Udostępnij za pośrednictwem


Aktualizowanie ustawień serwera proxy i certyfikatów

Dotyczy: AKS na Azure Local 22H2, AKS na Windows Server

W tym artykule opisano sposób aktualizowania ustawień serwera proxy i certyfikatów dla wdrożenia w usłudze AKS włączonej przez usługę Azure Arc. Każde wdrożenie usługi AKS ma jedną globalną konfigurację serwera proxy. Wykluczenia można dodawać przy użyciu parametru noProxy , aby wykluczyć podsieci prywatne (na przykład contoso.com) z używania serwera proxy i zaktualizować certyfikaty serwera proxy dla wdrożenia. Nie można zmienić ustawień protokołu HTTP lub HTTPS.

Aby uzyskać informacje na temat początkowej konfiguracji serwera proxy, zobacz Używanie ustawień serwera proxy w usłudze AKS Arc.

Ustawienia serwera proxy, które można zaktualizować

Przed rozpoczęciem przejrzyj bieżące ograniczenia dotyczące aktualizacji ustawień serwera proxy, które można wykonać w usłudze AKS włączonej przez usługę Arc:

  • Usługa AKS włączona przez usługę Arc obsługuje jedną globalną konfigurację serwera proxy na wdrożenie usługi AKS Arc. Podczas aktualizowania ustawień serwera proxy są one aktualizowane dla całego wdrożenia usługi AKS Arc.
  • Można aktualizować noProxy tylko ustawienia, które są używane do wykluczania podsieci prywatnej z używania serwera proxy i certyfikatów serwera proxy. Nie można zaktualizować ustawień serwera proxy protokołu HTTP i protokołu HTTPs.
  • Nie można skonfigurować różnych ustawień serwera proxy dla określonej puli węzłów lub klastra obciążenia. Podobnie nie można zaktualizować ustawień serwera proxy dla określonej puli węzłów ani klastra obciążenia.
  • Aktualizacje ustawień serwera proxy są stosowane tylko po zaktualizowaniu całego wdrożenia usługi AKS. Należy zaktualizować klaster zarządzania hostami usługi AKS i wszystkie klastry obciążeń usługi AKS. Aby sprawdzić, czy aktualizacja jest dostępna, użyj polecenia cmdlet modułu programu PowerShell usługi AKS Get-AksHciClusterUpdates.

Wymagania wstępne

Przed zaktualizowaniem ustawień serwera proxy dla wdrożenia usługi AKS należy spełnić następujące wymagania wstępne:

  • Wdrożenie usługi AKS uruchamia aktualizację z października 2022 r. lub nowszą.
  • Zainstalowano najnowszą wersję modułu AksHci Programu PowerShell. Aby uzyskać więcej informacji, zobacz Instalowanie modułu AksHci programu PowerShell.
  • Co najmniej jedna aktualizacja jest dostępna dla wdrożenia usługi AKS. Aktualizacje ustawień serwera proxy i certyfikatów są stosowane automatycznie po zastosowaniu aktualizacji do wdrożenia usługi AKS. Aby sprawdzić dostępne aktualizacje, uruchom Get-AksHciClusterUpdates polecenie w module AksHci programu PowerShell.

Krok 1. Tworzenie nowej listy wykluczeń noProxy

Czasami może być konieczne zaktualizowanie noProxy ustawień, aby wykluczyć podsieć prywatną z używania serwera proxy dla wdrożenia usługi AKS. Aby przygotować się do zaktualizowania noProxy ustawień, zapisz nową listę wykluczeń w zmiennej programu PowerShell.

  1. Przed zaktualizowaniem noProxy ustawień przejrzyj wymagane noProxy ustawienia w tabeli wykluczeń serwera proxy. Aby uzyskać więcej informacji, zobacz Lista wykluczeń wykluczająca podsieci prywatne z wysyłania do serwera proxy.

    Do działania wdrożenia usługi AKS wymagane są pewne wykluczenia. Wyłączenie tych adresów URL może spowodować błędy we wdrożeniu usługi AKS.

  2. Zapisz zaktualizowaną noProxy listę adresów URL w zmiennej programu PowerShell:

    $noProxy = "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com"
    

Krok 2. Tworzenie pakietu certyfikatu serwera proxy

Aby zaktualizować certyfikaty dla serwera proxy, utwórz nowy pakiet certyfikatów, a następnie zapisz ścieżkę do pliku w zmiennej programu PowerShell. Łączenie certyfikatów w jednym pliku crt w formacie PEM. Ten format ma zastosowanie do aktualizowania certyfikatów na hostach kontenerów systemu Linux.

Aby powiązać zaktualizowane certyfikaty serwera proxy:

  1. Utwórz pojedynczy plik crt z dołączonymi certyfikatami dla hostów systemu Linux. concatenate Użyj polecenia (cat) w następującym formacie:

    cat [leaf].crt  [intermediate].crt  [Root].crt > [bundle].crt
    

    Należy połączyć certyfikaty w kolejności: certyfikat pośredni certyfikatu > liścia certyfikatu >głównego. Aby uzyskać szczegółowe wymagania dotyczące certyfikatów i przykład, zobacz Aktualizowanie pakietu certyfikatów dla wdrożenia usługi AKS.

    Uwaga

    Zawartość pliku certyfikatu nie jest weryfikowana. Dokładnie sprawdź, czy plik zawiera odpowiednie certyfikaty i jest w poprawnym formacie.

  2. Zapisz ścieżkę do zaktualizowanego pakietu certyfikatów w zmiennej programu PowerShell:

    $certFile ="/../[certificate-bundle].crt" # path to the bundled .crt file
    

Krok 3. Aktualizowanie ustawień serwera proxy

Następnym krokiem Set-AksHciProxySetting jest użycie polecenia w celu zaktualizowania noProxy ustawień i certyfikatów.

  1. Przed zaktualizowaniem ustawień serwera proxy i certyfikatów upewnij się, że zmienne programu PowerShell mają odpowiednie zmiany:

    echo $noProxy
    echo $certFile
    
  2. Aby zaktualizować zarówno ustawienia serwera proxy, jak i certyfikaty serwera proxy, uruchom następujące polecenie:

    Set-AksHciProxySetting -noProxy $noProxy -certFile $certFile
    

Krok 4. Stosowanie zaktualizowanych ustawień serwera proxy do wdrożenia usługi AKS

Aktualizacje globalnych ustawień serwera proxy i certyfikatu są stosowane automatycznie po zaktualizowaniu wdrożenia usługi AKS.

Aby zastosować aktualizacje serwera proxy:

  1. Sprawdź, czy aktualizacja jest dostępna dla klastra zarządzania hostami usługi AKS, uruchamiając następujące polecenie:

    Get-AksHciUpdates
    
  2. Jeśli aktualizacja jest dostępna, zaktualizuj klaster zarządzania hostami usługi AKS, uruchamiając następujące polecenie. To polecenie stosuje zmiany serwera proxy w klastrze zarządzania hostami usługi AKS:

    Update-AksHci
    
  3. Zaktualizuj wszystkie klastry obciążeń we wdrożeniu usługi AKS. Zmiany serwera proxy nie zostaną zastosowane, chyba że zaktualizujesz klastry obciążeń.

    1. Aby sprawdzić, czy są dostępne aktualizacje klastra obciążeń, uruchom następujące polecenie w każdym klastrze obciążeń usługi AKS:

      Get-AksHciClusterUpdates -name mycluster
      
    2. Jeśli aktualizacja jest dostępna (wersja rozwiązania Kubernetes lub zaktualizowany obraz systemu operacyjnego), zaktualizuj każdy z klastrów obciążeń, uruchamiając Update-AksHciCluster polecenie .

      • Aby zaktualizować wersję platformy Kubernetes i wersję systemu operacyjnego w klastrze obciążenia, uruchom następujące polecenie:

        Update-AksHciCluster -name mycluster
        
      • Aby zaktualizować system operacyjny bez aktualizowania wersji platformy Kubernetes, dołącz -operatingSystem parametr:

        Update-AksHciCluster -name mycluster -operatingSystem
        

        Jeśli aktualizacja tylko obrazu systemu operacyjnego nie jest dostępna dla klastra obciążenia, nie będzie można zastosować zmian serwera proxy, chyba że zaktualizujesz wersję rozwiązania Kubernetes.

Następne kroki

Aby uzyskać więcej informacji na temat sieci w usłudze AKS włączonej przez usługę Arc, zobacz Pojęcia dotyczące sieci platformy Kubernetes.