Подключение к узлам кластера Службы Azure Kubernetes (AKS) для обслуживания или устранения неполадок

На протяжении всего жизненного цикла кластера Службы Azure Kubernetes (AKS) вам в конечном итоге потребуется напрямую получить доступ к узлу AKS. Этот доступ может быть для операций обслуживания, сбора журналов или устранения неполадок.

В этой статье описаны два варианта безопасного подключения к AKS Linux и #REF! узлам. Для одного из них требуется доступ к API Kubernetes, а другой — через API ARM AKS, который предоставляет прямые частные IP-адреса. По соображениям безопасности узлы AKS не подключены к Интернету. Вместо этого для непосредственного подключения к любым узлам AKS необходимо использовать частный IP-адрес узла.

Доступ к узлам с помощью API Kubernetes

Для этого метода требуется команда.

Прежде чем начать

В этом руководстве показано, как создать подключение к узлу AKS и обновить ключ SSH кластера AKS. Чтобы выполнить эти действия, вам потребуется Azure CLI версии 2.0.64 или более поздней. Чтобы узнать номер версии, выполните команду . Если необходимо установить или обновить, см. раздел Install Azure CLI.

Выполните эти действия, если у вас нет ключа SSH. Создайте ключ SSH в зависимости от образа ОС узла для macOS и Linux или #REF!. Сохраните пару ключей в формате OpenSSH и избегайте неподдерживаемых форматов, таких как . Затем перейдите к управлению конфигурацией SSH, чтобы добавить ключ в кластер.

Linux и macOS

Пользователи Linux и macOS могут получить доступ к своему узлу с помощью или частного IP-адреса. Пользователям #REF! следует перейти к разделу прокси-сервера #REF!, чтобы найти обходной способ для SSH через прокси.

Подключение с использованием kubectl debug

Чтобы создать интерактивное подключение оболочки, используйте команду для запуска привилегированного контейнера на узле.

1. Чтобы вывести список узлов, используйте команду:

   kubectl get nodes -o wide
   

   Образец вывода:

   NAME                                STATUS   ROLES   AGE    VERSION   INTERNAL-IP   EXTERNAL-IP   OS-IMAGE
   aks-nodepool1-37663765-vmss000000   Ready    agent   166m   v1.25.6   10.224.0.33   <none>        Ubuntu 22.04.2 LTS
   aks-nodepool1-37663765-vmss000001   Ready    agent   166m   v1.25.6   10.224.0.4    <none>        Ubuntu 22.04.2 LTS
   aksnpwin000000                      Ready    agent   160m   v1.25.6   10.224.0.62   <none>        Windows Server 2022 Datacenter
   

2. Используйте команду, чтобы запустить привилегированный контейнер на узле и подключиться к нему.

   kubectl debug node/aks-nodepool1-37663765-vmss000000 -it --image=mcr.microsoft.com/azurelinux/busybox:1.36
   

   Образец вывода:

   Creating debugging pod node-debugger-aks-nodepool1-37663765-vmss000000-bkmmx with container debugger on node aks-nodepool1-37663765-vmss000000.
   If you don't see a command prompt, try pressing enter.
   root@aks-nodepool1-37663765-vmss000000:/#
   

   Теперь у вас есть доступ к узлу через привилегированный контейнер в качестве отладочного пода.

   Примечание.

   Вы можете взаимодействовать с сеансом узла, запустив из привилегированного контейнера.

Выход из режима отладки kubectl

Когда вы закончите работу с узлом, введите команду , чтобы завершить интерактивный сеанс оболочки. После закрытия интерактивного сеанса контейнера удалите модуль pod отладки, используемый с .

kubectl delete pod node-debugger-aks-nodepool1-37663765-vmss000000-bkmmx

#REF! прокси-подключение для SSH

Выполните следующие действия в качестве обходного решения для подключения к SSH на узле #REF!.

Создание прокси-сервера

В настоящее время вы не можете подключиться к узлу #REF! напрямую с помощью kubectl debug. Вместо этого необходимо сначала подключиться к другому узлу в кластере с помощью kubectl, а затем подключиться к узлу #REF! из этого узла с помощью SSH.

Чтобы подключиться к другому узлу в кластере , используйте команду. Для получения дополнительной информации следуйте предыдущим шагам в разделе kubectl. Создайте подключение SSH к узлу #REF! с другого узла с помощью ключей SSH, предоставленных при создании кластера AKS и внутреннего IP-адреса узла #REF!.

Внимание

Следующие шаги по созданию подключения SSH к узлу #REF! с другого узла можно использовать только при создании кластера AKS с помощью Azure CLI с параметром --generate-ssh-keys. Если вы хотите использовать собственные ключи SSH, с помощью вы можете управлять ключами SSH в существующем кластере AKS. Дополнительные сведения см. в статье об управлении доступом к узлу SSH.

Примечание.

Если прокси-узел Linux отключен или не отвечает, используйте вместо этого метод Бастион Azure.

1. Используйте команду, чтобы запустить привилегированный контейнер на узле прокси-сервера (Linux) и подключиться к нему.

   kubectl debug node/aks-nodepool1-37663765-vmss000000 -it --image=mcr.microsoft.com/azurelinux/busybox:1.36
   

   Образец вывода:

   Creating debugging pod node-debugger-aks-nodepool1-37663765-vmss000000-bkmmx with container debugger on node aks-nodepool1-37663765-vmss000000.
   If you don't see a command prompt, try pressing enter.
   root@aks-nodepool1-37663765-vmss000000:/#
   

2. Откройте новое окно терминала и используйте команду, чтобы получить имя модуля pod, запущенного .

   kubectl get pods
   

   Образец вывода:

   NAME                                                    READY   STATUS    RESTARTS   AGE
   node-debugger-aks-nodepool1-37663765-vmss000000-bkmmx   1/1     Running   0          21s
   

   В примере выходных данных — это имя модуля pod, запущенного с помощью .

3. Используйте команду , чтобы открыть подключение к развернутой поду.

   kubectl port-forward node-debugger-aks-nodepool1-37663765-vmss000000-bkmmx 2022:22
   

   Образец вывода:

   Forwarding from 127.0.0.1:2022 -> 22
   Forwarding from [::1]:2022 -> 22
   

   В предыдущем примере начинается переадресация сетевого трафика с порта на компьютере разработки на порт в развернутом модуле pod. При использовании для установки подключения и пересылки сетевого трафика подключение остается открытым до тех пор, пока вы не остановите команду .

4. Откройте новый терминал и выполните команду kubectl get nodes, чтобы отобразить внутренний IP-адрес узла #REF!:

   kubectl get nodes -o custom-columns='NAME:metadata.name,INTERNAL_IP:status.addresses[?(@.type == "InternalIP")].address'
   

   Образец вывода:

   NAME                                INTERNAL_IP
   aks-nodepool1-19409214-vmss000003   10.224.0.8
   aksnpwin000000                      10.224.0.62
   

   В предыдущем примере 10.224.0.62 является внутренним IP-адресом узла #REF!.

5. Создайте подключение SSH к узлу #REF! с помощью внутреннего IP-адреса и подключитесь к порту 22 через порт 2022 на компьютере разработки. Имя пользователя по умолчанию для узлов AKS — azureuser. Примите приглашение, чтобы продолжить подключение. Затем вы получите запрос bash #REF! узла:

   ssh -o 'ProxyCommand ssh -p 2022 -W %h:%p azureuser@127.0.0.1' azureuser@10.224.0.62
   

   Образец вывода:

   The authenticity of host '10.224.0.62 (10.224.0.62)' can't be established.
   ECDSA key fingerprint is SHA256:1234567890abcdefghijklmnopqrstuvwxyzABCDEFG.
   Are you sure you want to continue connecting (yes/no)? yes
   

   Примечание.

   Если вы предпочитаете использовать проверку подлинности паролей, включите параметр . Например:

    ssh -o 'ProxyCommand ssh -p 2022 -W %h:%p azureuser@127.0.0.1' -o PreferredAuthentications=password azureuser@10.224.0.62
   

Использование контейнера процесса узла для доступа к узлу #REF!

1. Выполните следующий скрипт, чтобы создать . В скрипте замените AKSWINDOWSNODENAME именем узла AKS #REF!.

   Эта спецификация использует базовый образ nanoserver. Базовый образ не имеет PowerShell, но так как он выполняется в качестве контейнера процесса узла (HPC), PowerShell доступен на базовой виртуальной машине.

   apiVersion: v1
   kind: Pod
   metadata:
     labels:
       pod: hpc
     name: hpc
   spec:
     securityContext:
       windowsOptions:
         hostProcess: true
         runAsUserName: "NT AUTHORITY\\SYSTEM"
     hostNetwork: true
     containers:
       - name: hpc
         image: mcr.microsoft.com/windows/nanoserver:ltsc2022 # Use nanoserver:1809 for WS2019
         command:
           - powershell.exe
           - -Command
           - "Start-Sleep 2147483"
         imagePullPolicy: IfNotPresent
     nodeSelector:
       kubernetes.io/os: windows
       kubernetes.io/hostname: AKSWINDOWSNODENAME
     tolerations:
       - effect: NoSchedule
         key: node.kubernetes.io/unschedulable
         operator: Exists
       - effect: NoSchedule
         key: node.kubernetes.io/network-unavailable
         operator: Exists
       - effect: NoExecute
         key: node.kubernetes.io/unreachable
         operator: Exists
   

2. Запустите kubectl apply -f hostprocess.yaml, чтобы развернуть #REF! HPC в указанном узле #REF!.

3. Используйте .

4. Чтобы получить доступ к узлу #REF!, можно выполнить любые команды PowerShell в контейнере HPC.

Примечание.

Чтобы получить доступ к файлам в узле #REF!, необходимо переключить корневую папку на C:\ внутри контейнера HPC.

SSH с использованием Бастион Azure

Если ваш прокси-узел Linux недоступен, использование Бастион Azure в качестве прокси-сервера является альтернативой. Для этого метода требуется настроить узел Бастион Azure для виртуальной сети, в которой находится кластер. Дополнительные сведения см. в Подключение с Бастион Azure.

SSH с частными IP-адресами из виртуальной сети кластера

Для удобства узлы AKS предоставляются в виртуальной сети кластера через частные IP-адреса. Однако вам нужно находиться в виртуальной сети кластера, чтобы подключиться к узлу по SSH.

1. Если у вас нет доступа к API Kubernetes, вы можете получить доступ к таким свойствам, как API пула агентов AKS (доступно в стабильных версиях или более поздних версиях ), чтобы подключиться к узлам AKS. Получите частные IP-адреса с помощью команды, нацелив все виртуальные машины в определенном пуле узлов с флагом .

   az aks machine list --resource-group myResourceGroup  --cluster-name myAKSCluster --nodepool-name nodepool1 -o table
   

   В следующем примере выходных данных показаны внутренние IP-адреса всех узлов в пуле узлов:

   Name                               Ip           Family
   ---------------------------------  -----------  -----------
   aks-nodepool1-33555069-vmss000000  10.224.0.5   IPv4
   aks-nodepool1-33555069-vmss000001  10.224.0.6   IPv4
   aks-nodepool1-33555069-vmss000002  10.224.0.4   IPv4
   

   Чтобы нацелить определенный узел в пуле узлов, используйте флаг:

   az aks machine show --cluster-name myAKScluster --nodepool-name nodepool1 -g myResourceGroup --machine-name aks-nodepool1-33555069-vmss000000 -o table
   

   В следующем примере выходных данных показан внутренний IP-адрес указанного узла:

   Name                               Ip         Family
   ---------------------------------  -----------  -----------
   aks-nodepool1-33555069-vmss000000  10.224.0.5   IPv4
   

2. SSH на узел, используя частный IP-адрес, полученный на предыдущем шаге. Этот шаг применяется только к узлам Linux.

   ssh -i /path/to/private_key.pem azureuser@10.224.0.33
   

Следующие шаги

Если вам нужны дополнительные сведения об устранении неполадок, вы можете просмотреть журналы kubelet или просмотреть журналы плоскости управления Kubernetes.

Сведения об управлении ключами SSH см. в статье "Управление конфигурацией SSH".