Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel hilft Ihnen bei der Bereitstellung eines auf einer privaten Verbindung basierenden AKS-Clusters. Wenn Sie einen AKS-Cluster ohne erforderlichen privaten Link oder Tunnel erstellen möchten, lesen Sie " Erstellen eines Azure Kubernetes-Dienstclusters mit API Server-VNet-Integration (Vorschau)".
Übersicht
In einem privaten Cluster verfügt die Steuerungsebene oder der API-Server über interne IP-Adressen, die im RFC1918 - Adresszuweisung für privates Internetdokument definiert sind. Durch die Verwendung eines privaten Clusters können Sie sicherstellen, dass der Netzwerkdatenverkehr zwischen Ihrem API-Server und den Knotenpools ausschließlich im privaten Netzwerk verbleibt.
Die Steuerungsebene oder der API-Server befindet sich in einer von AKS verwalteten Azure-Ressourcengruppe, und Ihr Cluster oder Knotenpool befindet sich in Ihrer Ressourcengruppe. Der Server und der Cluster- oder Knotenpool können über den Azure Private Link-Dienst im virtuellen API-Servernetzwerk und einen privaten Endpunkt kommunizieren, der im Subnetz Ihres AKS-Clusters verfügbar gemacht wird.
Wenn Sie einen privaten AKS-Cluster bereitstellen, erstellt AKS standardmäßig einen privaten FQDN mit einer privaten DNS-Zone und einen zusätzlichen öffentlichen FQDN mit einem entsprechenden A
-Eintrag in öffentlichem Azure-DNS. Die Agent-Knoten verwenden weiterhin den A
-Eintrag in der privaten DNS-Zone, um die private IP-Adresse des privaten Endpunkts für die Kommunikation mit dem API-Server aufzulösen.
Regionale Verfügbarkeit
Private Cluster sind in öffentlichen Regionen, Azure Government und Microsoft Azure verfügbar, betrieben von 21Vianet-Regionen, in denen AKS unterstützt wird.
Voraussetzungen
- Die Azure CLI Version 2.28.0 oder höher. Führen Sie
az --version
aus, um die Version zu finden, und führen Sieaz upgrade
aus, um ein Upgrade für die Version durchzuführen. Wenn Sie Azure CLI installieren oder aktualisieren müssen, lesen Sie " Installieren von Azure CLI". - Die
aks-preview
-Erweiterung 0.5.29 oder höher. - Wenn Sie Azure Resource Manager (ARM) oder die Azure-REST-API verwenden, muss die AKS-API-Version 2021-05-01 oder höher sein.
- Um einen benutzerdefinierten DNS-Server zu verwenden, fügen Sie die öffentliche Azure-IP-Adresse 168.63.129.16 als upstream-DNS-Server im benutzerdefinierten DNS-Server hinzu, und stellen Sie sicher, dass Sie diese öffentliche IP-Adresse als ersten DNS-Server hinzufügen. Weitere Informationen zur Azure-IP-Adresse finden Sie unter Was ist IP-Adresse 168.63.129.16?
- Die DNS-Zone des Clusters sollte an 168.63.129.16 weitergeleitet werden. Weitere Informationen zu Zonennamen finden Sie in der DNS-Zonenkonfiguration von Azure-Diensten.
- Bei vorhandenen AKS-Clustern, die mit der API Server-VNet-Integration aktiviert werden, kann der private Clustermodus aktiviert werden. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren des privaten Clustermodus auf einem vorhandenen Cluster mit API-Server-VNet-Integration.
Hinweis
Der Azure Linux-Knotenpool ist jetzt allgemein verfügbar (GA). Informationen zu den Vorteilen und Bereitstellungsschritten finden Sie in der Einführung in den Azure Linux-Containerhost für AKS.
Begrenzungen
- IP-autorisierte Bereiche können nicht auf den privaten API-Serverendpunkt angewandt werden, sie gelten nur für den öffentlichen API-Server.
- Einschränkungen des Azure Private Link-Diensts gelten für private Cluster.
- Azure DevOps Microsoft-gehostete Agents mit privaten Clustern werden nicht unterstützt. Erwägen Sie die Verwendung selbst gehosteter Agents.
- Wenn Sie azure Container Registry für die Arbeit mit einem privaten AKS-Cluster aktivieren müssen, richten Sie einen privaten Link für die Containerregistrierung im virtuellen Clusternetzwerk ein, oder richten Sie Peering zwischen dem virtuellen Netzwerk der Containerregistrierung und dem virtuellen Netzwerk des privaten Clusters ein.
- Das Löschen oder Ändern des privaten Endpunkts im Kundensubnetz führt dazu, dass der Cluster nicht mehr funktioniert.
- Der Azure Private Link-Dienst wird nur von Azure Load Balancer Standard unterstützt. Der Basic Azure Load Balancer wird nicht unterstützt.
Erstellen eines privaten AKS-Clusters
Erstellen Sie mit dem Befehl
az group create
eine Ressourcengruppe. Sie können auch eine vorhandene Ressourcengruppe für Ihren AKS-Cluster verwenden.az group create \ --name <private-cluster-resource-group> \ --location <location>
Erstellen Sie mit dem Befehl „
az aks create
“ mit dem--enable-private-cluster
-Flag einen privaten Cluster mit Standardnetzwerk.az aks create \ --name <private-cluster-name> \ --resource-group <private-cluster-resource-group> \ --load-balancer-sku standard \ --enable-private-cluster \ --generate-ssh-keys
Herstellen einer Verbindung mit dem privaten Cluster
Um einen Kubernetes-Cluster zu verwalten, verwenden Sie den Kubernetes-Befehlszeilenclient kubectl. kubectl
ist bei Verwendung von Azure Cloud Shell bereits installiert. Um kubectl
lokal zu installieren, verwenden Sie den Befehl az aks install-cli
.
Mit dem Befehl
kubectl
können Sieaz aks get-credentials
für die Verbindungsherstellung mit Ihrem Kubernetes-Cluster konfigurieren. Mit diesem Befehl werden die Anmeldeinformationen heruntergeladen und die Kubernetes-CLI für ihre Verwendung konfiguriert.az aks get-credentials --resource-group <private-cluster-resource-group> --name <private-cluster-name>
Überprüfen Sie die Verbindung mit dem Cluster mithilfe des Befehls
kubectl get
. Dieser Befehl gibt eine Liste der Clusterknoten zurück.kubectl get nodes
Verwenden benutzerdefinierter Domänen
Wenn Sie benutzerdefinierte Domänen konfigurieren möchten, die nur intern aufgelöst werden können, lesen Sie "Verwenden von benutzerdefinierten Domänen".
Deaktivieren eines öffentlichen FQDN
Deaktivieren eines öffentlichen FQDN in einem neuen Cluster
Deaktivieren Sie einen öffentlichen FQDN beim Erstellen eines privaten AKS-Clusters mit dem Befehl
az aks create
und dem Flag--disable-public-fqdn
.az aks create \ --name <private-cluster-name> \ --resource-group <private-cluster-resource-group> \ --load-balancer-sku standard \ --enable-private-cluster \ --assign-identity <resourceID> \ --private-dns-zone <private-dns-zone-mode> \ --disable-public-fqdn \ --generate-ssh-keys
Deaktivieren eines öffentlichen FQDN in einem vorhandenen Cluster
Deaktivieren Sie einen öffentlichen FQDN in einem vorhandenen AKS-Cluster mit dem Befehl „
az aks update
“ mit dem--disable-public-fqdn
-Flag.az aks update \ --name <private-cluster-name> \ --resource-group <private-cluster-resource-group> \ --disable-public-fqdn
Konfigurieren einer privaten DNS-Zone
Sie können private DNS-Zonen mit den folgenden Parametern konfigurieren:
system
: Dies ist der Standardwert. Wenn das Argument „--private-dns-zone
“ weggelassen wird, erstellt AKS eine private DNS-Zone in der Knotenressourcengruppe.none
: Der Standardwert ist öffentliches DNS. AKS erstellt keine private DNS-Zone.CUSTOM_PRIVATE_DNS_ZONE_RESOURCE_ID
: Erfordert, dass Sie eine private DNS-Zone für die globale Azure-Cloud nur im folgenden Format erstellen:privatelink.<region>.azmk8s.io
oder<subzone>.privatelink.<region>.azmk8s.io
. Sie benötigen die Ressourcen-ID der privaten DNS-Zone für die zukünftige Verwendung. Außerdem benötigen Sie eine vom Benutzer zugewiesene Identität oder einen Dienstprinzipal mit den Rollen " Mitwirkender der privaten DNS-Zone " und " Netzwerkmitwirkender" . Bei der Bereitstellung mithilfe der API-Server-VNet-Integration unterstützt eine private DNS-Zone das Namensformatprivate.<region>.azmk8s.io
oder<subzone>.private.<region>.azmk8s.io
. Sie können diese Ressource nach dem Erstellen des Clusters nicht ändern oder löschen, da sie Leistungsprobleme und Clusterupgradefehler verursachen kann.- Wenn sich die private DNS-Zone in einem anderen Abonnement als der AKS-Cluster befindet, müssen Sie den Azure-Anbieter
Microsoft.ContainerServices
in beiden Abonnements registrieren. - Sie können
fqdn-subdomain
nur mitCUSTOM_PRIVATE_DNS_ZONE_RESOURCE_ID
verwenden, um Unterdomänenfunktionen fürprivatelink.<region>.azmk8s.io
bereitzustellen. - Wenn Ihr AKS-Cluster mit einem Active Directory-Dienstprinzipal konfiguriert ist, unterstützt AKS keine Verwendung einer systemseitig zugewiesenen verwalteten Identität mit einer benutzerdefinierten privaten DNS-Zone. Der Cluster muss die vom Benutzer zugewiesene verwaltete Identitätsauthentifizierung verwenden.
- Wenn Sie einen
<subzone>
angeben, gibt es einen Grenzwert von 32 Zeichen für den<subzone>
-Namen.
- Wenn sich die private DNS-Zone in einem anderen Abonnement als der AKS-Cluster befindet, müssen Sie den Azure-Anbieter
Hinweis
Sie können CUSTOM_PRIVATE_DNS_ZONE_RESOURCE_ID
mithilfe einer ARM-Vorlage oder der Azure CLI konfigurieren. privateDNSZone
akzeptiert die private DNZ-Zone resourceID
, wie im folgenden Beispiel gezeigt:
properties.apiServerAccessProfile.privateDNSZone.
"apiServerAccessProfile": {
"enablePrivateCluster": true,
"privateDNSZone": "system|none|[resourceId(..., 'Microsoft.Network/privateDnsZones', 'privatelink.<region>.azmk8s.io']"
}
Erstellen eines privaten AKS-Clusters mit privater DNS-Zone
Erstellen Sie einen privaten AKS-Cluster mit einer privaten DNS-Zone mit dem Befehl „
az aks create
“ und den folgenden Flags:az aks create \ --name <private-cluster-name> \ --resource-group <private-cluster-resource-group> \ --load-balancer-sku standard \ --enable-private-cluster \ --assign-identity <resourceID> \ --private-dns-zone [system|none] \ --generate-ssh-keys
Erstellen eines privaten AKS-Clusters mit einer benutzerdefinierten privaten DNS-Zone oder einer privaten DNS-Unterzone
Erstellen Sie einen privaten AKS-Cluster mit einer benutzerdefinierten privaten DNS-Zone oder Subzone mit dem Befehl „
az aks create
“ und den folgenden Flags:# The custom private DNS zone name should be in the following format: "<subzone>.privatelink.<region>.azmk8s.io" az aks create \ --name <private-cluster-name> \ --resource-group <private-cluster-resource-group> \ --load-balancer-sku standard \ --enable-private-cluster \ --assign-identity <resourceID> \ --private-dns-zone <custom private dns zone or custom private dns subzone resourceID> \ --generate-ssh-keys
Erstellen eines privaten AKS-Clusters mit einer benutzerdefinierten privaten DNS-Zone und einer benutzerdefinierten Unterdomäne
Erstellen Sie einen privaten AKS-Cluster mit einer benutzerdefinierten privaten DNS-Zone und Subzone mit dem Befehl „
az aks create
“ und den folgenden Flags:# The custom private DNS zone name should be in one of the following formats: "privatelink.<region>.azmk8s.io" or "<subzone>.privatelink.<region>.azmk8s.io" az aks create \ --name <private-cluster-name> \ --resource-group <private-cluster-resource-group> \ --load-balancer-sku standard \ --enable-private-cluster \ --assign-identity <resourceID> \ --private-dns-zone <custom private dns zone resourceID> \ --fqdn-subdomain <subdomain> \ --generate-ssh-keys
Aktualisieren eines privaten Clusters aus einer privaten DNS-Zone in eine öffentliche Zone
Sie können nur aus byo
oder system
in none
aktualisieren. Es wird keine andere Kombination von Updatewerten unterstützt. Stellen Sie vor dem Aktualisieren sicher, dass Sie eine Verbindung mit dem privaten Cluster herstellen.
Warnung
Wenn Sie einen privaten Cluster von byo
oder system
auf none
aktualisieren, stellen sich die Agent-Knoten auf die Verwendung eines öffentlichen FQDN um. In einem AKS-Cluster, der Azure Virtual Machine Scale Sets verwendet, wird ein Upgrade des Knotenabbilds durchgeführt, um Ihre Knoten mit dem öffentlichen FQDN zu aktualisieren.
Aktualisieren Sie einen privaten Cluster aus
byo
odersystem
innone
mithilfe des Befehlsaz aks update
mit den folgenden Flags:az aks update \ --name <private-cluster-name> \ --resource-group <private-cluster-resource-group> \ --private-dns-zone none
Optionen zum Herstellen einer Verbindung mit dem privaten Cluster
Der Endpunkt des API-Servers weist keine öffentliche IP-Adresse auf. Zum Verwalten des API-Servers müssen Sie eine VM verwenden, die Zugriff auf das Azure Virtual Network (VNet) des AKS-Clusters hat. Es gibt mehrere Optionen zum Einrichten der Netzwerkkonnektivität mit dem privaten Cluster:
- Erstellen Sie einen virtuellen Computer im selben VNet wie der AKS-Cluster, indem Sie den Befehl „
az vm create
“ mit dem--vnet-name
-Parameter verwenden. - Verwendet eine VM in einem separaten Netzwerk und richtet virtuelles Netzwerkpeering ein.
- Verwenden Sie eine Expressroute oder VPN-Verbindung .
- Verwenden Sie das AKS-Feature
command invoke
. - Verwenden Sie eine private Endpunktverbindung .
- Verwenden Sie eine Cloud Shell-Instanz , die in einem Subnetz bereitgestellt wird, das mit dem API-Server für den Cluster verbunden ist.
Das Erstellen eines virtuellen Computers im selben VNet wie der AKS-Cluster ist die einfachste Option. ExpressRoute und VPNs (virtuelle private Netzwerke) erhöhen die Kosten und erfordern zusätzliche Netzwerkkomplexität. Beim Peering virtueller Netzwerke müssen Sie Ihre Netzwerk-CIDR-Bereiche planen, um sicherzustellen, dass es keine überlappenden Bereiche gibt.
Peering in virtuellen Netzwerken
Wenn Sie das Peering virtueller Netzwerke verwenden möchten, müssen Sie eine Verbindung zwischen dem virtuellen Netzwerk und der privaten DNS-Zone einrichten.
- Navigieren Sie im Azure-Portal zu Ihrer Knotenressourcengruppe, und wählen Sie Ihre private DNS-Zonenressource aus.
- Wählen Sie im Dienstmenü unter DNS-Verwaltung die Option "Virtuelle Netzwerklinks>hinzufügen" aus.
- Konfigurieren Sie auf der Seite " Virtuelle Netzwerkverbindung hinzufügen " die folgenden Einstellungen:
- Linkname: Geben Sie einen Namen für die virtuelle Netzwerkverbindung ein.
- Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk aus, das den virtuellen Computer enthält.
- Wählen Sie "Erstellen" aus, um die virtuelle Netzwerkverbindung zu erstellen.
- Navigieren Sie zu der Ressourcengruppe, die das virtuelle Netzwerk Ihres Clusters enthält, und wählen Sie Ihre virtuelle Netzwerkressource aus.
- Wählen Sie im Dienstmenü unter "Einstellungen" die Option "Peerings>Hinzufügen" aus.
- Konfigurieren Sie auf der Seite " Peering hinzufügen " die folgenden Einstellungen:
- Name des Peeringlinks: Geben Sie einen Namen für den Peeringlink ein.
- Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk der VM aus.
- Wählen Sie "Hinzufügen" aus, um den Peeringlink zu erstellen.
Weitere Informationen finden Sie unter Virtual Network Peering.
Hub-and-Spoke mit benutzerdefiniertem DNS
Hub- und Spoke-Architekturen werden häufig zum Bereitstellen von Netzwerken in Azure verwendet. In vielen dieser Bereitstellungen sind die DNS-Einstellungen in den Spoke-VNets so konfiguriert, dass sie auf eine zentrale DNS-Weiterleitung verweisen, um eine lokale und Azure-basierte DNS-Auflösung zu ermöglichen.
Beim Bereitstellen eines AKS-Clusters in einer solchen Netzwerkumgebung gibt es einige besondere Überlegungen:
Wenn ein privater Cluster bereitgestellt wird, werden standardmäßig ein privater Endpunkt (1) und eine private DNS-Zone (2) in der vom Cluster verwalteten Ressourcengruppe erstellt. Der Cluster verwendet einen
A
-Eintrag in der privaten Zone, um die IP-Adresse des privaten Endpunkts für die Kommunikation mit dem API-Server aufzulösen.Die private DNS-Zone ist nur mit dem virtuellen Netzwerk verbunden, an das die Clusterknoten angefügt sind (3). Dies bedeutet, dass der private Endpunkt nur von Hosts in diesem verknüpften virtuellen Netzwerk aufgelöst werden kann. In Szenarien, in denen kein benutzerdefiniertes DNS im VNet konfiguriert ist (Standard), funktioniert dies problemlos, indem Hosts auf 168.63.129.16 für DNS verweisen, das aufgrund der Verbindung Einträge in der privaten DNS-Zone auflösen kann.
Wenn Sie das standardmäßige Verhalten für private DNS-Zonen beibehalten, versucht AKS, die Zone direkt mit dem speichen-VNet zu verknüpfen, das den Cluster hostt, auch wenn die Zone bereits mit einem Hub-VNet verknüpft ist.
In Spoke-VNets, die benutzerdefinierte DNS-Server verwenden, kann diese Aktion fehlschlagen, wenn die verwaltete Identität des Clusters keine Netzwerk-Teilnehmer im Spoke-VNet hat.
Um den Fehler zu verhindern, wählen Sie eine der folgenden unterstützten Konfigurationen aus:Benutzerdefinierte private DNS-Zone – Stellen Sie eine zuvor erstellte private Zone bereit, und legen Sie sie auf ihre Ressourcen-ID fest
privateDNSZone
. Verknüpfen Sie diese Zone mit dem entsprechenden VNet (z. B. dem Hub-VNet), und legen Sie siepublicDNS
auffalse
fest.Nur öffentliches DNS – Deaktivieren Sie die Erstellung privater Zonen, indem Sie
privateDNSZone
aufnone
setzen undpublicDNS
auf seinem Standardwert (true
) belassen.
Das Festlegen
privateDNSZone: none
undpublicDNS: false
gleichzeitig wird nicht unterstützt;
Hinweis
Die bedingte Weiterleitung unterstützt keine Unterdomänen.
Hinweis
Wenn Sie Ihre eigene Routentabelle mit Kubenet verwenden und Ihr eigenes DNS mit privaten Clustern bringen, schlägt die Clustererstellung fehl. Nach dem Fehler bei der Clustererstellung müssen Sie dem Subnetz die RouteTable
in der Knotenressourcengruppe zuordnen, damit die Erstellung erfolgreich ist.
Verwenden einer privaten Endpunktverbindung
Ein privater Endpunkt kann so eingerichtet werden, dass ein VNet nicht überwacht werden muss, um mit dem privaten Cluster zu kommunizieren. Erstellen Sie einen neuen privaten Endpunkt im virtuellen Netzwerk, das die verarbeiteten Ressourcen enthält, und erstellen Sie dann eine Verbindung zwischen Ihrem virtuellen Netzwerk und einer neuen privaten DNS-Zone im selben Netzwerk.
Wichtig
Wenn das virtuelle Netzwerk mit benutzerdefinierten DNS-Servern konfiguriert ist, muss das private DNS für die Umgebung entsprechend eingerichtet werden. Weitere Details finden Sie in der Dokumentation zur Namensauflösung virtueller Netzwerke .
Privaten Endpunktressource erstellen
Erstellen Sie eine private Endpunktressource in Ihrem VNet:
- Wählen Sie auf der Startseite des Azure-Portals die Option "Ressource erstellen" aus.
- Suchen Sie nach privatem Endpunkt, und wählen Sie "Privaten Endpunkterstellen"> aus.
- Wählen Sie "Erstellen" aus.
- Konfigurieren Sie auf der Registerkarte " Grundlagen " die folgenden Einstellungen:
- Projektdetails
- Abonnement: Wählen Sie das Abonnement aus, in dem sich Ihr privater Cluster befindet.
- Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, die Ihr virtuelles Netzwerk enthält.
- Instanzdetails
- Name: Geben Sie einen Namen für Ihren privaten Endpunkt ein, z. B. myPrivateEndpoint.
- Region: Wählen Sie dieselbe Region wie Ihr virtuelles Netzwerk aus.
- Projektdetails
- Wählen Sie Nächste: Ressource aus und konfigurieren Sie die folgenden Einstellungen:
- Verbindungsmethode: Wählen Sie in meinem Verzeichnis eine Verbindung mit einer Azure-Ressource aus.
- Abonnement: Wählen Sie das Abonnement aus, in dem sich Ihr privater Cluster befindet.
- Ressourcentyp: Wählen Sie "Microsoft.ContainerService/managedClusters" aus.
- Ressource: Wählen Sie Ihren privaten Cluster aus.
- Zielunterressource: Verwaltung auswählen.
- Wählen Sie "Weiter" aus: Virtuelles Netzwerk und konfigurieren Sie die folgenden Einstellungen:
- Vernetzung
- Virtuelles Netzwerk: Wählen Sie Ihr virtuelles Netzwerk aus.
- Subnetz: Wählen Sie Ihr Subnetz aus.
- Vernetzung
- Wählen Sie Weiter: DNS>Weiter: Tags und (optional) richten Sie Schlüssel-Werte nach Bedarf ein.
- Wählen Sie "Weiter" aus: Überprüfen + Erstellen>.
Nachdem die Ressource erstellt wurde, notieren Sie die private IP-Adresse des privaten Endpunkts für die zukünftige Verwendung.
Erstellen einer privaten DNS-Zone
Nachdem Sie den privaten Endpunkt erstellt haben, erstellen Sie eine neue Privates DNS-Zone mit demselben Namen wie die Privates DNS-Zone, die vom privaten Cluster erstellt wurde. Denken Sie daran, diese DNS-Zone im VNet zu erstellen, das die verbrauchten Ressourcen enthält.
- Navigieren Sie im Azure-Portal zu Ihrer Knotenressourcengruppe, und wählen Sie Ihre private DNS-Zonenressource aus.
- Wählen Sie im Menü "Dienst" unter "DNS-Verwaltung" Recordsets aus, und notieren Sie sich Folgendes:
- Der Name der privaten DNS-Zone, der dem Muster „
*.privatelink.<region>.azmk8s.io
“ folgt. - Der Name des
A
-Eintrags (ohne den privaten DNS-Namen). - Die Gültigkeitsdauer (Time To Live, TTL).
- Der Name der privaten DNS-Zone, der dem Muster „
- Wählen Sie auf der Startseite des Azure-Portals die Option "Ressource erstellen" aus.
- Suchen Sie nach der Privaten DNS-Zone, und wählen Sie "Private DNS-Zoneerstellen>" aus.
- Konfigurieren Sie auf der Registerkarte " Grundlagen " die folgenden Einstellungen:
- Projektdetails:
- Wählen Sie Ihr Abonnement aus.
- Wählen Sie die Ressourcengruppe aus, in der Sie den privaten Endpunkt erstellt haben.
- Instanzdetails
- Name: Geben Sie den Namen der DNS-Zone ein, die aus den vorherigen Schritten abgerufen wurde.
- Region ist standardmäßig auf den Standort Ihrer Ressourcengruppe festgelegt.
- Projektdetails:
- Wählen Sie "Überprüfen" und "Erstellen" aus>.
Erstellen eines A
-Eintrags
Nachdem die private DNS-Zone erstellt wurde, erstellen Sie einen A
-Datensatz, der den privaten Endpunkt dem privaten Cluster ordnet:
- Wechseln Sie zu der in den vorherigen Schritten erstellten privaten DNS-Zone.
- Wählen Sie im Menü "Dienst" unter "DNS-Verwaltung" die Option "Recordsets>hinzufügen" aus.
- Konfigurieren Sie auf der Seite " Datensatzsatz hinzufügen " die folgenden Einstellungen:
- Name: Geben Sie den Namen ein, der aus dem
A
Eintrag in der DNS-Zone des privaten Clusters abgerufen wurde. - Typ: Wählen Sie A - Adressdatensatz aus.
- TTL: Geben Sie die Nummer aus dem
A
Eintrag in der DNS-Zone des privaten Clusters ein. - TTL-Einheit: Ändern Sie den Dropdownwert so, dass er dem Eintrag aus
A
der DNS-Zone des privaten Clusters entspricht. - IP-Adresse: Geben Sie die IP-Adresse des privaten Endpunkts ein, den Sie erstellt haben.
- Name: Geben Sie den Namen ein, der aus dem
- Wählen Sie "Hinzufügen" aus, um den
A
Datensatz zu erstellen.
Wichtig
Verwenden Sie beim Erstellen des A
-Eintrags nur den Namen und nicht den vollständig qualifizierten Domänennamen (FQDN).
Verknüpfen der privaten DNS-Zone mit dem virtuellen Netzwerk
Sobald der A
-Eintrag erstellt ist, verknüpfen Sie die private DNS-Zone mit dem virtuellen Netzwerk, das auf den privaten Cluster zugreifen wird:
- Wechseln Sie zu der in den vorherigen Schritten erstellten privaten DNS-Zone.
- Wählen Sie im Dienstmenü unter DNS-Verwaltung die Option "Virtuelle Netzwerklinks>hinzufügen" aus.
- Konfigurieren Sie auf der Seite " Virtuelle Netzwerkverbindung hinzufügen " die folgenden Einstellungen:
- Linkname: Geben Sie einen Namen für Ihre virtuelle Netzwerkverbindung ein.
- Abonnement: Wählen Sie das Abonnement aus, in dem sich Ihr privater Cluster befindet.
- Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk Ihres privaten Clusters aus.
- Wählen Sie "Erstellen" aus, um den Link zu erstellen.
Es kann einige Minuten dauern, bis der Vorgang abgeschlossen ist. Nachdem die virtuelle Netzwerkverbindung erstellt wurde, können Sie über die Registerkarte "Virtuelle Netzwerklinks ", die Sie in Schritt 2 verwendet haben, darauf zugreifen.
Warnung
- Wenn der private Cluster angehalten und neu gestartet wird, wird der ursprüngliche private Link-Dienst des privaten Clusters entfernt und neu erstellt, wodurch die Verbindung zwischen Ihrem privaten Endpunkt und dem privaten Cluster unterbrochen wird. Um dieses Problem zu beheben, löschen Sie alle vom Benutzer erstellten privaten Endpunkte, die mit dem privaten Cluster verknüpft sind, und erstellen Sie sie neu. Wenn die neu erstellten privaten Endpunkte über neue IP-Adressen verfügen, müssen Sie auch die DNS-Einträge aktualisieren.
- Wenn Sie die DNS-Einträge in der privaten DNS-Zone aktualisieren, stellen Sie sicher, dass der Host, von dem aus eine Verbindung hergestellt werden soll, die aktualisierten DNS-Einträge verwendet. Sie können dies mithilfe des
nslookup
-Befehls überprüfen. Wenn Sie feststellen, dass die Updates nicht in der Ausgabe widergespiegelt werden, müssen Sie möglicherweise den DNS-Cache auf Ihrem Computer leeren und es erneut versuchen.
Nächste Schritte
Die zugehörigen bewährten Methoden finden Sie unter Bewährte Methoden für die Netzwerkkonnektivität und -sicherheit in AKS.
Azure Kubernetes Service