Obsługa serwera proxy HTTP w usłudze Azure Kubernetes Service (AKS)
Artykuł
Z tego artykułu dowiesz się, jak skonfigurować klastry usługi Azure Kubernetes Service (AKS) do korzystania z serwera proxy HTTP na potrzeby wychodzącego dostępu do Internetu.
Klastry AKS wdrożone w zarządzanych lub niestandardowych sieciach wirtualnych mają pewne zależności wychodzące, które są niezbędne do prawidłowego działania, co spowodowało problemy w środowiskach wymagających dostępu do Internetu do kierowania za pośrednictwem serwerów proxy HTTP. Węzły nie miały możliwości uruchamiania aplikacji konfiguracji, zmiennych środowiskowych i certyfikatów niezbędnych do uzyskiwania dostępu do usług internetowych.
Funkcja serwera proxy HTTP dodaje obsługę serwera proxy HTTP do klastrów usługi AKS, uwidaczniając prosty interfejs, którego można użyć do zabezpieczenia ruchu sieciowego wymaganego przez usługę AKS w środowiskach zależnych od serwera proxy. W przypadku tej funkcji zarówno węzły usługi AKS, jak i zasobniki są skonfigurowane do korzystania z serwera proxy HTTP. Ta funkcja umożliwia również instalację zaufanego urzędu certyfikacji na węzłach w ramach uruchamiania klastra. Bardziej złożone rozwiązania mogą wymagać utworzenia łańcucha zaufania w celu ustanowienia bezpiecznej komunikacji w sieci.
Ograniczenia i istotne zagadnienia
Następujące scenariusze nie są obsługiwane:
Różne konfiguracje serwera proxy na pulę węzłów
Uwierzytelnianie użytkownika/hasła
Niestandardowe urzędy certyfikacji (CA) na potrzeby komunikacji z serwerem interfejsu API
Konfigurowanie istniejących klastrów usługi AKS za pomocą serwera proxy HTTP nie jest obsługiwane; Funkcja serwera proxy HTTP musi być włączona w czasie tworzenia klastra.
Klastry oparte na systemie Windows
Pule węzłów korzystające z zestawów dostępności maszyn wirtualnych (VMAS)
Używanie symbolu * jako symbolu wieloznakowego dołączonego do sufiksu domeny dla elementu noProxy
httpProxy, httpsProxyi trustedCa nie mają wartości domyślnie. Zasobniki są wstrzykiwane z następującymi zmiennymi środowiskowymi:
HTTP_PROXY
http_proxy
HTTPS_PROXY
https_proxy
NO_PROXY
no_proxy
Aby wyłączyć iniekcję zmiennych środowiskowych serwera proxy, należy dodać adnotację do zasobnika za pomocą polecenia "kubernetes.azure.com/no-http-proxy-vars":"true".
Zanim rozpoczniesz
Potrzebna jest najnowsza wersja interfejsu wiersza polecenia platformy Azure. Uruchom polecenie az --version , aby znaleźć wersję i uruchomić polecenie az upgrade , aby uaktualnić wersję. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
Pliki systemu operacyjnego wymagane do aktualizacji konfiguracji serwera proxy można aktualizować tylko podczas procesu uaktualniania obrazu węzła. Po skonfigurowaniu serwera proxy należy uaktualnić obraz węzła, aby zastosować zmiany. Aby uzyskać więcej informacji, zobacz Uaktualnianie obrazów węzłów usługi AKS.
Konfigurowanie serwera proxy HTTP przy użyciu interfejsu wiersza polecenia platformy Azure
Klaster usługi AKS można skonfigurować za pomocą serwera proxy HTTP podczas tworzenia klastra przy użyciu az aks create polecenia i przekazać konfigurację jako plik JSON.
httpProxy: adres URL serwera proxy używany do tworzenia połączeń HTTP poza klastrem. Schemat adresu URL musi mieć wartość http.
httpsProxy: adres URL serwera proxy używany do tworzenia połączeń HTTPS poza klastrem. Jeśli nie zostanie określony, httpProxy jest używany zarówno dla połączeń HTTP, jak i HTTPS.
noProxy: lista docelowych nazw domen, domen, adresów IP lub innych reguł CIDR sieci do wykluczenia serwera proxy.
trustedCa: ciąg zawierający zawartość alternatywnego certyfikatu base64 encoded urzędu certyfikacji. Obecnie obsługiwany jest tylko PEM format.
Ważne
Aby zapewnić zgodność ze składnikami opartymi na języku Go, które są częścią systemu Kubernetes, certyfikat musi obsługiwaćSubject Alternative Names(SANs) zamiast przestarzałych certyfikatów nazwy pospolitej.
Istnieją różnice w aplikacjach w zakresie zgodności ze zmienną środowiskową http_proxy, https_proxyi no_proxy. Narzędzia Curl i Python nie obsługują trasy CIDR w systemie no_proxy, ale język Ruby.
Przykładowe dane wejściowe:
Uwaga
Certyfikat urzędu certyfikacji powinien być ciągiem zakodowanym w formacie base64 zawartości certyfikatu formatu PEM.
Utwórz plik i podaj wartości dla httpProxy, httpsProxyi noProxy. Jeśli środowisko tego wymaga, podaj wartość .trustedCa Następnie możesz wdrożyć klaster przy użyciu az aks create polecenia z parametrem --http-proxy-config ustawionym na utworzony plik. Klaster powinien zostać zainicjowany przy użyciu serwera proxy HTTP skonfigurowanego w węzłach.
az aks create \
--name $clusterName \
--resource-group $resourceGroup \
--http-proxy-config aks-proxy-config.json \
--generate-ssh-keys
Konfigurowanie serwera proxy HTTP przy użyciu szablonu usługi Azure Resource Manager (ARM)
Klaster usługi AKS można wdrożyć za pomocą serwera proxy HTTP przy użyciu szablonu usługi ARM. Ten sam schemat używany do wdrażania interfejsu Microsoft.ContainerService/managedClusters wiersza polecenia istnieje w definicji w "properties"obszarze , jak pokazano w poniższym przykładzie:
W szablonie podaj wartości , httpProxyhttpsProxyi noProxy. W razie potrzeby podaj wartość .trustedCa Następnie możesz wdrożyć szablon. Klaster powinien zostać zainicjowany przy użyciu serwera proxy HTTP skonfigurowanego w węzłach.
Serwer proxy HTTP dodatku Istio dla usług zewnętrznych
Jeśli używasz dodatku siatki usług opartej na architekturze Istio dla usługi AKS, musisz utworzyć wpis usługi, aby umożliwić aplikacjom w siatce dostęp do zasobów innych niż klaster lub zasoby zewnętrzne za pośrednictwem serwera proxy HTTP. Na przykład:
Utwórz plik i podaj wartości dla PROXY_IP i PROXY_PORT. Wpis usługi można wdrożyć przy użyciu polecenia
kubectl apply -f service_proxy.yaml
Aktualizowanie konfiguracji serwera proxy
Uwaga
W przypadku przełączenia na nowy serwer proxy nowy serwer proxy musi już istnieć, aby aktualizacja zakończyła się pomyślnie. Po zakończeniu uaktualniania można usunąć stary serwer proxy.
Konfigurację serwera proxy w klastrze można zaktualizować przy użyciu az aks update polecenia z --http-proxy-config parametrem ustawionym na nowy plik JSON ze zaktualizowanymi wartościami , httpsProxyhttpProxy, noProxyi trustedCa w razie potrzeby. Aktualizacja wprowadza nowe zmienne środowiskowe do zasobników przy użyciu nowych httpProxywartości , httpsProxylub noProxy . Zasobniki muszą być obracane, aby aplikacje je pobierały, ponieważ wartości zmiennych środowiskowych są wstrzykiwane przez zmutowany element webhook wstępu. W przypadku składników w ramach platformy Kubernetes, takich jak kontenery i sam węzeł, nie ma to wpływu do momentu przeprowadzenia uaktualnienia obrazu węzła.
Załóżmy na przykład, że utworzono nowy plik z zakodowanym ciągiem base64 nowego certyfikatu urzędu certyfikacji o nazwie aks-proxy-config-2.json. Konfigurację serwera proxy w klastrze można zaktualizować za pomocą następującego polecenia:
az aks update --name $clusterName --resource-group $resourceGroup --http-proxy-config aks-proxy-config-2.json
Uaktualnianie obrazów węzłów usługi AKS
Po skonfigurowaniu serwera proxy należy uaktualnić obraz węzła, aby zastosować zmiany. Proces uaktualniania obrazu węzła to jedyny sposób aktualizowania plików systemu operacyjnego wymaganych do aktualizacji konfiguracji serwera proxy. Proces uaktualniania obrazu węzła to uaktualnienie stopniowe, które aktualizuje obraz systemu operacyjnego w każdym węźle w puli węzłów. Płaszczyzna sterowania usługi AKS obsługuje proces uaktualniania, który nie jestdisrupcyjny dla uruchomionych aplikacji.
Aby uaktualnić obrazy węzłów usługi AKS, zobacz Uaktualnianie obrazów węzłów usługi Azure Kubernetes Service (AKS).
Monitorowanie konfiguracji dodatku
Serwer proxy HTTP z dodatkiem monitorowania obsługuje następujące konfiguracje:
Wychodzący serwer proxy bez uwierzytelniania
Wychodzący serwer proxy z uwierzytelnianiem nazwy użytkownika i hasła
Wychodzący serwer proxy z zaufanym certyfikatem dla punktu końcowego usługi Log Analytics
Następujące konfiguracje nie są obsługiwane:
Metryki niestandardowe i zalecane funkcje alertów podczas korzystania z serwera proxy z zaufanymi certyfikatami
Źródło tej zawartości można znaleźć w witrynie GitHub, gdzie można również tworzyć i przeglądać problemy i żądania ściągnięcia. Więcej informacji znajdziesz w naszym przewodniku dla współtwórców.
Opinia o produkcie Azure Kubernetes Service
Azure Kubernetes Service to projekt typu open source. Wybierz link, aby przekazać opinię:
Użyj usługi Azure Policy, aby wymusić zasady i zabezpieczenia w klastrach Kubernetes na dużą skalę. Usługa Azure Policy zapewnia, że klaster jest bezpieczny, zgodny i spójny w całej organizacji.