzen ohne direkte Internetanbindung.
Architekturüberblick
Eine typische internetorientierte SystemLink-Bereitstellung verwendet die folgende Netzwerkarchitektur:
- Öffentliche Subnetze: Host-Load-Balancer (Application Gateway auf Azure, Application Load Balancer auf AWS), die HTTPS-Verkehr aus dem Internet akzeptieren
- Private Subnetze: Host Kubernetes-Cluster-Knoten, Datenbanken und alle SystemLink Dienste ohne direkten Internetzugang
- NAT-Gateway: Bietet ausgehende Internetverbindung für Cluster-Knoten, um Updates herunterzuladen, Containerabbilder abzurufen und mit externen Diensten zu kommunizieren
- Ingress-Controller: Wird im Kubernetes-Cluster ausgeführt und leitet den Datenverkehr vom Load Balancer zu SystemLink Diensten
Phasen eines typischen Datenverkehrsflusses:
- Benutzer stellt über HTTPS eine Verbindung mit öffentlichem DNS-Namen (z. B. systemlink.example.com) her
- DNS löst die öffentliche IP-Adresse des Load Balancers in einem öffentlichen Subnetz auf
- Load Balancer führt TLS-Termination durch und leitet den Datenverkehr an den Kubernetes-Ingress-Controller in einem privaten Subnetz weiter
- Ingress-Controller leitet Anfragen an die entsprechenden SystemLink-Service-Pods im privaten Subnetz
- Dienste antworten über denselben Pfad zurück
Detaillierte Informationen zur Subnetzarchitektur und -konfiguration finden Sie unter AWS VPC oder Azure VNet.
Sicherheitsvorgaben
NI empfiehlt zusätzliche Sicherheitsmaßnahmen für internetorientierte Bereitstellungen über die für private Bereitstellungen hinaus.
NI empfiehlt dringend, dass der gesamte Internetverkehr zu SystemLink HTTPS mit gültigen TLS-Zertifikaten verwendet. NI empfiehlt, HTTP-Endpunkte nicht dem öffentlichen Internet zugänglich zu machen.
- Zertifikatserwerb: Verwenden Sie die verwalteten Zertifikate Ihres Cloud-Anbieters (AWS Certificate Manager, Azure Key Vault Certificates) oder erhalten Sie Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle
- TLS-Beendigung: NI empfiehlt, die TLS-Beendigung am Load Balancer zu konfigurieren, um das Zertifikatsmanagement zu vereinfachen
NI empfiehlt die Bereitstellung einer Web Application Firewall zum Schutz vor gängigen Web-Exploits und Angriffen. Sie können WAF-Dienste des Cloud-Anbieters (AWS WAF, Azure Web Application Firewall) oder WAF-Lösungen von Drittanbietern verwenden.
DNS-Konfiguration
Erstellen Sie DNS-Einträge in Ihrer öffentlichen DNS-Zone für SystemLink-Endpunkte. Siehe Layer 7 (Application) Ingress für Web-UI- und API-Konfiguration und Layer 4 (TCP) Ingress für Salt Master Konfiguration. Informationen zur OIDC-Umleitungs-URI-Konfiguration finden Sie unter Identitäts- und Zugriffsmanagement.
Verwandte Inhalte
- Vorbereitung auf das Hosting und den Betrieb von SystemLink Enterprise
Bevor Sie SystemLink Enterprise installieren, stellen Sie sicher, dass die folgende Netzwerk-, Rechen-, Speicher- und Sicherheitsinfrastruktur vorhanden ist.
- Öffentliche und private Subnetze
Öffentliche und private Subnetze sind grundlegende Netzwerkkonstrukte in Cloud-Umgebungen, die eine Netzwerksegmentierung und Sicherheitsisolierung ermöglichen. Zu verstehen, wie diese Subnetze ordnungsgemäß konfiguriert werden, ist unerlässlich, um SystemLink Enterprise sicher in AWS oder Azure bereitzustellen.
- AWS VPC
Eine Virtual Private Cloud (VPC) ist eine isolierte Netzwerkumgebung in AWS.
- Azure VNet
Ein Azure Virtual Network (VNet) ist eine isolierte Netzwerkumgebung in Azure.
- Mit dem Unternehmensnetzwerk verbundene Cluster
Eine mit dem Unternehmensnetzwerk verbundene Cluster-Bereitstellung integriert SystemLink in die private Netzwerkinfrastruktur Ihrer Organisation und gewährleistet so sicheren Zugriff sowie eine sichere Integration mit lokalen Systemen.
- Netzwerke und TLS
Hier erfahren Sie, wie Sie Netzwerk und Transport Layer Security (TLS) für SystemLink Enterprise. konfigurieren.
- Hinweise zu DNS- und Netzwerksicherheit
SystemLink Enterprise wird in einem Kubernetes-Cluster gehostet. SystemLink Enterprise stellt Verbindungen zu Testsystemen her, um Daten zu Überwachungs- und Analysezwecken zu aggregieren.
- Private Zertifizierungsstellen
Wenn Sie eine private Zertifizierungsstelle (CA) verwenden, müssen Sie SystemLink Enterprise für die Verwendung der CA konfigurieren.
- Layer 7 (Application) Ingress
Layer 7 Ingress bietet HTTPS-Lastverteilung und Routing für Webdienste auf Anwendungsebene. SystemLink Enterprise verwendet Layer 7 Ingress, um HTTP-basierte Dienste über zwei separate Ingress-Endpunkte verfügbar zu machen: einen Endpunkt für die Web-UI und einen Endpunkt für den API-Zugriff.
- Layer 7 Ingress in AWS
In diesem Abschnitt wird die Layer 7 Ingress-Konfiguration mit dem AWS Application Load Balancer (ALB) für SystemLink Enterprise beschrieben, die auf Amazon EKS bereitgestellt werden. Das ALB bietet HTTPS-Lastverteilung und Routing für die SystemLink UI und API Hosts.
- Globale Ingress-Konfiguration von AWS
SystemLink Enterprise konfiguriert separate Ingress-Ressourcen für die UI-Endpunkte und API-Endpunkte. Konfigurieren Sie die folgenden Anmerkungen in Ihrer Helmkonfigurationsdatei.
- Layer 7 Ingress in Azure
Dieser Abschnitt beschreibt die Layer 7 Ingress-Konfiguration mit dem Azure Application Gateway für SystemLink Enterprise, das auf Azure Kubernetes Service (AKS) bereitgestellt wird. Das Application Gateway bietet HTTPS Lastverteilung und Routing für die SystemLink UI und API Hosts.
- Globale Ingress-Konfiguration von Azure
SystemLink Enterprise konfiguriert separate Ingress-Ressourcen für die UI-Endpunkte und API-Endpunkte. Konfigurieren Sie die folgenden Anmerkungen in Ihrer Helmkonfigurationsdatei.
- Layer 7 Ingress in Traefik
SystemLink Enterprise unterstützt das Traefik Hub API Gateway als Layer 7 Ingress Controller. Traefik Hub bietet HTTPS-Lastverteilung und -Routing für die SystemLink UI und API Hosts.
- Layer 4 (TCP) Ingress
Layer 4 Ingress bietet eine Lastverteilung auf TCP-Ebene für Dienste, die direkte TCP-Verbindungen erfordern. SystemLink Enterprise verwendet Layer 4 Ingress für den Salt Master-Dienst.
- Salt-Kommunikation in AWS aktivieren
SystemLink Enterprise verwendet Salt zur Verwaltung von Testsystemen. Salt kommuniziert mit Testsystemen über ein TCP-basiertes Protokoll auf den Ports 4505 und 4506. In diesem Abschnitt wird die Verwendung des AWS Network Load Balancer (NLB) für Layer 4 (TCP) Ingress-Verkehr mit dem Salt Master-Dienst beschrieben.
- Salt-Kommunikation in Azure aktivieren
SystemLink Enterprise verwendet Salt zur Verwaltung von Testsystemen. Salt kommuniziert mit Testsystemen über ein TCP-basiertes Protokoll auf den Ports 4505 und 4506. In diesem Abschnitt wird die Verwendung des Azure Load Balancer für Layer 4 (TCP) mit dem Salt Master-Dienst beschrieben.