Megosztás a következőn keresztül:

Az Azure Arc által engedélyezett proxykiszolgáló-beállítások az AKS-ben

  • Cikk

A következőkre vonatkozik: AKS az Azure Stack HCI 22H2-n, AKS Windows Serveren

Ez a cikk az Azure Arc által engedélyezett AKS proxybeállításainak konfigurálását ismerteti. Ha a hálózat proxykiszolgálót használ az internethez való csatlakozáshoz, ez a cikk végigvezeti a proxytámogatás AKS-ben az AksHci PowerShell-modullal történő beállításának lépésein. A lépések eltérnek attól függően, hogy a proxykiszolgáló hitelesítést igényel-e.

Megjegyzés

Ha a Kubernetes-t és az Azure-szolgáltatásokat az Azure Arc használatával szeretné használni, adja hozzá a Meglévő Kubernetes-fürt csatlakoztatása az Azure Archoz című témakörben szereplő URL-címeket is az engedélyezési listához.

Miután konfigurálta az üzembe helyezést a következő beállításokkal, telepíthet egy AKS-gazdagépet az Azure Stack HCI-n , és Létrehozhat Kubernetes-fürtöket a PowerShell használatával.

Előkészületek

Győződjön meg arról, hogy teljesítette a rendszerkövetelmények összes előfeltételét.

Proxykiszolgáló konfigurációs adatai

Az AKS-telepítés proxykiszolgáló-konfigurációja a következő beállításokat tartalmazza:

  • HTTP URL-cím és port, például http://proxy.corp.contoso.com:8080: .
  • HTTPS URL-cím és port, például https://proxy.corp.contoso.com:8443: .
  • (Nem kötelező) Érvényes hitelesítő adatok a proxykiszolgálón történő hitelesítéshez.
  • (Nem kötelező) Érvényes tanúsítványlánc, ha a proxykiszolgáló úgy van konfigurálva, hogy elfogja az SSL-forgalmat. Ezt a tanúsítványláncot a rendszer importálja az összes AKS-vezérlősíkba és munkavégző csomópontba, valamint a felügyeleti fürtbe, hogy megbízható kapcsolatot létesítsen a proxykiszolgálóval.

Kizárási lista a privát alhálózatok proxynak való küldésének kizárásához

Az alábbi táblázat azokat a címeket tartalmazza, amelyeket a paraméterrel ki kell zárniaNew-AksHciProxySetting.-noProxy

IP-cím A kizárás oka
localhost, 127.0.0.1 Localhost-forgalom
.svc Belső Kubernetes-szolgáltatás forgalma, ahol .svc helyettesítő karakternevet jelöl. Ez hasonló a kimondásához *.svc, de ebben a sémában nincs használatban.
10.0.0.0/8 Magánhálózati címtér.
172.16.0.0/12 Magánhálózati címtér – Kubernetes service CIDR.
192.168.0.0/16 Privát hálózati címtér – Kubernetes-pod CIDR.
.contoso.com`` | You might want to exempt your enterprise namespace (.contoso.com) from being directed through the proxy. To exclude all addresses in a domain, you must add the domain to the noProxy.contoso.comlist. Use a leading period rather than a wildcard (\*) character. In the example, the addressesexcludes addresses prefix1.contoso.com, prefix2.contoso.com" stb.

A alapértelmezett értéke noProxy a következő: localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. Bár ezek az alapértelmezett értékek számos hálózat esetében működnek, előfordulhat, hogy további alhálózati tartományokat és/vagy neveket kell hozzáadnia a kivétellistához. Előfordulhat például, hogy fel szeretné venni a vállalati névteret (.contoso.com) a proxyn keresztüli irányítása alól. Ezt a listában szereplő noProxy értékek megadásával érheti el.

Proxy beállítása az Azure Stack HCI- és Windows Server-fürtökhöz gépi szintű proxybeállításokkal

Ha már rendelkezik gépszintű proxybeállításokkal az Azure Stack HCI-/Windows Server-fürtön, a beállítások felülbírálhatják az AKS-specifikus proxybeállításokat, és a telepítés során hibához vezethetnek.

Annak megállapításához, hogy rendelkezik-e gépi szintű proxybeállításokkal, futtassa a következő szkriptet az egyes fizikai fürtcsomópontokon:

$http_proxy = [System.Environment]::GetEnvironmentVariable("HTTP_PROXY", "Machine")
$https_proxy = [System.Environment]::GetEnvironmentVariable("HTTPS_PROXY", "Machine")
$no_proxy = [System.Environment]::GetEnvironmentVariable("NO_PROXY", "Machine")

if ($http_proxy -or $https_proxy) {
    if (-not $no_proxy) {
        Write-Host "Problem Detected! A machine-wide proxy server is configured, but no proxy exclusions are configured"
    }
}

Konfigurálja a teljes gépre kiterjedő proxykivételeket azon fizikai fürt gazdagépeken, ahol a problémát észlelték.

Futtassa a következő PowerShell-szkriptet, és cserélje le a $no_proxy paramétersztringet a környezetének megfelelő NO_PROXY kizárási sztringre. A környezethez tartozó lista helyes konfigurálásával noProxy kapcsolatos információkért lásd: Kizárási lista a privát alhálózatok proxyra való küldésének kizárásáról.

$no_proxy = "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com"
[Environment]::SetEnvironmentVariable("NO_PROXY", $no_proxy, "Machine")
$env:NO_PROXY = [System.Environment]::GetEnvironmentVariable("NO_PROXY", "Machine")

Megjegyzés

Javasoljuk, hogy ugyanazokat a proxybeállításokat használja a feladatátvevő fürt összes csomópontján. Ha a feladatátvevő fürt különböző fizikai csomópontjain eltérő proxybeállítások vannak, az váratlan eredményekhez vagy telepítési problémákhoz vezethet. Emellett egy helyettesítő karaktert (*) tartalmazó IP-cím, például 172.*, érvénytelen. Az IP-címnek megfelelő CIDR-jelölésben kell lennie (172.0.0.0/8).

Az AksHci PowerShell-modulok telepítése

Konfigurálja a rendszerproxy beállításait a fürt minden fizikai csomópontján, és győződjön meg arról, hogy minden csomópont hozzáfér a rendszerkövetelményekben ismertetett URL-címekhez és portokhoz.

Ha távoli PowerShellt használ, a CredSSP-t kell használnia.

Zárja be az összes megnyitott PowerShell-ablakot a következő parancs futtatása előtt:

Install-Module -Name AksHci -Repository PSGallery

Ha a környezet proxykiszolgálót használ az internet eléréséhez, előfordulhat, hogy az AKS telepítése előtt proxyparamétereket kell hozzáadnia az Install-Module parancshoz. Részletekért tekintse meg az Install-Module dokumentációját , és kövesse az Azure Stack HCI dokumentációját a proxybeállítások fizikai fürtcsomópontokon való konfigurálásához.

Az AksHci PowerShell-modul letöltésekor az AKS-gazdagép azure-beli regisztrációjához szükséges Az PowerShell-modulokat is letöltjük számlázás céljából.

AKS-gazdagép konfigurálása proxykiszolgálóhoz alapszintű hitelesítéssel

Ha a proxykiszolgáló hitelesítést igényel, nyissa meg a PowerShellt rendszergazdaként, és futtassa a következő parancsot a hitelesítő adatok lekéréséhez és a konfigurációs adatok megadásához:

$proxyCred = Get-Credential
$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com -credential $proxyCredential

AKS-gazdagép konfigurálása hitelesítés nélküli proxykiszolgálóhoz

Ha a proxykiszolgáló nem igényel hitelesítést, futtassa a következő parancsot:

$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com

AKS-gazdagép konfigurálása megbízható tanúsítvánnyal rendelkező proxykiszolgálóhoz

Ha a proxykiszolgáló megköveteli, hogy a proxyügyfelek megbízzanak egy tanúsítványban, a futtatásakor Set-AksHciConfigadja meg a tanúsítványfájlt. A tanúsítványfájl formátuma Base-64 kódolású X .509. Ez lehetővé teszi a tanúsítvány létrehozását és megbízhatóságát az egész veremben.

Fontos

Ha a proxy megköveteli, hogy a fizikai Azure Stack HCI-csomópontok megbízható tanúsítványt adjanak meg, a folytatás előtt mindenképpen importálja a tanúsítványláncot a megfelelő tanúsítványtárolóba az egyes Azure Stack HCI-csomópontokon. Kövesse az üzembe helyezésre vonatkozó eljárásokat az Azure Stack HCI-csomópontok proxyhitelesítéshez szükséges tanúsítványokkal való regisztrálásához.

$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com -credential $proxyCredential

Megjegyzés

A proxytanúsítványokat személyes adatcsere (PFX) fájlformátumként vagy sztringként kell megadni, és tartalmazniuk kell a legfelső szintű szolgáltatói láncot a tanúsítvány hitelesítéshez vagy SSL-alagút beállításához való használatához.

Következő lépések

Most folytathatja az AKS telepítését az Azure Stack HCI- vagy Windows Server-fürtön a következő futtatásával Set-AksHciConfigInstall-AksHci: .