Megosztás a következőn keresztül:

Azure Kubernetes Service-fürt létrehozása API Server VNet-integrációval (előzetes verzió)

  • Cikk

Az API Server VNet Integration szolgáltatással konfigurált Azure Kubernetes Service-fürt (AKS) közvetlenül az AKS-t üzembe helyező virtuális hálózat delegált alhálózatába telepíti az API-kiszolgáló végpontját. Az API Server VNet-integráció privát kapcsolat vagy alagút nélkül teszi lehetővé az API-kiszolgáló és a fürtcsomópontok közötti hálózati kommunikációt. Az API-kiszolgáló egy belső terheléselosztó VIP mögött érhető el a delegált alhálózatban, amelyet a csomópontok használnak. Az API Server virtuális hálózatok integrációjával biztosíthatja, hogy az API-kiszolgáló és a csomópontkészletek közötti hálózati forgalom csak a magánhálózaton maradjon.

API-kiszolgáló csatlakoztatása

A vezérlősík vagy az API-kiszolgáló egy AKS által felügyelt Azure-előfizetésben található. A fürt- vagy csomópontkészlet az Azure-előfizetésében található. A fürtcsomópontokat alkotó kiszolgáló és virtuális gépek a delegált alhálózatra kivetített API-kiszolgálói VIP- és pod IP-címeken keresztül kommunikálhatnak egymással.

Az API Server vNet-integrációja nyilvános vagy privát fürtök esetében támogatott. A fürt kiépítése után nyilvános hozzáférést adhat hozzá vagy távolíthat el. A nem virtuális hálózatokba integrált fürtökkel ellentétben az ügynökcsomópontok dns használata nélkül mindig közvetlenül kommunikálnak az API-kiszolgáló belső terheléselosztójának (ILB) IP-címével. Az API-kiszolgáló felé irányuló összes forgalom magánhálózaton marad, és az API-kiszolgáló csomópontkapcsolatához nincs szükség alagútra. Az API-kiszolgálóval kommunikáló fürtön kívüli ügyfelek ezt normál esetben is megtehetik, ha a nyilvános hálózati hozzáférés engedélyezve van. Ha a nyilvános hálózati hozzáférés le van tiltva, akkor ugyanazt a privát DNS-beállítási módszert kell követnie, mint a standard privát fürtöknek.

Régiónkénti elérhetőség

Az API Server VNet-integráció minden globális Azure-régióban elérhető.

Előfeltételek

  • Azure CLI a 0.5.97-s vagy újabb aks-preview kiterjesztéssel.
  • Arm vagy REST API használata esetén az AKS API-verziónak 2022-04-02-es vagy újabb verziójúnak kell lennie.

Az aks-preview Azure CLI-bővítmény telepítése

Fontos

Az AKS előzetes verziójú funkciói önkiszolgáló, opt-in alapon érhetők el. Az előzetes verziókat "ahogy van" és "rendelkezésre állóként" biztosítjuk, és a szolgáltatási szerződésekből és a korlátozott jótállásból kizárjuk őket. Az AKS előzetes verzióit részben az ügyfélszolgálat fedezi a legjobb munkamennyiség alapján. Ezért ezek a funkciók nem éles használatra vannak szánva. További információkért tekintse meg az alábbi támogatási cikkeket:

  • Telepítse az aks-preview bővítményt a az extension add paranccsal.

    az extension add --name aks-preview

  • Frissítsen a parancs használatával kiadott bővítmény legújabb verziójára az extension update .

    az extension update --name aks-preview

Regisztrálja az "EnableAPIServerVnetIntegrationPreview" funkciójelzőt

  1. Regisztrálja a EnableAPIServerVnetIntegrationPreview funkciójelzőt a az feature register paranccsal.

    az feature register --namespace "Microsoft.ContainerService" --name "EnableAPIServerVnetIntegrationPreview"

    Néhány percig tart, amíg az állapot megjelenik a Regisztrált állapotban.

  2. Ellenőrizze a regisztrációs állapotot a az feature show következő paranccsal:

    az feature show --namespace "Microsoft.ContainerService" --name "EnableAPIServerVnetIntegrationPreview"

  3. Ha az állapot a Regisztrált állapotot tükrözi, frissítse a Microsoft.ContainerService erőforrás-szolgáltató regisztrációját a az provider register paranccsal.

    az provider register --namespace Microsoft.ContainerService

AKS-fürt létrehozása API Server VNet-integrációval felügyelt virtuális hálózat használatával

Az AKS-fürtöket api Server VNet-integrációval konfigurálhatja felügyelt virtuális hálózatokon, vagy saját virtuális hálózat módban is konfigurálhatja. Létrehozhatja őket nyilvános fürtként (nyilvános IP-címen keresztül elérhető API-kiszolgálói hozzáféréssel) vagy privát fürtökként (ahol az API-kiszolgáló csak magánhálózati kapcsolaton keresztül érhető el). A fürt ismételt üzembe helyezése nélkül is válthat a nyilvános és a privát állapot között.

Erőforráscsoport létrehozása

  • Hozzon létre egy erőforráscsoportot a az group create paranccsal.

    az group create --location westus2 --name <resource-group>

Nyilvános fürt üzembe helyezése

  • Nyilvános AKS-fürt üzembe helyezése API Server VNet-integrációval felügyelt virtuális hálózatokhoz a az aks create jelölővel ellátott --enable-api-server-vnet-integration paranccsal.

    az aks create --name <cluster-name> \
    --resource-group <resource-group> \
    --location <location> \
    --network-plugin azure \
    --enable-apiserver-vnet-integration \
    --generate-ssh-keys

Privát fürt üzembe helyezése

  • Privát AKS-fürt üzembe helyezése API Server VNet-integrációval felügyelt virtuális hálózatokhoz a az aks create parancs és --enable-private-cluster a --enable-api-server-vnet-integration jelzők használatával.

    az aks create --name <cluster-name> \
    --resource-group <resource-group> \
    --location <location> \
    --network-plugin azure \
    --enable-private-cluster \
    --enable-apiserver-vnet-integration \
    --generate-ssh-keys

Privát AKS-fürt létrehozása API Server VNet-integrációval saját virtuális hálózat használatával

Saját virtuális hálózat használata esetén létre kell hoznia és delegálnia kell egy API-kiszolgálói alhálózatot Microsoft.ContainerService/managedClusters, amely megadja az AKS-szolgáltatás engedélyeit az API-kiszolgáló podjainak és belső terheléselosztójának az alhálózatba történő injektálásához. Az alhálózatot más számítási feladatokhoz nem használhatja, de több, ugyanazon a virtuális hálózaton található AKS-fürthöz is használhatja. Az API-kiszolgáló alhálózatának minimális támogatott mérete a /28.

A fürt identitásának engedélyre van szüksége az API-kiszolgáló alhálózatához és a csomópont alhálózatához is. Az API-kiszolgáló alhálózatának engedélyeinek hiánya kiépítési hibát okozhat.

Figyelmeztetés

Az AKS-fürtök legalább 9 IP-címet foglalnak le az alhálózat címterében. Az IP-címek elfogyása megakadályozhatja az API-kiszolgálók skálázását, és az API-kiszolgáló leállását okozhatja.

Erőforráscsoport létrehozása

az group create --location <location> --name <resource-group>

Virtuális hálózat létrehozása

  1. Hozzon létre egy virtuális hálózatot a az network vnet create paranccsal.

    az network vnet create --name <vnet-name> \
--resource-group <resource-group> \
--location <location> \
--address-prefixes 172.19.0.0/16

  2. Hozzon létre egy API-kiszolgáló alhálózatot a az network vnet subnet create paranccsal.

    az network vnet subnet create --resource-group <resource-group> \
--vnet-name <vnet-name> \
--name <apiserver-subnet-name> \
--delegations Microsoft.ContainerService/managedClusters \
--address-prefixes 172.19.0.0/28

  3. Hozzon létre egy fürtalhálózatot a az network vnet subnet create paranccsal.

    az network vnet subnet create --resource-group <resource-group> \
--vnet-name <vnet-name> \
--name <cluster-subnet-name> \
--address-prefixes 172.19.1.0/24

Felügyelt identitás létrehozása és engedélyek megadása a virtuális hálózaton

  1. Felügyelt identitás létrehozása a az identity create paranccsal.

    az identity create --resource-group <resource-group> --name <managed-identity-name> --location <location>

  2. Rendelje hozzá a hálózati közreműködői szerepkört az API-kiszolgáló alhálózatához a az role assignment create paranccsal.

    az role assignment create --scope <apiserver-subnet-resource-id> \
--role "Network Contributor" \
--assignee <managed-identity-client-id>

  3. Rendelje hozzá a hálózati közreműködői szerepkört a fürt alhálózatához a az role assignment create paranccsal.

    az role assignment create --scope <cluster-subnet-resource-id> \
--role "Network Contributor" \
--assignee <managed-identity-client-id>

Nyilvános fürt üzembe helyezése

  • Helyezzen üzembe egy nyilvános AKS-fürtöt API Server VNet-integrációval a az aks create jelölővel ellátott --enable-api-server-vnet-integration paranccsal.

    az aks create --name <cluster-name> \
    --resource-group <resource-group> \
    --location <location> \
    --network-plugin azure \
    --enable-apiserver-vnet-integration \
    --vnet-subnet-id <cluster-subnet-resource-id> \
    --apiserver-subnet-id <apiserver-subnet-resource-id> \
    --assign-identity <managed-identity-resource-id> \
    --generate-ssh-keys

Privát fürt üzembe helyezése

  • Helyezzen üzembe egy privát AKS-fürtöt API Server VNet-integrációval a az aks create parancs és a --enable-api-server-vnet-integration --enable-private-cluster jelzők használatával.

    az aks create --name <cluster-name> \
--resource-group <resource-group> \
--location <location> \
--network-plugin azure \
--enable-private-cluster \
--enable-apiserver-vnet-integration \
--vnet-subnet-id <cluster-subnet-resource-id> \
--apiserver-subnet-id <apiserver-subnet-resource-id> \
--assign-identity <managed-identity-resource-id> \
--generate-ssh-keys

Meglévő AKS-fürt átalakítása API Server VNet-integrációvá

A meglévő nyilvános/privát AKS-fürtöket API Server VNet Integration-fürtökké alakíthatja úgy, hogy a korábban felsorolt követelményeknek megfelelő API-kiszolgálói alhálózatot ad meg. Ezek a követelmények a következők: ugyanabban a virtuális hálózaton, mint a fürtcsomópontok, az AKS-fürt identitásához megadott engedélyek, amelyeket más erőforrások, például privát végpontok nem használnak, és legalább /28 méretűek. A fürt konvertálása egyirányú migrálás. A fürtök nem tilthatják le az API Server VNet-integrációt az engedélyezés után.

Ez a frissítés egy csomópontrendszerkép-verziófrissítést hajt végre az összes csomópontkészleten, és újraindítja az összes számítási feladatot, miközben működés közbeni rendszerkép-frissítésen mennek keresztül.

Figyelmeztetés

A fürt API Server VNet-integrációvá alakítása az API Server IP-címének megváltoztatását eredményezi, bár a gazdagép neve változatlan marad. Ha az API-kiszolgáló IP-címe konfigurálva lett bármely tűzfalban vagy hálózati biztonsági csoport szabályaiban, előfordulhat, hogy ezeket a szabályokat frissíteni kell.

  • Frissítse a fürtöt az API Server VNet-integrációra a az aks update jelölővel ellátott --enable-apiserver-vnet-integration paranccsal.

    az aks update --name <cluster-name> \
--resource-group <resource-group> \
--enable-apiserver-vnet-integration \
--apiserver-subnet-id <apiserver-subnet-resource-id>

Privát fürtmód engedélyezése vagy letiltása meglévő fürtön API Server VNet-integrációval

Az API Server VNet-integrációval konfigurált AKS-fürtök a fürt ismételt üzembe helyezése nélkül engedélyezhetik vagy letilthatják a nyilvános hálózati hozzáférést/a privát fürt módot. Az API-kiszolgáló állomásneve nem változik, de a nyilvános DNS-bejegyzések szükség esetén módosulnak vagy törlődnek.

Feljegyzés

--disable-private-cluster jelenleg előzetes verzióban érhető el. További információ: Referencia- és támogatási szintek.

Privát fürt mód engedélyezése

  • Engedélyezze a privát fürt üzemmódot a az aks update jelölővel ellátott --enable-private-cluster paranccsal.

    az aks update --name <cluster-name> \
--resource-group <resource-group> \
--enable-private-cluster

Privát fürt mód letiltása

  • Tiltsa le a privát fürt módot a az aks update jelölővel ellátott --disable-private-cluster paranccsal.

    az aks update --name <cluster-name> \
--resource-group <resource-group> \
--disable-private-cluster

Csatlakozás fürthöz a kubectl használatával

  • Konfigurálja kubectl a fürthöz való csatlakozást a az aks get-credentials paranccsal.

    az aks get-credentials --resource-group <resource-group> --name <cluster-name>

NSG biztonsági szabályok

A virtuális hálózaton belüli összes forgalom alapértelmezés szerint engedélyezett. Ha azonban NSG-szabályokat adott hozzá a különböző alhálózatok közötti forgalom korlátozásához, győződjön meg arról, hogy az NSG biztonsági szabályai lehetővé teszik a következő típusú kommunikációt:

Cél Forrás Protokoll Kikötő Használat
APIServer alhálózat CIDR Fürt alhálózata TCP 443 és 4443 A csomópontok és az API-kiszolgáló közötti kommunikáció engedélyezéséhez szükséges.
APIServer alhálózat CIDR Azure Load Balancer TCP 9988 Az Azure Load Balancer és az API-kiszolgáló közötti kommunikáció engedélyezéséhez szükséges. Az Azure Load Balancer és az API Server CIDR alhálózata közötti kommunikációt is engedélyezheti.

Következő lépések

A kapcsolódó ajánlott eljárásokért tekintse meg a hálózati kapcsolatokra és a biztonságra vonatkozó ajánlott eljárásokat az AKS-ben.