Nastavení proxy serveru v AKS povolené službou Azure Arc

  • Článek

Platí pro: AKS ve Službě Azure Stack HCI 22H2, AKS na Windows Serveru

Tento článek popisuje, jak nakonfigurovat nastavení proxy serveru pro AKS povolenou službou Azure Arc. Pokud vaše síť vyžaduje použití proxy serveru pro připojení k internetu, tento článek vás provede postupem nastavení podpory proxy serveru v AKS pomocí modulu AksHci PowerShellu. Postup se liší podle toho, jestli proxy server vyžaduje ověření.

Poznámka

Pokud chcete používat Kubernetes a služby Azure Se službou Azure Arc, nezapomeňte do seznamu povolených přidat také adresy URL uvedené v tématu Připojení existujícího clusteru Kubernetes ke službě Azure Arc .

Jakmile nakonfigurujete nasazení pomocí následujících možností, můžete na Azure Stack HCI nainstalovat hostitele AKS a vytvořit clustery Kubernetes pomocí PowerShellu.

Než začnete

Ujistěte se, že jste splnili všechny požadavky v požadavcích na systém.

Informace o konfiguraci proxy serveru

Konfigurace proxy serveru pro nasazení AKS zahrnuje následující nastavení:

  • Adresa URL a port HTTP, například http://proxy.corp.contoso.com:8080.
  • Adresa URL a port HTTPS, například https://proxy.corp.contoso.com:8443.
  • (Volitelné) Platné přihlašovací údaje pro ověřování k proxy serveru.
  • (Volitelné) Platný řetěz certifikátů, pokud je proxy server nakonfigurovaný tak, aby zachycoval provoz SSL. Tento řetěz certifikátů se naimportuje do všech rovin řízení AKS a pracovních uzlů a také do clusteru pro správu, aby se vytvořilo důvěryhodné připojení k proxy serveru.

Seznam vyloučení pro vyloučení privátních podsítí z odesílání na proxy server

Následující tabulka obsahuje seznam adres, které je nutné vyloučit pomocí parametru -noProxy v New-AksHciProxySettingsouboru .

IP adresa Důvod vyloučení
localhost, 127.0.0.1 Provoz místního hostitele
.svc Interní provoz služby Kubernetes, kde .svc představuje zástupný název. Toto je podobné rčení *.svc, ale v tomto schématu se nepoužívá žádný.
10.0.0.0/8 Adresní prostor privátní sítě.
172.16.0.0/12 Adresní prostor privátní sítě – CIDR služby Kubernetes.
192.168.0.0/16 Adresní prostor privátní sítě – CIDR pod Kubernetes.
.contoso.com`` | You might want to exempt your enterprise namespace (.contoso.com) from being directed through the proxy. To exclude all addresses in a domain, you must add the domain to the noProxy.contoso.comlist. Use a leading period rather than a wildcard (\*) character. In the example, the addressesexcludes addresses prefix1.contoso.com, prefix2.contoso.com a tak dále.

Výchozí hodnota pro noProxy je localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. I když tyto výchozí hodnoty fungují pro mnoho sítí, možná budete muset do seznamu výjimek přidat další rozsahy nebo názvy podsítí. Můžete například chtít vyloučit obor názvů organizace (.contoso.com) z přesměrování přes proxy server. Toho můžete dosáhnout zadáním hodnot v noProxy seznamu.

Nastavení proxy serveru pro clustery Azure Stack HCI a Windows Serveru s nastavením proxy serveru pro celý počítač

Pokud už v clusteru Azure Stack HCI/Windows Server máte nastavení proxy serveru pro celý počítač, můžou tato nastavení přepsat nastavení proxy serveru specifická pro AKS a vést k selhání během instalace.

Pokud chcete zjistit, jestli máte nastavení proxy serveru na celém počítači, spusťte na každém fyzickém uzlech clusteru následující skript:

$http_proxy = [System.Environment]::GetEnvironmentVariable("HTTP_PROXY", "Machine")
$https_proxy = [System.Environment]::GetEnvironmentVariable("HTTPS_PROXY", "Machine")
$no_proxy = [System.Environment]::GetEnvironmentVariable("NO_PROXY", "Machine")

if ($http_proxy -or $https_proxy) {
    if (-not $no_proxy) {
        Write-Host "Problem Detected! A machine-wide proxy server is configured, but no proxy exclusions are configured"
    }
}

Nakonfigurujte vyloučení proxy serveru pro celý počítač na každém fyzickém hostiteli clusteru, ve kterém byl problém zjištěn.

Spusťte následující skript PowerShellu a nahraďte řetězec parametru $no_proxy vhodným NO_PROXY řetězcem vyloučení pro vaše prostředí. Informace o tom, jak správně nakonfigurovat noProxy seznam pro vaše prostředí, najdete v tématu Seznam vyloučení pro vyloučení privátních podsítí z odesílání na proxy server.

$no_proxy = "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com"
[Environment]::SetEnvironmentVariable("NO_PROXY", $no_proxy, "Machine")
$env:NO_PROXY = [System.Environment]::GetEnvironmentVariable("NO_PROXY", "Machine")

Poznámka

Doporučujeme použít stejné nastavení proxy serveru na všech uzlech v clusteru s podporou převzetí služeb při selhání. Odlišné nastavení proxy serveru na různých fyzických uzlech v clusteru s podporou převzetí služeb při selhání může vést k neočekávaným výsledkům nebo problémům s instalací. Také IP adresa se zástupným znakem (*), například 172.*, není platný. IP adresa musí být ve správném zápisu CIDR (172.0.0.0/8).

Instalace modulů PowerShellu AksHci

Nakonfigurujte nastavení proxy serveru systému na každém fyzickém uzlu v clusteru a ujistěte se, že všechny uzly mají přístup k adresám URL a portům uvedeným v části Požadavky na systém.

Pokud používáte vzdálený PowerShell, musíte použít CredSSP.

Před spuštěním následujícího příkazu zavřete všechna otevřená okna PowerShellu:

Install-Module -Name AksHci -Repository PSGallery

Pokud vaše prostředí používá proxy server pro přístup k internetu, možná budete muset před instalací AKS přidat parametry proxy serveru do příkazu Install-Module . Podrobnosti najdete v dokumentaci k modulu Install-Module a podle dokumentace ke službě Azure Stack HCI nakonfigurujte nastavení proxy serveru na fyzických uzlech clusteru.

Když si stáhnete modul AksHci PowerShell, stáhneme také moduly Az PowerShellu, které jsou potřeba k registraci hostitele AKS v Azure pro účely fakturace.

Konfigurace hostitele AKS pro proxy server se základním ověřováním

Pokud proxy server vyžaduje ověření, otevřete PowerShell jako správce a spuštěním následujícího příkazu získejte přihlašovací údaje a nastavte podrobnosti konfigurace:

$proxyCred = Get-Credential
$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com -credential $proxyCredential

Konfigurace hostitele AKS pro proxy server bez ověřování

Pokud proxy server nevyžaduje ověřování, spusťte následující příkaz:

$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com

Konfigurace hostitele AKS pro proxy server s důvěryhodným certifikátem

Pokud proxy server vyžaduje, aby klienti proxy serveru důvěřovali certifikátu, zadejte soubor certifikátu při spuštění příkazu Set-AksHciConfig. Formát souboru certifikátu je X.509 s kódováním Base-64. To vám umožní vytvořit a důvěřovat certifikátu v celém zásobníku.

Důležité

Pokud váš proxy server vyžaduje, aby byl certifikát důvěryhodný fyzickými uzly Azure Stack HCI, před pokračováním se ujistěte, že importujete řetěz certifikátů do příslušného úložiště certifikátů v každém uzlu Azure Stack HCI. Postupujte podle pokynů pro vaše nasazení a zaregistrujte uzly Azure Stack HCI s požadovanými certifikáty pro ověřování proxy.

$proxySetting=New-AksHciProxySetting -name "corpProxy" -http http://contosoproxy:8080 -https https://contosoproxy:8443 -noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.contoso.com -credential $proxyCredential

Poznámka

Certifikáty proxy serveru musí být poskytovány ve formátu nebo řetězci souboru PFX (Personal Information Exchange) a musí obsahovat řetěz kořenové autority pro použití certifikátu pro ověřování nebo pro nastavení tunelu SSL.

Další kroky

Teď můžete pokračovat v instalaci AKS do clusteru Azure Stack HCI nebo Windows Serveru spuštěním příkazu Set-AksHciConfigInstall-AksHci.