Privéconnectiviteit voor Kubernetes-clusters met Arc met behulp van private link (preview)

  • Artikel

Met Azure Private Link kunt u Azure-services veilig koppelen aan uw virtuele netwerk met behulp van privé-eindpunten. Dit betekent dat u uw on-premises Kubernetes-clusters kunt verbinden met Azure Arc en al het verkeer via een Azure ExpressRoute- of site-naar-site-VPN-verbinding kunt verzenden in plaats van openbare netwerken te gebruiken. In Azure Arc kunt u een Private Link Scope-model gebruiken om meerdere Kubernetes-clusters te laten communiceren met hun Azure Arc-resources met behulp van één privé-eindpunt.

In dit document wordt beschreven wanneer u Azure Arc Private Link (preview) moet gebruiken en instellen.

Belangrijk

De functie Azure Arc Private Link bevindt zich momenteel in preview in alle regio's waar Kubernetes met Azure Arc aanwezig is, met uitzondering van Azië - zuidoost. Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Voordelen

Met Private Link kunt u het volgende doen:

  • Verbinding maken privé naar Azure Arc zonder openbare netwerktoegang te openen.
  • Zorg ervoor dat gegevens uit het Kubernetes-cluster met Arc alleen toegankelijk zijn via geautoriseerde privénetwerken.
  • Voorkom gegevensexfiltratie van uw privénetwerken door specifieke Kubernetes-clusters met Azure Arc en andere Azure-servicesbronnen, zoals Azure Monitor, te definiëren die verbinding maken via uw privé-eindpunt.
  • Verbind uw privé on-premises netwerk veilig met Azure Arc met behulp van ExpressRoute en Private Link.
  • Houd al het verkeer binnen het Backbone-netwerk van Microsoft Azure.

Zie De belangrijkste voordelen van Azure Private Link voor meer informatie.

Hoe het werkt

Azure Arc Private Link Scope verbindt privé-eindpunten (en de virtuele netwerken waarin ze zich bevinden) met een Azure-resource, in dit geval Kubernetes-clusters met Azure Arc. Wanneer u een van de door Arc ingeschakelde Kubernetes-clusteruitbreidingen inschakelt, zoals Azure Monitor, is de verbinding met andere Azure-resources mogelijk vereist voor deze scenario's. In het geval van Azure Monitor worden de logboeken die van het cluster zijn verzameld bijvoorbeeld verzonden naar de Log Analytics-werkruimte.

voor Verbinding maken iviteit met de andere Azure-resources van een Kubernetes-cluster met Arc dat eerder wordt vermeld, is het configureren van Private Link voor elke service vereist. Zie Private Link voor Azure Monitor voor een voorbeeld.

Huidige beperkingen

Houd rekening met deze huidige beperkingen bij het plannen van uw Private Link-installatie.

  • U kunt maximaal één Azure Arc Private Link-bereik koppelen aan een virtueel netwerk.

  • Een Kubernetes-cluster met Azure Arc kan slechts verbinding maken met één Azure Arc Private Link-bereik.

  • Alle on-premises Kubernetes-clusters moeten hetzelfde privé-eindpunt gebruiken door de juiste privé-eindpuntgegevens (FQDN-recordnaam en privé-IP-adres) op te lossen met dezelfde DNS-doorstuurserver. Raadpleeg DNS-configuratie voor Azure-privé-eindpunt voor meer informatie. Het Kubernetes-cluster met Azure Arc, het Azure Arc Private Link-bereik en het virtuele netwerk moeten zich in dezelfde Azure-regio bevinden. Het privé-eindpunt en het virtuele netwerk moeten zich ook in dezelfde Azure-regio bevinden, maar deze regio kan afwijken van die van uw Azure Arc Private Link-bereik en Kubernetes-cluster met Arc.

  • Verkeer naar Microsoft Entra ID, Azure Resource Manager en Microsoft Container Registry-servicetags moeten worden toegestaan via uw on-premises netwerkfirewall tijdens de preview.

  • Voor andere Azure-services die u wilt gebruiken, bijvoorbeeld Azure Monitor, zijn hun eigen privé-eindpunten in uw virtuele netwerk vereist.

    Notitie

    De functie Cluster Verbinding maken (en daarom de functie Aangepaste locatie) wordt niet ondersteund op Kubernetes-clusters met Azure Arc waarvoor privéconnectiviteit is ingeschakeld. Dit is gepland en wordt later toegevoegd. Netwerkconnectiviteit met behulp van privékoppelingen voor Azure Arc-services, zoals gegevensservices met Azure Arc en App-services met Azure Arc die gebruikmaken van deze functies, worden nog niet ondersteund. Raadpleeg de sectie hieronder voor een lijst met clusterextensies of Azure Arc-services die netwerkconnectiviteit ondersteunen via privékoppelingen.

Op Kubernetes-clusters met Azure Arc die zijn geconfigureerd met privékoppelingen, bieden de volgende extensies ondersteuning voor end-to-end-connectiviteit via privékoppelingen. Raadpleeg de richtlijnen die zijn gekoppeld aan elke clusterextensie voor aanvullende configuratiestappen en details over ondersteuning voor privékoppelingen.

Als u uw Kubernetes-cluster via een privékoppeling wilt verbinden met Azure Arc, moet u uw netwerk configureren om het volgende te bereiken:

  1. Maak een verbinding tussen uw on-premises netwerk en een virtueel Azure-netwerk met behulp van een site-naar-site-VPN - of ExpressRoute-circuit .
  2. Implementeer een Azure Arc Private Link-bereik, waarmee wordt bepaald welke Kubernetes-clusters kunnen communiceren met Azure Arc via privé-eindpunten en deze kunnen koppelen aan uw virtuele Azure-netwerk met behulp van een privé-eindpunt.
  3. Werk de DNS-configuratie op uw lokale netwerk bij om de privé-eindpuntadressen op te lossen.
  4. Configureer uw lokale firewall om toegang tot Microsoft Entra ID, Azure Resource Manager en Microsoft Container Registry toe te staan.
  5. Koppel de Kubernetes-clusters met Azure Arc aan het Azure Arc Private Link-bereik.
  6. U kunt optioneel privé-eindpunten implementeren voor andere Azure-services waarvoor uw Kubernetes-cluster met Azure Arc is ingeschakeld, wordt beheerd door, zoals Azure Monitor. In de rest van dit document wordt ervan uitgegaan dat u uw ExpressRoute-circuit of site-naar-site-VPN-verbinding al hebt ingesteld.

Netwerkconfiguratie

Kubernetes met Azure Arc kan worden geïntegreerd met verschillende Azure-services om cloudbeheer en -governance toe te voegen aan uw hybride Kubernetes-clusters. De meeste van deze services bieden al privé-eindpunten, maar u moet uw firewall- en routeringsregels configureren om toegang te verlenen tot Microsoft Entra-id en Azure Resource Manager via internet totdat deze services privé-eindpunten bieden. U moet ook toegang verlenen tot Microsoft Container Registry (en AzureFrontDoor.FirstParty als voorloper voor Microsoft Container Registry) om installatiekopieën en Helm-grafieken op te halen om services zoals Azure Monitor in te schakelen, evenals voor de eerste installatie van Azure Arc-agents op de Kubernetes-clusters.

U kunt dit op twee manieren bereiken:

  • Als uw netwerk is geconfigureerd voor het routeren van al het internetverkeer via het Azure VPN- of ExpressRoute-circuit, kunt u de netwerkbeveiligingsgroep (NSG) configureren die is gekoppeld aan uw subnet in Azure om uitgaande TCP 443-toegang (HTTPS) tot Microsoft Entra ID, Azure Resource Manager, Azure Front Door en Microsoft Container Registry toe te staan met behulp van servicetags. De NSG-regels moeten er als volgt uitzien:

    Instelling Microsoft Entra ID-regel Azure Resource Manager-regel AzureFrontDoorFirstParty-regel Microsoft Container Registry-regel
    Bron Virtual Network Virtual Network Virtual Network Virtual Network
    Bronpoortbereiken * * * *
    Doel Servicetag Servicetag Servicetag Servicetag
    Doelservicetag AzureActiveDirectory AzureResourceManager AzureFrontDoor.FirstParty MicrosoftContainerRegistry
    Poortbereiken van doel 443 443 443 443
    Protocol TCP TCP TCP TCP
    Actie Toestaan Toestaan Toestaan (zowel inkomend als uitgaand) Toestaan
    Prioriteit 150 (moet lager zijn dan regels die internettoegang blokkeren) 151 (moet lager zijn dan regels die internettoegang blokkeren) 152 (moet lager zijn dan regels die internettoegang blokkeren) 153 (moet lager zijn dan regels die internettoegang blokkeren)
    Naam AllowAADOutboundAccess AllowAzOutboundAccess AllowAzureFrontDoorFirstPartyAccess AllowMCROutboundAccess

  • Configureer de firewall in uw lokale netwerk om uitgaande TCP 443-toegang (HTTPS) tot Microsoft Entra ID, Azure Resource Manager en Microsoft Container Registry en binnenkomende en uitgaande toegang tot AzureFrontDoor.FirstParty toe te staan met behulp van de downloadbare servicetagbestanden. Het JSON-bestand bevat alle openbare IP-adresbereiken die worden gebruikt door Microsoft Entra ID, Azure Resource Manager, AzureFrontDoor.FirstParty en Microsoft Container Registry en worden maandelijks bijgewerkt om eventuele wijzigingen weer te geven. Microsoft Entra-servicetag is AzureActiveDirectory, de servicetag van Azure Resource Manager is AzureResourceManager, de servicetag van Microsoft Container Registry is MicrosoftContainerRegistry en de servicetag van Azure Front Door is AzureFrontDoor.FirstParty. Neem contact op met de netwerkbeheerder en de leverancier van de netwerkfirewall voor meer informatie over het configureren van uw firewallregels.

  1. Meld u aan bij de Azure-portal.

  2. Ga naar Een resource maken in Azure Portal en zoek vervolgens naar Azure Arc Private Link Scope. U kunt ook rechtstreeks naar de pagina Azure Arc Private Link Scope in de portal gaan.

  3. Selecteer Maken.

  4. Selecteer een abonnement en resourcegroep. Tijdens de preview moeten uw virtuele netwerk en Kubernetes-clusters met Azure Arc zich in hetzelfde abonnement bevinden als het Azure Arc Private Link-bereik.

  5. Geef het Azure Arc Private Link-bereik een naam.

  6. U kunt desgewenst elk Kubernetes-cluster met Arc vereisen dat is gekoppeld aan dit Azure Arc Private Link-bereik om gegevens naar de service te verzenden via het privé-eindpunt. Als u openbare netwerktoegang inschakelen selecteert, kunnen Kubernetes-clusters die zijn gekoppeld aan dit Azure Arc Private Link-bereik communiceren met de service via zowel privénetwerken als openbare netwerken. U kunt deze instelling wijzigen nadat u het bereik indien nodig hebt gemaakt.

  7. Selecteer Controleren + maken.

    Screenshot of the Azure Arc Private Link Scope creation screen in the Azure portal.

  8. Nadat de validatie is voltooid, selecteert u Maken.

Een privé-eindpunt maken

Zodra uw Azure Arc Private Link-bereik is gemaakt, moet u het verbinden met een of meer virtuele netwerken met behulp van een privé-eindpunt. Het privé-eindpunt biedt toegang tot de Azure Arc-services op een privé-IP-adres in uw virtuele netwerkadresruimte.

Met het privé-eindpunt in uw virtuele netwerk kunt u Kubernetes-clustereindpunten met Azure Arc bereiken via privé-IP-adressen uit de groep van uw netwerk, in plaats van te gebruiken voor de openbare IP-adressen van deze eindpunten. Hierdoor kunt u uw Kubernetes-clusters met Azure Arc blijven gebruiken zonder uw VNet te openen voor niet-opgehaald uitgaand verkeer. Verkeer van het privé-eindpunt naar uw resources gaat via Microsoft Azure en wordt niet doorgestuurd naar openbare netwerken.

  1. Selecteer privé-eindpuntverbindingen in het linkerresourcemenu in uw bereikresource. Selecteer Toevoegen om het proces voor het maken van het eindpunt te starten. U kunt ook verbindingen goedkeuren die zijn gestart in het Private Link-centrum door ze te selecteren en vervolgens Goedkeuren te selecteren.

    Screenshot of the Private Endpoint connections screen in the Azure portal.

  2. Kies het abonnement, de resourcegroep en de naam van het eindpunt en de regio die u wilt gebruiken. Dit moet dezelfde regio zijn als uw virtuele netwerk.

  3. Selecteer Volgende: Resource.

  4. Voer op de pagina Resource het volgende uit:

    1. Selecteer het abonnement dat uw Azure Arc Private Link-bereikresource bevat.
    2. Voor resourcetype kiest u Microsoft.HybridCompute/privateLinkScopes.
    3. Kies in de vervolgkeuzelijst Resource het Azure Arc Private Link-bereik dat u eerder hebt gemaakt.
    4. Selecteer Volgende: Configuratie.

  5. Voer op de pagina Configuratie het volgende uit:

    1. Kies het virtuele netwerk en subnet waaruit u verbinding wilt maken met Kubernetes-clusters met Azure Arc.

    2. Selecteer Ja voor Integratie met privé-DNS-zone. Er wordt een nieuwe Privé-DNS zone gemaakt. De werkelijke DNS-zones kunnen afwijken van wat wordt weergegeven in de onderstaande schermafbeelding.

      Screenshot of the Configuration step to create a private endpoint in the Azure portal.

      Notitie

      Als u Nee kiest en DNS-records liever handmatig wilt beheren, moet u eerst uw Private Link instellen, inclusief dit privé-eindpunt en de configuratie van het privébereik. Configureer vervolgens uw DNS volgens de instructies in de DNS-configuratie van Azure Private Endpoint. Zorg ervoor dat u geen lege records maakt als voorbereiding voor het instellen van uw privékoppeling. De DNS-records die u maakt, kunnen bestaande instellingen overschrijven en van invloed zijn op uw connectiviteit met Kubernetes-clusters met Arc.

    3. Selecteer Controleren + maken.

    4. Laat de validatie slagen.

    5. Selecteer Maken.

On-premises DNS-doorsturen configureren

Uw on-premises Kubernetes-clusters moeten de DNS-records van de privékoppeling kunnen omzetten in de IP-adressen van het privé-eindpunt. Hoe u dit configureert, is afhankelijk van of u privé-DNS-zones van Azure gebruikt om DNS-records te onderhouden of uw eigen DNS-server on-premises te gebruiken, samen met het aantal clusters dat u configureert.

DNS-configuratie met behulp van door Azure geïntegreerde privé-DNS-zones

Als u privé-DNS-zones instelt voor Kubernetes-clusters met Azure Arc bij het maken van het privé-eindpunt, moeten uw on-premises Kubernetes-clusters DNS-query's kunnen doorsturen naar de ingebouwde Azure DNS-servers om de privé-eindpuntadressen correct op te lossen. U hebt een DNS-doorstuurserver in Azure nodig (een speciaal gebouwde VM of een Azure Firewall-exemplaar waarvoor DNS-proxy is ingeschakeld), waarna u uw on-premises DNS-server kunt configureren om query's door te sturen naar Azure om IP-adressen van privé-eindpunten op te lossen.

De documentatie over privé-eindpunten bevat richtlijnen voor het configureren van on-premises workloads met behulp van een DNS-doorstuurserver.

Handmatige DNS-serverconfiguratie

Als u zich hebt afgemeld voor het gebruik van privé-DNS-zones van Azure tijdens het maken van een privé-eindpunt, moet u de vereiste DNS-records maken op uw on-premises DNS-server.

  1. Ga naar de Azure-portal.

  2. Navigeer naar de privé-eindpuntresource die is gekoppeld aan uw virtuele netwerk en Azure Arc Private Link-bereik.

  3. Selecteer in het linkerdeelvenster DNS-configuratie om een lijst met de DNS-records en de bijbehorende IP-adressen te zien die u moet instellen op uw DNS-server. De FQDN's en IP-adressen worden gewijzigd op basis van de regio die u hebt geselecteerd voor uw privé-eindpunt en de beschikbare IP-adressen in uw subnet.

    Screenshot showing manual DNS server configuration in the Azure portal.

  4. Volg de richtlijnen van de leverancier van uw DNS-server om de benodigde DNS-zones en A-records toe te voegen die overeenkomen met de tabel in de portal. Zorg ervoor dat u een DNS-server selecteert die het juiste bereik heeft voor uw netwerk. Elk Kubernetes-cluster dat gebruikmaakt van deze DNS-server lost nu de IP-adressen van het privé-eindpunt op en moet zijn gekoppeld aan het Azure Arc Private Link-bereik, anders wordt de verbinding geweigerd.

Notitie

Het configureren van privékoppelingen voor Kubernetes-clusters met Azure Arc wordt ondersteund vanaf versie 1.3.0 van de connectedk8s CLI-extensie, maar vereist azure CLI-versie hoger dan 2.3.0. Als u een versie van meer dan 1.3.0 gebruikt voor de connectedk8s CLI-extensie, hebben we validaties geïntroduceerd om het cluster alleen te controleren en te verbinden met Azure Arc als u azure CLI-versie groter dan 2.3.0 gebruikt.

U kunt privékoppelingen configureren voor een bestaand Kubernetes-cluster met Azure Arc of wanneer u voor het eerst een Kubernetes-cluster naar Azure Arc onboardt met behulp van de onderstaande opdracht:

az connectedk8s connect -g <resource-group-name> -n <connected-cluster-name> -l <location> --enable-private-link true --private-link-scope-resource-id <pls-arm-id>
Parameternaam Beschrijving
--enable-private-link Eigenschap om de functie privékoppelingen in of uit te schakelen. Stel deze optie in op True om connectiviteit met privékoppelingen mogelijk te maken.
--private-link-scope-resource-id Id van de private link-bereikresource die u eerder hebt gemaakt. Bijvoorbeeld: /subscriptions//resourceGroups//providers/Microsoft.HybridCompute/privateLinkScopes/

Voor Kubernetes-clusters met Azure Arc die zijn ingesteld voordat u het azure Arc Private Link-bereik configureert, kunt u privékoppelingen configureren via Azure Portal met behulp van de volgende stappen:

  1. Navigeer in Azure Portal naar uw Azure Arc Private Link Scope-resource.

  2. Selecteer In het linkerdeelvenster Azure Arc-resources en vervolgens + Toevoegen.

  3. Selecteer de Kubernetes-clusters in de lijst die u wilt koppelen aan het Private Link-bereik en kies vervolgens Selecteren om uw wijzigingen op te slaan.

    Notitie

    In de lijst worden alleen Kubernetes-clusters met Azure Arc weergegeven die zich binnen hetzelfde abonnement en dezelfde regio bevinden als uw Private Link-bereik.

    Screenshot of the list of Kubernetes clusters for the Azure Arc Private Link Scope.

Problemen oplossen

Als u problemen ondervindt, kunnen de volgende suggesties helpen:

  • Controleer uw on-premises DNS-server(s) om te controleren of deze wordt doorgestuurd naar Azure DNS of is geconfigureerd met de juiste A-records in uw privékoppelingszone. Deze opzoekopdrachten moeten privé-IP-adressen retourneren in uw virtuele Azure-netwerk. Als ze openbare IP-adressen omzetten, controleert u de DNS-configuratie van uw computer of server en netwerk.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com
nslookup dp.kubernetesconfiguration.azure.com

  • Als u problemen ondervindt bij het onboarden van uw Kubernetes-cluster, controleert u of u de Microsoft Entra-id, Azure Resource Manager, AzureFrontDoor.FirstParty en Microsoft Container Registry-servicetags hebt toegevoegd aan uw lokale netwerkfirewall.

Volgende stappen