Client-IP-Adresse kann nicht auf den API-Server zugreifen

In diesem Artikel wird beschrieben, wie Sie Probleme beheben, die auftreten, wenn Sie keine Verbindung mit einem Azure Kubernetes Service (AKS)-Cluster herstellen können, da Ihre Client-IP-Adresse nicht auf den AKS-API-Server zugreifen kann.

Voraussetzungen

• Azure-Befehlszeilenschnittstelle.
• Das Client-URL-Tool (curl).

Symptome

Azure portal

Wenn Sie versuchen, auf Kubernetes-Ressourcen wie Mamespaces und Workloads aus dem Azure-Portal zuzugreifen, treten möglicherweise die folgenden Fehler auf:

Netzwerkfehler

Der API-Server "https://< API-server-FQDN>" oder der API-Server kann nicht erreicht werden, um zu reagieren. Überprüfen Sie Ihre Netzwerkeinstellungen, und aktualisieren Sie sie, um es erneut zu versuchen.

Azure-Befehlszeilenschnittstelle

Wenn Sie versuchen, eine Verbindung mit einem Cluster mithilfe der Azure CLI herzustellen, werden möglicherweise die folgenden Fehler angezeigt:

"Unhandled Error" err="couldn't get current server API group list: Get \"https://<API-SERVER-FQDN>:443/api?timeout=32s\": dial tcp <API-SERVER-IP>:443: i/o timeout"

Unable to connect to the server: dial tcp <API-SERVER-IP>:443: i/o timeout

Unable to connect to the server: dial tcp <API-SERVER-IP>:443: connectex: A connection attempt failed because the connected party did not properly respond after a period, or established connection failed because connected host has failed to respond.

Ursache

API-serverautorisierte IP-Bereiche wurden möglicherweise auf dem API-Server des Clusters aktiviert, die IP-Adresse des Clients war jedoch nicht in den IP-Bereichen enthalten. Um zu überprüfen, ob dieses Feature aktiviert wurde, überprüfen Sie, ob der folgende Befehl "Az aks show command" in Azure CLI eine Liste der IP-Bereiche erzeugt:

az aks show --resource-group <cluster-resource-group> \
    --name <cluster-name> \
    --query apiServerAccessProfile.authorizedIpRanges

Lösung

Sehen Sie sich die API-serverautorisierten Bereiche des Clusters an, und fügen Sie die IP-Adresse Ihres Clients innerhalb dieses Bereichs hinzu.

Notiz

1. Greifen Sie über ein Unternehmensnetzwerk auf den API-Server zu, in dem Datenverkehr über einen Proxyserver oder eine Firewall weitergeleitet wird? Bitten Sie dann Ihren Netzwerkadministrator, bevor Sie Ihre Client-IP-Adresse zur Liste der autorisierten Bereiche für den API-Server hinzufügen.

2. Bitten Sie auch Ihren Clusteradministrator, bevor Sie Ihre Client-IP-Adresse hinzufügen, da es möglicherweise Sicherheitsbedenken beim Hinzufügen einer temporären IP-Adresse zur Liste der autorisierten Bereiche gibt.

Azure portal

1. Navigieren Sie vom Azure-Portal zum Cluster.

2. Suchen Sie im linken Menü die Einstellungen, und wählen Sie dann "Netzwerk" aus.

3. Wählen Sie auf der Seite "Netzwerk " die Registerkarte "Übersicht " aus.

4. Wählen Sie "Verwalten" unter "Ressourceneinstellungen" aus.

5. Fügen Sie im Bereich "Autorisierte IP-Bereiche " Ihre Client-IP-Adresse hinzu, wie im folgenden Screenshot gezeigt:

   

Azure-Befehlszeilenschnittstelle

1. Rufen Sie Ihre Client-IP-Adresse ab, indem Sie diesen Curl-Befehl ausführen:

   $ curl --silent checkip.dyndns.org
   <html><head><title>Current IP Check</title></head><body>Current IP Address: 0.255.127.63</body></html>
   

2. Aktualisieren Sie den vom API-Server autorisierten Bereich mit dem Befehl "azks update" in Azure CLI, indem Sie Ihre Client-IP-Adresse verwenden:

   az aks update --resource-group <cluster-resource-group> \
       --name <cluster-name> \
       --api-server-authorized-ip-ranges <ip-ranges-that-include-your-client-ip-address>
   

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.