Azure Kubernetes Service'te (AKS) özel bir sanal ağda düğüm otomatik sağlama (NAP) kümesi oluşturma

Bu makalede sanal ağ (VNet) ve alt ağ oluşturma, sanal ağa erişim izinleri olan bir yönetilen kimlik oluşturma ve düğüm otomatik sağlama (NAP) özelliğinin etkinleştirildiği özel sanal ağınızda Azure Kubernetes Service (AKS) kümesi oluşturma adımları gösterilmektedir.

Önkoşullar

• Bir Azure aboneliği. Hesabınız yoksa ücretsiz bir hesap oluşturabilirsiniz.
• Azure CLI sürümü 2.76.0 veya üstü. Sürümü bulmak için az --version komutunu çalıştırın. Azure CLI'yı yükleme veya yükseltme hakkında daha fazla bilgi için bkz. Azure CLI'yi yükleme.
• NAP'nin nasıl çalıştığını ayrıntılarıyla açıklayan AKS'de düğüm otomatik sağlamaya (NAP) genel bakış makalesini okuyun.
• Azure Kubernetes Service'te (AKS) düğüm otomatik sağlama (NAP) için ağ yapılandırmalarına genel bakış'ı okuyun.

Sınırlamalar

• Özel bir sanal ağda (VNet) NAP kümesi oluştururken Standart Load Balancer kullanmanız gerekir. Temel Load Balancer desteklenmez.
• NAP'ye yönelik diğer sınırlamaları ve desteklenmeyen özellikleri gözden geçirmek için AKS'de düğüm otomatik sağlama (NAP) genel bakış makalesine bakın.

Sanal ağ ve alt ağ oluşturma

Önemli

NAP ile özel bir sanal ağ kullanırken aşağıdaki bilgileri göz önünde bulundurun:

• Bir API sunucusu alt ağı oluşturup bunu Microsoft.ContainerService/managedClusters'e atamanız gerekir; böylece API sunucusu podlarını ve dahili yük dengeleyiciyi o alt ağa enjekte etmek için AKS hizmetine izinler verilir. Alt ağı diğer iş yükleri için kullanamazsınız, ancak aynı sanal ağda bulunan birden çok AKS kümesi için kullanabilirsiniz. Desteklenen en düşük API sunucusu alt ağ boyutu /28'dir.
• Sanal ağ içindeki tüm trafiğe varsayılan olarak izin verilir. Ancak, farklı alt ağlar arasındaki trafiği kısıtlamak için ağ güvenlik grubu (NSG) kuralları eklediyseniz, uygun izinleri yapılandırdığınızdan emin olmanız gerekir. Daha fazla bilgi için Ağ güvenlik grubu belgelerine bakın.

1. az network vnet create komutunu kullanarak bir VNet oluşturun.

   az network vnet create \
       --name $VNET_NAME \
       --resource-group $RG_NAME \
       --location $LOCATION \
       --address-prefixes 172.19.0.0/16
   

2. az network vnet subnet create komutunu kullanarak bir alt ağ oluşturun ve Microsoft.ContainerService/managedClusters'ye devredin.

   az network vnet subnet create \
       --resource-group $RG_NAME \
       --vnet-name $VNET_NAME \
       --name $SUBNET_NAME \
       --delegations Microsoft.ContainerService/managedClusters \
       --address-prefixes 172.19.0.0/28
   

Yönetilen bir kimlik oluşturun ve ona VNet'e erişim izni verin.

1. komutunu kullanarak az identity create yönetilen kimlik oluşturun.

   az identity create \
       --resource-group $RG_NAME \
       --name $IDENTITY_NAME \
       --location $LOCATION
   

2. Yönetilen kimliğin asıl kimliğini alın ve [az identity show][az-identity-show] komutunu kullanarak bir ortam değişkenine ayarlayın.

   IDENTITY_PRINCIPAL_ID=$(az identity show --resource-group $RG_NAME --name $IDENTITY_NAME --query principalId -o tsv)
   

3. komutunu kullanarak yönetilen kimliğe Ağ Katkıda Bulunanı rolünü atayın az role assignment create .

   az role assignment create \
       --scope "/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RG_NAME/providers/Microsoft.Network/virtualNetworks/$VNET_NAME" \
       --role "Network Contributor" \
       --assignee $IDENTITY_PRINCIPAL_ID
   

Özel bir sanal ağda düğüm otomatik sağlama (NAP) ile AKS kümesi oluşturma

1. komutunu kullanarak az aks create özel sanal ağınızda NAP'nin etkinleştirildiği bir AKS kümesi oluşturun. NAP'yi etkinleştirmek için --node-provisioning-mode bayrağını Auto olarak ayarladığınızdan emin olun.

   Aşağıdaki komut, --network-plugin öğesini azure olarak, --network-plugin-mode öğesini overlay olarak ve --network-dataplane öğesini cilium olarak ayarlar. NAP ile desteklenen ağ yapılandırmaları hakkında daha fazla bilgi için bkz. AKS'de düğüm otomatik sağlama için ağ yapılandırma.

   az aks create \
       --name $CLUSTER_NAME \
       --resource-group $RG_NAME \
       --location $LOCATION \
       --assign-identity "/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RG_NAME/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$IDENTITY_NAME" \
       --network-dataplane cilium \
       --network-plugin azure \
       --network-plugin-mode overlay \
       --vnet-subnet-id "/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RG_NAME/providers/Microsoft.Network/virtualNetworks/$CUSTOM_VNET_NAME/subnets/$SUBNET_NAME" \
       --node-provisioning-mode Auto
   

   Birkaç dakika sonra komut tamamlanıp kümeyle ilgili JSON biçimli bilgileri döndürür.

2. kubectl'yi, az aks get-credentials komutunu kullanarak Kubernetes kümenize bağlanmak için yapılandırın. Bu komut, kimlik bilgilerini indirir ve Kubernetes CLI'yi bunları kullanacak şekilde yapılandırır.

   az aks get-credentials \
       --resource-group $RG_NAME \
       --name $CLUSTER_NAME
   

3. Kümelenize olan bağlantınızı kubectl get komutunu kullanarak doğrulayın. Bu komut, küme düğümlerinin bir listesini döndürür.

   kubectl get nodes
   

Sonraki Adımlar

AKS'de düğüm otomatik sağlama hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

• AKS'de otomatik düğüm provizyonu için ağı yapılandırma
• AKS'de düğüm otomatik sağlama için düğüm havuzlarını yapılandırma
• AKS'de otomatik düğüm sağlama için kesinti ilkelerini yapılandırma