إنشاء اتصال شبكي مع عنقود Azure Kubernetes Service (AKS) خاص

في مجموعات AKS الخاصة، لا تمتلك نقطة نهاية خادم API عنوان IP عام. لإدارة خادم API، تحتاج إلى استخدام آلة افتراضية (VM) أو حاوية لديها وصول إلى الشبكة الافتراضية (VNet) في عنقود AKS. هناك العديد من الخيارات لإنشاء اتصال الشبكة إلى نظام المجموعة الخاص:

• استخدم مثيل Azure Cloud Shell المنشور في شبكة فرعية متصلة بخادم API الخاص بالمجموعة.
• استخدم ميزة الاتصال النفقي للعميل الأصلي في Azure Bastion (معاينة).
• استخدم جهازا ظاهريا في شبكة منفصلة وقم بإعداد تناظر الشبكة الظاهرية.
• استخدم اتصال نقطة نهاية خاصة.
• إنشاء جهاز ظاهري في نفس VNet مثل نظام مجموعة AKS باستخدام az vm create الأمر مع العلامة --vnet-name .
• استخدم اتصال Express مسار أو VPN.
• استخدم ميزة AKS command invoke.

اختر خيار الاتصال

Azure Cloud Shell وAzure Bastion (المعاينة) هما أسهل الخيارات. المسار السريع وشبكات VPN تضيف تكاليف وتتطلب تعقيد شبكي إضافي. يتطلب منك التناظر الشبكي الظاهري التخطيط لنطاقات CIDR للشبكة للتأكد من عدم وجود نطاقات متداخلة.

يوضح الجدول التالي الاختلافات والقيود الرئيسية لاستخدام Azure Cloud Shell وAzure Bastion:

خيار	Azure Cloud Shell	Azure Bastion (معاينة)
الاختلافات الرئيسية	• وصول مؤقت قائم على المتصفح. • فعالة من حيث التكلفة. • يأتي مع أدوات مثبتة مسبقا مثل az cli و kubectl.	• وصول مستمر وطويل الأمد. • مناسب لإدارة مجموعات متعددة. • استخدم أدوات العميل الأصلية الخاصة بك.
القيود	• غير مدعوم مع مجموعات AKS التلقائية أو المجموعات مع تأمين مجموعة موارد الشبكة (NRG). • لا يمكنك الحصول على جلسات Cloud Shell متعددة في شبكات ظاهرية مختلفة في نفس الوقت.	• غير مدعوم مع مجموعات AKS Automatic أو المجموعات مع تأمين NRG.

الاتصال باستخدام Azure Cloud Shell

يتطلب الاتصال بنظام مجموعة AKS خاص من خلال Azure Cloud Shell إكمال الخطوات التالية:

• نشر الموارد المطلوبة: تحتاج إلى نشر Cloud Shell في VNet يمكنه الوصول إلى عنقودك الخاص. توفر هذه الخطوة البنية التحتية اللازمة. على الرغم من أن Cloud Shell هي خدمة مجانية، إلا أن استخدام Cloud Shell في شبكة ظاهرية يتطلب بعض الموارد التي تتحمل تكلفة. لمزيد من المعلومات، راجع نشر Cloud Shell في شبكة ظاهرية.
• تكوين الاتصال: بعد نشر الموارد، يمكن لأي مستخدم في الاشتراك لديه أذونات مناسبة على العنقود تكوين Cloud Shell ليتم نشره في VNet للسماح باتصال آمن مع العنقود الخاص.

توزيع الموارد المطلوبة

لنشر الموارد المطلوبة وتكوينها، يجب أن يكون لديك تعيين دور المالك في الاشتراك. لعرض الأدوار وتعيينها، راجع قائمة مالكي الاشتراك.

يمكنك نشر الموارد المطلوبة باستخدام بوابة Azure أو قالب ARM المرفق إذا كنت تدير البنية التحتية ككود أو لديك سياسات تنظيمية تتطلب قواعد تسمية موارد محددة.

يمكنك اختياريا ترك الموارد الموزعة في مكانها للاتصالات المستقبلية أو حذفها وإعادة إنشائها حسب الحاجة.

Use the Azure portal (المعاينة)

ينشئ هذا الخيار شبكة ظاهرية منفصلة بالموارد اللازمة ل Cloud Shell ويقوم بتكوين تناظر الشبكة الظاهرية نيابة عنك.

1. في مدخل Microsoft Azure، انتقل إلى مورد نظام المجموعة الخاص بك.
2. في صفحة النظرة العامة، اختر الاتصال.
3. في تبويب Cloud Shell ، تحت المتطلبات المسبقة للاتصال بالعنقود الخاص، اختر التكوين لنشر الموارد اللازمة.
   • ينشئ التوزيع مجموعة موارد جديدة باسم RG-CloudShell-PrivateClusterConnection-{RANDOM_ID}.
4. بمجرد نجاح النشر، ضمن سياق مجموعة العنقود، اختر Open Cloud Shell.

‏‫ملاحظة‬

إذا كنت قد قمت بالفعل بتكوين Cloud Shell في VNet لمجموعة معينة، فإن تكرار هذه الخطوات يضمن أن إعدادات Cloud Shell الخاصة بك متوافقة بشكل صحيح مع تلك الشبكة الافتراضية.

استخدام قالب ARM

للحصول على مزيد من التحكم في تكوين النشر، استخدم قالب ARM المتوفرة.

يمكنك نشر Cloud Shell في نفس الشبكة الظاهرية مثل مجموعة AKS الخاصة بك باستخدام شبكة فرعية مخصصة، أو يمكنك النشر في شبكة ظاهرية جديدة والاتصال عبر نظير الشبكة الظاهرية.

تكوين الاتصال بالمجموعة الخاصة

بعد نشر الموارد المطلوبة، يمكن لأي مستخدم في الاشتراك تكوين Cloud Shell الخاص به ليتم نشره في VNet المحدد باستخدام الخطوات في Configure Cloud Shell لاستخدام شبكة افتراضية.

تأكد من أن المستخدم لديه وصول مناسب على مستوى Kubernetes للاتصال بنجاح بالمجموعة الخاصة. لمزيد من المعلومات، راجع خيارات Access والهوية لخدمة Azure Kubernetes Service (AKS).

Connect using Azure Bastion (preview)

Azure Bastion هي خدمة PaaS مدارة بالكامل تقوم بتوفيرها للاتصال بأمان بالموارد الخاصة عبر عناوين IP الخاصة. لاستخدام ميزة الاتصال النفقي للعميل الأصلي في Bastion، راجع الاتصال بنظام مجموعة AKS الخاص باستخدام Azure Bastion.

اتصل باستخدام الربط عبر الشبكة الافتراضية (VNet)

لاستخدام تشاير VNet، تحتاج إلى إعداد رابط بين VNet ومنطقة DNS الخاصة. يمكنك إعداد تشاير VNet باستخدام بوابة Azure أو Azure CLI.

استخدام مدخل Microsoft Azure

1. في مدخل Microsoft Azure، انتقل إلى مجموعة موارد العقدة وحدد مورد منطقة DNS الخاص بك.

2. في قائمة الخدمة، ضمن إدارة DNS، حدد >.

3. في صفحة إضافة رابط الشبكة الافتراضية، قم بتكوين الإعدادات التالية:

   • اسم الارتباط: أدخل اسما لارتباط الشبكة الظاهرية.
   • الشبكة الظاهرية: حدد الشبكة الظاهرية التي تحتوي على الجهاز الظاهري.

4. حدد Create لإنشاء ارتباط الشبكة الظاهرية.

5. انتقل إلى مجموعة الموارد التي تحتوي على الشبكة الافتراضية لمجموعة AKS الخاصة بك واختر مورد الشبكة الافتراضية الخاص بك.

6. في قائمة الخدمة، ضمن Settings، حدد Peerings>Add.

7. في صفحة إضافة النظير ، قم بتكوين الإعدادات التالية:

   • اسم ارتباط التناظر: أدخل اسما لارتباط التناظر.
   • الشبكة الظاهرية: حدد الشبكة الظاهرية للجهاز الظاهري.

8. حدد Add لإنشاء ارتباط التناظر.

للحصول على المزيد من المعلومات، راجع تناظر الشبكة الافتراضية.

استخدام Azure CLI

1. إنشاء ارتباط جديد لإضافة الشبكة الظاهرية للجهاز الظاهري إلى منطقة DNS الخاصة باستخدام az network private-dns link vnet create الأمر .

   az network private-dns link vnet create \
       --name <new-link-name> \
       --resource-group <node-resource-group-name> \
       --zone-name <private-dns-zone-name> \
       --virtual-network <vm-virtual-network-resource-id> \
       --registration-enabled false
   

2. إنشاء نظير بين الشبكة الظاهرية للجهاز الظاهري والشبكة الظاهرية لمجموعة موارد العقدة az network vnet peering create باستخدام الأمر .

   az network vnet peering create \
       --name <new-peering-name-1> \
       --resource-group <vm-virtual-network-resource-group-name> \
       --vnet-name <vm-virtual-network-name> \
       --remote-vnet <node-resource-group-virtual-network-resource-id> \
       --allow-vnet-access
   

3. إنشاء نظير ثان بين الشبكة الظاهرية لمجموعة موارد العقدة والشبكة الظاهرية للجهاز الظاهري باستخدام az network vnet peering create الأمر .

   az network vnet peering create \
       --name <new-peering-name-2> \
       --resource-group <node-resource-group-name> \
       --vnet-name <node-resource-group-virtual-network-name> \
       --remote-vnet <vm-virtual-network-resource-id> \
       --allow-vnet-access
   

4. سرد نظيرات الشبكة الظاهرية التي قمت بإنشائها باستخدام az network vnet peering list الأمر .

   az network vnet peering list \
       --resource-group <node-resource-group-name> \
       --vnet-name <private-dns-zone-name>
   

استخدام اتصال نقطة نهاية خاصة

يمكنك إعداد نقطة نهاية خاصة بحيث لا يحتاج VNet إلى أن يكون متوافقا للتواصل مع العنقود الخاص. لإنشاء اتصال نقطة نهاية خاصة، تقوم أولا بإنشاء نقطة نهاية خاصة جديدة في الشبكة الافتراضية تحتوي على الموارد المستهلكة، ثم تنشئ رابطا بين شبكتك الافتراضية ومنطقة DNS خاصة جديدة في نفس الشبكة.

هام

إذا كانت الشبكة الافتراضية مهيأة بخوادم DNS مخصصة، فعليك إعداد DNS خاص بشكل مناسب للبيئة. لمزيد من المعلومات، راجع وثائق حل أسماء الشبكة الافتراضية.

إنشاء مورد نقطة نهاية خاصة

1. من الصفحة الرئيسية لمدخل Azure، حدد Create a resource.

2. ابحث عن نقطة النهاية الخاصة وحدد إنشاء>نقطة نهاية خاصة.

3. حدد إنشاء.

4. في علامة التبويب الأساسيات كوِّن الإعدادات التالية:

   • تفاصيل المشروع

     • الاشتراك: حدد الاشتراك حيث يوجد نظام المجموعة الخاص بك.
     • مجموعة الموارد: حدد مجموعة الموارد التي تحتوي على شبكتك الظاهرية.

   • تفاصيل المثيل

     • الاسم: أدخل اسما لنقطة النهاية الخاصة بك، مثل myPrivateEndpoint.
     • المنطقة: حدد نفس المنطقة مثل شبكتك الظاهرية.

5. اختر Next: Resource وقم بإعداد الإعدادات التالية:

   • أسلوب الاتصال: حدد الاتصال بمورد Azure في دليلي.
   • الاشتراك: حدد الاشتراك حيث يوجد نظام المجموعة الخاص بك.
   • نوع المورد: حدد Microsoft.ContainerService/managedClusters.
   • المورد: حدد نظام المجموعة الخاص بك.
   • المورد الفرعي المستهدف: حدد الإدارة.

6. اختر التالي: الشبكة الافتراضية وقم بتكوين الإعدادات التالية:

   • التواصل الشبكي
     • "Virtual network": حدد شبكتك الظاهرية.
     • الشبكة الفرعية: حدد شبكتك الفرعية.

7. حدد Next: DNS>Next: Tags و(اختياريا) إعداد قيم المفاتيح حسب الحاجة.

8. حدد Next: Review + create>Create.

بمجرد إنشاء المورد، سجل عنوان IP الخاص لنقطة النهاية الخاصة للاستخدام في المستقبل.

قم بإنشاء منطقة DNS خاصة

بمجرد إنشاء نقطة النهاية الخاصة، قم بإنشاء منطقة DNS خاصة جديدة بنفس اسم منطقة DNS الخاصة التي تم إنشاؤها بواسطة نظام المجموعة الخاص. تذكر إنشاء منطقة DNS هذه في الشبكة الظاهرية التي تحتوي على الموارد المستهلكة.

1. في مدخل Microsoft Azure، انتقل إلى مجموعة موارد العقدة وحدد مورد منطقة DNS الخاص بك.

2. في قائمة الخدمة، تحت إدارة DNS، اختر مجموعات السجلات ولاحظ ما يلي:

   • اسم منطقة DNS الخاصة، والتي تتبع النمط *.privatelink.<region>.azmk8s.io.
   • اسم A السجل (باستثناء اسم DNS الخاص).
   • مدة البقاء (TTL).

3. من الصفحة الرئيسية لمدخل Azure، حدد Create a resource.

4. ابحث عن منطقة DNS الخاصة وحدد إنشاء>منطقة DNS خاصة.

5. في علامة التبويب الأساسيات كوِّن الإعدادات التالية:

   • تفاصيل المشروع

     • حدد اشتراكك.
     • حدد مجموعة الموارد حيث أنشأت نقطة النهاية الخاصة.

   • تفاصيل المثيل

     • الاسم: أدخل اسم منطقة DNS التي تم استردادها من الخطوات السابقة.
     • المنطقة: تعود افتراضيا إلى موقع مجموعة الموارد الخاصة بك.

6. اختر إنشاء>مراجعة + إنشاء.

إنشاء A سجل

بمجرد إنشاء منطقة DNS الخاصة، أنشئ سجلا A يربط نقطة النهاية الخاصة بالمجموعة الخاصة.

1. انتقل إلى مورد منطقة DNS الخاص بك.

2. في قائمة الخدمة، ضمن DNS Management، حدد Recordsets>Add.

3. في صفحة إضافة مجموعة السجلات ، قم بتكوين الإعدادات التالية:

   • الاسم: أدخل الاسم الذي تم استرداده من A السجل في منطقة DNS الخاصة بالمجموعة الخاصة.
   • النوع: حدد A - سجل العنوان.
   • TTL: أدخل الرقم من A السجل في منطقة DNS الخاصة بالمجموعة الخاصة.
   • وحدة TTL: قم بتغيير قيمة القائمة المنسدلة لمطابقة القيمة الموجودة في A السجل من منطقة DNS الخاصة بالمجموعة الخاصة.
   • عنوان IP: أدخل عنوان IP لنقطة النهاية الخاصة التي أنشأتها.

4. حدد إضافة لإنشاء A السجل.

هام

عند إنشاء A السجل، استخدم الاسم فقط وليس اسم المجال المؤهل بالكامل (FQDN).

ربط منطقة DNS الخاصة بالشبكة الظاهرية

بمجرد إنشاء السجل A ، اربط منطقة DNS الخاصة بالشبكة الافتراضية التي ستصل إلى العنقود الخاص.

1. انتقل إلى مورد منطقة DNS الخاص بك.

2. في قائمة الخدمة، ضمن إدارة DNS، حدد >.

3. في صفحة إضافة رابط الشبكة الافتراضية، قم بتكوين الإعدادات التالية:

   • اسم الارتباط: أدخل اسما لارتباط الشبكة الظاهرية.
   • الاشتراك: حدد الاشتراك حيث يوجد نظام المجموعة الخاص بك.
   • الشبكة الظاهرية: حدد الشبكة الظاهرية للمجموعة الخاصة بك.

4. حدد إنشاء لإنشاء الارتباط.

   قد يستغرق اكتمال العملية بضع دقائق. بمجرد إنشاء ارتباط الشبكة الظاهرية، يمكنك الوصول إليه من علامة التبويب ارتباطات الشبكة الظاهرية التي استخدمتها في الخطوة 2.

التحذير

• إذا تم إيقاف نظام المجموعة الخاص وإعادة تشغيله، تتم إزالة خدمة الارتباط الخاص الأصلية لنظام المجموعة الخاصة وإعادة إنشائها، مما يؤدي إلى قطع الاتصال بين نقطة النهاية الخاصة بك والكتلة الخاصة. لحل هذه المشكلة، قم بحذف وإعادة إنشاء أي نقاط نهاية خاصة أنشأها المستخدم مرتبطة بالمجموعة الخاصة. إذا كانت نقاط النهاية الخاصة المعاد إنشاؤها تحتوي على عناوين IP جديدة، تحتاج أيضا إلى تحديث سجلات DNS.
• إذا قمت بتحديث سجلات DNS في منطقة DNS الخاصة، فتأكد من أن المضيف الذي تحاول الاتصال منه يستخدم سجلات DNS المحدثة. يمكنك التحقق من ذلك باستخدام nslookup الأمر . إذا لاحظت أن التحديثات لا تنعكس في الإخراج، فقد تحتاج إلى مسح ذاكرة التخزين المؤقت DNS على جهازك والمحاولة مرة أخرى.

أنشئ آلة افتراضية في نفس الشبكة الافتراضية

لإنشاء آلة افتراضية في نفس VNet مع عنقود AKS الخاص بك، استخدم الأمر az vm create مع العلم --vnet-name لتحديد VNet.

az vm create \
    --resource-group <resource-group-name> \
    --name <vm-name> \
    --image <image-name> \
    --vnet-name <vm-virtual-network-name> \
    --subnet <subnet-name> \
    --admin-username <admin-username> \
    --admin-password <admin-password>

استخدم المسار السريع أو اتصال VPN

لاستخدام اتصال Express Route أو VPN، راجع بوابات الشبكة الافتراضية في ExpressRoute.

استخدم ميزة AKS command invoke

لاستخدام ميزة AKS command invoke للاتصال بعنقود خاص، انظر الوصول إلى مجموعة خاصة باستخدام command invoke.

المحتوى ذو الصلة

لمزيد من المعلومات حول التجمعات الخاصة في AKS، راجع إنشاء عنقود خاص لخدمة Kubernetes Azure (AKS).