Megosztás a következőn keresztül:

Privát Azure Kubernetes Service- (AKS-) fürt létrehozása

Ez a cikk segítséget nyújt egy privát kapcsolat alapú AKS-fürt üzembe helyezéséhez. Ha szükséges privát kapcsolat vagy alagút nélkül szeretne AKS-fürtöt létrehozni, olvassa el az Azure Kubernetes Service-fürt létrehozása API Server VNet-integrációval című témakört.

Áttekintés

Magánklaszterekben a vezérlősík vagy az API-kiszolgáló az RFC1918 – Címek kiosztása privát internethasználatra dokumentumban meghatározott belső IP-címeket használ. Privát fürt használatával biztosíthatja, hogy az API-kiszolgáló és a csomópontkészletek közötti hálózati forgalom csak a magánhálózaton maradjon.

A vezérlősík vagy az API-kiszolgáló egy AKS által felügyelt Azure-erőforráscsoportban található, a fürt vagy a csomópontkészlet pedig az erőforráscsoportban található. A kiszolgáló és a fürt vagy a csomópontkészlet az Azure Private Link szolgáltatáson keresztül kommunikálhat egymással az API-kiszolgáló virtuális hálózatában, valamint egy privát végponton keresztül, amely az AKS-fürt alhálózatán érhető el.

Privát AKS-fürt kiépítésekor az AKS alapértelmezésben létrehoz egy privát tartománynevet egy privát DNS-zónával és egy további nyilvános tartománynevet egy megfelelő A bejegyzéssel az Azure nyilvános DNS-ben. Az ügynökcsomópontok továbbra is a A privát DNS-zónában lévő rekordot használják a privát végpont privát IP-címének feloldásához az API-kiszolgálóval való kommunikációhoz.

Régiónkénti elérhetőség

A privát fürtök nyilvános régiókban, az Azure Governmentben és a Microsoft Azure-ban érhetők el, amelyeket 21Vianet-régiók üzemeltetnek, ahol az AKS támogatott.

Előfeltételek

  • Az Azure CLI 2.28.0-s vagy újabb verziója. Futtassa a az --version parancsot a verzió megállapításához, és futtassa a az upgrade parancsot a verzió frissítéséhez. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.
  • Ha az Azure Resource Managert (ARM) vagy az Azure REST API-t használja, az AKS API-verziónak 2021-05-01-es vagy újabbnak kell lennie.
  • Egyéni DNS-kiszolgáló használatához adja hozzá az Azure 168.63.129.16 nyilvános IP-címét az egyéni DNS-kiszolgáló felsőbb rétegbeli DNS-kiszolgálójaként, és győződjön meg arról, hogy ezt a nyilvános IP-címet adja hozzá első DNS-kiszolgálóként. További információ az Azure IP-címéről: Mi az IP-cím 168.63.129.16?
    • A fürt DNS-zónáját a 168.63.129.16-ra kell továbbítanod. A zónanevekről az Azure-szolgáltatások DNS-zónakonfigurációjában talál további információt.
  • Az API Server VNet-integrációval engedélyezett meglévő AKS-fürtökön engedélyezhető a privát fürtmód. További információt az API Server VNet-integrációval rendelkező meglévő fürtök privát fürtmódjának engedélyezése vagy letiltása című témakörben talál.

Fontos

2025. november 30-tól az AKS többé nem támogatja vagy nem biztosítja az Azure Linux 2.0 biztonsági frissítéseit. 2026. március 31-től a rendszer eltávolítja a csomópontrendszerképeket, és nem tudja skálázni a csomópontkészleteket. Migrálás támogatott Azure Linux-verzióra a csomópontkészletek támogatott Kubernetes-verzióra való frissítésével vagy áttelepítésével osSku AzureLinux3. További információ: [Retirement] Azure Linux 2.0 csomópontkészletek az AKS-en.

Korlátozások

  • Az ENGEDÉLYEZETT IP-tartományok nem alkalmazhatók a privát API-kiszolgálóvégpontra, csak a nyilvános API-kiszolgálóra vonatkoznak.
  • Az Azure Private Link szolgáltatás korlátozásai a privát fürtökre vonatkoznak.
  • Nincs támogatás az Azure DevOps Microsoft által üzemeltetett ügynökei számára magánfürtök esetében. Fontolja meg a saját üzemeltetésű ügynökök használatát.
  • Ha engedélyeznie kell az Azure Container Registryt egy privát AKS-fürttel való együttműködéshez, állítson be egy privát kapcsolatot a tárolóregisztrációs adatbázishoz a fürt virtuális hálózatában, vagy állítson be társviszonyt a tárolóregisztrációs adatbázis virtuális hálózata és a privát fürt virtuális hálózata között.
  • Ha törli vagy módosítja az ügyfél-alhálózat privát végpontját, az a fürt működésének leállását okozza.
  • Az Azure Private Link szolgáltatást csak a Standard Azure Load Balancer támogatja. Az alapszintű Azure Load Balancer nem támogatott.

Privát AKS-fürt létrehozása

  1. Hozzon létre egy erőforráscsoportot a az group create paranccsal. Az AKS-fürthöz egy meglévő erőforráscsoportot is használhat.

    az group create \
    --name <private-cluster-resource-group> \
    --location <location>

  2. Hozzon létre egy privát fürtöt alapértelmezett alapszintű hálózatkezeléssel a az aks create paranccsal és a --enable-private-cluster jelölővel.

    az aks create \
    --name <private-cluster-name> \
    --resource-group <private-cluster-resource-group> \
    --load-balancer-sku standard \
    --enable-private-cluster \
    --generate-ssh-keys

Csatlakozás a privát klaszterhez

Kubernetes-fürt kezeléséhez használja a Kubernetes parancssori eszközt, a kubectl-et. kubectl az Azure Cloud Shell használata esetén már telepítve van. A kubectl helyi telepítéséhez használja a az aks install-cli parancsot.

  1. Konfigurálja a kubectl-t, hogy csatlakozzon a Kubernetes-fürthöz a az aks get-credentials paranccsal. Ez a parancs letölti a hitelesítő adatokat, és konfigurálja a Kubernetes parancssori felületét a használatukhoz.

    az aks get-credentials --resource-group <private-cluster-resource-group> --name <private-cluster-name>

  2. Ellenőrizze a clusterhez való kapcsolatot a kubectl get paranccsal. Ez a parancs a fürtcsomópontok listáját adja vissza.

    kubectl get nodes

Egyéni tartományok használata

Ha olyan egyéni tartományokat szeretne konfigurálni, amelyek csak belsőleg oldhatók fel, olvassa el az Egyéni tartományok használata című témakört.

Nyilvános FQDN letiltása

Új fürtben egy nyilvános teljes tartománynév letiltása

  • Privát AKS-fürt létrehozásakor tiltsd le a nyilvános teljes tartománynevet a az aks create paranccsal és a --disable-public-fqdn jelzővel.

    az aks create \
    --name <private-cluster-name> \
    --resource-group <private-cluster-resource-group> \
    --load-balancer-sku standard \
    --enable-private-cluster \
    --assign-identity <resourceID> \
    --private-dns-zone <private-dns-zone-mode> \
    --disable-public-fqdn \
    --generate-ssh-keys

A nyilvános FQDN letiltása a meglévő fürtön

  • Kapcsolja ki egy nyilvános FQDN-t egy meglévő AKS-fürtön a az aks update parancs --disable-public-fqdn kapcsolójával.

    az aks update \
    --name <private-cluster-name> \
    --resource-group <private-cluster-resource-group> \
    --disable-public-fqdn

Privát DNS-zóna konfigurálása

A privát DNS-zónákat a következő paraméterekkel konfigurálhatja:

  • system: Ez az alapértelmezett érték. Ha a --private-dns-zone argumentum nincs megadva, az AKS létrehoz egy privát DNS-zónát a csomópont erőforráscsoportjában.
  • none: Az alapértelmezett a nyilvános DNS. Az AKS nem hoz létre privát DNS-zónát.
  • CUSTOM_PRIVATE_DNS_ZONE_RESOURCE_ID: Ehhez létre kell hoznia egy privát DNS-zónát a következő formátumban az Azure globális felhőhöz: privatelink.<region>.azmk8s.io vagy <subzone>.privatelink.<region>.azmk8s.io. A jövőbeni használathoz szüksége lesz a privát DNS-zóna erőforrás-azonosítójára. Szüksége van egy felhasználó által hozzárendelt identitásra vagy szolgáltatásnévre is, amely rendelkezik a saját DNS zóna közreműködői és hálózati közreműködői szerepkörével. Az API-kiszolgáló VNet integrációval történő üzembe helyezésekor a privát DNS-zóna támogatja az private.<region>.azmk8s.io vagy <subzone>.private.<region>.azmk8s.io elnevezési formátumot. A klaszter létrehozását követően nem módosíthatja vagy törölheti ezt az erőforrást, mivel ez teljesítményproblémákat és a klaszter frissítési hibáit okozhatja.
    • Ha a privát DNS-zóna más előfizetésben van, mint az AKS-fürt, mindkét előfizetésben regisztrálnia kell az Microsoft.ContainerServices Azure-szolgáltatót.
    • Használható a fqdn-subdomain a CUSTOM_PRIVATE_DNS_ZONE_RESOURCE_ID-el csak hogy altartomány-képességeket biztosítson a privatelink.<region>.azmk8s.io számára.
    • Ha az AKS-fürt Active Directory-szolgáltatásnévvel van beállítva, az AKS nem támogatja a rendszer által hozzárendelt felügyelt identitás használatát egyéni privát DNS-zónával. A fürtnek felhasználó által hozzárendelt felügyelt identitáshitelesítést kell használnia.
    • Ha megad egy <subzone>, a <subzone> név legfeljebb 32 karakter lehet.

Feljegyzés

Konfigurálhatja a CUSTOM_PRIVATE_DNS_ZONE_RESOURCE_ID az ARM-sablon vagy az Azure CLI használatával. privateDNSZone elfogadja a privát DNZ-zónát resourceID az alábbi példában látható módon:

properties.apiServerAccessProfile.privateDNSZone.
"apiServerAccessProfile": {
"enablePrivateCluster": true,
"privateDNSZone": "system|none|[resourceId(..., 'Microsoft.Network/privateDnsZones', 'privatelink.<region>.azmk8s.io']"
}

Privát AKS-fürt létrehozása magán DNS-zónával

  • Hozzon létre egy privát AKS-fürtöt egy privát DNS-zónával, a az aks create parancs használatával a következő paraméterekkel:

    az aks create \
    --name <private-cluster-name> \
    --resource-group <private-cluster-resource-group> \
    --load-balancer-sku standard \
    --enable-private-cluster \
    --assign-identity <resourceID> \
    --private-dns-zone [system|none] \
    --generate-ssh-keys

Privát AKS cluster létrehozása egyéni privát DNS zónával vagy privát DNS alzónával

  • Hozzon létre egy privát AKS-fürtöt egy egyéni privát DNS-zónával vagy alzónával a az aks create következő jelzőkkel ellátott paranccsal:

    # The custom private DNS zone name should be in the following format: "<subzone>.privatelink.<region>.azmk8s.io"

az aks create \
    --name <private-cluster-name> \
    --resource-group <private-cluster-resource-group> \
    --load-balancer-sku standard \
    --enable-private-cluster \
    --assign-identity <resourceID> \
    --private-dns-zone <custom private dns zone or custom private dns subzone resourceID> \
    --generate-ssh-keys

Privát AKS-fürt létrehozása saját privát DNS-zónával és saját altartománnyal

  • Hozzon létre egy privát AKS-fürtöt egy egyéni privát DNS-zónával és altartománnyal, a az aks create parancsot a következő jelzőkkel használva:

    # The custom private DNS zone name should be in one of the following formats: "privatelink.<region>.azmk8s.io" or "<subzone>.privatelink.<region>.azmk8s.io"

az aks create \
    --name <private-cluster-name> \
    --resource-group <private-cluster-resource-group> \
    --load-balancer-sku standard \
    --enable-private-cluster \
    --assign-identity <resourceID> \
    --private-dns-zone <custom private dns zone resourceID> \
    --fqdn-subdomain <subdomain> \
    --generate-ssh-keys

Privát fürt frissítése privát DNS-zónáról nyilvános DNS-zónára

Csak byo vagy system verziókról lehet a none verzióra frissíteni. A frissítési értékek más kombinációja nem támogatott. A frissítés előtt győződjön meg arról, hogy csatlakozik a privát klaszterhez.

Figyelmeztetés

Amikor egy privát fürtöt frissít byo-ról vagy system-ról none-re, az ügynökcsomópontok nyilvános FQDN-t kezdenek használni. Az Azure-beli virtuálisgép-méretezési csoportokat használó AKS-fürtökben a rendszer a csomópontok rendszerképének frissítésével frissíti a csomópontokat a nyilvános teljes tartománynévvel.

  • Frissítsen egy privát fürtöt byo vagy system értékről none értékre a az aks update parancs használatával, a következő jelölőkkel:

    az aks update \
    --name <private-cluster-name> \
    --resource-group <private-cluster-resource-group> \
    --private-dns-zone none

Lehetőségek a privát klászterhez való csatlakozásra

Az API-kiszolgáló végpontja nem rendelkezik nyilvános IP-címmel. Az API-kiszolgáló kezeléséhez olyan virtuális gépet (VM) vagy tárolót kell használnia, amely hozzáfér az AKS-fürt virtuális hálózatához (VNet). A privát klaszterhez való hálózati kapcsolat létrehozásának számos lehetősége van:

A Legegyszerűbb megoldás a Cloud Shell vagy a Bastion (előzetes verzió) használata. Az Express Route és a VPN-ek növelik a költségeket, és további hálózatkezelést igényelnek. A virtuális hálózatok közötti társviszony-létesítéshez meg kell terveznie a hálózati CIDR-tartományokat, hogy ne legyenek átfedésben.

Az alábbi táblázat az Azure Cloud Shell és az Azure Bastion használatának főbb különbségeit és korlátait ismerteti:

Lehetőség Azure Cloud Shell Azure Bastion (előzetes verzió)
Főbb különbségek • Alkalmi vagy ritkán történő használatra ajánlott.
• Költséghatékony, böngészőalapú hozzáférés.
• Előre telepített eszközökkel rendelkezik, mint az cli és kubectl.		 • Állandó, hosszú ideig futó hozzáférés.
• Több fürt kezelésére alkalmas.
• Használja a saját natív ügyféleszközeit.
Korlátozások • Nem támogatott az AKS Automatikus fürtök vagy hálózati erőforráscsoport (NRG) zárolásával rendelkező fürtök esetében.
• Egyszerre nem futtathat több Cloud Shell-munkamenetet különböző virtuális hálózatokon.		 • Nem támogatott az AKS Automatikus fürtök vagy NRG-zárolással rendelkező fürtök esetén.
• Nem támogatott, ha a nyilvános FQDN le van tiltva a fürtön.

Csatlakozás az Azure Cloud Shellen keresztül

Ha privát AKS klaszterhez csatlakozik az Azure Cloud Shell-en keresztül, az alábbi lépéseket kell elvégeznie:

  1. A szükséges erőforrások üzembe helyezése: A Cloud Shellt olyan virtuális hálózaton kell üzembe helyezni, amely elérheti a privát fürtöt. Ez a lépés kiépíti a szükséges infrastruktúrát. Bár a Cloud Shell ingyenes szolgáltatás, a Cloud Shell virtuális hálózatban való használata költséggel járó erőforrásokat igényel. További információ: Cloud Shell üzembe helyezése virtuális hálózaton.
  2. Konfigurálja a kapcsolatot: Az erőforrások üzembe helyezése után az előfizetés minden olyan felhasználója, aki rendelkezik a fürtre vonatkozó megfelelő engedélyekkel, konfigurálhatja a Cloud Shellt a VNet-ben való üzembe helyezésre, hogy biztonságosan csatlakozhasson a privát fürthöz.

A következő szakaszok ismertetik az egyes lépések elvégzését.

A szükséges erőforrások üzembe helyezése

A szükséges erőforrások üzembe helyezéséhez és konfigurálásához tulajdonosi szerepkör-hozzárendeléssel kell rendelkeznie az előfizetésben. A szerepkörök megtekintéséhez és hozzárendeléséhez tekintse meg az előfizetések tulajdonosainak listáját.

A szükséges erőforrásokat az Azure Portal gyorsútmutatójával vagy a megadott ARM-sablonnal helyezheti üzembe, ha az infrastruktúrát kódként kezeli, vagy olyan szervezeti szabályzatokkal rendelkezik, amelyek meghatározott erőforrás-elnevezési konvenciókhoz szükségesek.

Igény szerint a jövőbeni kapcsolatokhoz helyben hagyhatja az üzembe helyezett erőforrásokat, vagy szükség szerint törölheti és újra létrehozhatja őket.

Ez az opció külön VNetet hoz létre a Cloud Shell számára szükséges erőforrásokkal, és konfigurálja a VNet-ek közötti társviszony-létesítést az ön számára.

  1. Az Azure portálon navigáljon a privát cluster erőforráshoz.
  2. Az Áttekintés lapon válassza a Csatlakozás lehetőséget.
  3. A Cloud Shell lap privát fürtkapcsolat előfeltételei csoportjában válassza a Konfigurálás lehetőséget a szükséges erőforrások üzembe helyezéséhez.
    • Az üzembe helyezés létrehoz egy új erőforráscsoportot .RG-CloudShell-PrivateClusterConnection-{RANDOM_ID}
  4. Ha az üzembe helyezés sikeres volt, a Fürtkörnyezet beállítása csoportban válassza a Cloud Shell megnyitása lehetőséget.

Képernyőkép az Azure Portalról egy privát fürt erőforrásoldalán, amelyen a Cloud Shell konfigurációs gombja látható.

Ha a Cloud Shell már konfigurálva van egy adott fürthöz tartozó virtuális hálózaton, az alábbi lépések megismétlésével biztosítható, hogy a Cloud Shell felhasználói beállításai megfelelően igazodjanak az adott virtuális hálózathoz.

Kapcsolat konfigurálása

A szükséges erőforrások üzembe helyezése után az előfizetés bármely felhasználója konfigurálhatja a Cloud Shellt úgy, hogy az adott VNet-ben legyen üzembe helyezve, a Cloud Shell konfigurálása virtuális hálózat használatára.

Biztosítsa, hogy a felhasználó rendelkezzen megfelelő szintű Kubernetes hozzáféréssel a privát fürthöz történő sikeres csatlakozás érdekében. Tekintse meg az Azure Kubernetes Service hozzáférési és identitáskezelési beállításait.

Csatlakozás az Azure Bastionon keresztül (előzetes verzió)

Az Azure Bastion egy teljes körűen felügyelt PaaS-szolgáltatás, amelyet úgy épít ki, hogy biztonságosan csatlakozzon a magánerőforrásokhoz privát IP-címeken keresztül. A Bastion saját ügyfél oldali alagút funkciójának használatához lásd: Csatlakozás az AKS privát fürthöz az Azure Bastion használatával.

Virtuális hálózati kapcsolat

A virtuális hálózatok közötti társviszony-létesítés használatához be kell állítania egy kapcsolatot a virtuális hálózat és a privát DNS-zóna között.

  1. Az Azure Portalon lépjen a csomópont erőforráscsoportjához, és válassza ki a privát DNS-zónaerőforrást.
  2. A szolgáltatásmenü DNS-kezelése területén válassza a Virtuális hálózati hivatkozások>
  3. A Virtuális hálózat csatolásának hozzáadása lapon konfigurálja a következő beállításokat:
    • Hivatkozás neve: Adja meg a virtuális hálózati kapcsolat nevét.
    • Virtuális hálózat: Válassza ki a virtuális gépet tartalmazó virtuális hálózatot.
  4. A virtuális hálózati kapcsolat létrehozásához válassza a Létrehozás opciót.
  5. Navigáljon a fürt virtuális hálózatát tartalmazó erőforráscsoportra, és válassza ki a virtuális hálózati erőforrást.
  6. A szolgáltatásmenüben, a Beállítások alatt, válassza a Társviszonyok>Hozzáadás lehetőséget.
  7. A Peering hozzáadása lapon konfigurálja a következő beállításokat:
    • Társviszony-létesítési hivatkozás neve: Adja meg a társviszony-létesítési hivatkozás nevét.
    • Virtuális hálózat: Válassza ki a virtuális gép virtuális hálózatát.
  8. Válassza a Hozzáadás lehetőséget a kapcsolat létrehozásához.

További információ: Virtuális hálózatok közötti társviszony-létesítés.

Aggregált és egyéni DNS hálózati modell

A csillag és küllő architektúrákat gyakran használják hálózatok Azure-beli üzembe helyezéséhez. Sok ilyen üzembe helyezésnél a célzott virtuális hálózatok DNS-beállításait úgy konfigurálják, hogy egy központi DNS-továbbítóra mutassanak, lehetővé téve a helyszíni és az Azure-alapú DNS-feloldást.

Privát klaszter központi és sugaras hálózat

Ha AKS-fürtöt helyez üzembe ilyen hálózati környezetben, vannak bizonyos speciális figyelembe veendő tényezők:

  • Privát fürt kiépítésekor alapértelmezés szerint létrejön egy privát végpont (1) és egy privát DNS-zóna (2) a fürt által felügyelt erőforráscsoportban. A fürt a privát zónában lévő A rekordot használja a privát végpont IP-címének feloldásához, az API-kiszolgálóval való kommunikációhoz.

  • A privát DNS-zóna csak ahhoz a virtuális hálózathoz van csatolva, amelyhez a fürtcsomópontok csatlakoznak (3). Ez azt jelenti, hogy a privát végpontot csak az adott társított virtuális hálózat gazdagépei oldhatják fel. Azokban az esetekben, amikor nincs egyéni DNS konfigurálva a virtuális hálózaton (alapértelmezett), ez probléma nélkül működik, mivel a DNS 168.63.129.16-os gazdapontjaként működik, amely a kapcsolat miatt meg tudja oldani a privát DNS-zónában lévő rekordokat.

  • Ha megtartja az alapértelmezett privát DNS-zóna viselkedést, az AKS megpróbálja közvetlenül összekapcsolni a zónát a fürtöt üzemeltető küllő virtuális hálózattal, még akkor is, ha a zóna már kapcsolódik egy központi virtuális hálózathoz. Az egyéni DNS-kiszolgálókat használó küllős virtuális hálózatokon ez a művelet meghiúsulhat, ha a fürt felügyelt identitása nem rendelkezik hálózati közreműködővel a küllős virtuális hálózaton. A hiba megelőzéséhez válasszon az alábbi támogatott konfigurációk közül :

    • Egyéni privát DNS-zóna – Adjon meg egy előre létrehozott privát zónát, és állítsa be privateDNSZone az erőforrás-azonosítóját. Kapcsolja ezt a zónát a megfelelő virtuális hálózathoz (például a központi virtuális hálózathoz), és állítsa a következőre publicDNSfalse: .

    • Csak nyilvános DNS – A privát zónák létrehozásának letiltásához állítsa be a privateDNSZonenoneés hagyja publicDNS alapértelmezett értékén (true).

Feljegyzés

A és egyidejű beállítás nem támogatott.

Feljegyzés

A feltételes továbbítás nem támogatja az altartományokat.

Feljegyzés

Ha a kubenethez saját útvonaltáblát hoz, és saját DNS-t használ magánfürtökkel, a fürt létrehozása sikertelen lesz. A csomópont erőforráscsoportját a RouteTable alhálózathoz kell társítania, hogy a fürt létrehozása sikeres legyen, miután az kezdetben nem sikerült.

Privát végpontkapcsolat használata

A privát végpont beállítható úgy, hogy a virtuális hálózatot ne kelljen összekapcsolni a privát fürttel való kommunikációhoz. Hozzon létre egy új privát végpontot a virtuális hálózaton, amely tartalmazza a fogyasztó erőforrásokat, majd hozzon létre egy kapcsolatot a virtuális hálózat és egy új privát DNS-zóna között ugyanabban a hálózatban.

Fontos

Ha a virtuális hálózat egyéni DNS-kiszolgálókkal van konfigurálva, a privát DNS-t megfelelően kell beállítani a környezethez. További részletekért tekintse meg a virtuális hálózatok névfeloldási dokumentációját .

Privát végponterőforrás létrehozása

Hozzon létre egy privát végponterőforrást a virtuális hálózaton:

  1. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.
  2. Keresse meg a privát végpontot, és válassza a Privát végpont létrehozása lehetőséget.>
  3. Válassza a Létrehozás lehetőséget.
  4. Az Alapok lapon konfigurálja a következő beállításokat:
    • Projekt részletei
      • Előfizetés: Válassza ki azt az előfizetést, ahol a privát fürt található.
      • Erőforráscsoport: Válassza ki a virtuális hálózatot tartalmazó erőforráscsoportot.
    • Példány részletei
      • Név: Adjon nevet a privát végpontnak, például a myPrivateEndpointnak.
      • Régió: Válassza ki ugyanazt a régiót, mint a virtuális hálózat.
  5. Válassza a Tovább: Erőforrás lehetőséget , és konfigurálja a következő beállításokat:
    • Kapcsolati módszer: Válassza a Csatlakozás egy Azure-erőforráshoz a címtáramban.
    • Előfizetés: Válassza ki azt az előfizetést, ahol a privát fürt található.
    • Erőforrás típusa: Válassza a Microsoft.ContainerService/managedClusters lehetőséget.
    • Erőforrás: Válassza ki a saját privát fürtöt.
    • Cél al-erőforrás: Felügyelet kiválasztása.
  6. Válassza a Tovább: Virtuális hálózat lehetőséget, és konfigurálja a következő beállításokat:
    • Hálózat
      • Virtuális hálózat: Válassza ki a virtuális hálózatot.
      • Alhálózat: Válassza ki az alhálózatot.
  7. Válassza a Következő: DNS> és Tovább: Címkék, és (opcionálisan) állítsa be a kulcs-értékeket igény szerint.
  8. Válassza a Tovább: Áttekintés és létrehozás>Létrehozás.

Az erőforrás létrehozása után jegyezze fel a privát végpont privát IP-címét későbbi használatra.

Privát DNS-zóna létrehozása

A privát végpont létrehozása után hozzon létre egy új privát DNS-zónát ugyanazzal a névvel, mint a privát fürt által létrehozott privát DNS-zóna. Ne felejtse el létrehozni ezt a DNS-zónát a virtuális hálózatban, amely tartalmazza a fogyasztó erőforrásokat.

  1. Az Azure Portalon lépjen a csomópont erőforráscsoportjához, és válassza ki a privát DNS-zónaerőforrást.
  2. A szolgáltatásmenü DNS-kezelése területén válassza a Rekordhalmazok lehetőséget, és jegyezze fel a következőket:
    • A privát DNS-zóna neve, amely a mintát *.privatelink.<region>.azmk8s.ioköveti.
    • A rekord neve (a A privát DNS-név kivételével).
    • Az élettartam (TTL).
  3. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.
  4. Keresse meg saját DNS zónát, és válassza a Létrehozás> saját DNS zóna lehetőséget.
  5. Az Alapok lapon konfigurálja a következő beállításokat:
    • Projekt részletei:
      • Válassza ki az előfizetését.
      • Válassza ki azt az erőforráscsoportot , amelyben létrehozta a privát végpontot.
    • Példány részletei
      • Név: Adja meg az előző lépésekből lekért DNS-zóna nevét.
      • A régió alapértelmezés szerint az erőforráscsoport helyére van beállítva.
  6. Válassza a Felülvizsgálat + létrehozás>Létrehozás lehetőséget.

A Rekord létrehozása

A privát DNS-zóna létrehozása után hozzon létre egy A rekordot, amely a privát végpontot a privát fürthöz társítja:

  1. Lépjen az előző lépésekben létrehozott privát DNS-zónára.
  2. A szolgáltatás menüjében, a DNS-kezelés alatt válassza a
  3. A Rekordhalmaz hozzáadása lapon konfigurálja a következő beállításokat:
    • Név: Adja meg a nevet, amelyet a privát fürt DNS-zónájában lévő A rekordból kértek le.
    • Típus: Válassza az A – Cím rekordot.
    • TTL: Írja be a A privát fürt DNS-zónájában található rekord számát.
    • TTL-egység: Módosítsa a legördülő értéket úgy, hogy az megfeleljen a A privát fürt DNS-zónájában lévő rekordnak.
    • IP-cím: Adja meg a létrehozott privát végpont IP-címét.
  4. A rekord létrehozásához válassza lehetőséget.

Fontos

A A rekord létrehozásakor csak a nevet használja, a teljes tartománynevet (FQDN) nem.

A A rekord létrehozása után kapcsolja össze a privát DNS-zónát a privát fürthöz hozzáférő virtuális hálózathoz:

  1. Lépjen az előző lépésekben létrehozott privát DNS-zónára.
  2. A szolgáltatásmenü DNS-kezelése területén válassza a Virtuális hálózati hivatkozások>
  3. A Virtuális hálózat csatolásának hozzáadása lapon konfigurálja a következő beállításokat:
    • Hivatkozás neve: Adja meg a virtuális hálózati kapcsolat nevét.
    • Előfizetés: Válassza ki azt az előfizetést, ahol a privát fürt található.
    • Virtuális hálózat: Válassza ki a privát klaszter virtuális hálózatát.
  4. Válassza a Létrehozás lehetőséget a hivatkozás létrehozásához.

A művelet végrehajtása eltarthat néhány percig. A virtuális hálózati kapcsolat létrehozása után a 2. lépésben használt Virtuális hálózati kapcsolatok lapon érheti el.

Figyelmeztetés

  • Ha a magánfürt leáll, majd újraindul, az eredeti privát kapcsolati szolgáltatás törlődik és újra létrejön, ami megszakítja a kapcsolatot a privát végpont és a magánfürt között. A probléma megoldásához törölje és hozza létre újra a felhasználó által létrehozott privát végpontokat, amelyek a privát fürthöz vannak társítva. Ha az újra létrehozott privát végpontok új IP-címekkel rendelkeznek, frissítenie kell a DNS-rekordokat is.
  • Ha frissíti a DNS-rekordokat a privát DNS-zónában, győződjön meg arról, hogy a csatlakozni kívánt gazdagép a frissített DNS-rekordokat használja. Ezt a nslookup parancs használatával ellenőrizheti. Ha azt tapasztalja, hogy a frissítések nem jelennek meg a kimenetben, előfordulhat, hogy ki kell ürítenie a DNS-gyorsítótárat a gépen, és újra kell próbálkoznia.

Következő lépések

A kapcsolódó ajánlott eljárásokért tekintse meg a hálózati kapcsolatokra és a biztonságra vonatkozó ajánlott eljárásokat az AKS-ben.

  • Last updated on