Privat anslutning för Arc-aktiverade Kubernetes-kluster med privat länk (förhandsversion)

  • Artikel

Med Azure Private Link kan du på ett säkert sätt länka Azure-tjänster till ditt virtuella nätverk med hjälp av privata slutpunkter. Det innebär att du kan ansluta dina lokala Kubernetes-kluster till Azure Arc och skicka all trafik via en Azure ExpressRoute- eller plats-till-plats-VPN-anslutning i stället för att använda offentliga nätverk. I Azure Arc kan du använda en Private Link-omfångsmodell för att tillåta att flera Kubernetes-kluster kommunicerar med sina Azure Arc-resurser med hjälp av en enda privat slutpunkt.

Det här dokumentet beskriver när du ska använda och hur du konfigurerar Azure Arc Private Link (förhandsversion).

Viktigt!

Funktionen Azure Arc Private Link är för närvarande i förhandsversion i alla regioner där Azure Arc-aktiverade Kubernetes finns, förutom Sydostasien. Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Fördelar

Med Private Link kan du:

  • Anslut privat till Azure Arc utan att öppna någon offentlig nätverksåtkomst.
  • Se till att data från Det Arc-aktiverade Kubernetes-klustret endast nås via auktoriserade privata nätverk.
  • Förhindra dataexfiltrering från dina privata nätverk genom att definiera specifika Azure Arc-aktiverade Kubernetes-kluster och andra Azure-tjänstresurser, till exempel Azure Monitor, som ansluter via din privata slutpunkt.
  • Anslut ditt privata lokala nätverk på ett säkert sätt till Azure Arc med Hjälp av ExpressRoute och Private Link.
  • Behåll all trafik i Microsoft Azure-stamnätverket.

Mer information finns i Viktiga fördelar med Azure Private Link.

Så här fungerar det

Azure Arc Private Link-omfånget ansluter privata slutpunkter (och de virtuella nätverk som de finns i) till en Azure-resurs, i det här fallet Azure Arc-aktiverade Kubernetes-kluster. När du aktiverar något av de Arc-aktiverade Kubernetes-klustertillägg som stöds, till exempel Azure Monitor, kan det krävas anslutning till andra Azure-resurser för dessa scenarier. När det till exempel gäller Azure Monitor skickas loggarna som samlas in från klustret till Log Analytics-arbetsytan.

Anslut ivity to the other Azure resources from an Arc-enabled Kubernetes cluster listed earlier requiresfiguring Private Link for each service. Ett exempel finns i Private Link för Azure Monitor.

Aktuella begränsningar

Tänk på de aktuella begränsningarna när du planerar konfigurationen av Private Link.

  • Du kan associera högst ett Azure Arc Private Link-omfång med ett virtuellt nätverk.

  • Ett Azure Arc-aktiverat Kubernetes-kluster kan bara ansluta till ett Azure Arc Private Link-omfång.

  • Alla lokala Kubernetes-kluster måste använda samma privata slutpunkt genom att matcha rätt privat slutpunktsinformation (FQDN-postnamn och privat IP-adress) med samma DNS-vidarebefordrare. Mer information finns i DNS-konfiguration för privat slutpunkt i Azure. Det Azure Arc-aktiverade Kubernetes-klustret, Azure Arc Private Link-omfånget och det virtuella nätverket måste finnas i samma Azure-region. Den privata slutpunkten och det virtuella nätverket måste också finnas i samma Azure-region, men den här regionen kan skilja sig från azure Arc Private Link-omfånget och Det Arc-aktiverade Kubernetes-klustret.

  • Trafik till Microsoft Entra-ID, Azure Resource Manager och Microsoft Container Registry-tjänsttaggar måste tillåtas via din lokala nätverksbrandvägg under förhandsversionen.

  • Andra Azure-tjänster som du ska använda, till exempel Azure Monitor, kräver egna privata slutpunkter i ditt virtuella nätverk.

    Kommentar

    Funktionen Kluster Anslut (och därmed anpassad plats) stöds inte i Azure Arc-aktiverade Kubernetes-kluster med privat anslutning aktiverat. Detta planeras och läggs till senare. Nätverksanslutning med privata länkar för Azure Arc-tjänster som Azure Arc-aktiverade datatjänster och Azure Arc-aktiverade apptjänster som använder dessa funktioner stöds inte heller ännu. Se avsnittet nedan för en lista över klustertillägg eller Azure Arc-tjänster som stöder nätverksanslutning via privata länkar.

I Azure Arc-aktiverade Kubernetes-kluster som konfigurerats med privata länkar stöder följande tillägg anslutningar från slutpunkt till slutpunkt via privata länkar. Se vägledningen som är länkad till varje klustertillägg för ytterligare konfigurationssteg och information om stöd för privata länkar.

Om du vill ansluta ditt Kubernetes-kluster till Azure Arc via en privat länk måste du konfigurera nätverket för att göra följande:

  1. Upprätta en anslutning mellan ditt lokala nätverk och ett virtuellt Azure-nätverk med hjälp av en plats-till-plats-VPN - eller ExpressRoute-krets .
  2. Distribuera ett Azure Arc Private Link-omfång som styr vilka Kubernetes-kluster som kan kommunicera med Azure Arc via privata slutpunkter och associera det med ditt virtuella Azure-nätverk med hjälp av en privat slutpunkt.
  3. Uppdatera DNS-konfigurationen i det lokala nätverket för att lösa de privata slutpunktsadresserna.
  4. Konfigurera din lokala brandvägg för att tillåta åtkomst till Microsoft Entra-ID, Azure Resource Manager och Microsoft Container Registry.
  5. Associera Azure Arc-aktiverade Kubernetes-kluster med Azure Arc Private Link-omfånget.
  6. Du kan också distribuera privata slutpunkter för andra Azure-tjänster som ditt Azure Arc-aktiverade Kubernetes-kluster hanteras av, till exempel Azure Monitor. Resten av det här dokumentet förutsätter att du redan har konfigurerat din ExpressRoute-krets eller vpn-anslutning från plats till plats.

Konfiguration av nätverk

Azure Arc-aktiverade Kubernetes integreras med flera Azure-tjänster för att få molnhantering och styrning till dina Kubernetes-hybridkluster. De flesta av dessa tjänster erbjuder redan privata slutpunkter, men du måste konfigurera dina brandväggs- och routningsregler för att tillåta åtkomst till Microsoft Entra-ID och Azure Resource Manager via Internet tills dessa tjänster erbjuder privata slutpunkter. Du måste också tillåta åtkomst till Microsoft Container Registry (och AzureFrontDoor.FirstParty som föregångare för Microsoft Container Registry) för att hämta avbildningar och Helm-diagram för att aktivera tjänster som Azure Monitor, samt för inledande installation av Azure Arc-agenter i Kubernetes-kluster.

Det finns två sätt att uppnå detta:

  • Om nätverket är konfigurerat för att dirigera all internetbunden trafik via Azure VPN- eller ExpressRoute-kretsen kan du konfigurera nätverkssäkerhetsgruppen (NSG) som är associerad med ditt undernät i Azure för att tillåta utgående TCP 443-åtkomst (HTTPS) till Microsoft Entra ID, Azure Resource Manager, Azure Front Door och Microsoft Container Registry med hjälp av tjänsttaggar. NSG-reglerna bör se ut så här:

    Inställning Microsoft Entra ID-regel Azure Resource Manager-regel AzureFrontDoorFirstParty-regel Microsoft Container Registry-regel
    Källa Virtual Network Virtual Network Virtual Network Virtual Network
    Källportintervall * * * *
    Mål Service Tag Service Tag Service Tag Service Tag
    Måltjänsttagg AzureActiveDirectory AzureResourceManager AzureFrontDoor.FirstParty MicrosoftContainerRegistry
    Målportintervall 443 443 443 443
    Protokoll TCP TCP TCP TCP
    Åtgärd Tillåt Tillåt Tillåt (både inkommande och utgående) Tillåt
    Prioritet 150 (måste vara lägre än alla regler som blockerar Internetåtkomst) 151 (måste vara lägre än alla regler som blockerar Internetåtkomst) 152 (måste vara lägre än alla regler som blockerar Internetåtkomst) 153 (måste vara lägre än alla regler som blockerar Internetåtkomst)
    Name AllowAADOutboundAccess TillåtAzOutboundAccess TillåtAzureFrontDoorFirstPartyAccess AllowMCROutboundAccess

  • Konfigurera brandväggen i ditt lokala nätverk för att tillåta utgående TCP 443-åtkomst (HTTPS) till Microsoft Entra ID, Azure Resource Manager och Microsoft Container Registry samt inkommande och utgående åtkomst till AzureFrontDoor.FirstParty med hjälp av de nedladdningsbara tjänsttaggfilerna. JSON-filen innehåller alla offentliga IP-adressintervall som används av Microsoft Entra ID, Azure Resource Manager, AzureFrontDoor.FirstParty och Microsoft Container Registry och uppdateras varje månad för att återspegla eventuella ändringar. Microsoft Entra-tjänsttaggen är AzureActiveDirectory, Azure Resource Manager-tjänsttaggen är AzureResourceManager, Microsoft Container Registrys tjänsttagg är MicrosoftContainerRegistry och Azure Front Door-tjänsttaggen är AzureFrontDoor.FirstParty. Kontakta nätverksadministratören och nätverksbrandväggsleverantören för att lära dig hur du konfigurerar brandväggsregler.

  1. Logga in på Azure-portalen.

  2. Gå till Skapa en resurs i Azure-portalen och sök sedan efter Azure Arc Private Link-omfång. Eller så kan du gå direkt till sidan Omfång för Azure Arc Private Link i portalen.

  3. Välj Skapa.

  4. Välj en prenumeration och resursgrupp. Under förhandsversionen måste ditt virtuella nätverk och Azure Arc-aktiverade Kubernetes-kluster finnas i samma prenumeration som Azure Arc Private Link-omfånget.

  5. Ge Azure Arc Private Link-omfånget ett namn.

  6. Du kan också kräva att alla Arc-aktiverade Kubernetes-kluster som är associerade med det här Azure Arc Private Link-omfånget skickar data till tjänsten via den privata slutpunkten. Om du väljer Aktivera åtkomst till offentligt nätverk kan Kubernetes-kluster som är associerade med det här Azure Arc Private Link-omfånget kommunicera med tjänsten via både privata eller offentliga nätverk. Du kan ändra den här inställningen när du har skapat omfånget efter behov.

  7. Välj Granska + skapa.

    Screenshot of the Azure Arc Private Link Scope creation screen in the Azure portal.

  8. När verifieringen är klar väljer du Skapa.

Skapa en privat slutpunkt

När ditt Azure Arc Private Link-omfång har skapats måste du ansluta det till ett eller flera virtuella nätverk med hjälp av en privat slutpunkt. Den privata slutpunkten exponerar åtkomsten till Azure Arc-tjänsterna på en privat IP-adress i det virtuella nätverkets adressutrymme.

Med den privata slutpunkten i det virtuella nätverket kan den nå Azure Arc-aktiverade Kubernetes-klusterslutpunkter via privata IP-adresser från nätverkets pool, i stället för att använda till offentliga IP-adresser för dessa slutpunkter. På så sätt kan du fortsätta att använda dina Azure Arc-aktiverade Kubernetes-kluster utan att öppna ditt virtuella nätverk för obestridd utgående trafik. Trafik från den privata slutpunkten till dina resurser går via Microsoft Azure och dirigeras inte till offentliga nätverk.

  1. I omfångsresursen väljer du Privata slutpunktsanslutningar på den vänstra resursmenyn. Välj Lägg till för att starta processen för att skapa slutpunkter. Du kan också godkänna anslutningar som startades i Private Link-centret genom att välja dem och sedan välja Godkänn.

    Screenshot of the Private Endpoint connections screen in the Azure portal.

  2. Välj prenumerationen, resursgruppen och namnet på slutpunkten och den region som du vill använda. Detta måste vara samma region som det virtuella nätverket.

  3. Välj Nästa: Resurs.

  4. På sidan Resurs utför du följande:

    1. Välj den prenumeration som innehåller din Azure Arc Private Link-omfångsresurs.
    2. Som Resurstyp väljer du Microsoft.HybridCompute/privateLinkScopes.
    3. I listrutan Resurs väljer du det Azure Arc Private Link-omfång som du skapade tidigare.
    4. Välj Nästa: Konfiguration.

  5. Utför följande på sidan Konfiguration :

    1. Välj det virtuella nätverk och undernät som du vill ansluta till Azure Arc-aktiverade Kubernetes-kluster från.

    2. För Integrera med privat DNS-zon väljer du Ja. En ny Privat DNS zon skapas. De faktiska DNS-zonerna kan skilja sig från vad som visas i skärmbilden nedan.

      Screenshot of the Configuration step to create a private endpoint in the Azure portal.

      Kommentar

      Om du väljer Nej och föredrar att hantera DNS-poster manuellt slutför du först konfigurationen av private link, inklusive den här privata slutpunkten och konfigurationen för privat omfång. Konfigurera sedan din DNS enligt anvisningarna i DNS-konfigurationen för privata Slutpunkter i Azure. Se till att du inte skapar tomma poster när du förbereder konfigurationen av den privata länken. De DNS-poster som du skapar kan åsidosätta befintliga inställningar och påverka anslutningen med Arc-aktiverade Kubernetes-kluster.

    3. Välj Granska + skapa.

    4. Låt validering passera.

    5. Välj Skapa.

Konfigurera lokal DNS-vidarebefordran

Dina lokala Kubernetes-kluster måste kunna matcha DNS-posterna för privat länk till ip-adresserna för den privata slutpunkten. Hur du konfigurerar detta beror på om du använder privata DNS-zoner i Azure för att underhålla DNS-poster eller använda din egen DNS-server lokalt, tillsammans med hur många kluster du konfigurerar.

DNS-konfiguration med hjälp av Azure-integrerade privata DNS-zoner

Om du konfigurerar privata DNS-zoner för Azure Arc-aktiverade Kubernetes-kluster när du skapar den privata slutpunkten måste dina lokala Kubernetes-kluster kunna vidarebefordra DNS-frågor till de inbyggda Azure DNS-servrarna för att matcha de privata slutpunktsadresserna korrekt. Du behöver en DNS-vidarebefordrare i Azure (antingen en specialbyggd virtuell dator eller en Azure Firewall-instans med DNS-proxy aktiverad), varefter du kan konfigurera din lokala DNS-server för att vidarebefordra frågor till Azure för att lösa ip-adresser för privata slutpunkter.

Den privata slutpunktsdokumentationen innehåller vägledning för att konfigurera lokala arbetsbelastningar med hjälp av en DNS-vidarebefordrare.

Manuell DNS-serverkonfiguration

Om du valde att inte använda privata DNS-zoner i Azure när den privata slutpunkten skapades måste du skapa nödvändiga DNS-poster på din lokala DNS-server.

  1. Gå till Azure-portalen.

  2. Gå till den privata slutpunktsresursen som är associerad med ditt virtuella nätverk och Azure Arc Private Link-omfånget.

  3. I den vänstra rutan väljer du DNS-konfiguration för att se en lista över DNS-poster och motsvarande IP-adresser som du måste konfigurera på DNS-servern. FQDN:er och IP-adresser ändras baserat på den region som du valde för din privata slutpunkt och de tillgängliga IP-adresserna i undernätet.

    Screenshot showing manual DNS server configuration in the Azure portal.

  4. Följ riktlinjerna från DNS-serverleverantören för att lägga till nödvändiga DNS-zoner och A-poster som matchar tabellen i portalen. Se till att du väljer en DNS-server som är lämpligt begränsad för nätverket. Varje Kubernetes-kluster som använder den här DNS-servern löser nu ip-adresserna för den privata slutpunkten och måste associeras med Azure Arc Private Link-omfånget, annars nekas anslutningen.

Kommentar

Du kan konfigurera privata länkar för Azure Arc-aktiverade Kubernetes-kluster från version 1.3.0 av connectedk8s CLI-tillägget, men azure CLI-versionen är större än 2.3.0. Om du använder en version som är större än 1.3.0 för connectedk8s CLI-tillägget har vi infört verifieringar för att kontrollera och ansluta klustret till Azure Arc endast om du kör Azure CLI-versionen större än 2.3.0.

Du kan konfigurera privata länkar för ett befintligt Azure Arc-aktiverat Kubernetes-kluster eller när du registrerar ett Kubernetes-kluster till Azure Arc för första gången med hjälp av kommandot nedan:

az connectedk8s connect -g <resource-group-name> -n <connected-cluster-name> -l <location> --enable-private-link true --private-link-scope-resource-id <pls-arm-id>
Parameternamn beskrivning
--enable-private-link Egenskap för att aktivera/inaktivera funktionen för privata länkar. Ange "Sant" för att aktivera anslutning med privata länkar.
--private-link-scope-resource-id ID för den privata länkomfångsresursen som skapades tidigare. Exempel: /subscriptions//resourceGroups//providers/Microsoft.HybridCompute/privateLinkScopes/

För Azure Arc-aktiverade Kubernetes-kluster som konfigurerades innan du konfigurerade azure Arc private link-omfånget kan du konfigurera privata länkar via Azure-portalen med hjälp av följande steg:

  1. I Azure-portalen går du till din Azure Arc Private Link-omfångsresurs.

  2. I den vänstra rutan väljer du Azure Arc-resurser och sedan + Lägg till.

  3. Välj Kubernetes-kluster i listan som du vill associera med Private Link-omfånget och välj sedan Välj för att spara ändringarna.

    Kommentar

    Listan visar endast Azure Arc-aktiverade Kubernetes-kluster som finns inom samma prenumeration och region som ditt Private Link-omfång.

    Screenshot of the list of Kubernetes clusters for the Azure Arc Private Link Scope.

Felsökning

Om du stöter på problem kan följande förslag vara till hjälp:

  • Kontrollera din lokala DNS-server för att kontrollera att den antingen vidarebefordrar till Azure DNS eller har konfigurerats med lämpliga A-poster i din privata länkzon. Dessa uppslagskommandon ska returnera privata IP-adresser i ditt virtuella Azure-nätverk. Om de löser offentliga IP-adresser kontrollerar du din dator eller server och nätverkets DNS-konfiguration.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com
nslookup dp.kubernetesconfiguration.azure.com

  • Om du har problem med att registrera kubernetes-klustret kontrollerar du att du har lagt till tjänsttaggar för Microsoft Entra, Azure Resource Manager, AzureFrontDoor.FirstParty och Microsoft Container Registry i brandväggen för det lokala nätverket.

Nästa steg