Freigeben über


Erstellen eines privaten Azure Kubernetes Service (AKS)-Clusters

Dieser Artikel hilft Ihnen bei der Bereitstellung eines auf einer privaten Verbindung basierenden AKS-Clusters. Wenn Sie einen AKS-Cluster ohne erforderlichen privaten Link oder Tunnel erstellen möchten, lesen Sie " Erstellen eines Azure Kubernetes-Dienstclusters mit API Server-VNet-Integration (Vorschau)".

Übersicht

In einem privaten Cluster verfügt die Steuerungsebene oder der API-Server über interne IP-Adressen, die im RFC1918 - Adresszuweisung für privates Internetdokument definiert sind. Durch die Verwendung eines privaten Clusters können Sie sicherstellen, dass der Netzwerkdatenverkehr zwischen Ihrem API-Server und den Knotenpools ausschließlich im privaten Netzwerk verbleibt.

Die Steuerungsebene oder der API-Server befindet sich in einer von AKS verwalteten Azure-Ressourcengruppe, und Ihr Cluster oder Knotenpool befindet sich in Ihrer Ressourcengruppe. Der Server und der Cluster- oder Knotenpool können über den Azure Private Link-Dienst im virtuellen API-Servernetzwerk und einen privaten Endpunkt kommunizieren, der im Subnetz Ihres AKS-Clusters verfügbar gemacht wird.

Wenn Sie einen privaten AKS-Cluster bereitstellen, erstellt AKS standardmäßig einen privaten FQDN mit einer privaten DNS-Zone und einen zusätzlichen öffentlichen FQDN mit einem entsprechenden A-Eintrag in öffentlichem Azure-DNS. Die Agent-Knoten verwenden weiterhin den A-Eintrag in der privaten DNS-Zone, um die private IP-Adresse des privaten Endpunkts für die Kommunikation mit dem API-Server aufzulösen.

Regionale Verfügbarkeit

Private Cluster sind in öffentlichen Regionen, Azure Government und Microsoft Azure verfügbar, betrieben von 21Vianet-Regionen, in denen AKS unterstützt wird.

Voraussetzungen

  • Die Azure CLI Version 2.28.0 oder höher. Führen Sie az --version aus, um die Version zu finden, und führen Sie az upgrade aus, um ein Upgrade für die Version durchzuführen. Wenn Sie Azure CLI installieren oder aktualisieren müssen, lesen Sie " Installieren von Azure CLI".
  • Die aks-preview-Erweiterung 0.5.29 oder höher.
  • Wenn Sie Azure Resource Manager (ARM) oder die Azure-REST-API verwenden, muss die AKS-API-Version 2021-05-01 oder höher sein.
  • Um einen benutzerdefinierten DNS-Server zu verwenden, fügen Sie die öffentliche Azure-IP-Adresse 168.63.129.16 als upstream-DNS-Server im benutzerdefinierten DNS-Server hinzu, und stellen Sie sicher, dass Sie diese öffentliche IP-Adresse als ersten DNS-Server hinzufügen. Weitere Informationen zur Azure-IP-Adresse finden Sie unter Was ist IP-Adresse 168.63.129.16?
  • Bei vorhandenen AKS-Clustern, die mit der API Server-VNet-Integration aktiviert werden, kann der private Clustermodus aktiviert werden. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren des privaten Clustermodus auf einem vorhandenen Cluster mit API-Server-VNet-Integration.

Hinweis

Der Azure Linux-Knotenpool ist jetzt allgemein verfügbar (GA). Informationen zu den Vorteilen und Bereitstellungsschritten finden Sie in der Einführung in den Azure Linux-Containerhost für AKS.

Begrenzungen

  • IP-autorisierte Bereiche können nicht auf den privaten API-Serverendpunkt angewandt werden, sie gelten nur für den öffentlichen API-Server.
  • Einschränkungen des Azure Private Link-Diensts gelten für private Cluster.
  • Azure DevOps Microsoft-gehostete Agents mit privaten Clustern werden nicht unterstützt. Erwägen Sie die Verwendung selbst gehosteter Agents.
  • Wenn Sie azure Container Registry für die Arbeit mit einem privaten AKS-Cluster aktivieren müssen, richten Sie einen privaten Link für die Containerregistrierung im virtuellen Clusternetzwerk ein, oder richten Sie Peering zwischen dem virtuellen Netzwerk der Containerregistrierung und dem virtuellen Netzwerk des privaten Clusters ein.
  • Das Löschen oder Ändern des privaten Endpunkts im Kundensubnetz führt dazu, dass der Cluster nicht mehr funktioniert.
  • Der Azure Private Link-Dienst wird nur von Azure Load Balancer Standard unterstützt. Der Basic Azure Load Balancer wird nicht unterstützt.

Erstellen eines privaten AKS-Clusters

  1. Erstellen Sie mit dem Befehl az group create eine Ressourcengruppe. Sie können auch eine vorhandene Ressourcengruppe für Ihren AKS-Cluster verwenden.

    az group create \
        --name <private-cluster-resource-group> \
        --location <location>
    
  2. Erstellen Sie mit dem Befehl „az aks create“ mit dem --enable-private-cluster-Flag einen privaten Cluster mit Standardnetzwerk.

    az aks create \
        --name <private-cluster-name> \
        --resource-group <private-cluster-resource-group> \
        --load-balancer-sku standard \
        --enable-private-cluster \
        --generate-ssh-keys
    

Herstellen einer Verbindung mit dem privaten Cluster

Um einen Kubernetes-Cluster zu verwalten, verwenden Sie den Kubernetes-Befehlszeilenclient kubectl. kubectl ist bei Verwendung von Azure Cloud Shell bereits installiert. Um kubectl lokal zu installieren, verwenden Sie den Befehl az aks install-cli.

  1. Mit dem Befehl kubectl können Sie az aks get-credentials für die Verbindungsherstellung mit Ihrem Kubernetes-Cluster konfigurieren. Mit diesem Befehl werden die Anmeldeinformationen heruntergeladen und die Kubernetes-CLI für ihre Verwendung konfiguriert.

    az aks get-credentials --resource-group <private-cluster-resource-group> --name <private-cluster-name>
    
  2. Überprüfen Sie die Verbindung mit dem Cluster mithilfe des Befehls kubectl get. Dieser Befehl gibt eine Liste der Clusterknoten zurück.

    kubectl get nodes
    

Verwenden benutzerdefinierter Domänen

Wenn Sie benutzerdefinierte Domänen konfigurieren möchten, die nur intern aufgelöst werden können, lesen Sie "Verwenden von benutzerdefinierten Domänen".

Deaktivieren eines öffentlichen FQDN

Deaktivieren eines öffentlichen FQDN in einem neuen Cluster

  • Deaktivieren Sie einen öffentlichen FQDN beim Erstellen eines privaten AKS-Clusters mit dem Befehl az aks create und dem Flag --disable-public-fqdn.

    az aks create \
        --name <private-cluster-name> \
        --resource-group <private-cluster-resource-group> \
        --load-balancer-sku standard \
        --enable-private-cluster \
        --assign-identity <resourceID> \
        --private-dns-zone <private-dns-zone-mode> \
        --disable-public-fqdn \
        --generate-ssh-keys
    

Deaktivieren eines öffentlichen FQDN in einem vorhandenen Cluster

  • Deaktivieren Sie einen öffentlichen FQDN in einem vorhandenen AKS-Cluster mit dem Befehl „az aks update“ mit dem --disable-public-fqdn-Flag.

    az aks update \
        --name <private-cluster-name> \
        --resource-group <private-cluster-resource-group> \
        --disable-public-fqdn
    

Konfigurieren einer privaten DNS-Zone

Sie können private DNS-Zonen mit den folgenden Parametern konfigurieren:

  • system: Dies ist der Standardwert. Wenn das Argument „--private-dns-zone“ weggelassen wird, erstellt AKS eine private DNS-Zone in der Knotenressourcengruppe.
  • none: Der Standardwert ist öffentliches DNS. AKS erstellt keine private DNS-Zone.
  • CUSTOM_PRIVATE_DNS_ZONE_RESOURCE_ID: Erfordert, dass Sie eine private DNS-Zone für die globale Azure-Cloud nur im folgenden Format erstellen: privatelink.<region>.azmk8s.io oder <subzone>.privatelink.<region>.azmk8s.io. Sie benötigen die Ressourcen-ID der privaten DNS-Zone für die zukünftige Verwendung. Außerdem benötigen Sie eine vom Benutzer zugewiesene Identität oder einen Dienstprinzipal mit den Rollen " Mitwirkender der privaten DNS-Zone " und " Netzwerkmitwirkender" . Bei der Bereitstellung mithilfe der API-Server-VNet-Integration unterstützt eine private DNS-Zone das Namensformat private.<region>.azmk8s.io oder <subzone>.private.<region>.azmk8s.io. Sie können diese Ressource nach dem Erstellen des Clusters nicht ändern oder löschen, da sie Leistungsprobleme und Clusterupgradefehler verursachen kann.
    • Wenn sich die private DNS-Zone in einem anderen Abonnement als der AKS-Cluster befindet, müssen Sie den Azure-Anbieter Microsoft.ContainerServices in beiden Abonnements registrieren.
    • Sie können fqdn-subdomain nur mit CUSTOM_PRIVATE_DNS_ZONE_RESOURCE_ID verwenden, um Unterdomänenfunktionen für privatelink.<region>.azmk8s.io bereitzustellen.
    • Wenn Ihr AKS-Cluster mit einem Active Directory-Dienstprinzipal konfiguriert ist, unterstützt AKS keine Verwendung einer systemseitig zugewiesenen verwalteten Identität mit einer benutzerdefinierten privaten DNS-Zone. Der Cluster muss die vom Benutzer zugewiesene verwaltete Identitätsauthentifizierung verwenden.
    • Wenn Sie einen <subzone> angeben, gibt es einen Grenzwert von 32 Zeichen für den <subzone>-Namen.

Hinweis

Sie können CUSTOM_PRIVATE_DNS_ZONE_RESOURCE_ID mithilfe einer ARM-Vorlage oder der Azure CLI konfigurieren. privateDNSZone akzeptiert die private DNZ-Zone resourceID, wie im folgenden Beispiel gezeigt:

properties.apiServerAccessProfile.privateDNSZone.
"apiServerAccessProfile": {
"enablePrivateCluster": true,
"privateDNSZone": "system|none|[resourceId(..., 'Microsoft.Network/privateDnsZones', 'privatelink.<region>.azmk8s.io']"
}

Erstellen eines privaten AKS-Clusters mit privater DNS-Zone

  • Erstellen Sie einen privaten AKS-Cluster mit einer privaten DNS-Zone mit dem Befehl „az aks create“ und den folgenden Flags:

    az aks create \
        --name <private-cluster-name> \
        --resource-group <private-cluster-resource-group> \
        --load-balancer-sku standard \
        --enable-private-cluster \
        --assign-identity <resourceID> \
        --private-dns-zone [system|none] \
        --generate-ssh-keys
    

Erstellen eines privaten AKS-Clusters mit einer benutzerdefinierten privaten DNS-Zone oder einer privaten DNS-Unterzone

  • Erstellen Sie einen privaten AKS-Cluster mit einer benutzerdefinierten privaten DNS-Zone oder Subzone mit dem Befehl „az aks create“ und den folgenden Flags:

    # The custom private DNS zone name should be in the following format: "<subzone>.privatelink.<region>.azmk8s.io"
    
    az aks create \
        --name <private-cluster-name> \
        --resource-group <private-cluster-resource-group> \
        --load-balancer-sku standard \
        --enable-private-cluster \
        --assign-identity <resourceID> \
        --private-dns-zone <custom private dns zone or custom private dns subzone resourceID> \
        --generate-ssh-keys
    

Erstellen eines privaten AKS-Clusters mit einer benutzerdefinierten privaten DNS-Zone und einer benutzerdefinierten Unterdomäne

  • Erstellen Sie einen privaten AKS-Cluster mit einer benutzerdefinierten privaten DNS-Zone und Subzone mit dem Befehl „az aks create“ und den folgenden Flags:

    # The custom private DNS zone name should be in one of the following formats: "privatelink.<region>.azmk8s.io" or "<subzone>.privatelink.<region>.azmk8s.io"
    
    az aks create \
        --name <private-cluster-name> \
        --resource-group <private-cluster-resource-group> \
        --load-balancer-sku standard \
        --enable-private-cluster \
        --assign-identity <resourceID> \
        --private-dns-zone <custom private dns zone resourceID> \
        --fqdn-subdomain <subdomain> \
        --generate-ssh-keys
    

Aktualisieren eines privaten Clusters aus einer privaten DNS-Zone in eine öffentliche Zone

Sie können nur aus byo oder system in none aktualisieren. Es wird keine andere Kombination von Updatewerten unterstützt. Stellen Sie vor dem Aktualisieren sicher, dass Sie eine Verbindung mit dem privaten Cluster herstellen.

Warnung

Wenn Sie einen privaten Cluster von byo oder system auf none aktualisieren, stellen sich die Agent-Knoten auf die Verwendung eines öffentlichen FQDN um. In einem AKS-Cluster, der Azure Virtual Machine Scale Sets verwendet, wird ein Upgrade des Knotenabbilds durchgeführt, um Ihre Knoten mit dem öffentlichen FQDN zu aktualisieren.

  • Aktualisieren Sie einen privaten Cluster aus byo oder system in none mithilfe des Befehls az aks update mit den folgenden Flags:

    az aks update \
        --name <private-cluster-name> \
        --resource-group <private-cluster-resource-group> \
        --private-dns-zone none
    

Optionen zum Herstellen einer Verbindung mit dem privaten Cluster

Der Endpunkt des API-Servers weist keine öffentliche IP-Adresse auf. Zum Verwalten des API-Servers müssen Sie eine VM verwenden, die Zugriff auf das Azure Virtual Network (VNet) des AKS-Clusters hat. Es gibt mehrere Optionen zum Einrichten der Netzwerkkonnektivität mit dem privaten Cluster:

Das Erstellen eines virtuellen Computers im selben VNet wie der AKS-Cluster ist die einfachste Option. ExpressRoute und VPNs (virtuelle private Netzwerke) erhöhen die Kosten und erfordern zusätzliche Netzwerkkomplexität. Beim Peering virtueller Netzwerke müssen Sie Ihre Netzwerk-CIDR-Bereiche planen, um sicherzustellen, dass es keine überlappenden Bereiche gibt.

Peering in virtuellen Netzwerken

Wenn Sie das Peering virtueller Netzwerke verwenden möchten, müssen Sie eine Verbindung zwischen dem virtuellen Netzwerk und der privaten DNS-Zone einrichten.

  1. Navigieren Sie im Azure-Portal zu Ihrer Knotenressourcengruppe, und wählen Sie Ihre private DNS-Zonenressource aus.
  2. Wählen Sie im Dienstmenü unter DNS-Verwaltung die Option "Virtuelle Netzwerklinks>hinzufügen" aus.
  3. Konfigurieren Sie auf der Seite " Virtuelle Netzwerkverbindung hinzufügen " die folgenden Einstellungen:
    • Linkname: Geben Sie einen Namen für die virtuelle Netzwerkverbindung ein.
    • Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk aus, das den virtuellen Computer enthält.
  4. Wählen Sie "Erstellen" aus, um die virtuelle Netzwerkverbindung zu erstellen.
  5. Navigieren Sie zu der Ressourcengruppe, die das virtuelle Netzwerk Ihres Clusters enthält, und wählen Sie Ihre virtuelle Netzwerkressource aus.
  6. Wählen Sie im Dienstmenü unter "Einstellungen" die Option "Peerings>Hinzufügen" aus.
  7. Konfigurieren Sie auf der Seite " Peering hinzufügen " die folgenden Einstellungen:
    • Name des Peeringlinks: Geben Sie einen Namen für den Peeringlink ein.
    • Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk der VM aus.
  8. Wählen Sie "Hinzufügen" aus, um den Peeringlink zu erstellen.

Weitere Informationen finden Sie unter Virtual Network Peering.

Hub-and-Spoke mit benutzerdefiniertem DNS

Hub- und Spoke-Architekturen werden häufig zum Bereitstellen von Netzwerken in Azure verwendet. In vielen dieser Bereitstellungen sind die DNS-Einstellungen in den Spoke-VNets so konfiguriert, dass sie auf eine zentrale DNS-Weiterleitung verweisen, um eine lokale und Azure-basierte DNS-Auflösung zu ermöglichen.

Hub-and-Spoke für privaten Cluster

Beim Bereitstellen eines AKS-Clusters in einer solchen Netzwerkumgebung gibt es einige besondere Überlegungen:

  • Wenn ein privater Cluster bereitgestellt wird, werden standardmäßig ein privater Endpunkt (1) und eine private DNS-Zone (2) in der vom Cluster verwalteten Ressourcengruppe erstellt. Der Cluster verwendet einen A-Eintrag in der privaten Zone, um die IP-Adresse des privaten Endpunkts für die Kommunikation mit dem API-Server aufzulösen.

  • Die private DNS-Zone ist nur mit dem virtuellen Netzwerk verbunden, an das die Clusterknoten angefügt sind (3). Dies bedeutet, dass der private Endpunkt nur von Hosts in diesem verknüpften virtuellen Netzwerk aufgelöst werden kann. In Szenarien, in denen kein benutzerdefiniertes DNS im VNet konfiguriert ist (Standard), funktioniert dies problemlos, indem Hosts auf 168.63.129.16 für DNS verweisen, das aufgrund der Verbindung Einträge in der privaten DNS-Zone auflösen kann.

  • Wenn Sie das standardmäßige Verhalten für private DNS-Zonen beibehalten, versucht AKS, die Zone direkt mit dem speichen-VNet zu verknüpfen, das den Cluster hostt, auch wenn die Zone bereits mit einem Hub-VNet verknüpft ist.
    In Spoke-VNets, die benutzerdefinierte DNS-Server verwenden, kann diese Aktion fehlschlagen, wenn die verwaltete Identität des Clusters keine Netzwerk-Teilnehmer im Spoke-VNet hat.
    Um den Fehler zu verhindern, wählen Sie eine der folgenden unterstützten Konfigurationen aus:

    • Benutzerdefinierte private DNS-Zone – Stellen Sie eine zuvor erstellte private Zone bereit, und legen Sie sie auf ihre Ressourcen-ID fest privateDNSZone . Verknüpfen Sie diese Zone mit dem entsprechenden VNet (z. B. dem Hub-VNet), und legen Sie sie publicDNS auf falsefest.

    • Nur öffentliches DNS – Deaktivieren Sie die Erstellung privater Zonen, indem Sie privateDNSZone auf none setzen und publicDNS auf seinem Standardwert (true) belassen.

    Das Festlegen privateDNSZone: noneundpublicDNS: false gleichzeitig wird nicht unterstützt;

Hinweis

Die bedingte Weiterleitung unterstützt keine Unterdomänen.

Hinweis

Wenn Sie Ihre eigene Routentabelle mit Kubenet verwenden und Ihr eigenes DNS mit privaten Clustern bringen, schlägt die Clustererstellung fehl. Nach dem Fehler bei der Clustererstellung müssen Sie dem Subnetz die RouteTable in der Knotenressourcengruppe zuordnen, damit die Erstellung erfolgreich ist.

Verwenden einer privaten Endpunktverbindung

Ein privater Endpunkt kann so eingerichtet werden, dass ein VNet nicht überwacht werden muss, um mit dem privaten Cluster zu kommunizieren. Erstellen Sie einen neuen privaten Endpunkt im virtuellen Netzwerk, das die verarbeiteten Ressourcen enthält, und erstellen Sie dann eine Verbindung zwischen Ihrem virtuellen Netzwerk und einer neuen privaten DNS-Zone im selben Netzwerk.

Wichtig

Wenn das virtuelle Netzwerk mit benutzerdefinierten DNS-Servern konfiguriert ist, muss das private DNS für die Umgebung entsprechend eingerichtet werden. Weitere Details finden Sie in der Dokumentation zur Namensauflösung virtueller Netzwerke .

Privaten Endpunktressource erstellen

Erstellen Sie eine private Endpunktressource in Ihrem VNet:

  1. Wählen Sie auf der Startseite des Azure-Portals die Option "Ressource erstellen" aus.
  2. Suchen Sie nach privatem Endpunkt, und wählen Sie "Privaten Endpunkterstellen"> aus.
  3. Wählen Sie "Erstellen" aus.
  4. Konfigurieren Sie auf der Registerkarte " Grundlagen " die folgenden Einstellungen:
    • Projektdetails
      • Abonnement: Wählen Sie das Abonnement aus, in dem sich Ihr privater Cluster befindet.
      • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, die Ihr virtuelles Netzwerk enthält.
    • Instanzdetails
      • Name: Geben Sie einen Namen für Ihren privaten Endpunkt ein, z. B. myPrivateEndpoint.
      • Region: Wählen Sie dieselbe Region wie Ihr virtuelles Netzwerk aus.
  5. Wählen Sie Nächste: Ressource aus und konfigurieren Sie die folgenden Einstellungen:
    • Verbindungsmethode: Wählen Sie in meinem Verzeichnis eine Verbindung mit einer Azure-Ressource aus.
    • Abonnement: Wählen Sie das Abonnement aus, in dem sich Ihr privater Cluster befindet.
    • Ressourcentyp: Wählen Sie "Microsoft.ContainerService/managedClusters" aus.
    • Ressource: Wählen Sie Ihren privaten Cluster aus.
    • Zielunterressource: Verwaltung auswählen.
  6. Wählen Sie "Weiter" aus: Virtuelles Netzwerk und konfigurieren Sie die folgenden Einstellungen:
    • Vernetzung
      • Virtuelles Netzwerk: Wählen Sie Ihr virtuelles Netzwerk aus.
      • Subnetz: Wählen Sie Ihr Subnetz aus.
  7. Wählen Sie Weiter: DNS>Weiter: Tags und (optional) richten Sie Schlüssel-Werte nach Bedarf ein.
  8. Wählen Sie "Weiter" aus: Überprüfen + Erstellen>.

Nachdem die Ressource erstellt wurde, notieren Sie die private IP-Adresse des privaten Endpunkts für die zukünftige Verwendung.

Erstellen einer privaten DNS-Zone

Nachdem Sie den privaten Endpunkt erstellt haben, erstellen Sie eine neue Privates DNS-Zone mit demselben Namen wie die Privates DNS-Zone, die vom privaten Cluster erstellt wurde. Denken Sie daran, diese DNS-Zone im VNet zu erstellen, das die verbrauchten Ressourcen enthält.

  1. Navigieren Sie im Azure-Portal zu Ihrer Knotenressourcengruppe, und wählen Sie Ihre private DNS-Zonenressource aus.
  2. Wählen Sie im Menü "Dienst" unter "DNS-Verwaltung" Recordsets aus, und notieren Sie sich Folgendes:
    • Der Name der privaten DNS-Zone, der dem Muster „*.privatelink.<region>.azmk8s.io“ folgt.
    • Der Name des A-Eintrags (ohne den privaten DNS-Namen).
    • Die Gültigkeitsdauer (Time To Live, TTL).
  3. Wählen Sie auf der Startseite des Azure-Portals die Option "Ressource erstellen" aus.
  4. Suchen Sie nach der Privaten DNS-Zone, und wählen Sie "Private DNS-Zoneerstellen>" aus.
  5. Konfigurieren Sie auf der Registerkarte " Grundlagen " die folgenden Einstellungen:
    • Projektdetails:
      • Wählen Sie Ihr Abonnement aus.
      • Wählen Sie die Ressourcengruppe aus, in der Sie den privaten Endpunkt erstellt haben.
    • Instanzdetails
      • Name: Geben Sie den Namen der DNS-Zone ein, die aus den vorherigen Schritten abgerufen wurde.
      • Region ist standardmäßig auf den Standort Ihrer Ressourcengruppe festgelegt.
  6. Wählen Sie "Überprüfen" und "Erstellen" aus>.

Erstellen eines A-Eintrags

Nachdem die private DNS-Zone erstellt wurde, erstellen Sie einen A-Datensatz, der den privaten Endpunkt dem privaten Cluster ordnet:

  1. Wechseln Sie zu der in den vorherigen Schritten erstellten privaten DNS-Zone.
  2. Wählen Sie im Menü "Dienst" unter "DNS-Verwaltung" die Option "Recordsets>hinzufügen" aus.
  3. Konfigurieren Sie auf der Seite " Datensatzsatz hinzufügen " die folgenden Einstellungen:
    • Name: Geben Sie den Namen ein, der aus dem A Eintrag in der DNS-Zone des privaten Clusters abgerufen wurde.
    • Typ: Wählen Sie A - Adressdatensatz aus.
    • TTL: Geben Sie die Nummer aus dem A Eintrag in der DNS-Zone des privaten Clusters ein.
    • TTL-Einheit: Ändern Sie den Dropdownwert so, dass er dem Eintrag aus A der DNS-Zone des privaten Clusters entspricht.
    • IP-Adresse: Geben Sie die IP-Adresse des privaten Endpunkts ein, den Sie erstellt haben.
  4. Wählen Sie "Hinzufügen" aus, um den A Datensatz zu erstellen.

Wichtig

Verwenden Sie beim Erstellen des A-Eintrags nur den Namen und nicht den vollständig qualifizierten Domänennamen (FQDN).

Sobald der A-Eintrag erstellt ist, verknüpfen Sie die private DNS-Zone mit dem virtuellen Netzwerk, das auf den privaten Cluster zugreifen wird:

  1. Wechseln Sie zu der in den vorherigen Schritten erstellten privaten DNS-Zone.
  2. Wählen Sie im Dienstmenü unter DNS-Verwaltung die Option "Virtuelle Netzwerklinks>hinzufügen" aus.
  3. Konfigurieren Sie auf der Seite " Virtuelle Netzwerkverbindung hinzufügen " die folgenden Einstellungen:
    • Linkname: Geben Sie einen Namen für Ihre virtuelle Netzwerkverbindung ein.
    • Abonnement: Wählen Sie das Abonnement aus, in dem sich Ihr privater Cluster befindet.
    • Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk Ihres privaten Clusters aus.
  4. Wählen Sie "Erstellen" aus, um den Link zu erstellen.

Es kann einige Minuten dauern, bis der Vorgang abgeschlossen ist. Nachdem die virtuelle Netzwerkverbindung erstellt wurde, können Sie über die Registerkarte "Virtuelle Netzwerklinks ", die Sie in Schritt 2 verwendet haben, darauf zugreifen.

Warnung

  • Wenn der private Cluster angehalten und neu gestartet wird, wird der ursprüngliche private Link-Dienst des privaten Clusters entfernt und neu erstellt, wodurch die Verbindung zwischen Ihrem privaten Endpunkt und dem privaten Cluster unterbrochen wird. Um dieses Problem zu beheben, löschen Sie alle vom Benutzer erstellten privaten Endpunkte, die mit dem privaten Cluster verknüpft sind, und erstellen Sie sie neu. Wenn die neu erstellten privaten Endpunkte über neue IP-Adressen verfügen, müssen Sie auch die DNS-Einträge aktualisieren.
  • Wenn Sie die DNS-Einträge in der privaten DNS-Zone aktualisieren, stellen Sie sicher, dass der Host, von dem aus eine Verbindung hergestellt werden soll, die aktualisierten DNS-Einträge verwendet. Sie können dies mithilfe des nslookup-Befehls überprüfen. Wenn Sie feststellen, dass die Updates nicht in der Ausgabe widergespiegelt werden, müssen Sie möglicherweise den DNS-Cache auf Ihrem Computer leeren und es erneut versuchen.

Nächste Schritte

Die zugehörigen bewährten Methoden finden Sie unter Bewährte Methoden für die Netzwerkkonnektivität und -sicherheit in AKS.