Condividi tramite


Aggiornare le impostazioni e i certificati del server proxy

Si applica a: Servizio Azure Kubernetes in locale di Azure 22H2, Servizio Azure Kubernetes in Windows Server

Questo articolo descrive come aggiornare le impostazioni proxy e i certificati per la distribuzione nel servizio Azure Kubernetes abilitato da Azure Arc. Ogni distribuzione del servizio Azure Kubernetes ha una singola configurazione proxy globale. È possibile aggiungere esclusioni usando il noProxy parametro per escludere le subnet private (ad esempio, contoso.com) dall'uso del server proxy ed è possibile aggiornare i certificati proxy per la distribuzione. Non è possibile modificare le impostazioni HTTP o HTTPS.

Per informazioni sull'installazione iniziale del server proxy, vedere Usare le impostazioni del server proxy in AKS Arc.

Impostazioni proxy che è possibile aggiornare

Prima di iniziare, esaminare le limitazioni correnti degli aggiornamenti delle impostazioni proxy che è possibile eseguire nel servizio Azure Kubernetes abilitato da Arc:

  • Il servizio Azure Kubernetes abilitato da Arc supporta una configurazione proxy globale per ogni distribuzione del servizio Azure Kubernetes Arc. Quando si aggiornano le impostazioni proxy, vengono aggiornate per l'intera distribuzione di Arc del servizio Azure Kubernetes.
  • È possibile aggiornare noProxy solo le impostazioni, usate per escludere una subnet privata dall'uso del server proxy e dei certificati proxy. Non è possibile aggiornare le impostazioni proxy HTTP e HTTP.
  • Non è possibile configurare impostazioni proxy diverse per un pool di nodi o un cluster del carico di lavoro specifico. Analogamente, non è possibile aggiornare le impostazioni proxy per un pool di nodi o un cluster del carico di lavoro specifico.
  • Gli aggiornamenti alle impostazioni proxy vengono applicati solo dopo l'aggiornamento dell'intera distribuzione del servizio Azure Kubernetes. È necessario aggiornare il cluster di gestione host del servizio Azure Kubernetes e tutti i cluster del carico di lavoro del servizio Azure Kubernetes. Per verificare se è disponibile un aggiornamento, usare il cmdlet del modulo PowerShell del servizio Azure Kubernetes Get-AksHciClusterUpdates.

Prerequisiti

Prima di aggiornare le impostazioni proxy per una distribuzione del servizio Azure Kubernetes, è necessario soddisfare i prerequisiti seguenti:

  • La distribuzione del servizio Azure Kubernetes esegue l'aggiornamento di ottobre 2022 o versione successiva.
  • È installata la versione più recente del modulo AksHci PowerShell. Per altre informazioni, vedere Installare il modulo Azure KubernetesHci di PowerShell.
  • Almeno un aggiornamento è disponibile per la distribuzione del servizio Azure Kubernetes. Gli aggiornamenti alle impostazioni proxy e ai certificati vengono applicati automaticamente dopo l'applicazione degli aggiornamenti a una distribuzione del servizio Azure Kubernetes. Per verificare la disponibilità di aggiornamenti, eseguire il Get-AksHciClusterUpdates comando nel modulo Azure KubernetesHci di PowerShell.

Passaggio 1: Creare un nuovo elenco di esclusione noProxy

In alcuni casi potrebbe essere necessario aggiornare noProxy le impostazioni per escludere una subnet privata dall'uso del server proxy per la distribuzione del servizio Azure Kubernetes. Per preparare l'aggiornamento delle noProxy impostazioni, archiviare un nuovo elenco di esclusione in una variabile di PowerShell.

  1. Prima di aggiornare le noProxy impostazioni, esaminare le impostazioni necessarie noProxy nella tabella di esclusione del proxy. Per altre informazioni, vedere Elenco di esclusione per escludere le subnet private dall'invio al proxy.

    Alcune esclusioni sono necessarie per il funzionamento della distribuzione del servizio Azure Kubernetes. L'esclusione di questi URL può causare errori nella distribuzione del servizio Azure Kubernetes.

  2. Archiviare l'elenco di URL aggiornato noProxy in una variabile di PowerShell:

    $noProxy = "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com"
    

Passaggio 2: Creare un bundle di certificati proxy

Per aggiornare i certificati per il server proxy, creare un nuovo bundle di certificati e quindi archiviare il percorso del file in una variabile di PowerShell. Aggregare i certificati in un singolo file con estensione crt in formato PEM. Questo formato è applicabile per l'aggiornamento dei certificati in host contenitore Linux.

Per aggregare i certificati del server proxy aggiornati:

  1. Creare un singolo file con estensione crt con i certificati in bundle per gli host Linux. Usare il concatenate comando (cat) con il formato seguente:

    cat [leaf].crt  [intermediate].crt  [Root].crt > [bundle].crt
    

    È necessario concatenare i certificati nell'ordine di: certificato intermedio certificato > foglia certificato >radice. Per i requisiti dettagliati dei certificati e un esempio, vedere Aggiornare il bundle di certificati per la distribuzione del servizio Azure Kubernetes.

    Nota

    Il contenuto del file del certificato non viene convalidato. Verificare attentamente che il file contenga i certificati corretti e che sia nel formato corretto.

  2. Archiviare il percorso del bundle del certificato aggiornato in una variabile di PowerShell:

    $certFile ="/../[certificate-bundle].crt" # path to the bundled .crt file
    

Passaggio 3: Aggiornare le impostazioni proxy

Il passaggio successivo consiste nell'usare il Set-AksHciProxySetting comando per aggiornare le impostazioni e i noProxy certificati.

  1. Prima di aggiornare le impostazioni e i certificati del proxy, verificare che le variabili di PowerShell abbiano le modifiche corrette:

    echo $noProxy
    echo $certFile
    
  2. Per aggiornare sia le impostazioni proxy che i certificati proxy, eseguire il comando seguente:

    Set-AksHciProxySetting -noProxy $noProxy -certFile $certFile
    

Passaggio 4: Applicare le impostazioni proxy aggiornate alla distribuzione del servizio Azure Kubernetes

Gli aggiornamenti alle impostazioni proxy globali e al certificato vengono applicati automaticamente dopo l'aggiornamento della distribuzione del servizio Azure Kubernetes.

Per applicare gli aggiornamenti del proxy:

  1. Verificare se è disponibile un aggiornamento per il cluster di gestione host del servizio Azure Kubernetes eseguendo il comando seguente:

    Get-AksHciUpdates
    
  2. Se è disponibile un aggiornamento, aggiornare il cluster di gestione host del servizio Azure Kubernetes eseguendo il comando seguente. Questo comando applica le modifiche del proxy nel cluster di gestione host del servizio Azure Kubernetes:

    Update-AksHci
    
  3. Aggiornare tutti i cluster del carico di lavoro nella distribuzione del servizio Azure Kubernetes. Le modifiche proxy non verranno applicate a meno che non si aggiornino i cluster del carico di lavoro.

    1. Per verificare se sono disponibili aggiornamenti del cluster del carico di lavoro, eseguire il comando seguente in ognuno dei cluster del carico di lavoro del servizio Azure Kubernetes:

      Get-AksHciClusterUpdates -name mycluster
      
    2. Se è disponibile un aggiornamento (una versione di Kubernetes o un'immagine aggiornata del sistema operativo), aggiornare ognuno dei cluster del carico di lavoro eseguendo il Update-AksHciCluster comando .

      • Per aggiornare la versione di Kubernetes e la versione del sistema operativo in un cluster del carico di lavoro, eseguire il comando seguente:

        Update-AksHciCluster -name mycluster
        
      • Per aggiornare il sistema operativo senza aggiornare la versione di Kubernetes, includere il -operatingSystem parametro :

        Update-AksHciCluster -name mycluster -operatingSystem
        

        Se un aggiornamento solo immagine del sistema operativo non è disponibile per il cluster del carico di lavoro, non sarà possibile applicare le modifiche del proxy a meno che non si aggiorni la versione di Kubernetes.

Passaggi successivi

Per altre informazioni sulla rete nel servizio Azure Kubernetes abilitato da Arc, vedere Concetti di rete di Kubernetes.