Csatlakozás RDP-vel az Azure Kubernetes Service (AKS) Fürt Windows Server-csomópontjaihoz karbantartás vagy hibaelhárítás céljából

Cikk
11/01/2024

Előfordulhat, hogy az Azure Kubernetes Service (AKS) fürt teljes életciklusa során hozzá kell férnie egy AKS Windows Server-csomóponthoz. Ez a hozzáférés karbantartási, naplógyűjtési vagy egyéb hibaelhárítási műveletekhez is használható. Az AKS Windows Server-csomópontokat RDP használatával érheti el. Biztonsági okokból az AKS-csomópontok nem lesznek kitéve az internetnek.

Másik lehetőségként, ha SSH-t szeretne használni az AKS Windows Server-csomópontjaihoz, hozzá kell férnie ahhoz a kulcspárhoz, amelyet a fürt létrehozásakor használtak. Kövesse az SSH lépéseit az Azure Kubernetes Service (AKS) fürtcsomópontjaiban.

Ez a cikk bemutatja, hogyan hozhat létre RDP-kapcsolatot egy AKS-csomóponttal a saját IP-címükkel.

Ez a cikk feltételezi, hogy rendelkezik windowsos kiszolgálócsomóponttal rendelkező meglévő AKS-fürttel. Ha AKS-fürtre van szüksége, tekintse meg az AKS-fürtök Windows-tárolóval való létrehozásáról szóló cikket az Azure CLI használatával. Szüksége van a Windows rendszergazdai felhasználónevére és jelszavára a hibaelhárításhoz használni kívánt Windows Server-csomóponthoz. Szüksége van egy RDP-ügyfélre is, például Microsoft Távoli asztal.

Ha alaphelyzetbe kell állítania a jelszót, módosítsa az aks update a jelszót.

az aks update --resource-group myResourceGroup --name myAKSCluster --windows-admin-password $WINDOWS_ADMIN_PASSWORD

Ha alaphelyzetbe kell állítania a felhasználónevet és a jelszót, olvassa el a Távoli asztali szolgáltatások vagy annak rendszergazdai jelszavának alaphelyzetbe állítása windowsos virtuális gépen című témakört.

Emellett telepíteni és konfigurálni kell az Azure CLI 2.0.61-es vagy újabb verzióját is. A verzió azonosításához futtassa a következőt: az --version. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.

Ez a cikk feltételezi, hogy rendelkezik windowsos kiszolgálócsomóponttal rendelkező meglévő AKS-fürttel. Ha AKS-fürtre van szüksége, tekintse meg az AKS-fürtök Windows-tárolóval való létrehozásáról szóló cikket az Azure PowerShell használatával. Szüksége van a Windows rendszergazdai felhasználónevére és jelszavára a hibaelhárításhoz használni kívánt Windows Server-csomóponthoz. Szüksége van egy RDP-ügyfélre is, például Microsoft Távoli asztal.

Ha alaphelyzetbe kell állítania a jelszót, módosítsa Set-AzAksCluster a jelszót.

$cluster = Get-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster
$cluster.WindowsProfile.AdminPassword = $WINDOWS_ADMIN_PASSWORD
$cluster | Set-AzAksCluster

Ha alaphelyzetbe kell állítania a felhasználónevet és a jelszót, olvassa el a Távoli asztali szolgáltatások vagy annak rendszergazdai jelszavának alaphelyzetbe állítása Windows rendszerű virtuális gépen című témakört.

Telepítenie és konfigurálnia kell az Azure PowerShell 7.5.0-s vagy újabb verzióját is. A verzió azonosításához futtassa a következőt: Get-InstalledModule -Name Az. Ha telepíteni vagy frissíteni szeretne, olvassa el az Azure PowerShell telepítését ismertető cikket.

Virtuális gép üzembe helyezése ugyanabban az alhálózatban, mint a fürt

Az AKS-fürt Windows Server-csomópontjai nem rendelkeznek külsőleg elérhető IP-címekkel. RDP-kapcsolat létrehozásához üzembe helyezhet egy nyilvánosan elérhető IP-címmel rendelkező virtuális gépet ugyanazon az alhálózaton, mint a Windows Server-csomópontok.

Az alábbi példa létrehoz egy myVM nevű virtuális gépet a myResourceGroup erőforráscsoportban.

Azure CLI
Azure PowerShell

Le kell kérnie a Windows Server-csomópontkészlet által használt alhálózat-azonosítót, és le kell kérdeznie a következőhöz:

A fürt csomóponti erőforráscsoportja
A virtuális hálózat
Az alhálózat neve
Az alhálózat azonosítója

CLUSTER_RG=$(az aks show --resource-group myResourceGroup --name myAKSCluster --query nodeResourceGroup -o tsv)
VNET_NAME=$(az network vnet list --resource-group $CLUSTER_RG --query [0].name -o tsv)
SUBNET_NAME=$(az network vnet subnet list --resource-group $CLUSTER_RG --vnet-name $VNET_NAME --query [0].name -o tsv)
SUBNET_ID=$(az network vnet subnet show --resource-group $CLUSTER_RG --vnet-name $VNET_NAME --name $SUBNET_NAME --query id -o tsv)

Most, hogy elvégezte a SUBNET_ID, futtassa a következő parancsot ugyanabban az Azure Cloud Shell-ablakban a virtuális gép létrehozásához:

PUBLIC_IP_ADDRESS="myVMPublicIP"

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image win2019datacenter \
    --admin-username azureuser \
    --admin-password {admin-password} \
    --subnet $SUBNET_ID \
    --nic-delete-option delete \
    --os-disk-delete-option delete \
    --nsg "" \
    --public-ip-address $PUBLIC_IP_ADDRESS \
    --query publicIpAddress -o tsv

Az alábbi példakimenet azt mutatja, hogy a virtuális gép sikeresen létrejött, és megjeleníti a virtuális gép nyilvános IP-címét.

13.62.204.18

Rögzítse a virtuális gép nyilvános IP-címét. Ezt a címet egy későbbi lépésben fogja használni.

Le kell kérnie a Windows Server-csomópontkészlet által használt alhálózat-azonosítót, és le kell kérdeznie a következőhöz:

A fürt csomóponti erőforráscsoportja
A virtuális hálózat
Az alhálózat neve és címelőtagja
Az alhálózat azonosítója

$CLUSTER_RG = (Get-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster).nodeResourceGroup
$VNET_NAME = (Get-AzVirtualNetwork -ResourceGroupName $CLUSTER_RG).Name
$ADDRESS_PREFIX = (Get-AzVirtualNetwork -ResourceGroupName $CLUSTER_RG).AddressSpace | Select-Object -ExpandProperty AddressPrefixes
$SUBNET_NAME = (Get-AzVirtualNetwork -ResourceGroupName $CLUSTER_RG).Subnets[0].Name
$SUBNET_ADDRESS_PREFIX = (Get-AzVirtualNetwork -ResourceGroupName $CLUSTER_RG).Subnets[0] | Select-Object -ExpandProperty AddressPrefix

Most, hogy rendelkezik a virtuális hálózat és az alhálózat adataival, futtassa az alábbi parancsokat ugyanabban az Azure Cloud Shell-ablakban a nyilvános IP-cím és a virtuális gép létrehozásához:

$ipParams = @{
    Name              = 'myPublicIP'
    ResourceGroupName = 'myResourceGroup'
    Location          = 'eastus'
    AllocationMethod  = 'Dynamic'
    IpAddressVersion  = 'IPv4'
}
New-AzPublicIpAddress @ipParams

$vmParams = @{
    ResourceGroupName            = 'myResourceGroup'
    Name                         = 'myVM'
    Image                        = 'win2019datacenter'
    Credential                   = Get-Credential azureuser
    VirtualNetworkName           = $VNET_NAME
    AddressPrefix                = $ADDRESS_PREFIX
    SubnetName                   = $SUBNET_NAME
    SubnetAddressPrefix          = $SUBNET_ADDRESS_PREFIX
    PublicIpAddressName          = 'myPublicIP'
    OSDiskDeleteOption           = 'Delete'
    NetworkInterfaceDeleteOption = 'Delete'
    DataDiskDeleteOption         = 'Delete'
}
New-AzVM @vmParams

(Get-AzPublicIpAddress -ResourceGroupName myResourceGroup -Name myPublicIP).IpAddress

Az alábbi példakimenet azt mutatja, hogy a virtuális gép sikeresen létrejött, és megjeleníti a virtuális gép nyilvános IP-címét.

13.62.204.18

Rögzítse a virtuális gép nyilvános IP-címét, és használja a címet egy későbbi lépésben.

Hozzáférés engedélyezése a virtuális géphez

Az AKS-csomópontkészlet alhálózatai alapértelmezés szerint NSG-kkel (hálózati biztonsági csoportokkal) vannak védve. A virtuális géphez való hozzáféréshez engedélyeznie kell a hozzáférést az NSG-ben.

Feljegyzés

Az NSG-ket az AKS szolgáltatás vezérli. Az NSG-n történt módosításokat a vezérlősík bármikor felülírja.

Azure CLI
Azure PowerShell

Először kérje le az NSG erőforráscsoportját és nevét, hogy hozzáadja a szabályt a következőhöz:

CLUSTER_RG=$(az aks show --resource-group myResourceGroup --name myAKSCluster --query nodeResourceGroup -o tsv)
NSG_NAME=$(az network nsg list --resource-group $CLUSTER_RG --query [].name -o tsv)

Ezután hozza létre az NSG-szabályt:

az network nsg rule create \
 --name tempRDPAccess \
 --resource-group $CLUSTER_RG \
 --nsg-name $NSG_NAME \
 --priority 100 \
 --destination-port-range 3389 \
 --protocol Tcp \
 --description "Temporary RDP access to Windows nodes"

Először kérje le az NSG erőforráscsoportját és nevét, hogy hozzáadja a szabályt a következőhöz:

$CLUSTER_RG = (Get-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster).nodeResourceGroup
$NSG_NAME = (Get-AzNetworkSecurityGroup -ResourceGroupName $CLUSTER_RG).Name

Ezután hozza létre az NSG-szabályt:

$nsgRuleParams = @{
    Name                     = 'tempRDPAccess'
    Access                   = 'Allow'
    Direction                = 'Inbound'
    Priority                 = 100
    SourceAddressPrefix      = 'Internet'
    SourcePortRange          = '*'
    DestinationAddressPrefix = '*'
    DestinationPortRange     = '3389'
    Protocol                 = 'Tcp'
    Description              = 'Temporary RDP access to Windows nodes'
}
Get-AzNetworkSecurityGroup -Name $NSG_NAME -ResourceGroupName $CLUSTER_RG | Add-AzNetworkSecurityRuleConfig @nsgRuleParams | Set-AzNetworkSecurityGroup

A csomópont címének lekérése

Azure CLI
Azure PowerShell

Kubernetes-fürt kezeléséhez a Kubectl, a Kubernetes parancssori ügyfelet kell használnia. Ha az Azure Cloud Shellt használja, kubectl már telepítve van. A helyi telepítéshez kubectl használja az az aks install-cli parancsot:

az aks install-cli

Az az aks get-credentials paranccsal konfigurálható kubectl a Kubernetes-fürthöz való csatlakozásra. Ez a parancs letölti a hitelesítő adatokat, és konfigurálja a Kubernetes parancssori felületét a használatukhoz.

az aks get-credentials --resource-group myResourceGroup --name myAKSCluster

Install-AzAksKubectl

A Kubernetes-fürthöz való csatlakozás konfigurálásához kubectl használja az Import-AzAksCredential parancsmagot. Ez a parancs letölti a hitelesítő adatokat, és konfigurálja a Kubernetes parancssori felületét a használatukhoz.

Import-AzAksCredential -ResourceGroupName myResourceGroup -Name myAKSCluster

A Kubectl get paranccsal listázhatja a Windows Server-csomópontok belső IP-címét:

kubectl get nodes -o wide

Az alábbi példakimenet a fürt összes csomópontjának belső IP-címét jeleníti meg, beleértve a Windows Server-csomópontokat is.

$ kubectl get nodes -o wide
NAME                                STATUS   ROLES   AGE   VERSION   INTERNAL-IP   EXTERNAL-IP   OS-IMAGE                    KERNEL-VERSION      CONTAINER-RUNTIME
aks-nodepool1-42485177-vmss000000   Ready    agent   18h   v1.12.7   10.240.0.4    <none>        Ubuntu 16.04.6 LTS          4.15.0-1040-azure   docker://3.0.4
aksnpwin000000                      Ready    agent   13h   v1.12.7   10.240.0.67   <none>        Windows Server Datacenter   10.0.17763.437

Rögzítse a elhárítani kívánt Windows Server-csomópont belső IP-címét. Ezt a címet egy későbbi lépésben fogja használni.

Csatlakozás a virtuális géphez és a csomóponthoz

Csatlakozzon a korábban létrehozott virtuális gép nyilvános IP-címéhez egy RDP-ügyféllel, például Microsoft Távoli asztal.

Kép a virtuális géphez való csatlakozásról RDP-ügyfél használatával

Miután csatlakozott a virtuális géphez, csatlakozzon annak a Windows Server-csomópontnak a belső IP-címéhez , amelyet rdP-ügyféllel szeretne elhárítani a virtuális gépen belülről.

Kép a Windows Server-csomóponthoz való csatlakozásról RDP-ügyfél használatával

Most már csatlakozik a Windows Server-csomóponthoz.

A Windows Server csomópont parancsablakának képe

Mostantól bármilyen hibaelhárítási parancsot futtathat a parancsablakban . Mivel a Windows Server-csomópontok a Windows Server Core-t használják, a Windows Server-csomópontokhoz RDP-n keresztüli csatlakozáskor nincs teljes grafikus felhasználói felület vagy más grafikus felhasználói felület.

RDP-hozzáférés eltávolítása

Azure CLI
Azure PowerShell

Ha elkészült, lépjen ki a Windows Server csomóponthoz tartozó RDP-kapcsolatból, majd lépjen ki az RDP-munkamenetből a virtuális gépre. Miután mindkét RDP-munkamenetből kilép, törölje a virtuális gépet az az vm delete paranccsal:

# Delete the virtual machine
az vm delete \
 --resource-group myResourceGroup \
 --name myVM

Törölje a virtuális géphez társított nyilvános IP-címet:

az network public-ip delete \
 --resource-group myResourceGroup \
 --name $PUBLIC_IP_ADDRESS

Törölje az NSG-szabályt:

CLUSTER_RG=$(az aks show --resource-group myResourceGroup --name myAKSCluster --query nodeResourceGroup -o tsv)
NSG_NAME=$(az network nsg list --resource-group $CLUSTER_RG --query [].name -o tsv)
az network nsg rule delete \
 --resource-group $CLUSTER_RG \
 --nsg-name $NSG_NAME \
 --name tempRDPAccess

Remove-AzVM -ResourceGroupName myResourceGroup -Name myVM

Törölje a virtuális géphez társított nyilvános IP-címet:

Remove-AzPublicIpAddress -ResourceGroupName myResourceGroup -Name myPublicIP

Törölje az NSG-szabályt:

$CLUSTER_RG = (Get-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster).nodeResourceGroup
$NSG_NAME = (Get-AzNetworkSecurityGroup -ResourceGroupName $CLUSTER_RG).Name

Get-AzNetworkSecurityGroup -Name $NSG_NAME -ResourceGroupName $CLUSTER_RG | Remove-AzNetworkSecurityRuleConfig -Name tempRDPAccess | Set-AzNetworkSecurityGroup

Törölje az alapértelmezés szerint létrehozott NSG-t a New-AzVM-ből:

Remove-AzNetworkSecurityGroup -ResourceGroupName myResourceGroup -Name myVM

Csatlakozás az Azure Bastionhoz

Másik lehetőségként az Azure Bastion használatával csatlakozhat a Windows Server-csomóponthoz.

Az Azure Bastion üzembe helyezése

Az Azure Bastion üzembe helyezéséhez meg kell találnia azt a virtuális hálózatot, amelyhez az AKS-fürt csatlakozik.

Az Azure Portalon nyissa meg a virtuális hálózatokat. Válassza ki azt a virtuális hálózatot, amelyhez az AKS-fürt csatlakozik.
A Beállítások területen válassza a Bastion, majd a Bastion üzembe helyezése lehetőséget. Várjon, amíg a folyamat befejeződik, mielőtt továbblép a következő lépésre.

Csatlakozás Windows Server-csomópontokhoz az Azure Bastion használatával

Nyissa meg az AKS-fürt csomóponterőforrás-csoportját. Futtassa az alábbi parancsot az Azure Cloud Shellben a csomópont erőforráscsoportjának nevének lekéréséhez:

Azure CLI
Azure PowerShell

az aks show --name myAKSCluster --resource-group myResourceGroup --query 'nodeResourceGroup' -o tsv

(Get-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster).nodeResourceGroup

Válassza az Áttekintés lehetőséget, és válassza ki a Windows-csomópontkészlet virtuálisgép-méretezési csoportját.
A Beállítások alatt válassza a Példányok lehetőséget. Válasszon ki egy Windows-kiszolgálócsomópontot, amelyhez csatlakozni szeretne.
A Támogatás + hibaelhárítás területen válassza a Bastion lehetőséget.
Adja meg az AKS-fürt létrehozásakor beállított hitelesítő adatokat. Válassza a Kapcsolódás lehetőséget.

Feljegyzés

Ha bezárja a terminálablakot, nyomja le a CTRL+ ALT + End billentyűkombinációt, válassza a Feladatkezelőt, válassza a További részletek, a Fájl, az Új feladat futtatása lehetőséget, majd a cmd.exe megadásával nyisson meg egy másik terminált. Kijelentkezhet és újra csatlakozhat a Bastionhoz.

Bastion-hozzáférés eltávolítása

Ha végzett, lépjen ki a Bastion-munkamenetből, és távolítsa el a Bastion-erőforrást.

Az Azure Portalon nyissa meg a Bastiont , és válassza ki a létrehozott Bastion-erőforrást.
Az oldal tetején válassza a Törlés lehetőséget. Várjon, amíg a folyamat befejeződik, mielőtt továbblép a következő lépésre.
Az Azure Portalon nyissa meg a virtuális hálózatokat. Válassza ki azt a virtuális hálózatot, amelyhez az AKS-fürt csatlakozik.
A Beállítások területen válassza az Alhálózatot, és törölje a Bastion-erőforráshoz létrehozott AzureBastionSubnet alhálózatot.

Következő lépések

Ha további hibaelhárítási adatokra van szüksége, megtekintheti a Kubernetes elsődleges csomópontnaplóit vagy az Azure Monitort.

Megosztás a következőn keresztül: