更新 Proxy 伺服器設定和憑證
適用於:Azure Local 22H2 上的 AKS、Windows Server 上的 AKS
本文說明如何在 Azure Arc 所啟用的 AKS 中更新部署的 Proxy 設定和憑證。每個 AKS 部署都有單一全域 Proxy 設定。 您可以使用 參數來新增排除專案 noProxy
,以排除私人子網(例如,contoso.com)與使用 Proxy 伺服器,而且您可以更新部署的 Proxy 憑證。 您無法變更 HTTP 或 HTTPS 設定。
如需初始 Proxy 伺服器設定的相關信息,請參閱 在 AKS Arc 中使用 Proxy 伺服器設定。
您可以更新的 Proxy 設定
開始之前,請先檢閱 Proxy 設定更新的目前限制,您可以在 Arc 啟用的 AKS 中執行:
- 由 Arc 啟用的 AKS 支援每個 AKS Arc 部署的一個全域 Proxy 設定。 當您更新 Proxy 設定時,會針對整個 AKS Arc 部署更新它們。
- 您只能更新
noProxy
用來排除私人子網的設定,使其無法使用 Proxy 伺服器和 Proxy 憑證。 HTTP 和 HTTP Proxy 設定無法更新。 - 您無法針對特定節點集區或工作負載叢集設定不同的 Proxy 設定。 同樣地,您無法更新特定節點集區或工作負載叢集的 Proxy 設定。
- 只有在更新整個 AKS 部署之後,才會套用 Proxy 設定的更新。 您必須更新 AKS 主機管理叢集和所有 AKS 工作負載叢集。 若要檢查是否有可用的更新,請使用 AKS PowerShell 模組 Cmdlet Get-AksHciClusterUpdates。
必要條件
更新 AKS 部署的 Proxy 設定之前,您必須先符合下列必要條件:
- 您的 AKS 部署正在執行 2022 年 10 月更新 或更新版本。
- 已安裝最新版的 AksHci PowerShell 模組。 如需詳細資訊,請參閱 安裝 AksHci PowerShell 模組。
- 您的 AKS 部署至少有一個更新可供使用。 在將更新套用至 AKS 部署之後,會自動套用 Proxy 設定和憑證的更新。 若要檢查是否有可用的更新,請在 AksHci PowerShell 模組中執行
Get-AksHciClusterUpdates
命令。
步驟 1:建立新的 noProxy 排除清單
您可能偶爾需要更新 noProxy
設定,以排除私人子網,使其無法針對AKS部署使用 Proxy 伺服器。 若要準備更新 noProxy
設定,請將新的排除清單儲存在 PowerShell 變數中。
更新設定
noProxy
之前,請先檢閱 Proxy 排除數據表noProxy
的必要設定。 如需詳細資訊,請參閱 排除將私人子網從傳送至 Proxy 的排除清單。您的 AKS 部署需要某些排除專案才能運作。 不排除這些 URL 可能會導致 AKS 部署失敗。
將更新
noProxy
的網址清單儲存在 PowerShell 變數中:$noProxy = "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com"
步驟 2:建立 Proxy 憑證套件組合
若要更新 Proxy 伺服器的憑證,請建立新的憑證套件組合,然後將檔案的路徑儲存在 PowerShell 變數中。 以 PEM 格式組合單一 .crt 檔案的憑證。 此格式適用於更新 Linux 容器主機上的憑證。
若要將更新的 Proxy 伺服器憑證組合在一起:
使用 Linux 主機的配套憑證建立單一 .crt 檔案。
concatenate
使用 具有下列格式的 (cat
) 指令:cat [leaf].crt [intermediate].crt [Root].crt > [bundle].crt
您必須依下列順序串連憑證:分葉憑證>中繼憑證跟證書>。 如需詳細的憑證需求和範例,請參閱 更新 AKS 部署的憑證套件組合。
注意
憑證檔案的內容不會經過驗證。 請仔細檢查,以確保檔案包含正確的憑證,且格式正確。
將更新的憑證套件組合路徑儲存在 PowerShell 變數中:
$certFile ="/../[certificate-bundle].crt" # path to the bundled .crt file
步驟 3:更新 Proxy 設定
下一個步驟是使用 Set-AksHciProxySetting
命令來更新您的 noProxy
設定和憑證。
更新 Proxy 設定和憑證之前,請先確認 PowerShell 變數有正確的變更:
echo $noProxy echo $certFile
若要更新 Proxy 設定和 Proxy 憑證,請執行下列命令:
Set-AksHciProxySetting -noProxy $noProxy -certFile $certFile
步驟 4:將更新的 Proxy 設定套用至您的 AKS 部署
更新 AKS 部署之後,會自動套用全域 Proxy 設定和憑證的更新。
若要套用 Proxy 更新:
執行下列命令,檢查您的 AKS 主機管理叢集是否有可用的更新:
Get-AksHciUpdates
如果有可用的更新,請執行下列命令來更新您的 AKS 主機管理叢集。 此指令會在您的 AKS 主機管理叢集上套用 Proxy 變更:
Update-AksHci
更新 AKS 部署中的所有工作負載叢集。 除非您更新工作負載叢集,否則不會套用 Proxy 變更。
若要檢查工作負載叢集更新是否可用,請在每個 AKS 工作負載叢集上執行下列命令:
Get-AksHciClusterUpdates -name mycluster
如果有可用的更新(Kubernetes 版本或更新的OS映射),請執行
Update-AksHciCluster
命令來更新每個工作負載叢集。若要更新工作負載叢集上的 Kubernetes 版本和 OS 版本,請執行下列命令:
Update-AksHciCluster -name mycluster
若要在不更新 Kubernetes 版本的情況下更新 OS,請包含
-operatingSystem
參數:Update-AksHciCluster -name mycluster -operatingSystem
如果您的工作負載叢集無法使用僅限 OS 映射更新,除非您更新 Kubernetes 版本,否則您將無法套用 Proxy 變更。
下一步
如需 Arc 所啟用 AKS 中網路功能的詳細資訊,請參閱 Kubernetes 網路概念。