Proxykiszolgáló-beállítások az Azure Arc által engedélyezett AKS-ben
A következőkre vonatkozik: AKS az Azure Local 22H2-n, AKS Windows Serveren
Ez a cikk azt ismerteti, hogyan konfigurálhatja az Azure Arc által engedélyezett AKS proxybeállításait. Ha a hálózat proxykiszolgálót használ az internethez való csatlakozáshoz, ez a cikk végigvezeti az AKS proxytámogatásának az AksHci PowerShell-modullal történő beállításának lépésein. A lépések eltérnek attól függően, hogy a proxykiszolgáló hitelesítést igényel-e.
Feljegyzés
Ha a Kubernetes és az Azure Services szolgáltatást az Azure Arc használatával szeretné használni, az engedélyezési listához adja hozzá a Meglévő Kubernetes-fürt csatlakoztatása az Azure Archoz című témakörben látható URL-címeket is.
Miután konfigurálta az üzembe helyezést az alábbi beállításokkal, telepíthet egy AKS-gazdagépet az Azure Local-on , és a PowerShell használatával Kubernetes-fürtöket hozhat létre.
Mielőtt elkezdené
Győződjön meg arról, hogy megfelelt a rendszerkövetelmények összes előfeltételének.
Proxykiszolgáló konfigurációs adatai
Az AKS-telepítés proxykiszolgáló-konfigurációja a következő beállításokat tartalmazza:
- HTTP URL-cím és port, például
http://proxy.corp.contoso.com:8080. - HTTPS URL-cím és port, például
https://proxy.corp.contoso.com:8443. - (Nem kötelező) Érvényes hitelesítő adatok a proxykiszolgálón történő hitelesítéshez.
- (Nem kötelező) Érvényes tanúsítványlánc, ha a proxykiszolgáló úgy van konfigurálva, hogy elfogja az SSL-forgalmat. A rendszer importálja ezt a tanúsítványláncot az összes AKS-vezérlősíkba és feldolgozó csomópontba, valamint a felügyeleti fürtbe, hogy megbízható kapcsolatot létesítsen a proxykiszolgálóval.
Kizárási lista a privát alhálózatok proxynak való küldésének kizárásához
Az alábbi táblázat tartalmazza azoknak a címeknek a listáját, amelyeket ki kell zárnia a paraméterrel a -noProxy következőben New-AksHciProxySetting: .
| IP-cím | A kizárás oka |
|---|---|
localhost, 127.0.0.1 |
Localhost-forgalom |
.svc |
Belső Kubernetes-szolgáltatásforgalom, ahol .svc helyettesítő karakterek neve látható. Ez hasonló a mondáshoz *.svc, de ebben a sémában egyik sem használatos. |
10.0.0.0/8 |
Privát hálózati címtér. |
172.16.0.0/12 |
Privát hálózati címtér – Kubernetes szolgáltatás CIDR. |
192.168.0.0/16 |
Privát hálózati címtér – Kubernetes pod CIDR. |
.contoso.com`` | You might want to exempt your enterprise namespace (.contoso.com) from being directed through the proxy. To exclude all addresses in a domain, you must add the domain to the noProxy.contoso.comlist. Use a leading period rather than a wildcard (\*) character. In the example, the addressesexcludes addresses prefix1.contoso.com, prefix2.contoso.com' stb. |
Az alapértelmezett érték a noProxy következő localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16: . Bár ezek az alapértelmezett értékek számos hálózat esetében működnek, előfordulhat, hogy további alhálózati tartományokat és/vagy neveket kell hozzáadnia a kivétellistához. Előfordulhat például, hogy meg szeretné mentesíteni a vállalati névteret (.contoso.com) attól, hogy a proxyn keresztül legyen irányítva. Ezt a listában szereplő noProxy értékek megadásával érheti el.
Proxy beállítása azure-beli helyi és Windows Server-fürtökhöz gépszintű proxybeállításokkal
Ha már rendelkezik gépszintű proxybeállításokkal az Azure Local/Windows Server-fürtön, a beállítások felülírhatják az AKS-specifikus proxybeállításokat, és a telepítés során meghiúsulhatnak.
Annak megállapításához, hogy rendelkezik-e gépszintű proxybeállításokkal, futtassa a következő szkriptet az egyes fizikai fürtcsomópontokon:
$http_proxy = [System.Environment]::GetEnvironmentVariable("HTTP_PROXY", "Machine")
$https_proxy = [System.Environment]::GetEnvironmentVariable("HTTPS_PROXY", "Machine")
$no_proxy = [System.Environment]::GetEnvironmentVariable("NO_PROXY", "Machine")
if ($http_proxy -or $https_proxy) {
if (-not $no_proxy) {
Write-Host "Problem Detected! A machine-wide proxy server is configured, but no proxy exclusions are configured"
}
}
Konfigurálja a számítógépszintű proxykivételeket azon fizikai fürt gazdagépeken, ahol a problémát észlelték.
Futtassa a következő PowerShell-szkriptet, és cserélje le a $no_proxy paramétersztringet a környezet megfelelő kizárási sztringjére NO_PROXY . A környezethez tartozó listák helyes konfigurálásáról noProxy további információt a privát alhálózatok proxyba való küldésének kizárásáról szóló kizárási lista tartalmaz.
$no_proxy = "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com"
[Environment]::SetEnvironmentVariable("NO_PROXY", $no_proxy, "Machine")
$env:NO_PROXY = [System.Environment]::GetEnvironmentVariable("NO_PROXY", "Machine")
Feljegyzés
Javasoljuk, hogy ugyanazokat a proxybeállításokat használja a feladatátvevő fürt összes csomópontján. Ha a feladatátvevő fürt különböző fizikai csomópontjaiban eltérő proxybeállítások vannak, az váratlan eredményekhez vagy telepítési problémákhoz vezethet. Emellett egy helyettesítő karakterrel (*) rendelkező IP-cím, például 172.*, érvénytelen. Az IP-címnek megfelelő CIDR-jelölésben kell lennie (172.0.0.0/8).
Az AksHci PowerShell-modulok telepítése
Konfigurálja a rendszerproxy beállításait a fürt minden fizikai csomópontján, és győződjön meg arról, hogy minden csomópont hozzáfér a rendszerkövetelményekben ismertetett URL-címekhez és portokhoz.
Távoli PowerShell használata esetén a CredSSP-t kell használnia.
Zárja be az összes megnyitott PowerShell-ablakot a következő parancs futtatása előtt:
Install-Module -Name AksHci -Repository PSGallery
Ha a környezet proxykiszolgálót használ az internet eléréséhez, előfordulhat, hogy az AKS telepítése előtt proxyparamétereket kell hozzáadnia az Install-Module parancshoz. A részletekért tekintse meg az Install-Module dokumentációját , és kövesse az Azure Local dokumentációját a proxybeállítások fizikai fürtcsomópontokon való konfigurálásához.
Az AksHci PowerShell-modul letöltésekor az AKS-gazdagép azure-beli regisztrációjához szükséges Az PowerShell-modulokat is letöltjük a számlázáshoz.
AKS-gazdagép konfigurálása proxykiszolgálóhoz alapszintű hitelesítéssel
Ha a proxykiszolgáló hitelesítést igényel, nyissa meg a PowerShellt rendszergazdaként, és futtassa a következő parancsot a hitelesítő adatok lekéréséhez és a konfiguráció részleteinek megadásához:
$proxyCred = Get-Credential
$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com -credential $proxyCredential
AKS-gazdagép konfigurálása proxykiszolgálóhoz hitelesítés nélkül
Ha a proxykiszolgáló nem igényel hitelesítést, futtassa a következő parancsot:
$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com
AKS-gazdagép konfigurálása megbízható tanúsítvánnyal rendelkező proxykiszolgálóhoz
Ha a proxykiszolgáló megköveteli, hogy a proxy-ügyfelek megbízzanak egy tanúsítványban, a futtatáskor Set-AksHciConfigadja meg a tanúsítványfájlt. A tanúsítványfájl formátuma Base-64 kódolású X .509. Ez lehetővé teszi a tanúsítvány létrehozását és megbízhatóságát a verem egészében.
Fontos
Ha a proxy megköveteli, hogy a fizikai Azure Helyi csomópontok megbízhatónak minősítse a tanúsítványt, a folytatás előtt mindenképpen importálja a tanúsítványláncot a megfelelő tanúsítványtárolóba az egyes Azure-beli helyi csomópontokon. Kövesse az üzembe helyezés eljárásait az Azure Local-csomópontok proxyhitelesítéshez szükséges tanúsítványokkal való regisztrálásához.
$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com -credential $proxyCredential
Feljegyzés
A proxytanúsítványokat személyes adatcsere (PFX) fájlformátumként vagy sztringként kell megadni, és tartalmazniuk kell a hitelesítéshez vagy AZ SSL-alagút beállításához használt legfelső szintű szolgáltatói láncot.
Következő lépések
Most már folytathatja az AKS telepítését az Azure Local vagy a Windows Server-fürtön a következő futtatásával Set-AksHciConfigInstall-AksHci: .