Обновление параметров и сертификатов прокси-сервера

Область применения: AKS на Windows Server

В этой статье описывается обновление параметров прокси-сервера и сертификатов для развертывания в AKS на Windows Server. Каждое развертывание AKS имеет одну глобальную конфигурацию прокси-сервера. Вы можете добавить исключения с помощью noProxy параметра, чтобы исключить частные подсети (например, contoso.com) с помощью прокси-сервера и обновить сертификаты прокси-сервера для развертывания. Невозможно изменить параметры HTTP или HTTPS.

Сведения о начальной настройке прокси-сервера см. в разделе "Использование параметров прокси-сервера" в AKS Arc.

Параметры прокси-сервера, которые можно обновить

Прежде чем начать, ознакомьтесь с текущими ограничениями для обновлений параметров прокси-сервера, которые можно выполнить в AKS на Windows Server:

• AKS в Windows Server поддерживает одну глобальную конфигурацию прокси-сервера для развертывания AKS Arc. При обновлении параметров прокси-сервера они обновляются для всего развертывания AKS Arc.
• Можно обновлять только параметры noProxy, которые используются для исключения частной подсети из использования прокси-сервера, а также сертификаты прокси-сервера. Параметры прокси-сервера HTTP и HTTPs нельзя обновить.
• Вы не можете настроить различные параметры прокси-сервера для определенного пула узлов или кластера рабочей нагрузки. Аналогичным образом невозможно обновить параметры прокси-сервера для определенного пула узлов или кластера рабочей нагрузки.
• Обновления параметров прокси-сервера применяются только после обновления всего развертывания AKS. Необходимо обновить кластер управления узлами AKS и все кластеры рабочих нагрузок AKS. Чтобы проверить доступность обновления, используйте командлет модуля PowerShell AKS Get-AksHciClusterUpdates.

Предварительные условия

Перед обновлением параметров прокси-сервера для развертывания AKS необходимо выполнить следующие предварительные требования:

• Развертывание AKS работает на обновлении от октября 2022 года или более позднем.
• Установлена последняя версия модуля PowerShell AksHci. Дополнительные сведения см. в разделе "Установка модуля PowerShell AksHci".
• Хотя бы одно обновление доступно для развертывания AKS. Обновления параметров и сертификатов прокси-сервера применяются автоматически после применения обновлений к развертыванию AKS. Чтобы проверить наличие доступных обновлений, выполните Get-AksHciClusterUpdates команду в модуле AksHci PowerShell.

Шаг 1. Создание нового списка исключений noProxy

Иногда может потребоваться обновить noProxy параметры, чтобы исключить использование частной подсети через прокси-сервер для развертывания AKS. Чтобы подготовиться к обновлению noProxy параметров, сохраните новый список исключений в переменной PowerShell.

1. Перед обновлением noProxy параметров просмотрите необходимые noProxy параметры в таблице исключений прокси-сервера. Дополнительные сведения см. в списке исключений для исключения частных подсетей от отправки на прокси-сервер.

   Для выполнения развертывания AKS требуются некоторые исключения. Не исключение этих URL-адресов может привести к сбоям в развертывании AKS.

2. Сохраните обновленный noProxy список URL-адресов в переменной PowerShell:

   $noProxy = "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com"
   

Шаг 2. Создание пакета сертификатов прокси-сервера

Чтобы обновить сертификаты для прокси-сервера, создайте новый пакет сертификатов и сохраните путь к файлу в переменной PowerShell. Объедините сертификаты в один CRT-файл в формате PEM. Этот формат применим для обновления сертификатов на узлах контейнеров Linux.

Чтобы упаковать обновленные сертификаты прокси-сервера, выполните приведенные далее действия.

1. Создайте один CRT-файл с пакетными сертификатами для узлов Linux. concatenate Используйте команду (cat) со следующим форматом:

   cat [leaf].crt  [intermediate].crt  [Root].crt > [bundle].crt
   

   Необходимо объединить сертификаты в порядке: листовой сертификат > промежуточный сертификат > корневой сертификат. Подробные требования к сертификату и пример см. в разделе "Обновление пакета сертификатов" для развертывания AKS.

   Примечание.

   Содержимое файла сертификата не проверяется. Внимательно проверьте, что файл содержит правильные сертификаты и имеет правильный формат.

2. Сохраните путь к обновленному пакету сертификатов в переменной PowerShell:

   $certFile ="/../[certificate-bundle].crt" # path to the bundled .crt file
   

Шаг 3. Обновление параметров прокси-сервера

Следующий шаг — использовать Set-AksHciProxySetting команду для обновления noProxy параметров и сертификатов.

1. Перед обновлением параметров и сертификатов прокси-сервера убедитесь, что переменные PowerShell имеют правильные изменения:

   echo $noProxy
   echo $certFile
   

2. Чтобы обновить параметры прокси-сервера и сертификаты прокси-сервера, выполните следующую команду:

   Set-AksHciProxySetting -noProxy $noProxy -certFile $certFile
   

Шаг 4. Применение обновленных параметров прокси-сервера к развертыванию AKS

Обновления глобальных параметров прокси-сервера и сертификата применяются автоматически после обновления развертывания AKS.

Чтобы применить обновления прокси-сервера, выполните следующие действия.

1. Проверьте, доступно ли обновление для кластера управления узлами AKS, выполнив следующую команду:

   Get-AksHciUpdates
   

2. Если обновление доступно, обновите кластер управления узлами AKS, выполнив следующую команду. Эта команда применяет изменения прокси-сервера в кластере управления узлами AKS:

   Update-AksHci
   

3. Обновите в вашем развертывании AKS все кластеры рабочей нагрузки. Изменения прокси-сервера не будут применяться, если вы не обновляете кластеры рабочей нагрузки.

   1. Чтобы проверить доступность обновлений кластера рабочей нагрузки, выполните следующую команду в каждом из кластеров рабочих нагрузок AKS:

      Get-AksHciClusterUpdates -name mycluster
      

   2. Если обновление доступно (версия Kubernetes или обновленный образ ОС), обновите каждый кластер рабочей нагрузки, выполнив Update-AksHciCluster команду.

      • Чтобы обновить версию Kubernetes и версию ОС в кластере рабочей нагрузки, выполните следующую команду:

        Update-AksHciCluster -name mycluster
        

      • Чтобы обновить ОС без обновления версии Kubernetes, включите -operatingSystem параметр:

        Update-AksHciCluster -name mycluster -operatingSystem
        

        Если обновление только образа ОС недоступно для кластера рабочей нагрузки, вы не сможете применить изменения прокси-сервера, если только вы не обновите версию Kubernetes.

Следующие шаги

Дополнительные сведения о сети в AKS в Windows Server см. в концепциях сети Kubernetes.