Sdílet prostřednictvím

Navázání síťového připojení k privátnímu clusteru Azure Kubernetes Service (AKS)

V privátních clusterech AKS koncový bod serveru rozhraní API nemá žádnou veřejnou IP adresu. Ke správě serveru rozhraní API musíte použít virtuální počítač nebo kontejner, který má přístup k virtuální síti clusteru AKS. Existuje několik možností, jak zajistit síťovou konektivitu k privátnímu clusteru.

Volba možnosti připojení

Nejjednoduššími možnostmi jsou Azure Cloud Shell a Azure Bastion (Preview). ExpressRoute a sítě VPN přidávají náklady a vyžadují další složitost sítě. Párování virtuálních sítí vyžaduje plánování rozsahů CIDR vaší sítě, abyste zajistili, že se rozsahy nepřekrývají.

Následující tabulka popisuje hlavní rozdíly a omezení používání Azure Cloud Shellu a Služby Azure Bastion:

Možnost Azure Cloud Shell Azure Bastion (Preview)
Hlavní rozdíly • Dočasný přístup založený na prohlížeči.
•Rentabilní.
• Dodává se s předinstalovanými nástroji jako az cli a kubectl.		 • Trvalý, dlouhotrvající přístup.
• Vhodné pro správu více clusterů.
• Použijte vlastní nativní klientské nástroje.
Omezení • Není podporováno u automatických clusterů AKS nebo clusterů s uzamčením skupiny prostředků sítě (NRG).
• Nemůžete mít současně více relací Cloud Shell v různých virtuálních sítích.		 • Nepodporuje se u automatických clusterů AKS nebo clusterů s uzamčením NRG.

Připojení pomocí Azure Cloud Shellu

Připojení k privátnímu clusteru AKS přes Azure Cloud Shell vyžaduje provedení následujících kroků:

  • Nasazení požadovaných prostředků: Musíte nasadit Cloud Shell ve virtuální síti, která se může spojit s vaším privátním clusterem. Tento krok zřídí potřebnou infrastrukturu. I když je Cloud Shell bezplatnou službou, použití Cloud Shellu ve VNetu vyžaduje některé prostředky, které způsobují náklady. Další informace najdete v tématu Nasazení Cloud Shellu ve virtuální síti.
  • Konfigurace připojení: Po nasazení prostředků může každý uživatel v předplatném, který má příslušná oprávnění v clusteru, nakonfigurovat Cloud Shell tak, aby se nasadil do virtuální sítě, aby umožnil zabezpečené připojení k privátnímu clusteru.

Nasazení požadovaných prostředků

Pokud chcete nasadit a nakonfigurovat požadované prostředky, musíte mít v předplatném přiřazenou roli Vlastník . Pokud chcete zobrazit a přiřadit role, přečtěte si téma Seznam vlastníků předplatného.

Požadované prostředky můžete nasadit pomocí webu Azure Portal nebo poskytnuté šablony ARM, pokud spravujete infrastrukturu jako kód nebo máte zásady organizace, které vyžadují konkrétní zásady vytváření názvů prostředků.

Můžete volitelně ponechat nasazené prostředky na místě pro budoucí připojení nebo je podle potřeby odstranit a znovu vytvořit.

Použití webu Azure Portal (Preview)

Tato možnost vytvoří samostatnou VNet s potřebnými prostředky pro Cloud Shell a nakonfiguruje peerování virtuálních sítí pro vás.

  1. Na webu Azure Portal přejděte k prostředku privátního clusteru.
  2. Na stránce Přehled vyberte Připojit.
  3. Na kartě Cloud Shell v části Požadavky pro připojení privátního clusteru vyberte Konfigurovat pro nasazení potřebných prostředků.
    • Nasazení vytvoří novou skupinu prostředků s názvem RG-CloudShell-PrivateClusterConnection-{RANDOM_ID}.
  4. Jakmile bude nasazení úspěšné, v části Nastavit kontext clusteru vyberte Otevřít Cloud Shell.

Snímek obrazovky portálu Azure na stránce prostředků privátního clusteru, který zobrazuje tlačítko Připojit s vybranou kartou Cloud Shell.

Poznámka:

Pokud jste už nakonfigurovali Cloud Shell ve virtuální síti pro konkrétní cluster, opakováním těchto kroků zajistíte správné sladění uživatelských nastavení Cloud Shellu s danou virtuální sítí.

Použití šablony ARM

Pokud chcete mít větší kontrolu nad konfigurací nasazení, použijte zadanou šablonu ARM.

Cloud Shell můžete nasadit ve stejné virtuální síti jako privátní cluster AKS s vyhrazenou podsítí nebo můžete nasadit do nové virtuální sítě a připojit se přes partnerský vztah virtuálních sítí.

Konfigurace připojení k privátnímu clusteru

Po nasazení požadovaných prostředků může každý uživatel v předplatném nakonfigurovat Cloud Shell tak, aby se nasadil do dané virtuální sítě pomocí kroků v části Konfigurace Cloud Shellu pro použití virtuální sítě.

Ujistěte se, že má uživatel odpovídající přístup na úrovni Kubernetes pro úspěšné připojení k privátnímu clusteru. Další informace najdete v tématu Možnosti přístupu a identity pro Službu Azure Kubernetes Service (AKS).

Připojení pomocí služby Azure Bastion (Preview)

Azure Bastion je plně spravovaná služba PaaS, kterou zřídíte pro bezpečné připojení k privátním prostředkům prostřednictvím privátních IP adres. Pokud chcete použít funkci nativního tunelového propojení klienta Bastionu, přečtěte si téma Připojení k privátnímu clusteru AKS pomocí služby Azure Bastion.

Připojení pomocí propojení virtuální sítě (VNet)

Pokud chcete použít propojení VNet, musíte nastavit propojení mezi VNet a privátní zónou DNS. Partnerský vztah virtuálních sítí můžete nastavit pomocí webu Azure Portal nebo Azure CLI.

Použití portálu Azure Portal

  1. Na Azure portálu přejděte do skupiny prostředků uzlu a vyberte svůj zdroj soukromé zóny DNS.

  2. V servisní nabídce, pod DNS Management, vyberte Virtual Network Links>Přidat.

  3. Na stránce Přidat propojení virtuální sítě nakonfigurujte následující nastavení:

    • Název odkazu: Zadejte název virtuálního síťového odkazu.
    • Virtual Network: Vyberte virtuální síť, která obsahuje VM.

  4. Vyberte Create pro vytvoření odkazu na virtuální síť.

  5. Přejděte do skupiny prostředků, která obsahuje virtuální síť vašeho clusteru AKS, a vyberte prostředek virtuální sítě.

  6. V nabídce služeb pod Nastavení vyberte Propojování>Přidat.

  7. Na stránce Přidat propojování nakonfigurujte následující nastavení:

    • Název peeringového odkazu: Zadejte název peeringového odkazu.
    • Virtuální síť: Vyberte virtuální síť virtuálního počítače.

  8. Vyberte Přidat k vytvoření propojení Peer.

Pro více informací se podívejte na Virtual network peering.

Použití Azure CLI

  1. Vytvořte nový odkaz pro přidání virtuální sítě VM do soukromé zóny DNS pomocí příkazu az network private-dns link vnet create.

    az network private-dns link vnet create \
    --name <new-link-name> \
    --resource-group <node-resource-group-name> \
    --zone-name <private-dns-zone-name> \
    --virtual-network <vm-virtual-network-resource-id> \
    --registration-enabled false

  2. Vytvořte peering mezi virtuální sítí VM a virtuální sítí skupiny prostředků uzlu pomocí příkazu az network vnet peering create.

    az network vnet peering create \
    --name <new-peering-name-1> \
    --resource-group <vm-virtual-network-resource-group-name> \
    --vnet-name <vm-virtual-network-name> \
    --remote-vnet <node-resource-group-virtual-network-resource-id> \
    --allow-vnet-access

  3. Vytvořte druhé peeringové připojení mezi virtuální sítí skupiny prostředků uzlu a virtuální sítí VM pomocí příkazu az network vnet peering create.

    az network vnet peering create \
    --name <new-peering-name-2> \
    --resource-group <node-resource-group-name> \
    --vnet-name <node-resource-group-virtual-network-name> \
    --remote-vnet <vm-virtual-network-resource-id> \
    --allow-vnet-access

  4. Uveďte seznam propojení virtuálních sítí, které jste vytvořili pomocí příkazu az network vnet peering list.

    az network vnet peering list \
    --resource-group <node-resource-group-name> \
    --vnet-name <private-dns-zone-name>

Použijte připojení soukromého koncového bodu

Privátní koncový bod můžete nastavit tak, aby virtuální síť nemusela být propojena pro komunikaci se soukromým clusterem. Pokud chcete nastavit připojení k privátnímu koncovému bodu, nejprve ve virtuální síti, která obsahuje spotřebovávají prostředky, vytvořte nový privátní koncový bod a pak ve stejné síti vytvořte propojení mezi vaší virtuální sítí a novou zónou privátního DNS.

Důležité

Pokud je virtuální síť nakonfigurovaná s vlastními servery DNS, musíte pro prostředí správně nastavit privátní DNS. Další informace najdete v dokumentaci k překladu názvů virtuální sítě.

Vytvořte prostředek privátního koncového bodu

  1. Na domovské stránce portálu Azure vyberte Vytvořit prostředek.

  2. Vyhledejte Private Endpoint a vyberte možnost Vytvořit>Private Endpoint.

  3. Vyberte Vytvořit.

  4. Na kartě Základy nakonfigurujte následující nastavení:

    • Podrobnosti projektu

      • Předplatné: Vyberte předplatné, ve kterém se nachází váš soukromý cluster.
      • Skupina prostředků: Vyberte skupinu prostředků, která obsahuje vaši virtuální síť.

    • Podrobnosti o instanci

      • Jméno: Zadejte název pro svůj privátní koncový bod, například myPrivateEndpoint.
      • Oblast: Vyberte stejnou oblast jako vaše virtuální síť.

  5. Vyberte Další: Prostředek a nakonfigurujte následující nastavení:

    • Metoda připojení: V adresáři vyberte Připojit k prostředku Azure.
    • Předplatné: Vyberte předplatné, ve kterém se nachází váš soukromý cluster.
    • Typ prostředku: Zvolte Microsoft.ContainerService/managedClusters.
    • Zdroj: Vyberte svůj soukromý cluster.
    • Cílový podzdroj: Vyberte možnost správa.

  6. Vyberte Další: Virtuální síť a nakonfigurujte následující nastavení:

    • Síťování
      • Virtuální síť: Vyberte svou virtuální síť.
      • Subnet: Vyberte svou podsíť.

  7. Vyberte Další: DNS>Další: značky a (volitelně) nastavte klíčové hodnoty podle potřeby.

  8. Vyberte Další: Zkontrolovat a vytvořit>Vytvořit.

Jakmile je prostředek vytvořen, zaznamenejte privátní IP adresu privátního koncového bodu pro budoucí použití.

Vytvořte soukromou zónu DNS

Jakmile vytvoříte privátní koncový bod, vytvořte novou privátní DNS zónu se stejným názvem jako privátní DNS zóna vytvořená privátním clusterem. Nezapomeňte vytvořit tuto zónu DNS ve VNet obsahujícím zdroje ke spotřebě.

  1. Na portálu Azure přejděte do skupiny prostředků vašeho uzlu a vyberte svůj privátní prostředek DNS zóny.

  2. V nabídce služby v části Správa DNS vyberte sady záznamů a poznamenejte si následující:

    • Název soukromé DNS zóny, který se řídí vzorem *.privatelink.<region>.azmk8s.io.
    • Název záznamu A (kromě soukromého DNS názvu).
    • Doba života (TTL).

  3. Na domovské stránce portálu Azure vyberte Vytvořit prostředek.

  4. Vyhledejte privátní zónu DNS a vyberte Vytvořit>privátní zónu DNS.

  5. Na kartě Základy nakonfigurujte následující nastavení:

    • Podrobnosti projektu

      • Vyberte si své předplatné.
      • Vyberte skupinu prostředků, kde jste vytvořili privátní koncový bod.

    • Podrobnosti o instanci

      • Název: Zadejte název zóny DNS načtené z předchozích kroků.
      • Oblast: Výchozí umístění je podle vaší skupiny prostředků.

  6. Vyberte Zkontrolovat + vytvořit>Vytvořit.

Vytvoření záznamu A

Po vytvoření privátní zóny DNS vytvořte A záznam, který přidruží privátní koncový bod k privátnímu clusteru.

  1. Přejděte k vaší privátní DNS zóně zdroje.

  2. V servisní nabídce, pod DNS Management, vyberte Recordsets>Add.

  3. Na stránce Přidat sadu záznamů nakonfigurujte následující nastavení:

    • Jméno: Zadejte jméno získané z A záznamu v DNS zóně soukromého clusteru.
    • Typ: Vyberte A - záznam adresy.
    • TTL: Zadejte číslo z A záznamu v DNS zóně privátního clusteru.
    • Jednotka TTL: Změňte hodnotu rozbalovacího seznamu, aby odpovídala té v záznamu A ze soukromé zóny DNS clusteru.
    • IP adresa: Zadejte IP adresu soukromého koncového bodu, který jste vytvořili.

  4. Vyberte Přidat pro vytvoření A záznamu.

Důležité

Při vytváření záznamu A použijte pouze název a nikoli plně kvalifikovaný název domény (FQDN).

Po vytvoření záznamu A propojte privátní zónu DNS s virtuální sítí, která bude přistupovat k privátnímu clusteru.

  1. Přejděte k vaší privátní DNS zóně zdroje.

  2. V servisní nabídce, pod DNS Management, vyberte Virtual Network Links>Přidat.

  3. Na stránce Přidat propojení virtuální sítě nakonfigurujte následující nastavení:

    • Název odkazu: Zadejte název propojení virtuální sítě.
    • Předplatné: Vyberte předplatné, ve kterém se nachází váš soukromý cluster.
    • Virtuální síť: Vyberte virtuální síť vašeho privátního clusteru.

  4. Výběrem Vytvořit vytvořte odkaz.

    Dokončení operace může trvat několik minut. Jakmile je virtuální síťový odkaz vytvořen, můžete k němu přistupovat na záložce Virtuální síťové odkazy, kterou jste použili v kroku 2.

Výstraha

  • Pokud je soukromý cluster zastaven a znovu spuštěn, původní služba soukromého odkazu soukromého clusteru je odstraněna a znovu vytvořena, což přeruší spojení mezi vaším soukromým koncovým bodem a soukromým clusterem. K vyřešení tohoto problému odstraňte a znovu vytvořte všechny uživatelsky vytvořené soukromé koncové body propojené se soukromým clusterem. Pokud mají znovu vytvořeny privátní koncové body nové IP adresy, musíte také aktualizovat záznamy DNS.
  • Pokud aktualizujete záznamy DNS v privátní zóně DNS, ujistěte se, že hostitel, ze kterého se pokoušíte připojit, používá aktualizované záznamy DNS. Můžete to ověřit pomocí příkazu nslookup. Pokud si všimnete, že aktualizace nejsou odraženy ve výstupu, možná budete potřebovat vymazat mezipaměť DNS na vašem počítači a zkusit to znovu.

Vytvoření virtuálního počítače ve stejné virtuální síti

Pokud chcete vytvořit virtuální počítač ve stejné virtuální síti jako váš soukromý cluster AKS, použijte příkaz az vm create s příznakem --vnet-name k určení virtuální sítě.

az vm create \
    --resource-group <resource-group-name> \
    --name <vm-name> \
    --image <image-name> \
    --vnet-name <vm-virtual-network-name> \
    --subnet <subnet-name> \
    --admin-username <admin-username> \
    --admin-password <admin-password>

Použijte připojení ExpressRoute nebo VPN

Chcete-li použít připojení ExpressRoute nebo VPN, viz O bránách virtuální sítě ExpressRoute.

Použijte funkci AKS command invoke

Pokud chcete použít funkci AKS command invoke pro připojení k privátnímu clusteru, přečtěte si téma Přístup k privátnímu clusteru pomocí command invoke.

Související obsah

Další informace o privátních clusterech v AKS najdete v tématu Vytvoření privátního clusteru Azure Kubernetes Service (AKS).

  • Last updated on