Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Функция подключения кластера Kubernetes с поддержкой Azure Arc обеспечивает подключение к apiserver кластеру без необходимости включения любого входящего порта в брандмауэре. Запущенный в кластере агент обратного прокси-сервера может безопасно начать исходящий сеанс в службе Azure Arc.
Функция "Подключение кластера" позволяет разработчикам получать доступ к своим кластерам из любой точки для интерактивной разработки и отладки. Она также позволяет пользователям и администраторам кластера получать доступ к кластерам и управлять ими из любой точки. Вы даже можете использовать размещенные агенты и средства выполнения Azure Pipelines, GitHub Actions или любую другую размещенную службу CI/CD для развертывания приложений в локальных кластерах, не требуя локальных агентов.
Архитектура
Чтобы скачать схемы архитектуры в высоком разрешении, перейдите на страницу Jumpstart Gems.
На стороне кластера агент обратного прокси clusterconnect-agent, развернутый как часть диаграммы Helm агента, выполняет исходящие вызовы к службе Azure Arc для установления сеанса.
Когда пользователь вызывает az connectedk8s proxy, происходит следующее:
- Двоичный файл прокси-сервера Azure Arc загружается и запускается как процесс на клиентском компьютере.
- Прокси-сервер Azure Arc получает
kubeconfigфайл, связанный с кластером Kubernetes с поддержкой Azure Arc, в которомaz connectedk8s proxyвызывается.- Прокси-сервер Azure Arc использует маркер доступа к Azure вызывающего объекта и имя идентификатора Azure Resource Manager.
- Файл
kubeconfig, сохраненный на компьютере прокси-сервером Azure Arc, указывает URL-адрес сервера на конечную точку в процессе прокси-сервера Azure Arc.
Когда пользователь отправляет запрос с помощью этого файла kubeconfig, происходит следующее:
- Прокси-сервер Azure Arc сопоставляет конечную точку, которая получает запрос, со службой Azure Arc.
- Затем служба Azure Arc перенаправляет запрос на
clusterconnect-agent, работающий на кластере. - Компонент
clusterconnect-agentпередает запрос компонентуkube-aad-proxy, который выполняет проверку подлинности Microsoft Entra вызывающей сущности. - После проверки подлинности
kube-aad-proxyMicrosoft Entra использует олицетворение пользователя Kubernetes для пересылки запроса в кластерapiserver.
Следующие шаги
- Используйте наше краткое руководство по подключению кластера Kubernetes к Azure Arc.
- Безопасный доступ к кластеру из любого места с помощью подключения к кластеру.