Megosztás a következőn keresztül:


Proxykiszolgáló-beállítások az Azure Arc által engedélyezett AKS-ben

A következőkre vonatkozik: AKS az Azure Local 22H2-n, AKS Windows Serveren

Ez a cikk azt ismerteti, hogyan konfigurálhatja az Azure Arc által engedélyezett AKS proxybeállításait. Ha a hálózat proxykiszolgálót használ az internethez való csatlakozáshoz, ez a cikk végigvezeti az AKS proxytámogatásának az AksHci PowerShell-modullal történő beállításának lépésein. A lépések eltérnek attól függően, hogy a proxykiszolgáló hitelesítést igényel-e.

Feljegyzés

Ha a Kubernetes és az Azure Services szolgáltatást az Azure Arc használatával szeretné használni, az engedélyezési listához adja hozzá a Meglévő Kubernetes-fürt csatlakoztatása az Azure Archoz című témakörben látható URL-címeket is.

Miután konfigurálta az üzembe helyezést az alábbi beállításokkal, telepíthet egy AKS-gazdagépet az Azure Local-on , és a PowerShell használatával Kubernetes-fürtöket hozhat létre.

Mielőtt elkezdené

Győződjön meg arról, hogy megfelelt a rendszerkövetelmények összes előfeltételének.

Proxykiszolgáló konfigurációs adatai

Az AKS-telepítés proxykiszolgáló-konfigurációja a következő beállításokat tartalmazza:

  • HTTP URL-cím és port, például http://proxy.corp.contoso.com:8080.
  • HTTPS URL-cím és port, például https://proxy.corp.contoso.com:8443.
  • (Nem kötelező) Érvényes hitelesítő adatok a proxykiszolgálón történő hitelesítéshez.
  • (Nem kötelező) Érvényes tanúsítványlánc, ha a proxykiszolgáló úgy van konfigurálva, hogy elfogja az SSL-forgalmat. A rendszer importálja ezt a tanúsítványláncot az összes AKS-vezérlősíkba és feldolgozó csomópontba, valamint a felügyeleti fürtbe, hogy megbízható kapcsolatot létesítsen a proxykiszolgálóval.

Kizárási lista a privát alhálózatok proxynak való küldésének kizárásához

Az alábbi táblázat tartalmazza azoknak a címeknek a listáját, amelyeket ki kell zárnia a paraméterrel a -noProxy következőben New-AksHciProxySetting: .

IP-cím A kizárás oka
localhost, 127.0.0.1 Localhost-forgalom
.svc Belső Kubernetes-szolgáltatásforgalom, ahol .svc helyettesítő karakterek neve látható. Ez hasonló a mondáshoz *.svc, de ebben a sémában egyik sem használatos.
10.0.0.0/8 Privát hálózati címtér.
172.16.0.0/12 Privát hálózati címtér – Kubernetes szolgáltatás CIDR.
192.168.0.0/16 Privát hálózati címtér – Kubernetes pod CIDR.
.contoso.com`` | You might want to exempt your enterprise namespace (.contoso.com) from being directed through the proxy. To exclude all addresses in a domain, you must add the domain to the noProxy.contoso.comlist. Use a leading period rather than a wildcard (\*) character. In the example, the addressesexcludes addresses prefix1.contoso.com, prefix2.contoso.com' stb.

Az alapértelmezett érték a noProxy következő localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16: . Bár ezek az alapértelmezett értékek számos hálózat esetében működnek, előfordulhat, hogy további alhálózati tartományokat és/vagy neveket kell hozzáadnia a kivétellistához. Előfordulhat például, hogy meg szeretné mentesíteni a vállalati névteret (.contoso.com) attól, hogy a proxyn keresztül legyen irányítva. Ezt a listában szereplő noProxy értékek megadásával érheti el.

Proxy beállítása azure-beli helyi és Windows Server-fürtökhöz gépszintű proxybeállításokkal

Ha már rendelkezik gépszintű proxybeállításokkal az Azure Local/Windows Server-fürtön, a beállítások felülírhatják az AKS-specifikus proxybeállításokat, és a telepítés során meghiúsulhatnak.

Annak megállapításához, hogy rendelkezik-e gépszintű proxybeállításokkal, futtassa a következő szkriptet az egyes fizikai fürtcsomópontokon:

$http_proxy = [System.Environment]::GetEnvironmentVariable("HTTP_PROXY", "Machine")
$https_proxy = [System.Environment]::GetEnvironmentVariable("HTTPS_PROXY", "Machine")
$no_proxy = [System.Environment]::GetEnvironmentVariable("NO_PROXY", "Machine")

if ($http_proxy -or $https_proxy) {
    if (-not $no_proxy) {
        Write-Host "Problem Detected! A machine-wide proxy server is configured, but no proxy exclusions are configured"
    }
}

Konfigurálja a számítógépszintű proxykivételeket azon fizikai fürt gazdagépeken, ahol a problémát észlelték.

Futtassa a következő PowerShell-szkriptet, és cserélje le a $no_proxy paramétersztringet a környezet megfelelő kizárási sztringjére NO_PROXY . A környezethez tartozó listák helyes konfigurálásáról noProxy további információt a privát alhálózatok proxyba való küldésének kizárásáról szóló kizárási lista tartalmaz.

$no_proxy = "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com"
[Environment]::SetEnvironmentVariable("NO_PROXY", $no_proxy, "Machine")
$env:NO_PROXY = [System.Environment]::GetEnvironmentVariable("NO_PROXY", "Machine")

Feljegyzés

Javasoljuk, hogy ugyanazokat a proxybeállításokat használja a feladatátvevő fürt összes csomópontján. Ha a feladatátvevő fürt különböző fizikai csomópontjaiban eltérő proxybeállítások vannak, az váratlan eredményekhez vagy telepítési problémákhoz vezethet. Emellett egy helyettesítő karakterrel (*) rendelkező IP-cím, például 172.*, érvénytelen. Az IP-címnek megfelelő CIDR-jelölésben kell lennie (172.0.0.0/8).

Az AksHci PowerShell-modulok telepítése

Konfigurálja a rendszerproxy beállításait a fürt minden fizikai csomópontján, és győződjön meg arról, hogy minden csomópont hozzáfér a rendszerkövetelményekben ismertetett URL-címekhez és portokhoz.

Távoli PowerShell használata esetén a CredSSP-t kell használnia.

Zárja be az összes megnyitott PowerShell-ablakot a következő parancs futtatása előtt:

Install-Module -Name AksHci -Repository PSGallery

Ha a környezet proxykiszolgálót használ az internet eléréséhez, előfordulhat, hogy az AKS telepítése előtt proxyparamétereket kell hozzáadnia az Install-Module parancshoz. A részletekért tekintse meg az Install-Module dokumentációját , és kövesse az Azure Local dokumentációját a proxybeállítások fizikai fürtcsomópontokon való konfigurálásához.

Az AksHci PowerShell-modul letöltésekor az AKS-gazdagép azure-beli regisztrációjához szükséges Az PowerShell-modulokat is letöltjük a számlázáshoz.

AKS-gazdagép konfigurálása proxykiszolgálóhoz alapszintű hitelesítéssel

Ha a proxykiszolgáló hitelesítést igényel, nyissa meg a PowerShellt rendszergazdaként, és futtassa a következő parancsot a hitelesítő adatok lekéréséhez és a konfiguráció részleteinek megadásához:

$proxyCred = Get-Credential
$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com -credential $proxyCredential

AKS-gazdagép konfigurálása proxykiszolgálóhoz hitelesítés nélkül

Ha a proxykiszolgáló nem igényel hitelesítést, futtassa a következő parancsot:

$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com

AKS-gazdagép konfigurálása megbízható tanúsítvánnyal rendelkező proxykiszolgálóhoz

Ha a proxykiszolgáló megköveteli, hogy a proxy-ügyfelek megbízzanak egy tanúsítványban, a futtatáskor Set-AksHciConfigadja meg a tanúsítványfájlt. A tanúsítványfájl formátuma Base-64 kódolású X .509. Ez lehetővé teszi a tanúsítvány létrehozását és megbízhatóságát a verem egészében.

Fontos

Ha a proxy megköveteli, hogy a fizikai Azure Helyi csomópontok megbízhatónak minősítse a tanúsítványt, a folytatás előtt mindenképpen importálja a tanúsítványláncot a megfelelő tanúsítványtárolóba az egyes Azure-beli helyi csomópontokon. Kövesse az üzembe helyezés eljárásait az Azure Local-csomópontok proxyhitelesítéshez szükséges tanúsítványokkal való regisztrálásához.

$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com -credential $proxyCredential

Feljegyzés

A proxytanúsítványokat személyes adatcsere (PFX) fájlformátumként vagy sztringként kell megadni, és tartalmazniuk kell a hitelesítéshez vagy AZ SSL-alagút beállításához használt legfelső szintű szolgáltatói láncot.

Következő lépések

Most már folytathatja az AKS telepítését az Azure Local vagy a Windows Server-fürtön a következő futtatásával Set-AksHciConfigInstall-AksHci: .