Az Azure Arc által engedélyezett proxykiszolgáló-beállítások az AKS-ben
A következőkre vonatkozik: AKS az Azure Stack HCI 22H2-n, AKS Windows Serveren
Ez a cikk az Azure Arc által engedélyezett AKS proxybeállításainak konfigurálását ismerteti. Ha a hálózat proxykiszolgálót használ az internethez való csatlakozáshoz, ez a cikk végigvezeti a proxytámogatás AKS-ben az AksHci PowerShell-modullal történő beállításának lépésein. A lépések eltérnek attól függően, hogy a proxykiszolgáló hitelesítést igényel-e.
Megjegyzés
Ha a Kubernetes-t és az Azure-szolgáltatásokat az Azure Arc használatával szeretné használni, adja hozzá a Meglévő Kubernetes-fürt csatlakoztatása az Azure Archoz című témakörben szereplő URL-címeket is az engedélyezési listához.
Miután konfigurálta az üzembe helyezést a következő beállításokkal, telepíthet egy AKS-gazdagépet az Azure Stack HCI-n , és Létrehozhat Kubernetes-fürtöket a PowerShell használatával.
Előkészületek
Győződjön meg arról, hogy teljesítette a rendszerkövetelmények összes előfeltételét.
Proxykiszolgáló konfigurációs adatai
Az AKS-telepítés proxykiszolgáló-konfigurációja a következő beállításokat tartalmazza:
- HTTP URL-cím és port, például
http://proxy.corp.contoso.com:8080
: . - HTTPS URL-cím és port, például
https://proxy.corp.contoso.com:8443
: . - (Nem kötelező) Érvényes hitelesítő adatok a proxykiszolgálón történő hitelesítéshez.
- (Nem kötelező) Érvényes tanúsítványlánc, ha a proxykiszolgáló úgy van konfigurálva, hogy elfogja az SSL-forgalmat. Ezt a tanúsítványláncot a rendszer importálja az összes AKS-vezérlősíkba és munkavégző csomópontba, valamint a felügyeleti fürtbe, hogy megbízható kapcsolatot létesítsen a proxykiszolgálóval.
Kizárási lista a privát alhálózatok proxynak való küldésének kizárásához
Az alábbi táblázat azokat a címeket tartalmazza, amelyeket a paraméterrel ki kell zárniaNew-AksHciProxySetting
.-noProxy
IP-cím | A kizárás oka |
---|---|
localhost , 127.0.0.1 |
Localhost-forgalom |
.svc |
Belső Kubernetes-szolgáltatás forgalma, ahol .svc helyettesítő karakternevet jelöl. Ez hasonló a kimondásához *.svc , de ebben a sémában nincs használatban. |
10.0.0.0/8 |
Magánhálózati címtér. |
172.16.0.0/12 |
Magánhálózati címtér – Kubernetes service CIDR. |
192.168.0.0/16 |
Privát hálózati címtér – Kubernetes-pod CIDR. |
.contoso.com`` | You might want to exempt your enterprise namespace (.contoso.com) from being directed through the proxy. To exclude all addresses in a domain, you must add the domain to the noProxy.contoso.comlist. Use a leading period rather than a wildcard (\*) character. In the example, the addresses excludes addresses prefix1.contoso.com, prefix2.contoso.com" stb. |
A alapértelmezett értéke noProxy
a következő: localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
. Bár ezek az alapértelmezett értékek számos hálózat esetében működnek, előfordulhat, hogy további alhálózati tartományokat és/vagy neveket kell hozzáadnia a kivétellistához. Előfordulhat például, hogy fel szeretné venni a vállalati névteret (.contoso.com) a proxyn keresztüli irányítása alól. Ezt a listában szereplő noProxy
értékek megadásával érheti el.
Proxy beállítása az Azure Stack HCI- és Windows Server-fürtökhöz gépi szintű proxybeállításokkal
Ha már rendelkezik gépszintű proxybeállításokkal az Azure Stack HCI-/Windows Server-fürtön, a beállítások felülbírálhatják az AKS-specifikus proxybeállításokat, és a telepítés során hibához vezethetnek.
Annak megállapításához, hogy rendelkezik-e gépi szintű proxybeállításokkal, futtassa a következő szkriptet az egyes fizikai fürtcsomópontokon:
$http_proxy = [System.Environment]::GetEnvironmentVariable("HTTP_PROXY", "Machine")
$https_proxy = [System.Environment]::GetEnvironmentVariable("HTTPS_PROXY", "Machine")
$no_proxy = [System.Environment]::GetEnvironmentVariable("NO_PROXY", "Machine")
if ($http_proxy -or $https_proxy) {
if (-not $no_proxy) {
Write-Host "Problem Detected! A machine-wide proxy server is configured, but no proxy exclusions are configured"
}
}
Konfigurálja a teljes gépre kiterjedő proxykivételeket azon fizikai fürt gazdagépeken, ahol a problémát észlelték.
Futtassa a következő PowerShell-szkriptet, és cserélje le a $no_proxy
paramétersztringet a környezetének megfelelő NO_PROXY
kizárási sztringre. A környezethez tartozó lista helyes konfigurálásával noProxy
kapcsolatos információkért lásd: Kizárási lista a privát alhálózatok proxyra való küldésének kizárásáról.
$no_proxy = "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com"
[Environment]::SetEnvironmentVariable("NO_PROXY", $no_proxy, "Machine")
$env:NO_PROXY = [System.Environment]::GetEnvironmentVariable("NO_PROXY", "Machine")
Megjegyzés
Javasoljuk, hogy ugyanazokat a proxybeállításokat használja a feladatátvevő fürt összes csomópontján. Ha a feladatátvevő fürt különböző fizikai csomópontjain eltérő proxybeállítások vannak, az váratlan eredményekhez vagy telepítési problémákhoz vezethet. Emellett egy helyettesítő karaktert (*) tartalmazó IP-cím, például 172.*, érvénytelen. Az IP-címnek megfelelő CIDR-jelölésben kell lennie (172.0.0.0/8).
Az AksHci PowerShell-modulok telepítése
Konfigurálja a rendszerproxy beállításait a fürt minden fizikai csomópontján, és győződjön meg arról, hogy minden csomópont hozzáfér a rendszerkövetelményekben ismertetett URL-címekhez és portokhoz.
Ha távoli PowerShellt használ, a CredSSP-t kell használnia.
Zárja be az összes megnyitott PowerShell-ablakot a következő parancs futtatása előtt:
Install-Module -Name AksHci -Repository PSGallery
Ha a környezet proxykiszolgálót használ az internet eléréséhez, előfordulhat, hogy az AKS telepítése előtt proxyparamétereket kell hozzáadnia az Install-Module parancshoz. Részletekért tekintse meg az Install-Module dokumentációját , és kövesse az Azure Stack HCI dokumentációját a proxybeállítások fizikai fürtcsomópontokon való konfigurálásához.
Az AksHci PowerShell-modul letöltésekor az AKS-gazdagép azure-beli regisztrációjához szükséges Az PowerShell-modulokat is letöltjük számlázás céljából.
AKS-gazdagép konfigurálása proxykiszolgálóhoz alapszintű hitelesítéssel
Ha a proxykiszolgáló hitelesítést igényel, nyissa meg a PowerShellt rendszergazdaként, és futtassa a következő parancsot a hitelesítő adatok lekéréséhez és a konfigurációs adatok megadásához:
$proxyCred = Get-Credential
$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com -credential $proxyCredential
AKS-gazdagép konfigurálása hitelesítés nélküli proxykiszolgálóhoz
Ha a proxykiszolgáló nem igényel hitelesítést, futtassa a következő parancsot:
$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com
AKS-gazdagép konfigurálása megbízható tanúsítvánnyal rendelkező proxykiszolgálóhoz
Ha a proxykiszolgáló megköveteli, hogy a proxyügyfelek megbízzanak egy tanúsítványban, a futtatásakor Set-AksHciConfig
adja meg a tanúsítványfájlt. A tanúsítványfájl formátuma Base-64 kódolású X .509. Ez lehetővé teszi a tanúsítvány létrehozását és megbízhatóságát az egész veremben.
Fontos
Ha a proxy megköveteli, hogy a fizikai Azure Stack HCI-csomópontok megbízható tanúsítványt adjanak meg, a folytatás előtt mindenképpen importálja a tanúsítványláncot a megfelelő tanúsítványtárolóba az egyes Azure Stack HCI-csomópontokon. Kövesse az üzembe helyezésre vonatkozó eljárásokat az Azure Stack HCI-csomópontok proxyhitelesítéshez szükséges tanúsítványokkal való regisztrálásához.
$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com -credential $proxyCredential
Megjegyzés
A proxytanúsítványokat személyes adatcsere (PFX) fájlformátumként vagy sztringként kell megadni, és tartalmazniuk kell a legfelső szintű szolgáltatói láncot a tanúsítvány hitelesítéshez vagy SSL-alagút beállításához való használatához.
Következő lépések
Most folytathatja az AKS telepítését az Azure Stack HCI- vagy Windows Server-fürtön a következő futtatásával Set-AksHciConfig
Install-AksHci
: .
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: