Aktualizowanie ustawień serwera proxy i certyfikatów
Dotyczy: AKS na Azure Local 22H2, AKS na Windows Server
W tym artykule opisano sposób aktualizowania ustawień serwera proxy i certyfikatów dla wdrożenia w usłudze AKS włączonej przez usługę Azure Arc. Każde wdrożenie usługi AKS ma jedną globalną konfigurację serwera proxy. Wykluczenia można dodawać przy użyciu parametru noProxy
, aby wykluczyć podsieci prywatne (na przykład contoso.com) z używania serwera proxy i zaktualizować certyfikaty serwera proxy dla wdrożenia. Nie można zmienić ustawień protokołu HTTP lub HTTPS.
Aby uzyskać informacje na temat początkowej konfiguracji serwera proxy, zobacz Używanie ustawień serwera proxy w usłudze AKS Arc.
Ustawienia serwera proxy, które można zaktualizować
Przed rozpoczęciem przejrzyj bieżące ograniczenia dotyczące aktualizacji ustawień serwera proxy, które można wykonać w usłudze AKS włączonej przez usługę Arc:
- Usługa AKS włączona przez usługę Arc obsługuje jedną globalną konfigurację serwera proxy na wdrożenie usługi AKS Arc. Podczas aktualizowania ustawień serwera proxy są one aktualizowane dla całego wdrożenia usługi AKS Arc.
- Można aktualizować
noProxy
tylko ustawienia, które są używane do wykluczania podsieci prywatnej z używania serwera proxy i certyfikatów serwera proxy. Nie można zaktualizować ustawień serwera proxy protokołu HTTP i protokołu HTTPs. - Nie można skonfigurować różnych ustawień serwera proxy dla określonej puli węzłów lub klastra obciążenia. Podobnie nie można zaktualizować ustawień serwera proxy dla określonej puli węzłów ani klastra obciążenia.
- Aktualizacje ustawień serwera proxy są stosowane tylko po zaktualizowaniu całego wdrożenia usługi AKS. Należy zaktualizować klaster zarządzania hostami usługi AKS i wszystkie klastry obciążeń usługi AKS. Aby sprawdzić, czy aktualizacja jest dostępna, użyj polecenia cmdlet modułu programu PowerShell usługi AKS Get-AksHciClusterUpdates.
Wymagania wstępne
Przed zaktualizowaniem ustawień serwera proxy dla wdrożenia usługi AKS należy spełnić następujące wymagania wstępne:
- Wdrożenie usługi AKS uruchamia aktualizację z października 2022 r. lub nowszą.
- Zainstalowano najnowszą wersję modułu AksHci Programu PowerShell. Aby uzyskać więcej informacji, zobacz Instalowanie modułu AksHci programu PowerShell.
- Co najmniej jedna aktualizacja jest dostępna dla wdrożenia usługi AKS. Aktualizacje ustawień serwera proxy i certyfikatów są stosowane automatycznie po zastosowaniu aktualizacji do wdrożenia usługi AKS. Aby sprawdzić dostępne aktualizacje, uruchom
Get-AksHciClusterUpdates
polecenie w module AksHci programu PowerShell.
Krok 1. Tworzenie nowej listy wykluczeń noProxy
Czasami może być konieczne zaktualizowanie noProxy
ustawień, aby wykluczyć podsieć prywatną z używania serwera proxy dla wdrożenia usługi AKS. Aby przygotować się do zaktualizowania noProxy
ustawień, zapisz nową listę wykluczeń w zmiennej programu PowerShell.
Przed zaktualizowaniem
noProxy
ustawień przejrzyj wymaganenoProxy
ustawienia w tabeli wykluczeń serwera proxy. Aby uzyskać więcej informacji, zobacz Lista wykluczeń wykluczająca podsieci prywatne z wysyłania do serwera proxy.Do działania wdrożenia usługi AKS wymagane są pewne wykluczenia. Wyłączenie tych adresów URL może spowodować błędy we wdrożeniu usługi AKS.
Zapisz zaktualizowaną
noProxy
listę adresów URL w zmiennej programu PowerShell:$noProxy = "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com"
Krok 2. Tworzenie pakietu certyfikatu serwera proxy
Aby zaktualizować certyfikaty dla serwera proxy, utwórz nowy pakiet certyfikatów, a następnie zapisz ścieżkę do pliku w zmiennej programu PowerShell. Łączenie certyfikatów w jednym pliku crt w formacie PEM. Ten format ma zastosowanie do aktualizowania certyfikatów na hostach kontenerów systemu Linux.
Aby powiązać zaktualizowane certyfikaty serwera proxy:
Utwórz pojedynczy plik crt z dołączonymi certyfikatami dla hostów systemu Linux.
concatenate
Użyj polecenia (cat
) w następującym formacie:cat [leaf].crt [intermediate].crt [Root].crt > [bundle].crt
Należy połączyć certyfikaty w kolejności: certyfikat pośredni certyfikatu > liścia certyfikatu >głównego. Aby uzyskać szczegółowe wymagania dotyczące certyfikatów i przykład, zobacz Aktualizowanie pakietu certyfikatów dla wdrożenia usługi AKS.
Uwaga
Zawartość pliku certyfikatu nie jest weryfikowana. Dokładnie sprawdź, czy plik zawiera odpowiednie certyfikaty i jest w poprawnym formacie.
Zapisz ścieżkę do zaktualizowanego pakietu certyfikatów w zmiennej programu PowerShell:
$certFile ="/../[certificate-bundle].crt" # path to the bundled .crt file
Krok 3. Aktualizowanie ustawień serwera proxy
Następnym krokiem Set-AksHciProxySetting
jest użycie polecenia w celu zaktualizowania noProxy
ustawień i certyfikatów.
Przed zaktualizowaniem ustawień serwera proxy i certyfikatów upewnij się, że zmienne programu PowerShell mają odpowiednie zmiany:
echo $noProxy echo $certFile
Aby zaktualizować zarówno ustawienia serwera proxy, jak i certyfikaty serwera proxy, uruchom następujące polecenie:
Set-AksHciProxySetting -noProxy $noProxy -certFile $certFile
Krok 4. Stosowanie zaktualizowanych ustawień serwera proxy do wdrożenia usługi AKS
Aktualizacje globalnych ustawień serwera proxy i certyfikatu są stosowane automatycznie po zaktualizowaniu wdrożenia usługi AKS.
Aby zastosować aktualizacje serwera proxy:
Sprawdź, czy aktualizacja jest dostępna dla klastra zarządzania hostami usługi AKS, uruchamiając następujące polecenie:
Get-AksHciUpdates
Jeśli aktualizacja jest dostępna, zaktualizuj klaster zarządzania hostami usługi AKS, uruchamiając następujące polecenie. To polecenie stosuje zmiany serwera proxy w klastrze zarządzania hostami usługi AKS:
Update-AksHci
Zaktualizuj wszystkie klastry obciążeń we wdrożeniu usługi AKS. Zmiany serwera proxy nie zostaną zastosowane, chyba że zaktualizujesz klastry obciążeń.
Aby sprawdzić, czy są dostępne aktualizacje klastra obciążeń, uruchom następujące polecenie w każdym klastrze obciążeń usługi AKS:
Get-AksHciClusterUpdates -name mycluster
Jeśli aktualizacja jest dostępna (wersja rozwiązania Kubernetes lub zaktualizowany obraz systemu operacyjnego), zaktualizuj każdy z klastrów obciążeń, uruchamiając
Update-AksHciCluster
polecenie .Aby zaktualizować wersję platformy Kubernetes i wersję systemu operacyjnego w klastrze obciążenia, uruchom następujące polecenie:
Update-AksHciCluster -name mycluster
Aby zaktualizować system operacyjny bez aktualizowania wersji platformy Kubernetes, dołącz
-operatingSystem
parametr:Update-AksHciCluster -name mycluster -operatingSystem
Jeśli aktualizacja tylko obrazu systemu operacyjnego nie jest dostępna dla klastra obciążenia, nie będzie można zastosować zmian serwera proxy, chyba że zaktualizujesz wersję rozwiązania Kubernetes.
Następne kroki
Aby uzyskać więcej informacji na temat sieci w usłudze AKS włączonej przez usługę Arc, zobacz Pojęcia dotyczące sieci platformy Kubernetes.