本文說明如何設定 NGINX 輸入控制器,以使用 Azure 內部負載平衡器。 它也會說明如何設定私人 Azure DNS 區域,以啟用私人端點的 DNS 解析,以解析特定網域。
開始之前
具有應用程式路由附加元件的 AKS 叢集。
若要連結 Azure 私人 DNS 區域,您需要 Azure 訂用帳戶上的 擁有者、 Azure 帳戶系統管理員或 Azure 共同系統管理員 角色。
連線至您的 AKS 叢集
如果要從本機電腦連線至 Kubernetes 叢集,應使用 Kubernetes 命令列用戶端 kubectl。 您可以使用 az aks install-cli 命令將其安裝於本機。 如果您使用 Azure Cloud Shell,則 kubectl 已安裝。
下列範例會使用 命令設定連線到 test-rg 中名為 az aks get-credentials 的叢集。
az aks get-credentials \
--resource-group test-rg \
--name aks-cluster
建立虛擬網路
若要將私人 DNS 區域發佈至虛擬網路,請指定允許使用 虛擬網路連結解析區域內記錄的虛擬網路清單。
下列範例會在 test-rg 資源群組中建立名為 vnet-1 的虛擬網路,以及一個名為 subnet-1 的子網路,以在具有特定位址前置詞的虛擬網路內建立。
az network vnet create \
--name vnet-1 \
--resource-group test-rg \
--location eastus \
--address-prefix 10.2.0.0/16 \
--subnet-name subnet-1 \
--subnet-prefixes 10.2.0.0/24
建立 Azure 私人 DNS 區域
注意
您可以設定應用程式路由附加元件,以針對輸入資源上定義的主機,在一或多個 Azure 全域和私人 DNS 區域上自動建立記錄。 所有全域 Azure DNS 區域和所有私人 Azure DNS 區域都必須位於相同的資源群組中。
使用 az network private-dns zone create 命令建立 DNS 區域,並指定區域的名稱和要在其中建立區域的資源群組。 下列範例會在 test-rg 資源群組中建立名為 private.contoso.com 的 DNS 區域。
az network private-dns zone create \
--resource-group test-rg \
--name private.contoso.com
您可使用 az network private-dns link vnet create 命令,對稍早建立的 DNS 區域建立虛擬網路連結。 下列範例會建立名為 dns-link 的連結,以連線至虛擬網路 vnet-1 的區域 private.contoso.com。 包含 --registration-enabled 參數以指定未啟用註冊的連結。
az network private-dns link vnet create \
--resource-group test-rg \
--name dns-link \
--zone-name private.contoso.com \
--virtual-network vnet-1 \
--registration-enabled false
Azure DNS 私人區域自動註冊功能負責管理部署在虛擬網路中虛擬機器的 DNS 記錄。 當您連結的虛擬網路包含已啟用此設定的私人 DNS 區域時,系統會針對在虛擬網路中部署的 AKS 節點為每部 Azure 虛擬機器建立 DNS 記錄。
將 Azure 私人 DNS 區域連結至應用程式路由附加元件
注意
az aks approuting zone add 命令會使用執行命令的使用者權限來建立 Azure DNS 區域角色指派。
私人 DNS 區域參與者角色是用於管理私人 DNS 資源的內建角色,並指派給附加元件的受控識別。 如需 AKS 受控識別的詳細資訊,請參閱受控識別的摘要。
使用
az network dns zone show命令擷取 DNS 區域的資源識別碼,並將輸出設定為名為ZONEID的變數。 下列範例會查詢資源群組 test-rg 中的區域 private.contoso.com。ZONEID=$(az network private-dns zone show \ --resource-group test-rg \ --name private.contoso.com \ --query "id" \ --output tsv)使用
az aks approuting zone命令更新附加元件以啟用與 Azure DNS 的整合。 您可以傳遞以逗號分隔的 DNS 區域資源識別碼清單。 下列範例會更新資源群組 test-rg 中的 AKS 叢集 aks-cluster。az aks approuting zone add \ --resource-group test-rg \ --name aks-cluster \ --ids=${ZONEID} \ --attach-zones
使用私人 IP 位址和內部負載平衡器建立 NGINX 輸入控制器
應用程式路由附加元件會使用稱為 的 Kubernetes NginxIngressController 來設定 NGINX 輸入控制器。 您可以建立更多輸入控制器或修改現有的設定。
NginxIngressController CRD 有一個 loadBalancerAnnotations 欄位,可透過設定負載平衡器註釋來控制 NGINX 輸入控制器服務的行為。 如需負載平衡器註釋的詳細資訊,請參閱 透過 Kubernetes 註釋進行自訂。
執行下列步驟,建立具有私人 IP 位址的內部 Azure Load Balancer 的 NGINX 輸入控制器。
將下列 YAML 資訊清單複製到名為 nginx-internal-controller.yaml 的新檔案中,並儲存於本機電腦。
apiVersion: approuting.kubernetes.azure.com/v1alpha1 kind: NginxIngressController metadata: name: nginx-internal spec: ingressClassName: nginx-internal controllerNamePrefix: nginx-internal loadBalancerAnnotations: service.beta.kubernetes.io/azure-load-balancer-internal: "true"使用
kubectl apply命令建立 NGINX 輸入控制器資源。kubectl apply -f nginx-internal-controller.yaml下列範例輸出顯示已建立的資源:
nginxingresscontroller.approuting.kubernetes.azure.com/nginx-internal created確認已建立的輸入控制器
您可以使用
kubectl get nginxingresscontroller命令來驗證 NGINX 輸入控制器的狀態。kubectl get nginxingresscontroller下列範例輸出顯示已建立的資源。 控制器可能需要幾分鐘的時間才能使用:
NAME INGRESSCLASS CONTROLLERNAMEPREFIX AVAILABLE default webapprouting.kubernetes.azure.com nginx True nginx-internal nginx-internal nginx-internal True
部署應用程式
應用程式路由附加元件會使用 Kubernetes 輸入物件上的註釋來建立適當的資源。
創建名為
aks-store的應用程式命名空間,以使用kubectl create namespace命令運行範例 Pod。kubectl create namespace aks-store使用下列 YAML 資訊清單檔案部署 AKS 存放區應用程式:
kubectl apply -f https://raw.githubusercontent.com/Azure-Samples/aks-store-demo/main/sample-manifests/docs/app-routing/aks-store-deployments-and-services.yaml -n aks-store
此資訊清單會為 AKS 存放區應用程式建立必要的部署和服務。
在 Azure 私人 DNS 區域和私人 IP 位址上使用主機名稱建立輸入資源
使用 DNS 主機的名稱進行更新 host ,例如 store-front.private.contoso.com。 確認您正在為 ingressClassName 字段指定 nginx-internal。
將下列 YAML 資訊清單複製到名為 ingress.yaml 的新檔案中,並儲存於本機電腦。
apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: store-front namespace: aks-store spec: ingressClassName: nginx-internal rules: - host: store-front.private.contoso.com http: paths: - backend: service: name: store-front port: number: 80 path: / pathType: Prefix使用命令
kubectl apply建立輸入資源。kubectl apply -f ingress.yaml -n aks-store下列範例輸出顯示已建立的資源:
ingress.networking.k8s.io/store-front created
確認已建立受控輸入
您可以使用 kubectl get ingress 來確認已建立受控輸入。
kubectl get ingress -n aks-store
下列範例輸出顯示已建立的受控輸入:
NAME CLASS HOSTS ADDRESS PORTS AGE
store-front nginx-internal store-front.private.contoso.com 80 10s
確認 Azure 私人 DNS 區域已更新
在幾分鐘內,執行 az network private-dns record-set a list 命令,以檢視 Azure 私人 DNS 區域的 A 記錄。 指定資源群組的名稱和 DNS 區域的名稱。 在此範例中,資源群組為 test-rg ,而 DNS 區域為 private.contoso.com。
az network private-dns record-set a list \
--resource-group test-rg \
--zone-name private.contoso.com
下列範例輸出顯示已建立的記錄:
[
{
"aRecords": [
{
"ipv4Address": "10.224.0.7"
}
],
"etag": "ecc303c5-4577-4ca2-b545-d34e160d1c2d",
"fqdn": "store-front.private.contoso.com.",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/test-rg/providers/Microsoft.Network/privateDnsZones/private.contoso.com/A/store-front",
"isAutoRegistered": false,
"name": "store-front",
"resourceGroup": "test-rg",
"ttl": 300,
"type": "Microsoft.Network/privateDnsZones/A"
}
]
下一步
如需與 SSL 加密、其他進階 NGINX 輸入控制器和輸入資源設定相關的其他設定資訊,請檢閱 DNS 和 SSL 設定及應用程式路由附加元件設定。