次の方法で共有


クライアント IP アドレスが API サーバーにアクセスできない

この記事では、クライアント IP アドレスが AKS API サーバーにアクセスできないため、Azure Kubernetes Service (AKS) クラスターに接続できない場合に発生する問題を修正する方法について説明します。

前提条件

現象

次のようなエラーが表示される場合があります。

Unable to connect to the server: dial tcp <API-SERVER-IP>:443: i/o timeout

Unable to connect to the server: dial tcp <API-SERVER-IP>:443: connectex: A connection attempt failed because the connected party did not properly respond after a period, or established connection failed because connected host has failed to respond.

原因

API サーバーが承認した IP 範囲 は、クラスターの API サーバーで有効になっている可能性がありますが、クライアントの IP アドレスは IP 範囲に含まれていませんでした。 この機能が有効になっているかどうかをチェックするには、Azure CLI の次の az aks show コマンドによって IP 範囲の一覧が生成されるかどうかを確認します。

az aks show --resource-group <cluster-resource-group> \
    --name <cluster-name> \
    --query apiServerAccessProfile.authorizedIpRanges

ソリューション

クラスターの API サーバーが承認した範囲を確認し、次の手順を使用して、その範囲内にクライアントの IP アドレスを追加します。

注:

  1. トラフィックがプロキシ サーバーまたはファイアウォールを介してルーティングされる企業ネットワークから API サーバーにアクセスしますか? 次に、API サーバーの承認された範囲の一覧にクライアント IP アドレスを追加する前に、ネットワーク管理者に問い合わせてください。

  2. また、承認された範囲の一覧に一時的な IP アドレスを追加する際にセキュリティ上の問題が発生する可能性があるため、クライアント IP アドレスを追加する前にクラスター管理者に問い合わせてください。

  1. 次の curl コマンドを実行して、クライアント IP アドレスを取得します。

    $ curl --silent checkip.dyndns.org
    <html><head><title>Current IP Check</title></head><body>Current IP Address: 0.255.127.63</body></html>
    
  2. クライアント IP アドレスを使用して、Azure CLI の az aks update コマンドを使用して API サーバー承認範囲を更新します。

    az aks update --resource-group <cluster-resource-group> \
        --name <cluster-name> \
        --api-server-authorized-ip-ranges <ip-ranges-that-include-your-client-ip-address>
    

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。