Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro: AKS na Windows Serveru
Tento článek popisuje, jak nakonfigurovat nastavení proxy serveru pro AKS na Windows Serveru. Pokud vaše síť vyžaduje použití proxy serveru pro připojení k internetu, tento článek vás provede postupem nastavení podpory proxy serveru v AKS pomocí modulu AksHci PowerShellu. Postup se liší v závislosti na tom, jestli proxy server vyžaduje ověření.
Poznámka:
Pokud chcete používat Kubernetes a služby Azure se službou Azure Arc, nezapomeňte do seznamu povolených přidat také adresy URL uvedené v připojení existujícího clusteru Kubernetes ke službě Azure Arc .
Jakmile nakonfigurujete nasazení pomocí následujících možností, můžete nainstalovat hostitele AKS na Windows Server a vytvořit clustery Kubernetes pomocí PowerShellu.
Než začnete
Ujistěte se, že jste splnili všechny požadavky v požadavcích na systém.
Informace o konfiguraci proxy serveru
Konfigurace proxy serveru pro nasazení AKS zahrnuje následující nastavení:
- Adresa URL a port HTTP, například
http://proxy.corp.contoso.com:8080. - Adresa URL a port HTTPS, například
https://proxy.corp.contoso.com:8443. - (Volitelné) Platné přihlašovací údaje pro ověřování na proxy server.
- (Volitelné) Platný řetěz certifikátů, pokud je proxy server nakonfigurovaný tak, aby zachycoval provoz SSL. Tento řetěz certifikátů se naimportuje do všech řídicích uzlů AKS a pracovních uzlů a clusteru pro správu, aby bylo možné navázat důvěryhodné připojení k proxy serveru.
Seznam vyloučení pro vyloučení privátních podsítí z odesílání do proxy serveru
Následující tabulka obsahuje seznam adres, které je nutné vyloučit pomocí parametru -noProxy v New-AksHciProxySetting.
| IP adresa | Důvod vyloučení |
|---|---|
localhost, 127.0.0.1 |
provoz sítě localhost |
.svc |
Interní provoz služby Kubernetes, kde .svc představuje zástupný název. Je to podobné jako říkat *.svc, ale v tomto schématu se nepoužívá žádný prvek. |
10.0.0.0/8 |
Adresní prostor privátní sítě. |
172.16.0.0/12 |
Adresní prostor privátní sítě – CIDR služby Kubernetes. |
192.168.0.0/16 |
Adresní prostor privátní sítě – Kubernetes podu CIDR |
.contoso.com`` | You might want to exempt your enterprise namespace (.contoso.com) from being directed through the proxy. To exclude all addresses in a domain, you must add the domain to the noProxy.contoso.comlist. Use a leading period rather than a wildcard (\*) character. In the example, the addresses, excludes addressesprefix1.contoso.com prefix2.contoso.com, , a tak dále. |
Výchozí hodnota je noProxylocalhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. I když tyto výchozí hodnoty fungují pro mnoho sítí, možná budete muset do seznamu výjimek přidat další rozsahy podsítí nebo názvy. Můžete například chtít vyloučit obor názvů organizace (.contoso.com) z směrování přes proxy server. Toho dosáhnete zadáním hodnot v noProxy seznamu.
Nastavení proxy serveru pro clustery s Windows Serverem s nastavením proxy serveru na celém počítači
Pokud už máte v clusteru s Windows Serverem nastavení proxy serveru na celém počítači, můžou nastavení přepsat všechna nastavení proxy serveru specifická pro AKS a způsobit selhání během instalace.
Pokud chcete zjistit, jestli máte nastavení proxy serveru na celém počítači, spusťte na každém fyzickém uzlu clusteru následující skript:
$http_proxy = [System.Environment]::GetEnvironmentVariable("HTTP_PROXY", "Machine")
$https_proxy = [System.Environment]::GetEnvironmentVariable("HTTPS_PROXY", "Machine")
$no_proxy = [System.Environment]::GetEnvironmentVariable("NO_PROXY", "Machine")
if ($http_proxy -or $https_proxy) {
if (-not $no_proxy) {
Write-Host "Problem Detected! A machine-wide proxy server is configured, but no proxy exclusions are configured"
}
}
Nakonfigurujte vyloučení proxy serveru pro celý počítač na každém fyzickém hostiteli clusteru, u kterého došlo k problému.
Spusťte následující skript PowerShellu a nahraďte řetězec parametru $no_proxy vhodným NO_PROXY řetězcem vyloučení pro vaše prostředí. Informace o tom, jak správně nakonfigurovat noProxy seznam pro vaše prostředí, najdete v tématu Seznam vyloučení pro vyloučení privátních podsítí, které se odesílají do proxy serveru.
$no_proxy = "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com"
[Environment]::SetEnvironmentVariable("NO_PROXY", $no_proxy, "Machine")
$env:NO_PROXY = [System.Environment]::GetEnvironmentVariable("NO_PROXY", "Machine")
Poznámka:
Doporučujeme použít stejná nastavení proxy serveru na všech uzlech v clusteru převzetí služeb při selhání. Různé nastavení proxy serveru na různých fyzických uzlech v clusteru s podporou vysoké dostupnosti může vést k neočekávaným výsledkům nebo k problémům při instalaci. IP adresa se zástupným znakem (*), například 172.*, není platný. IP adresa musí být ve správném zápisu CIDR (172.0.0.0/8).
Instalace modulů PowerShellu AksHci
Nakonfigurujte nastavení proxy serveru systému na každém fyzickém uzlu v clusteru a ujistěte se, že všechny uzly mají přístup k adresám URL a portům uvedeným v požadavcích na systém.
Pokud používáte vzdálený PowerShell, musíte použít CredSSP.
Před spuštěním následujícího příkazu zavřete všechna otevřená okna PowerShellu:
Install-Module -Name AksHci -Repository PSGallery
Pokud vaše prostředí používá proxy server pro přístup k internetu, možná budete muset před instalací AKS přidat parametry proxy serveru do příkazu Install-Module . Další informace najdete v Install-Module dokumentaci.
Když si stáhnete modul AksHci PowerShellu, stáhneme si také moduly Az PowerShellu, které jsou potřeba k registraci hostitele AKS v Azure pro fakturaci.
Konfigurace hostitele AKS pro proxy server se základním ověřováním
Pokud proxy server vyžaduje ověření, otevřete PowerShell jako správce a spuštěním následujícího příkazu získejte přihlašovací údaje a nastavte podrobnosti konfigurace:
$proxyCred = Get-Credential
$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com -credential $proxyCredential
Konfigurace hostitele AKS pro proxy server bez ověřování
Pokud proxy server nevyžaduje ověření, spusťte následující příkaz:
$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com
Konfigurace hostitele AKS pro proxy server s důvěryhodným certifikátem
Pokud proxy server vyžaduje, aby klienti proxy serveru důvěřovali certifikátu, zadejte soubor certifikátu při spuštění Set-AksHciConfig. Formát souboru certifikátu je Base-64 kódovaný X.509. To vám umožní vytvořit a důvěřovat certifikátu v rámci celé infrastruktury.
Důležité
Pokud proxy server vyžaduje, aby fyzický uzly důvěřoval certifikátu, před pokračováním nezapomeňte importovat řetěz certifikátů do příslušného úložiště certifikátů na každém uzlu. Podle postupů pro nasazení zaregistrujte uzly s požadovanými certifikáty pro ověření proxy.
$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com -credential $proxyCredential
Poznámka:
Certifikáty proxy serveru musí být poskytovány jako formát nebo řetězec pro výměnu osobních informací (PFX) a musí obsahovat řetězec kořenové autority, který používá certifikát pro ověřování nebo pro nastavení tunelu SSL.
Další kroky
Nyní můžete pokračovat instalací AKS na clusteru Windows Server spuštěním Set-AksHciConfig následovaným Install-AksHci.