Sdílet prostřednictvím

Použití privátního připojení pro clustery Kubernetes s podporou Arc s privátním propojením (Preview)

  • Článek

Azure Private Link umožňuje bezpečně propojit služby Azure s vaší virtuální sítí pomocí privátních koncových bodů. To znamená, že můžete připojit místní clustery Kubernetes se službou Azure Arc a posílat veškerý provoz přes připojení VPN typu Site-to-Site přes Azure ExpressRoute místo veřejných sítí. V Azure Arc můžete pomocí modelu oboru služby Private Link umožnit více clusterům Kubernetes komunikovat s prostředky Azure Arc pomocí jednoho privátního koncového bodu.

Tento dokument popisuje, kdy použít a jak nastavit službu Azure Arc Private Link (Preview).

Důležité

Funkce Azure Arc Private Link je v současné době ve verzi PREVIEW ve všech oblastech, ve kterých je k dispozici Kubernetes s podporou služby Azure Arc, s výjimkou jihovýchodní Asie. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Výhody

Pomocí služby Private Link můžete:

  • Připojte se soukromě ke službě Azure Arc bez otevření přístupu k veřejné síti.
  • Ujistěte se, že k datům z clusteru Kubernetes s podporou Arc se přistupuje jenom prostřednictvím autorizovaných privátních sítí.
  • Zabránit exfiltraci dat z privátních sítí definováním konkrétních clusterů Kubernetes s podporou Služby Azure Arc a dalších prostředků služeb Azure, jako je Azure Monitor, které se připojují přes privátní koncový bod.
  • Zabezpečeně připojte privátní místní síť k Azure Arc pomocí ExpressRoute a Private Linku.
  • Udržujte veškerý provoz v páteřní síti Microsoft Azure.

Další informace najdete v tématu Klíčové výhody služby Azure Private Link.

Jak to funguje

Obor služby Azure Arc Private Link propojuje privátní koncové body (a virtuální sítě, které jsou obsažené) k prostředku Azure, v tomto případě clustery Kubernetes s podporou Služby Azure Arc. Když povolíte rozšíření clusteru Kubernetes s podporou Arc, může být pro tyto scénáře potřeba připojení k jiným prostředkům Azure. Například pomocí služby Azure Monitor se protokoly shromážděné z clusteru odesílají do pracovního prostoru služby Log Analytics.

Připojení k ostatním prostředkům Azure z dříve uvedeného clusteru Kubernetes s podporou Arc vyžaduje konfiguraci služby Private Link pro každou službu. Příklad najdete v tématu Private Link pro Azure Monitor.

Aktuální omezení

Při plánování nastavení služby Private Link zvažte tato aktuální omezení.

  • K virtuální síti můžete přidružit jenom jeden obor privátního propojení Azure Arc.

  • Cluster Kubernetes s podporou Služby Azure Arc se může připojit jenom k jednomu oboru služby Azure Arc Private Link.

  • Všechny místní clustery Kubernetes musí používat stejný privátní koncový bod překladem správných informací o privátním koncovém bodu (název plně kvalifikovaného názvu domény a privátní IP adresa) pomocí stejného nástroje pro předávání DNS. Další informace najdete v tématu Hodnoty privátní zóny DNS privátního koncového bodu Azure. Cluster Kubernetes s podporou Služby Azure Arc, obor služby Azure Arc Private Link a virtuální síť musí být ve stejné oblasti Azure. Privátní koncový bod a virtuální síť musí být také ve stejné oblasti Azure, ale tato oblast se může lišit od rozsahu služby Azure Arc a clusteru Kubernetes s podporou Arc.

  • Provoz do značek služeb Microsoft Entra ID, Azure Resource Manager a Microsoft Container Registry musí být povolený prostřednictvím místní síťové brány firewall během verze Preview.

  • Jiné služby Azure, které používáte, jako je Azure Monitor, můžou ve vaší virtuální síti vyžadovat vlastní privátní koncové body.

    Poznámka:

    Funkce Připojení ke clusteru (a proto vlastní umístění) se v současné době nepodporuje v clusterech Kubernetes s podporou Azure Arc s povoleným privátním připojením. Připojení k síti využívající privátní propojení pro služby Azure Arc, jako jsou datové služby s podporou Azure Arc, a služby aplikací s podporou Azure Arc, které tyto funkce používají, se v současné době také nepodporují.

V clusterech Kubernetes s podporou Azure Arc nakonfigurovaných s privátními propojeními podporují tato rozšíření kompletní připojení prostřednictvím privátních propojení:

Pokud chcete připojit cluster Kubernetes ke službě Azure Arc přes privátní propojení, nakonfigurujte síť následujícím způsobem:

  1. Vytvořte připojení mezi vaší místní sítí a virtuální sítí Azure pomocí sítě VPN typu site-to-site nebo okruhu ExpressRoute .
  2. Nasaďte obor služby Azure Arc Private Link, který řídí, které clustery Kubernetes můžou komunikovat s Azure Arc přes privátní koncové body, a přidružte ho k virtuální síti Azure pomocí privátního koncového bodu.
  3. Aktualizujte konfiguraci DNS v místní síti a přeložte adresy privátního koncového bodu.
  4. Nakonfigurujte místní bránu firewall tak, aby umožňovala přístup k Microsoft Entra ID, Azure Resource Manageru a Službě Microsoft Container Registry.
  5. Přidružte clustery Kubernetes s podporou Azure Arc k oboru služby Azure Arc Private Link.
  6. Volitelně můžete nasadit privátní koncové body pro jiné služby Azure používané s clusterem Kubernetes s podporou Azure Arc, jako je Azure Monitor.

Zbývající část tohoto článku předpokládá, že jste už nastavili okruh ExpressRoute nebo připojení VPN typu site-to-site.

Konfigurace sítě

Kubernetes s podporou Služby Azure Arc se integruje s několika službami Azure, které umožňují správu cloudu a zásady správného řízení do hybridních clusterů Kubernetes. Většina těchto služeb už nabízí privátní koncové body. Musíte ale nakonfigurovat pravidla brány firewall a směrování tak, aby umožňovala přístup k Microsoft Entra ID a Azure Resource Manageru přes internet, dokud tyto služby nenabízejí privátní koncové body. Musíte také povolit přístup ke službě Microsoft Container Registry (a AzureFrontDoor.FirstParty jako prekurzor pro Microsoft Container Registry) a vyžádat si image a charty Helm, aby bylo možné povolit služby, jako je Azure Monitor, a pro počáteční nastavení agentů Azure Arc v clusterech Kubernetes.

Tuto konfiguraci můžete povolit dvěma způsoby:

  • Pokud je vaše síť nakonfigurovaná tak, aby směrovala veškerý internetový provoz přes okruh Azure VPN nebo ExpressRoute, můžete nakonfigurovat skupinu zabezpečení sítě (NSG) přidruženou k vaší podsíti v Azure tak, aby umožňovala odchozí přístup TCP 443 (HTTPS) k Microsoft Entra ID, Azure Resource Manageru, Azure Front Dooru a Microsoft Container Registry pomocí značek služeb. Pravidla NSG by měla vypadat takto:

    Nastavení Pravidlo ID Microsoft Entra Pravidlo Azure Resource Manageru Pravidlo AzureFrontDoorFirstParty Pravidlo služby Microsoft Container Registry
    Zdroj Virtual Network Virtual Network Virtual Network Virtual Network
    Rozsahy zdrojových portů * * * *
    Cíl Značka služby Značka služby Značka služby Značka služby
    Značka cílové služby AzureActiveDirectory AzureResourceManager AzureFrontDoor.FirstParty MicrosoftContainerRegistry
    Rozsahy cílových portů 443 443 443 443
    Protokol TCP TCP TCP TCP
    Akce Povolit Povolit Povolit (příchozí i odchozí) Povolit
    Priorita 150 (musí být nižší než všechna pravidla, která blokují přístup k internetu) 151 (musí být nižší než všechna pravidla, která blokují přístup k internetu) 152 (musí být nižší než všechna pravidla, která blokují přístup k internetu) 153 (musí být nižší než všechna pravidla, která blokují přístup k internetu)
    Název AllowAADOutboundAccess AllowAzOutboundAccess AllowAzureFrontDoorFirstPartyAccess AllowMCROutboundAccess

  • Případně nakonfigurujte bránu firewall v místní síti tak, aby umožňovala odchozí přístup TCP 443 (HTTPS) k Microsoft Entra ID, Azure Resource Manageru a Microsoft Container Registry a příchozímu a odchozímu přístupu k AzureFrontDoor.FirstParty používání souborů značek služeb ke stažení. Soubor JSON obsahuje všechny rozsahy veřejných IP adres, které používá Microsoft Entra ID, Azure Resource Manager AzureFrontDoor.FirstPartya Microsoft Container Registry, a každý měsíc se aktualizuje tak, aby odrážely všechny změny. Značka služby Microsoft Entra je AzureActiveDirectory, značka služby Azure Resource Manageru je AzureResourceManager, značka služby Microsoft Container Registry je MicrosoftContainerRegistrya značka služby Azure Front Door je AzureFrontDoor.FirstParty. Informace o konfiguraci pravidel brány firewall najdete u správce sítě a dodavatele síťové brány firewall.

  1. Přihlaste se k portálu Azure.

  2. Na webu Azure Portal přejděte do části Vytvořit prostředek a vyhledejte obor služby Azure Arc Private Link a pak vyberte Vytvořit. Případně přejděte přímo na stránku Obory služby Azure Arc na webu Azure Portal a pak vyberte Vytvořit obor privátního propojení Azure Arc.

  3. Vyberte předplatné a skupinu prostředků. Ve verzi Preview musí být vaše virtuální síť a clustery Kubernetes s podporou Služby Azure Arc ve stejném předplatném jako obor služby Azure Arc Private Link.

  4. Pojmenujte obor služby Azure Arc Private Link.

  5. Pokud chcete vyžadovat, aby každý cluster Kubernetes s podporou Arc přidružený k tomuto oboru služby Azure Arc Private Link odesílal data do služby prostřednictvím privátního koncového bodu, vyberte Povolit přístup k veřejné síti. Pokud to uděláte, clustery Kubernetes přidružené k tomuto oboru služby Azure Arc Private Link můžou komunikovat se službou přes privátní i veřejné sítě. Toto nastavení můžete po vytvoření oboru podle potřeby změnit.

    Snímek obrazovky vytvoření oboru služby Azure Arc Private Link na webu Azure Portal

  6. Vyberte Zkontrolovat a vytvořit.

  7. Po dokončení ověření vyberte Vytvořit.

Vytvoření privátního koncového bodu

Po vytvoření oboru služby Azure Arc Private Link ho musíte připojit k jedné nebo více virtuálním sítím pomocí privátního koncového bodu. Privátní koncový bod zveřejňuje přístup ke službám Azure Arc na privátní IP adrese v adresního prostoru vaší virtuální sítě.

Privátní koncový bod ve vaší virtuální síti umožňuje přístup ke koncovým bodům clusteru Kubernetes s podporou služby Azure Arc prostřednictvím privátních IP adres z fondu vaší sítě místo použití k veřejným IP adresám těchto koncových bodů. Díky tomu můžete dál používat clustery Kubernetes s podporou Služby Azure Arc, aniž byste otevřeli virtuální síť pro nepožadovaný odchozí provoz. Provoz z privátního koncového bodu do vašich prostředků prochází přes Microsoft Azure a není směrován do veřejných sítí.

  1. Na webu Azure Portal přejděte k prostředku oboru služby Azure Arc Private Link.

  2. V nabídce prostředků v části Konfigurovat vyberte připojení privátního koncového bodu.

  3. Vyberte Přidat a spusťte proces vytvoření koncového bodu. Můžete také schválit připojení, která byla spuštěna v Centru služby Private Link, tak, že je vyberete a pak vyberete Schválit.

    Snímek obrazovky připojení privátního koncového bodu na webu Azure Portal

  4. Vyberte předplatné a skupinu prostředků a zadejte název koncového bodu. Vyberte stejnou oblast jako vaše virtuální síť.

  5. Vyberte Další: Prostředek.

  6. Pokud tyto hodnoty ještě nejsou vybrané, na stránce Prostředek udělejte toto:

    1. Vyberte předplatné, které obsahuje váš prostředek oboru služby Azure Arc Private Link.
    2. Jako typ prostředku zvolte Microsoft.HybridCompute/privateLinkScopes.
    3. Jako prostředek zvolte obor privátního propojení Azure Arc, který jste vytvořili dříve.
    4. Vyberte Další: Virtuální síť.

  7. Na stránce Virtuální síť:

    1. Vyberte virtuální síť a podsíť, ze které se chcete připojit ke clusterům Kubernetes s podporou Azure Arc.
    2. Vyberte Další: DNS.

  8. Na stránce DNS:

    1. V případě integrace s privátní zónou DNS vyberte Ano. Vytvoří se nová zóna Privátní DNS.

      Pokud chcete záznamy DNS spravovat ručně, vyberte Ne a dokončete nastavení služby Private Link, včetně tohoto privátního koncového bodu a konfigurace privátního oboru. Dále nakonfigurujte DNS podle pokynů v hodnotách privátních zón DNS privátního koncového bodu Azure. Při přípravě nastavení služby Private Link se ujistěte, že nevytváříte prázdné záznamy. Vytvořené záznamy DNS můžou přepsat stávající nastavení a ovlivnit připojení ke clusterům Kubernetes s podporou Arc.

      Důležité

      Stejnou zónu virtuální sítě nebo DNS není možné použít pro prostředky Arc pomocí privátního propojení ani pro ty, které nepoužívají privátní propojení. Prostředky Arc, které nejsou připojené k privátnímu propojení, se musí přeložit na veřejné koncové body.

    2. Vyberte Zkontrolovat a vytvořit.

    3. Nechte ověření projít.

    4. Vyberte Vytvořit.

Konfigurace místního předávání DNS

Vaše místní clustery Kubernetes musí být schopné přeložit záznamy DNS privátního propojení na IP adresy privátního koncového bodu. Postup konfigurace se liší v závislosti na tom, jestli k údržbě záznamů DNS používáte privátní zóny DNS Azure, nebo místní server DNS.

Konfigurace DNS s využitím privátních zón DNS integrovaných v Azure

Pokud jste při vytváření privátního koncového bodu vybrali možnost Ano pro integraci s privátní zónou DNS, místní clustery Kubernetes musí být schopné předávat dotazy DNS na předdefinované servery Azure DNS, aby správně přeložily adresy privátních koncových bodů. Potřebujete předávací program DNS v Azure (buď účelový virtuální počítač, nebo instanci azure Firewallu s povoleným proxy serverem DNS), po kterém můžete nakonfigurovat místní server DNS tak, aby předával dotazy do Azure za účelem překladu IP adres privátního koncového bodu.

Další informace najdete v tématu Privátní překladač Azure s místním předáváním DNS.

Ruční konfigurace serveru DNS

Pokud jste se při vytváření privátního koncového bodu odhlásili k používání zón Azure Private DNS, musíte na místním serveru DNS vytvořit požadované záznamy DNS.

  1. Na webu Azure Portal přejděte k prostředku privátního koncového bodu přidruženého k vaší virtuální síti a oboru privátního propojení.
  2. V nabídce služby v části Nastavení vyberte konfiguraci DNS, abyste zobrazili seznam záznamů DNS a odpovídajícíCH IP adres, které potřebujete nastavit na serveru DNS. Plně kvalifikované názvy domén a IP adresy se změní v závislosti na oblasti, kterou jste vybrali pro privátní koncový bod, a dostupných IP adres ve vaší podsíti.
  3. Podle pokynů od dodavatele serveru DNS přidejte potřebné zóny DNS a záznamy A, které odpovídají tabulce na portálu. Ujistěte se, že jste vybrali server DNS, který je pro vaši síť správně vymezený. Každý cluster Kubernetes, který používá tento server DNS, teď překládá IP adresy privátního koncového bodu a musí být přidružený k oboru služby Azure Arc Private Link nebo bude připojení odmítnuto.

Poznámka:

Konfigurace privátních propojení pro clustery Kubernetes s podporou Azure Arc se podporuje od verze 1.3.0 connectedk8s rozšíření CLI, ale vyžaduje azure CLI verze vyšší než 2.3.0. Pokud pro rozšíření rozhraní příkazového řádku používáte verzi vyšší než 1.3.0 connectedk8s , zavedli jsme ověření, která ověří a úspěšně připojí cluster ke službě Azure Arc jenom v případě, že používáte Azure CLI verze vyšší než 2.3.0.

Privátní propojení pro existující cluster Kubernetes s podporou Azure Arc nebo při prvním zprovoznění clusteru Kubernetes do Služby Azure Arc můžete nakonfigurovat pomocí následujícího příkazu:

az connectedk8s connect -g <resource-group-name> -n <connected-cluster-name> -l <location> --enable-private-link true --private-link-scope-resource-id <pls-arm-id>
Název parametru Popis
--enable-private-link Povolí funkci private linku, pokud je nastavená na Truehodnotu .
--private-link-scope-resource-id ID prostředku oboru privátního propojení vytvořeného dříve. Příklad: /subscriptions//resourceGroups//providers/Microsoft.HybridCompute/privateLinkScopes/

U clusterů Kubernetes s podporou Azure Arc, které byly nastavené před konfigurací oboru privátního propojení Azure Arc, nakonfigurujte privátní propojení na webu Azure Portal pomocí následujícího postupu:

  1. Na webu Azure Portal přejděte k prostředku oboru služby Azure Arc Private Link.
  2. V nabídce služby v části Konfigurovat vyberte prostředky Azure Arc. Pak vyberte Přidat.
  3. Zobrazí se všechny clustery Kubernetes s podporou Arc ve stejném předplatném a oblasti jako obor služby Private Link. Zaškrtněte políčko pro každý cluster Kubernetes, který chcete přidružit k oboru služby Private Link. Až budete hotovi, zvolte Vybrat a uložte provedené změny.

Řešení problému

Pokud narazíte na problémy, můžou vám pomoct následující návrhy:

  • Zkontrolujte místní server DNS a ověřte, že se buď předává do Azure DNS, nebo je nakonfigurovaný s odpovídajícími záznamy A v zóně privátního propojení. Tyto vyhledávací příkazy by měly vracet privátní IP adresy ve vaší virtuální síti Azure. Pokud přeloží veřejné IP adresy, pečlivě zkontrolujte konfiguraci DNS vašeho serveru a sítě.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com
nslookup dp.kubernetesconfiguration.azure.com

  • V případě problémů s onboardingem clusteru Kubernetes ověřte, že jste do brány firewall místní sítě přidali id Microsoft Entra, Azure Resource Manager, AzureFrontDoor.FirstParty a Microsoft Container Registry.

Další tipy pro řešení potíží najdete v tématu Řešení potíží s připojením privátního koncového bodu Azure.

Další kroky