Aggiornare le impostazioni e i certificati del server proxy
Si applica a: Servizio Azure Kubernetes in locale di Azure 22H2, Servizio Azure Kubernetes in Windows Server
Questo articolo descrive come aggiornare le impostazioni proxy e i certificati per la distribuzione nel servizio Azure Kubernetes abilitato da Azure Arc. Ogni distribuzione del servizio Azure Kubernetes ha una singola configurazione proxy globale. È possibile aggiungere esclusioni usando il noProxy
parametro per escludere le subnet private (ad esempio, contoso.com) dall'uso del server proxy ed è possibile aggiornare i certificati proxy per la distribuzione. Non è possibile modificare le impostazioni HTTP o HTTPS.
Per informazioni sull'installazione iniziale del server proxy, vedere Usare le impostazioni del server proxy in AKS Arc.
Impostazioni proxy che è possibile aggiornare
Prima di iniziare, esaminare le limitazioni correnti degli aggiornamenti delle impostazioni proxy che è possibile eseguire nel servizio Azure Kubernetes abilitato da Arc:
- Il servizio Azure Kubernetes abilitato da Arc supporta una configurazione proxy globale per ogni distribuzione del servizio Azure Kubernetes Arc. Quando si aggiornano le impostazioni proxy, vengono aggiornate per l'intera distribuzione di Arc del servizio Azure Kubernetes.
- È possibile aggiornare
noProxy
solo le impostazioni, usate per escludere una subnet privata dall'uso del server proxy e dei certificati proxy. Non è possibile aggiornare le impostazioni proxy HTTP e HTTP. - Non è possibile configurare impostazioni proxy diverse per un pool di nodi o un cluster del carico di lavoro specifico. Analogamente, non è possibile aggiornare le impostazioni proxy per un pool di nodi o un cluster del carico di lavoro specifico.
- Gli aggiornamenti alle impostazioni proxy vengono applicati solo dopo l'aggiornamento dell'intera distribuzione del servizio Azure Kubernetes. È necessario aggiornare il cluster di gestione host del servizio Azure Kubernetes e tutti i cluster del carico di lavoro del servizio Azure Kubernetes. Per verificare se è disponibile un aggiornamento, usare il cmdlet del modulo PowerShell del servizio Azure Kubernetes Get-AksHciClusterUpdates.
Prerequisiti
Prima di aggiornare le impostazioni proxy per una distribuzione del servizio Azure Kubernetes, è necessario soddisfare i prerequisiti seguenti:
- La distribuzione del servizio Azure Kubernetes esegue l'aggiornamento di ottobre 2022 o versione successiva.
- È installata la versione più recente del modulo AksHci PowerShell. Per altre informazioni, vedere Installare il modulo Azure KubernetesHci di PowerShell.
- Almeno un aggiornamento è disponibile per la distribuzione del servizio Azure Kubernetes. Gli aggiornamenti alle impostazioni proxy e ai certificati vengono applicati automaticamente dopo l'applicazione degli aggiornamenti a una distribuzione del servizio Azure Kubernetes. Per verificare la disponibilità di aggiornamenti, eseguire il
Get-AksHciClusterUpdates
comando nel modulo Azure KubernetesHci di PowerShell.
Passaggio 1: Creare un nuovo elenco di esclusione noProxy
In alcuni casi potrebbe essere necessario aggiornare noProxy
le impostazioni per escludere una subnet privata dall'uso del server proxy per la distribuzione del servizio Azure Kubernetes. Per preparare l'aggiornamento delle noProxy
impostazioni, archiviare un nuovo elenco di esclusione in una variabile di PowerShell.
Prima di aggiornare le
noProxy
impostazioni, esaminare le impostazioni necessarienoProxy
nella tabella di esclusione del proxy. Per altre informazioni, vedere Elenco di esclusione per escludere le subnet private dall'invio al proxy.Alcune esclusioni sono necessarie per il funzionamento della distribuzione del servizio Azure Kubernetes. L'esclusione di questi URL può causare errori nella distribuzione del servizio Azure Kubernetes.
Archiviare l'elenco di URL aggiornato
noProxy
in una variabile di PowerShell:$noProxy = "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com"
Passaggio 2: Creare un bundle di certificati proxy
Per aggiornare i certificati per il server proxy, creare un nuovo bundle di certificati e quindi archiviare il percorso del file in una variabile di PowerShell. Aggregare i certificati in un singolo file con estensione crt in formato PEM. Questo formato è applicabile per l'aggiornamento dei certificati in host contenitore Linux.
Per aggregare i certificati del server proxy aggiornati:
Creare un singolo file con estensione crt con i certificati in bundle per gli host Linux. Usare il
concatenate
comando (cat
) con il formato seguente:cat [leaf].crt [intermediate].crt [Root].crt > [bundle].crt
È necessario concatenare i certificati nell'ordine di: certificato intermedio certificato > foglia certificato >radice. Per i requisiti dettagliati dei certificati e un esempio, vedere Aggiornare il bundle di certificati per la distribuzione del servizio Azure Kubernetes.
Nota
Il contenuto del file del certificato non viene convalidato. Verificare attentamente che il file contenga i certificati corretti e che sia nel formato corretto.
Archiviare il percorso del bundle del certificato aggiornato in una variabile di PowerShell:
$certFile ="/../[certificate-bundle].crt" # path to the bundled .crt file
Passaggio 3: Aggiornare le impostazioni proxy
Il passaggio successivo consiste nell'usare il Set-AksHciProxySetting
comando per aggiornare le impostazioni e i noProxy
certificati.
Prima di aggiornare le impostazioni e i certificati del proxy, verificare che le variabili di PowerShell abbiano le modifiche corrette:
echo $noProxy echo $certFile
Per aggiornare sia le impostazioni proxy che i certificati proxy, eseguire il comando seguente:
Set-AksHciProxySetting -noProxy $noProxy -certFile $certFile
Passaggio 4: Applicare le impostazioni proxy aggiornate alla distribuzione del servizio Azure Kubernetes
Gli aggiornamenti alle impostazioni proxy globali e al certificato vengono applicati automaticamente dopo l'aggiornamento della distribuzione del servizio Azure Kubernetes.
Per applicare gli aggiornamenti del proxy:
Verificare se è disponibile un aggiornamento per il cluster di gestione host del servizio Azure Kubernetes eseguendo il comando seguente:
Get-AksHciUpdates
Se è disponibile un aggiornamento, aggiornare il cluster di gestione host del servizio Azure Kubernetes eseguendo il comando seguente. Questo comando applica le modifiche del proxy nel cluster di gestione host del servizio Azure Kubernetes:
Update-AksHci
Aggiornare tutti i cluster del carico di lavoro nella distribuzione del servizio Azure Kubernetes. Le modifiche proxy non verranno applicate a meno che non si aggiornino i cluster del carico di lavoro.
Per verificare se sono disponibili aggiornamenti del cluster del carico di lavoro, eseguire il comando seguente in ognuno dei cluster del carico di lavoro del servizio Azure Kubernetes:
Get-AksHciClusterUpdates -name mycluster
Se è disponibile un aggiornamento (una versione di Kubernetes o un'immagine aggiornata del sistema operativo), aggiornare ognuno dei cluster del carico di lavoro eseguendo il
Update-AksHciCluster
comando .Per aggiornare la versione di Kubernetes e la versione del sistema operativo in un cluster del carico di lavoro, eseguire il comando seguente:
Update-AksHciCluster -name mycluster
Per aggiornare il sistema operativo senza aggiornare la versione di Kubernetes, includere il
-operatingSystem
parametro :Update-AksHciCluster -name mycluster -operatingSystem
Se un aggiornamento solo immagine del sistema operativo non è disponibile per il cluster del carico di lavoro, non sarà possibile applicare le modifiche del proxy a meno che non si aggiorni la versione di Kubernetes.
Passaggi successivi
Per altre informazioni sulla rete nel servizio Azure Kubernetes abilitato da Arc, vedere Concetti di rete di Kubernetes.