Установка сетевого подключения к частному кластеру Службы Azure Kubernetes (AKS)

Подключение с помощью Azure Cloud Shell

Для подключения к частному кластеру AKS через Azure Cloud Shell требуется выполнить следующие действия:

• Развертывание необходимых ресурсов: Необходимо развернуть Cloud Shell в виртуальной сети, которая может получить доступ к частному кластеру. Этот шаг подготавливает необходимую инфраструктуру. Хотя Cloud Shell является бесплатной службой, использование Cloud Shell в виртуальной сети требует некоторых ресурсов, которые несут затраты. Дополнительные сведения см. в статье Deploy Cloud Shell в виртуальной сети.
• Настройка подключения: После развертывания ресурсов любой пользователь в подписке с соответствующими разрешениями в кластере может настроить Cloud Shell для развертывания в виртуальной сети, чтобы разрешить безопасное подключение к частному кластеру.

Развертывание необходимых ресурсов

Чтобы развернуть и настроить необходимые ресурсы, необходимо назначить роль владельца в подписке. Сведения о просмотре и назначении ролей см. в разделе "Список владельцев подписки".

Вы можете развернуть необходимые ресурсы с помощью портала Azure или предоставленного шаблона ARM, если вы управляете инфраструктурой как кодом или имеете политики организации, требующие определенных соглашений об именовании ресурсов.

При необходимости можно оставить развернутые ресурсы на месте для будущих подключений или удалить и повторно создать их по мере необходимости.

Использование портала Azure (предварительная версия)

Этот параметр создает отдельную виртуальную сеть с необходимыми ресурсами для Cloud Shell и настраивает пиринг виртуальной сети для вас.

1. На портале Azure перейдите к ресурсу частного кластера.
2. На странице "Обзор" выберите "Подключиться".
3. На вкладке Cloud Shell в разделе "Предварительные требования для подключения к частному кластеру" выберите "Настроить ", чтобы развернуть необходимые ресурсы.
   • Развертывание создает новую группу ресурсов с именем RG-CloudShell-PrivateClusterConnection-{RANDOM_ID}.
4. После успешного развертывания в разделе "Задать контекст кластера" выберите Open Cloud Shell.

Использование шаблона ARM

Чтобы получить больше контроля над конфигурацией развертывания, используйте предоставленный шаблон ARM.

Вы можете развернуть Cloud Shell в той же виртуальной сети, что и частный кластер AKS с выделенной подсетью, или развернуть в новой виртуальной сети и подключиться через пиринг виртуальной сети.

Настройка подключения к частному кластеру

После развертывания необходимых ресурсов любой пользователь в подписке может настроить cloud Shell для развертывания в данной виртуальной сети, выполнив действия, описанные в разделе "Настройка Cloud Shell" для использования виртуальной сети.

Убедитесь, что у пользователя есть соответствующий доступ на уровне Kubernetes для успешного подключения к частному кластеру. Дополнительные сведения см. в разделе "Параметры доступа и удостоверения" для службы Azure Kubernetes (AKS).

Подключение с помощью Бастиона Azure (предварительная версия)

Бастион Azure — это полностью управляемая служба PaaS, которую вы подготавливаете для безопасного подключения к частным ресурсам через частные IP-адреса. Чтобы использовать функцию туннелирования собственного клиента Бастиона, см. статью "Подключение к частному кластеру AKS" с помощью Бастиона Azure.

Подключение с помощью пиринга виртуальной сети

Чтобы использовать пиринг виртуальных сетей, необходимо настроить связь между виртуальной сетью и частной зоной DNS. Пиринг виртуальной сети можно настроить с помощью портала Azure или Azure CLI.

Использование портала Azure

1. На портале Azure перейдите к группе ресурсов узла и выберите ресурс частной зоны DNS.

2. В меню службы в разделе "Управление DNS" выберите"Добавить ссылки >виртуальной сети".

3. На странице "Добавление канала виртуальной сети " настройте следующие параметры:

   • Имя ссылки: введите имя для ссылки виртуальной сети.
   • виртуальная сеть. Выберите виртуальную сеть, содержащую виртуальную машину.

4. Выберите "Создать", чтобы создать ссылку виртуальной сети.

5. Перейдите к группе ресурсов, содержащей виртуальную сеть кластера AKS, и выберите ресурс виртуальной сети.

6. В меню сервиса в разделе "Параметры" выберите соединения>, Добавить.

7. На странице "Добавление пиринга " настройте следующие параметры:

   • Имя ссылки пиринга: введите имя ссылки пиринга.
   • Виртуальная сеть: выберите виртуальную сеть виртуальной машины.

8. Нажмите Добавить, чтобы создать ссылку пиринга.

Для получения дополнительной информации, см. Взаимодействие виртуальных сетей.

Использование командной строки Azure CLI

1. Создайте новую ссылку, чтобы добавить виртуальную сеть виртуальной машины в частную зону DNS с помощью az network private-dns link vnet create команды.

   az network private-dns link vnet create \
       --name <new-link-name> \
       --resource-group <node-resource-group-name> \
       --zone-name <private-dns-zone-name> \
       --virtual-network <vm-virtual-network-resource-id> \
       --registration-enabled false
   

2. Создайте пиринг между виртуальной сетью виртуальной машины и виртуальной сетью группы ресурсов узла с помощью az network vnet peering create команды.

   az network vnet peering create \
       --name <new-peering-name-1> \
       --resource-group <vm-virtual-network-resource-group-name> \
       --vnet-name <vm-virtual-network-name> \
       --remote-vnet <node-resource-group-virtual-network-resource-id> \
       --allow-vnet-access
   

3. Создайте второй пиринг между виртуальной сетью группы ресурсов узла и виртуальной сетью виртуальной машины с помощью az network vnet peering create команды.

   az network vnet peering create \
       --name <new-peering-name-2> \
       --resource-group <node-resource-group-name> \
       --vnet-name <node-resource-group-virtual-network-name> \
       --remote-vnet <vm-virtual-network-resource-id> \
       --allow-vnet-access
   

4. Перечислить пиринги виртуальной сети, созданные с помощью az network vnet peering list команды.

   az network vnet peering list \
       --resource-group <node-resource-group-name> \
       --vnet-name <private-dns-zone-name>
   

Использование подключения к частной конечной точке

Вы можете настроить частную конечную точку, чтобы виртуальная сеть не должна быть пиринговой для взаимодействия с частным кластером. Чтобы настроить подключение к частной конечной точке, сначала создайте в виртуальной сети новую частную конечную точку, содержащую потребляемые ресурсы, а затем создадите связь между виртуальной сетью и новой частной зоной DNS в той же сети.

Создайте ресурс частной конечной точки

1. На домашней странице портала Azure выберите "Создать ресурс".

2. Найдите частную конечную точку и выберите "Создать>частную конечную точку".

3. Нажмите кнопку "Создать".

4. На вкладке Основные сведения настройте следующие параметры:

   • Сведения о проекте

     • Подписка. Выберите подписку, в которой находится частный кластер.
     • Группа ресурсов: выберите группу ресурсов, содержащую виртуальную сеть.

   • Сведения об инстанции

     • Имя: введите имя частной конечной точки, например myPrivateEndpoint.
     • Регион. Выберите тот же регион, что и виртуальная сеть.

5. Нажмите "Далее: Ресурс" и настройте следующие параметры:

   • Метод подключения. Выберите "Подключиться к ресурсу Azure" в моем каталоге.
   • Подписка. Выберите подписку, в которой находится частный кластер.
   • Тип ресурса: выберите Microsoft.ContainerService/managedClusters.
   • Ресурс. Выберите частный кластер.
   • Целевой вложенный ресурс: выберите управление.

6. Нажмите кнопку "Далее": виртуальная сеть и настройте следующие параметры:

   • Сети
     • Виртуальная сеть: выберите виртуальную сеть.
     • Подсеть: выберите подсеть.

7. Нажмите кнопку Далее: DNS>Далее: теги и (необязательно) настройте значения ключей по мере необходимости.

8. Нажмите кнопку "Далее": проверка и создание.>

После создания ресурса запишите частный IP-адрес частной конечной точки для дальнейшего использования.

Создание частной зоны DNS

Создав частную конечную точку, создайте частную зону DNS с тем же именем, что и частная зона DNS, созданная частным кластером. Не забудьте создать эту зону DNS в виртуальной сети, содержащей потребляемые ресурсы.

1. На портале Azure перейдите к группе ресурсов узла и выберите ресурс частной зоны DNS.

2. В меню службы в разделе "Управление DNS" выберите наборы записей и обратите внимание на следующее:

   • Имя частной зоны DNS, которая соответствует шаблону *.privatelink.<region>.azmk8s.io.
   • Имя записи A (кроме частного DNS имени).
   • Время жизни (TTL) — период времени, через который данные становятся недействительными или удаляются из системы.

3. На домашней странице портала Azure выберите "Создать ресурс".

4. Найдите частную зону DNS и выберите "Создать>частную зону DNS".

5. На вкладке Основные сведения настройте следующие параметры:

   • Сведения о проекте

     • Выберите вашу подписку.
     • Выберите группу ресурсов, в которой вы создали частную конечную точку.

   • Сведения об инстанции

     • Имя. Введите имя зоны DNS, полученной из предыдущих шагов.
     • Регион: по умолчанию устанавливается расположение группы ресурсов.

6. Выберите Просмотреть и создать>Создать.

A Создание записи

После создания частной зоны DNS создайте запись, которая связывает частную конечную A точку с частным кластером.

1. Перейдите к ресурсу частной зоны DNS.

2. В меню службы в разделе "Управление DNS" выберите "Наборы записей">Добавить.

3. На странице "Добавление набора записей " настройте следующие параметры:

   • Имя. Введите имя, полученное A из записи в зоне DNS частного кластера.
   • Тип: выберите A - Адресная запись.
   • TTL: введите число из A записи в зоне DNS частного кластера.
   • Единица TTL: измените значение в раскрывающемся списке, чтобы оно соответствовало значению в записи из зоны DNS частного кластера.
   • IP-адрес: введите IP-адрес созданной частной конечной точки.

4. Нажмите кнопку "Добавить ", чтобы создать A запись.

Связывание частной зоны DNS с виртуальной сетью

A После создания записи свяжите частную зону DNS с виртуальной сетью, которая получит доступ к частному кластеру.

1. Перейдите к ресурсу частной зоны DNS.

2. В меню службы в разделе "Управление DNS" выберите"Добавить ссылки >виртуальной сети".

3. На странице "Добавление канала виртуальной сети " настройте следующие параметры:

   • Имя ссылки: введите имя для ссылки виртуальной сети.
   • Подписка. Выберите подписку, в которой находится частный кластер.
   • виртуальная сеть. Выберите виртуальную сеть частного кластера.

4. Нажмите кнопку "Создать", чтобы создать ссылку.

   Для завершения операции может потребоваться несколько минут. После создания ссылки виртуальной сети вы можете получить доступ к ней на вкладке "Ссылки виртуальной сети ", которую вы использовали на шаге 2.

Создание виртуальной машины в одной виртуальной сети

Чтобы создать виртуальную машину в той же виртуальной сети, что и частный кластер AKS, используйте az vm create команду с флагом --vnet-name , чтобы указать виртуальную сеть.

az vm create \
    --resource-group <resource-group-name> \
    --name <vm-name> \
    --image <image-name> \
    --vnet-name <vm-virtual-network-name> \
    --subnet <subnet-name> \
    --admin-username <admin-username> \
    --admin-password <admin-password>

Используйте подключение ExpressRoute или VPN.

Сведения об использовании подключения Express Route или VPN см. в статье "Сведения о шлюзах виртуальной сети ExpressRoute".

Используйте функцию AKS command invoke

Чтобы использовать функцию AKS command invoke для подключения к частному кластеру, см. статью "Доступ к частному кластеру с помощью command invoke".