Auf Englisch lesen

Freigeben über

Erstellen eines privaten Azure Kubernetes Service (AKS)-Clusters

  • Artikel

Dieser Artikel hilft Ihnen bei der Bereitstellung eines auf einer privaten Verbindung basierenden AKS-Clusters. Wenn Sie einen AKS-Cluster ohne erforderliche private Verbindung oder ohne Tunnel erstellen möchten, finden Sie weitere Informationen unter Erstellen eines Azure Kubernetes Service-Clusters mit API-Server-VNet-Integration (Preview).

Übersicht

In einem privaten Cluster besitzt die Steuerungsebene oder der API-Server interne IP-Adressen, die im Dokument RFC1918 – -Allocation for Private Internet definiert sind. Durch die Verwendung eines privaten Clusters können Sie sicherstellen, dass der Netzwerkdatenverkehr zwischen Ihrem API-Server und den Knotenpools ausschließlich im privaten Netzwerk verbleibt.

Die Steuerungsebene oder der API-Server befindet sich in einer von AKS verwalteten Azure-Ressourcengruppe, und Ihr Cluster oder Knotenpool befindet sich in Ihrer Ressourcengruppe. Der Server und der Cluster oder Knotenpool können über den Azure Private Link-Dienst im virtuellen Netzwerk des API-Servers und über einen privaten Endpunkt, der im Subnetz des AKS-Clusters verfügbar gemacht wird, miteinander kommunizieren.

Wenn Sie einen privaten AKS-Cluster bereitstellen, erstellt AKS standardmäßig einen privaten FQDN mit einer privaten DNS-Zone und einen zusätzlichen öffentlichen FQDN mit einem entsprechenden A-Eintrag in öffentlichem Azure-DNS. Die Agent-Knoten verwenden weiterhin den A-Eintrag in der privaten DNS-Zone, um die private IP-Adresse des privaten Endpunkts für die Kommunikation mit dem API-Server aufzulösen.

Regionale Verfügbarkeit

Private Cluster sind in öffentlichen Regionen, Azure Government-Regionen und Microsoft Azure betrieben von 21ViaNet-Regionen mit AKS-Unterstützung verfügbar.

Voraussetzungen

  • Die Azure CLI Version 2.28.0 oder höher. Führen Sie az --version aus, um die Version zu finden, und führen Sie az upgrade aus, um ein Upgrade für die Version durchzuführen. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.
  • Die aks-preview-Erweiterung 0.5.29 oder höher.
  • Wenn Sie Azure Resource Manager (ARM) oder die Azure-REST-API verwenden, muss die AKS-API-Version 2021-05-01 oder höher sein.
  • Um einen benutzerdefinierten DNS-Server zu verwenden, fügen Sie die öffentliche Azure-IP-Adresse 168.63.129.16 als Upstream-DNS-Server auf dem benutzerdefinierten DNS-Server hinzu. Achten Sie darauf, diese öffentliche IP-Adresse als ersten DNS-Server hinzuzufügen. Weitere Informationen zur Azure-IP-Adresse finden Sie unter Was ist die IP-Adresse 168.63.129.16?.
  • Bei vorhandenen AKS-Clustern, die mit der API Server-VNet-Integration aktiviert werden, kann der private Clustermodus aktiviert werden. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren des privaten Clustermodus auf einem vorhandenen Cluster mit API-Server-VNet-Integration.

Hinweis

Der Azure Linux-Knotenpool ist jetzt allgemein verfügbar (GA). Informationen zu den Vorteilen und Bereitstellungsschritten finden Sie in der Einführung in den Azure Linux-Containerhost für AKS.

Begrenzungen

  • IP-autorisierte Bereiche können nicht auf den privaten API-Serverendpunkt angewandt werden, sie gelten nur für den öffentlichen API-Server.
  • Die Einschränkungen des Azure Private Link-Diensts gelten für private Cluster.
  • Azure DevOps Microsoft-gehostete Agents mit privaten Clustern werden nicht unterstützt. Erwägen Sie die Verwendung selbstgehosteter Agents.
  • Wenn Sie Azure Container Registry für die Zusammenarbeit mit einem privaten AKS-Cluster aktivieren müssen, richten Sie einen privaten Link für die Container Registry im virtuellen Netzwerk des Clusters ein oder richten Sie Peering zwischen dem virtuellen Netzwerk der Container Registry und dem virtuellen Netzwerk des privaten Clusters ein.
  • Das Löschen oder Ändern des privaten Endpunkts im Kundensubnetz führt dazu, dass der Cluster nicht mehr funktioniert.
  • Der Azure Private Link-Dienst wird nur von Azure Load Balancer Standard unterstützt. Der Load Balancer Basic wird nicht unterstützt.

Erstellen eines privaten AKS-Clusters

  1. Erstellen Sie mit dem Befehl az group create eine Ressourcengruppe. Sie können auch eine vorhandene Ressourcengruppe für Ihren AKS-Cluster verwenden.

    Azure CLI 
    az group create \
    --name <private-cluster-resource-group> \
    --location <location>

  2. Erstellen Sie mit dem Befehl „az aks create“ mit dem --enable-private-cluster-Flag einen privaten Cluster mit Standardnetzwerk.

    Azure CLI 
    az aks create \
    --name <private-cluster-name> \
    --resource-group <private-cluster-resource-group> \
    --load-balancer-sku standard \
    --enable-private-cluster \
    --generate-ssh-keys

Herstellen einer Verbindung mit dem privaten Cluster

Verwenden Sie zum Verwalten eines Kubernetes-Clusters den Kubernetes-Befehlszeilenclient kubectl. kubectl ist bei Verwendung von Azure Cloud Shell bereits installiert. Um kubectl lokal zu installieren, verwenden Sie den Befehl az aks install-cli.

  1. Mit dem Befehl az aks get-credentials können Sie kubectl für die Verbindungsherstellung mit Ihrem Kubernetes-Cluster konfigurieren. Mit diesem Befehl werden die Anmeldeinformationen heruntergeladen und die Kubernetes-CLI für ihre Verwendung konfiguriert.

    Azure CLI 
    az aks get-credentials --resource-group <private-cluster-resource-group> --name <private-cluster-name>

  2. Überprüfen Sie die Verbindung mit dem Cluster mithilfe des Befehls kubectl get. Dieser Befehl gibt eine Liste der Clusterknoten zurück.

    Bash 
    kubectl get nodes

Verwenden benutzerdefinierter Domänen

Wenn Sie benutzerdefinierte Domänen konfigurieren möchten, die nur intern aufgelöst werden können, lesen Sie Verwenden von benutzerdefinierten Domänen.

Deaktivieren eines öffentlichen FQDN

Deaktivieren eines öffentlichen FQDN in einem neuen Cluster

  • Deaktivieren Sie einen öffentlichen FQDN beim Erstellen eines privaten AKS-Clusters mit dem Befehl az aks create und dem Flag --disable-public-fqdn.

    Azure CLI 
    az aks create \
    --name <private-cluster-name> \
    --resource-group <private-cluster-resource-group> \
    --load-balancer-sku standard \
    --enable-private-cluster \
    --assign-identity <resourceID> \
    --private-dns-zone <private-dns-zone-mode> \
    --disable-public-fqdn \
    --generate-ssh-keys

Deaktivieren eines öffentlichen FQDN in einem vorhandenen Cluster

  • Deaktivieren Sie einen öffentlichen FQDN in einem vorhandenen AKS-Cluster mit dem Befehl „az aks update“ mit dem --disable-public-fqdn-Flag.

    Azure CLI 
    az aks update \
    --name <private-cluster-name> \
    --resource-group <private-cluster-resource-group> \
    --disable-public-fqdn

Konfigurieren einer privaten DNS-Zone

Sie können private DNS-Zonen mit den folgenden Parametern konfigurieren:

  • system: Dies ist der Standardwert. Wenn das Argument „--private-dns-zone“ weggelassen wird, erstellt AKS eine private DNS-Zone in der Knotenressourcengruppe.
  • none: Der Standardwert ist öffentliches DNS. AKD erstellt keine private DNS-Zone.
  • CUSTOM_PRIVATE_DNS_ZONE_RESOURCE_ID: Erfordert, dass Sie eine private DNS-Zone für die globale Azure-Cloud nur im folgenden Format erstellen: privatelink.<region>.azmk8s.io oder <subzone>.privatelink.<region>.azmk8s.io. Sie benötigen die Ressourcen-ID der privaten DNS-Zone für die zukünftige Verwendung. Sie benötigen auch eine benutzerseitig zugewiesene Identität oder einen Dienstprinzipal mit den Rollen Mitwirkender für private DNS-Zone und Netzwerkmitwirkender. Bei der Bereitstellung mithilfe der API-Server-VNet-Integration unterstützt eine private DNS-Zone das Namensformat private.<region>.azmk8s.io oder <subzone>.private.<region>.azmk8s.io. Sie können diese Ressource nach dem Erstellen des Cluster nicht ändern oder löschen, da dies zu Leistungsproblemen und Clusterupgradefehlern führen kann.
    • Wenn sich die private DNS-Zone in einem anderen Abonnement als der AKS-Cluster befindet, müssen Sie den Azure-Anbieter Microsoft.ContainerServices in beiden Abonnements registrieren.
    • Sie können fqdn-subdomain nur mit CUSTOM_PRIVATE_DNS_ZONE_RESOURCE_ID verwenden, um Unterdomänenfunktionen für privatelink.<region>.azmk8s.io bereitzustellen.
    • Wenn Ihr AKS-Cluster mit einem Active Directory-Dienstprinzipal konfiguriert ist, unterstützt AKS keine Verwendung einer systemseitig zugewiesenen verwalteten Identität mit einer benutzerdefinierten privaten DNS-Zone. Das Cluster muss die vom Benutzer zugewiesene verwaltete Identitätsauthentifizierung verwenden.
    • Wenn Sie einen <subzone> angeben, gibt es einen Grenzwert von 32 Zeichen für den <subzone>-Namen.

Hinweis

Sie können CUSTOM_PRIVATE_DNS_ZONE_RESOURCE_ID mithilfe einer ARM-Vorlage oder der Azure CLI konfigurieren. privateDNSZone akzeptiert die resourceID der privaten DNZ-Zone, wie im folgenden Beispiel gezeigt:

JSON 
properties.apiServerAccessProfile.privateDNSZone.
"apiServerAccessProfile": {
"enablePrivateCluster": true,
"privateDNSZone": "system|none|[resourceId(..., 'Microsoft.Network/privateDnsZones', 'privatelink.<region>.azmk8s.io']"
}

Erstellen eines privaten AKS-Clusters mit privater DNS-Zone

  • Erstellen Sie einen privaten AKS-Cluster mit einer privaten DNS-Zone mit dem Befehl „az aks create“ und den folgenden Flags:

    Azure CLI 
    az aks create \
    --name <private-cluster-name> \
    --resource-group <private-cluster-resource-group> \
    --load-balancer-sku standard \
    --enable-private-cluster \
    --assign-identity <resourceID> \
    --private-dns-zone [system|none] \
    --generate-ssh-keys

Erstellen eines privaten AKS-Clusters mit einer benutzerdefinierten privaten DNS-Zone oder einer privaten DNS-Unterzone

  • Erstellen Sie einen privaten AKS-Cluster mit einer benutzerdefinierten privaten DNS-Zone oder Subzone mit dem Befehl „az aks create“ und den folgenden Flags:

    Azure CLI 
    # The custom private DNS zone name should be in the following format: "<subzone>.privatelink.<region>.azmk8s.io"

az aks create \
    --name <private-cluster-name> \
    --resource-group <private-cluster-resource-group> \
    --load-balancer-sku standard \
    --enable-private-cluster \
    --assign-identity <resourceID> \
    --private-dns-zone <custom private dns zone or custom private dns subzone resourceID> \
    --generate-ssh-keys

Erstellen eines privaten AKS-Clusters mit einer benutzerdefinierten privaten DNS-Zone und einer benutzerdefinierten Unterdomäne

  • Erstellen Sie einen privaten AKS-Cluster mit einer benutzerdefinierten privaten DNS-Zone und Subzone mit dem Befehl „az aks create“ und den folgenden Flags:

    Azure CLI 
    # The custom private DNS zone name should be in one of the following formats: "privatelink.<region>.azmk8s.io" or "<subzone>.privatelink.<region>.azmk8s.io"

az aks create \
    --name <private-cluster-name> \
    --resource-group <private-cluster-resource-group> \
    --load-balancer-sku standard \
    --enable-private-cluster \
    --assign-identity <resourceID> \
    --private-dns-zone <custom private dns zone resourceID> \
    --fqdn-subdomain <subdomain> \
    --generate-ssh-keys

Aktualisieren eines privaten Clusters aus einer privaten DNS-Zone in eine öffentliche Zone

Sie können nur aus byo oder system in none aktualisieren. Es wird keine andere Kombination von Updatewerten unterstützt. Stellen Sie vor dem Aktualisieren sicher, eine Verbindung mit dem privaten Cluster herzustellen.

Warnung

Wenn Sie einen privaten Cluster von byo oder system auf none aktualisieren, stellen sich die Agent-Knoten auf die Verwendung eines öffentlichen FQDN um. In einem AKS-Cluster, der Azure Virtual Machine Scale Sets verwendet, wird ein Upgrade der Knotenimages durchgeführt, um Ihre Knoten mit dem öffentlichen FQDN zu aktualisieren.

  • Aktualisieren Sie einen privaten Cluster aus byo oder system in none mithilfe des Befehls az aks update mit den folgenden Flags:

    Azure CLI 
    az aks update \
    --name <private-cluster-name> \
    --resource-group <private-cluster-resource-group> \
    --private-dns-zone none

Optionen zum Herstellen einer Verbindung mit dem privaten Cluster

Der Endpunkt des API-Servers weist keine öffentliche IP-Adresse auf. Zum Verwalten des API-Servers müssen Sie eine VM verwenden, die Zugriff auf das Azure Virtual Network (VNet) des AKS-Clusters hat. Es gibt mehrere Optionen zum Einrichten der Netzwerkkonnektivität mit dem privaten Cluster:

Das Erstellen eines virtuellen Computers im selben VNet wie der AKS-Cluster ist die einfachste Option. ExpressRoute und VPNs (virtuelle private Netzwerke) erhöhen die Kosten und erfordern zusätzliche Netzwerkkomplexität. Beim Peering virtueller Netzwerke müssen Sie Ihre Netzwerk-CIDR-Bereiche planen, um sicherzustellen, dass es keine überlappenden Bereiche gibt.

Peering in virtuellen Netzwerken

Wenn Sie das Peering virtueller Netzwerke verwenden möchten, müssen Sie eine Verbindung zwischen dem virtuellen Netzwerk und der privaten DNS-Zone einrichten.

  1. Navigieren Sie im Azure-Portalzu Ihrer Knotenressourcengruppe, und wählen Sie Ihre Ressource für die private DNS-Zone aus.
  2. Wählen Sie im Dienstmenü unter DNS-Verwaltung die Option VNet-Verknüpfungen>Hinzufügen aus.
  3. Konfigurieren Sie auf der Seite VNet-Verknüpfung hinzufügen die folgenden Einstellungen:
    • Verknüpfungsname: Geben Sie einen Namen für die VNet-Verknüpfung ein.
    • Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk aus, das die VM enthält.
  4. Wählen Sie Erstellen aus, um die VNet-Verknüpfung zu erstellen.
  5. Navigieren Sie zu der Ressourcengruppe mit dem virtuellen Netzwerk Ihres Clusters, und wählen Sie Ihre VNet-Ressource aus.
  6. Wählen Sie im Dienstmenü unter Einstellungen die Option Peerings>Hinzufügen aus.
  7. Konfigurieren Sie auf der Seite Peering hinzufügen die folgenden Einstellungen:
    • Name des Peeringlinks: Geben Sie einen Namen für den Peeringlink ein.
    • Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk der VM aus.
  8. Wählen Sie Hinzufügen aus, um den Peeringlink zu erstellen.

Weitere Informationen finden Sie unter Peering in virtuellen Netzwerken.

Hub-and-Spoke mit benutzerdefiniertem DNS

Hub-and-Spoke-Architekturen werden in Azure häufig für die Bereitstellung von Netzwerken verwendet. In vielen dieser Bereitstellungen sind die DNS-Einstellungen in den Spoke-VNets so konfiguriert, dass sie auf eine zentrale DNS-Weiterleitung verweisen, um eine lokale und Azure-basierte DNS-Auflösung zu ermöglichen.

Hub-and-Spoke für privaten Cluster

Beim Bereitstellen eines AKS-Clusters in einer solchen Netzwerkumgebung gibt es einige besondere Überlegungen:

  • Wenn ein privater Cluster bereitgestellt wird, werden standardmäßig ein privater Endpunkt (1) und eine private DNS-Zone (2) in der vom Cluster verwalteten Ressourcengruppe erstellt. Der Cluster verwendet einen A-Eintrag in der privaten Zone, um die IP-Adresse des privaten Endpunkts für die Kommunikation mit dem API-Server aufzulösen.
  • Die private DNS-Zone ist nur mit dem virtuellen Netzwerk verbunden, an das die Clusterknoten angefügt sind (3). Dies bedeutet, dass der private Endpunkt nur von Hosts in diesem verknüpften virtuellen Netzwerk aufgelöst werden kann. In Szenarien, in denen im VNet kein benutzerdefiniertes DNS konfiguriert ist (Standardkonfiguration), funktioniert dies problemlos, da die Hosts auf 168.63.129.16 für das DNS verweisen, das Einträge in der privaten DNS-Zone aufgrund der Verknüpfung auflösen kann.
  • In Szenarien, in denen das virtuelle Netzwerk, das Ihren Cluster enthält, über benutzerdefinierte DNS-Einstellungen verfügt (4), schlägt die Clusterbereitstellung fehl, es sei denn, die private DNS-Zone ist mit dem virtuellen Netzwerk verknüpft, das die benutzerdefinierten DNS-Auflösungen enthält (5). Diese Verknüpfung kann manuell erstellt werden, nachdem die private Zone während der Clusterbereitstellung erstellt wurde, oder über die Automatisierung bei Erkennung der Erstellung der Zone mithilfe von ereignisbasierten Bereitstellungsmechanismen (z. B. Azure Event Grid und Azure Functions). Um Clusterfehler während der anfänglichen Bereitstellung zu vermeiden, kann der Cluster mit der Ressourcen-ID der privaten DNS-Zone bereitgestellt werden. Das funktioniert nur mit Ressourcentyp „Microsoft.ContainerService/managedCluster“ und API-Version 2022-07-01. Die Verwendung einer älteren Version mit einer ARM-Vorlage oder Bicep-Ressourcendefinition wird nicht unterstützt.

Hinweis

Die bedingte Weiterleitung unterstützt keine Unterdomänen.

Hinweis

Wenn Sie Bring Your Own Route Table with kubenet (Verwenden einer eigenen Routingtabelle mit kubenet) und Bring Your Own DNS with Private Cluster (Verwenden eines eigenen DNS-Servers mit Private Cluster) verwenden, tritt bei der Clustererstellung ein Fehler auf. Nach dem Fehler bei der Clustererstellung müssen Sie dem Subnetz die RouteTable in der Knotenressourcengruppe zuordnen, damit die Erstellung erfolgreich ist.

Verwenden einer privaten Endpunktverbindung

Ein privater Endpunkt kann so eingerichtet werden, dass ein VNet nicht überwacht werden muss, um mit dem privaten Cluster zu kommunizieren. Erstellen Sie einen neuen privaten Endpunkt im virtuellen Netzwerk, das die verarbeiteten Ressourcen enthält, und erstellen Sie dann eine Verbindung zwischen Ihrem virtuellen Netzwerk und einer neuen privaten DNS-Zone im selben Netzwerk.

Wichtig

Wenn das virtuelle Netzwerk mit benutzerdefinierten DNS-Servern konfiguriert ist, muss das private DNS für die Umgebung entsprechend eingerichtet werden. Weitere Einzelheiten finden Sie in der Dokumentation zur Namensauflösung für virtuelle Netze.

Privaten Endpunktressource erstellen

Erstellen Sie eine private Endpunktressource in Ihrem VNet:

  1. Wählen Sie auf der Startseite des Azure-Portals die Option Ressource erstellen aus.
  2. Suchen Sie nach Privater Endpunkt, und wählen Sie Erstellen>Privater Endpunkt aus.
  3. Klicken Sie auf Erstellen.
  4. Konfigurieren Sie auf der Registerkarte Grundlegende Einstellungen die folgenden Einstellungen:
    • Projektdetails
      • Abonnement: Wählen Sie das Abonnement aus, in dem sich Ihr privater Cluster befindet.
      • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, die Ihr virtuelles Netzwerk enthält.
    • Instanzendetails
      • Name: Geben Sie einen Namen für den privaten Endpunkt ein, z. B. myPrivateEndpoint.
      • Region: Wählen Sie dieselbe Region aus, in der sich auch das virtuelle Netzwerk befindet.
  5. Wählen Sie Weiter: Ressource aus, und konfigurieren Sie die folgenden Einstellungen:
    • Verbindungsmethode: Wählen Sie die Option Verbindung mit einer Azure-Ressource in meinem Verzeichnis herstellen aus.
    • Abonnement: Wählen Sie das Abonnement aus, in dem sich Ihr privater Cluster befindet.
    • Ressourcentyp: Wählen Sie Microsoft.ContainerService/managedClusters aus.
    • Ressource: Wählen Sie Ihren privaten Cluster aus.
    • Untergeordnete Zielressource: Wählen Sie Verwaltung aus.
  6. Wählen Sie Weiter: Virtuelles Netzwerk aus, und konfigurieren Sie die folgenden Einstellungen:
    • Netzwerk
      • Virtuelles Netzwerk: Wählen Sie Ihr virtuelles Netzwerk aus.
      • Subnetz: Wählen Sie ihr Subnetz aus.
  7. Wählen Sie Weiter: DNS>Weiter: Tags aus, und richten Sie (optional) Schlüsselwerte nach Bedarf ein.
  8. Wählen Sie Weiter: Überprüfen + erstellen>Erstellen aus.

Nachdem die Ressource erstellt wurde, notieren Sie die private IP-Adresse des privaten Endpunkts für die zukünftige Verwendung.

Erstellen einer privaten DNS-Zone

Nachdem Sie den privaten Endpunkt erstellt haben, erstellen Sie eine neue Privates DNS-Zone mit demselben Namen wie die Privates DNS-Zone, die vom privaten Cluster erstellt wurde. Denken Sie daran, diese DNS-Zone im VNet zu erstellen, das die verbrauchten Ressourcen enthält.

  1. Navigieren Sie im Azure-Portal zu Ihrer Knotenressourcengruppe, und wählen Sie Ihre Ressource für die private DNS-Zone aus.
  2. Wählen Sie im Dienstmenü unter DNS-Verwaltung die Option Recordsets aus, und notieren Sie Folgendes:
    • Der Name der privaten DNS-Zone, der dem Muster „*.privatelink.<region>.azmk8s.io“ folgt.
    • Der Name des A-Eintrags (ohne den privaten DNS-Namen).
    • Die Gültigkeitsdauer (Time To Live, TTL).
  3. Wählen Sie auf der Startseite des Azure-Portals die Option Ressource erstellen aus.
  4. Suchen Sie nach Private DNS-Zone, und wählen Sie Erstellen >Private DNS-Zone aus.
  5. Konfigurieren Sie auf der Registerkarte Grundlegende Einstellungen die folgenden Einstellungen:
    • Projektdetails:
      • Wählen Sie Ihr Abonnement aus.
      • Wählen Sie die Ressourcengruppe aus, in der Sie den privaten Endpunkt erstellt haben.
    • Instanzendetails
      • Name: Geben Sie den Namen der DNS-Zone ein, die Sie in den vorherigen Schritten abgerufen haben.
      • Region ist standardmäßig auf den Speicherort Ihrer Ressourcengruppe festgelegt.
  6. Wählen Sie Bewerten + erstellen>Erstellen aus.

Erstellen eines A-Eintrags

Nachdem die private DNS-Zone erstellt wurde, erstellen Sie einen A-Datensatz, der den privaten Endpunkt dem privaten Cluster ordnet:

  1. Wechseln Sie zu der in den vorherigen Schritten erstellten privaten DNS-Zone.
  2. Wählen Sie im Dienstmenü unter DNS-Verwaltung die Option Recordsets>Hinzufügen aus.
  3. Konfigurieren Sie auf der Seite Recordset hinzufügen die folgenden Einstellungen:
    • Name: Geben Sie den Namen ein, den Sie aus dem A-Eintrag in der DNS-Zone des privaten Clusters abgerufen haben.
    • Typ: Wählen Sie A – Adressdatensatz aus.
    • TTL: Geben Sie die Nummer aus dem A-Datensatz in der DNS-Zone des privaten Clusters ein.
    • TTL-Einheit: Ändern Sie den Dropdown-Wert so, dass er dem im A-Eintrag aus der DNS-Zone des privaten Clusters entspricht.
    • IP-Adresse: Geben Sie die IP-Adresse des privaten Endpunkts, den Sie erstellt haben, ein.
  4. Wählen Sie Hinzufügen aus, um den A-Eintrag zu erstellen:

Wichtig

Verwenden Sie beim Erstellen des A-Eintrags nur den Namen und nicht den vollständig qualifizierten Domänennamen (FQDN).

Sobald der A-Eintrag erstellt ist, verknüpfen Sie die private DNS-Zone mit dem virtuellen Netzwerk, das auf den privaten Cluster zugreifen wird:

  1. Wechseln Sie zu der in den vorherigen Schritten erstellten privaten DNS-Zone.
  2. Wählen Sie im Dienstmenü unter DNS-Verwaltung die Option VNet-Verknüpfungen>Hinzufügen aus.
  3. Konfigurieren Sie auf der Seite VNet-Verknüpfung hinzufügen die folgenden Einstellungen:
    • Linkname: Geben Sie einen Namen für Ihren virtuellen Netzwerklink ein.
    • Abonnement: Wählen Sie das Abonnement aus, in dem sich Ihr privater Cluster befindet.
    • Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk Ihres privaten Clusters aus.
  4. Wählen Sie Erstellen aus, um die Verknüpfung zu erstellen.

Es kann einige Minuten dauern, bis der Vorgang abgeschlossen ist. Nachdem die VNet-Verknüpfung erstellt wurde, können Sie über die Registerkarte VNet-Verknüpfungen, die Sie in Schritt 2 verwendet haben, auf sie zugreifen.

Warnung

  • Wenn der private Cluster angehalten und neu gestartet wird, wird der ursprüngliche private Link-Dienst des privaten Clusters entfernt und neu erstellt, wodurch die Verbindung zwischen Ihrem privaten Endpunkt und dem privaten Cluster unterbrochen wird. Um dieses Problem zu beheben, löschen Sie alle vom Benutzer erstellten privaten Endpunkte, die mit dem privaten Cluster verknüpft sind, und erstellen Sie sie neu. Wenn die neu erstellten privaten Endpunkte über neue IP-Adressen verfügen, müssen Sie auch die DNS-Einträge aktualisieren.
  • Wenn Sie die DNS-Einträge in der privaten DNS-Zone aktualisieren, stellen Sie sicher, dass der Host, von dem aus eine Verbindung hergestellt werden soll, die aktualisierten DNS-Einträge verwendet. Sie können dies mithilfe des nslookup-Befehls überprüfen. Wenn Sie feststellen, dass die Updates nicht in der Ausgabe widergespiegelt werden, müssen Sie möglicherweise den DNS-Cache auf Ihrem Computer leeren und es erneut versuchen.

Nächste Schritte

Entsprechende bewährte Methoden finden Sie unter Best Practices für Netzwerkkonnektivität und Sicherheit in AKS.