Zelfstudie: Invoegtoepassing voor toegangsbeheerobjectcontroller voor toepassingsgateway inschakelen voor een bestaand AKS-cluster met een bestaande toepassingsgateway
U kunt Azure CLI of portal gebruiken om de AGIC-invoegtoepassing (Application Gateway Ingress Controller) in te schakelen voor een bestaand AKS-cluster (Azure Kubernetes Services). In deze zelfstudie leert u hoe u de AGIC-invoegtoepassing gebruikt om uw Kubernetes-toepassing beschikbaar te maken in een bestaand AKS-cluster via een bestaande toepassingsgateway die is geïmplementeerd in afzonderlijke virtuele netwerken. U begint met het maken van een AKS-cluster in één virtueel netwerk en een toepassingsgateway in een afzonderlijk virtueel netwerk om bestaande resources te simuleren. Vervolgens schakelt u de AGIC-invoegtoepassing in, koppelt u de twee virtuele netwerken aan elkaar en implementeert u een voorbeeldtoepassing die beschikbaar wordt gemaakt via de toepassingsgateway met behulp van de AGIC-invoegtoepassing. Als u de AGIC-invoegtoepassing inschakelt voor een bestaande toepassingsgateway en een bestaand AKS-cluster in hetzelfde virtuele netwerk, kunt u de onderstaande peeringstap overslaan. De invoegtoepassing biedt een veel snellere manier om AGIC voor uw AKS-cluster te implementeren dan via Helm en biedt ook een volledig beheerde ervaring.
In deze zelfstudie leert u het volgende:
- Maak een resourcegroep.
- Maak een nieuw AKS-cluster.
- Maak een nieuwe toepassingsgateway.
- Schakel de AGIC-invoegtoepassing in het bestaande AKS-cluster in via Azure CLI.
- Schakel de AGIC-invoegtoepassing in het bestaande AKS-cluster in via Azure Portal.
- Koppel het virtuele netwerk van de toepassingsgateway aan het virtuele netwerk van het AKS-cluster.
- Implementeer een voorbeeldtoepassing met behulp van AGIC voor inkomend verkeer in het AKS-cluster.
- Controleer of de toepassing bereikbaar is via de toepassingsgateway.
Als u geen Azure-abonnement hebt, kunt u een gratis Azure-account maken voordat u begint.
Vereisten
Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.
Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.
Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.
Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.
Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.
Een brongroep maken
In Azure kunt u verwante resources toewijzen aan een resourcegroep. Maak een resourcegroep met de opdracht az group create. In het volgende voorbeeld wordt een resourcegroep met de naam myResourceGroup gemaakt op de locatie VS - oost (regio):
az group create --name myResourceGroup --location eastus
Een nieuw AKS-cluster implementeren
U gaat nu een nieuw AKS-cluster implementeren om te simuleren dat er een bestaand AKS-cluster is waarvoor u de AGIC-invoegtoepassing wilt inschakelen.
In het volgende voorbeeld implementeert u een nieuw AKS-cluster met de naam myCluster met behulp van Azure CNI en beheerde identiteiten in de resourcegroep die u hebt gemaakt, myResourceGroup.
az aks create --name myCluster --resource-group myResourceGroup --network-plugin azure --enable-managed-identity --generate-ssh-keys
Zie az aks create voor meer parameters voor de bovenstaande opdracht.
Notitie
Er wordt een knooppuntresourcegroep gemaakt met de naam MC_resource-group-name_cluster-name_location.
Een nieuwe toepassingsgateway implementeren
U gaat nu een nieuwe toepassingsgateway implementeren om te simuleren dat er een bestaande toepassingsgateway is die u wilt gebruiken om verkeer naar uw AKS-cluster, myCluster, te verdelen. De naam van de toepassingsgateway is myApplicationGateway, maar u moet eerst een openbare IP-resource maken met de naam myPublicIp en een nieuw virtueel netwerk met de naam myVnet met adresruimte 10.0.0.0.0/16 en een subnet met adresruimte 10.0.0.0/24 met de naam mySubnet en uw toepassingsgateway implementeren in mySubnet met myPublicIp.
Let op
Wanneer u een AKS-cluster en toepassingsgateway in afzonderlijke virtuele netwerken gebruikt, mogen de adresruimten van de twee virtuele netwerken niet overlappen. De standaardadresruimte waarin een AKS-cluster wordt geïmplementeerd, is 10.224.0.0/12.
az network public-ip create --name myPublicIp --resource-group myResourceGroup --allocation-method Static --sku Standard
az network vnet create --name myVnet --resource-group myResourceGroup --address-prefix 10.0.0.0/16 --subnet-name mySubnet --subnet-prefix 10.0.0.0/24
az network application-gateway create --name myApplicationGateway --resource-group myResourceGroup --sku Standard_v2 --public-ip-address myPublicIp --vnet-name myVnet --subnet mySubnet --priority 100
Notitie
De AGIC-invoegtoepassing (Application Gateway InGress Controller) ondersteunt alleen application gateway v2-SKU's (Standard en WAF) en niet de application gateway v1-SKU's.
De AGIC-invoegtoepassing inschakelen in een bestaand AKS-cluster via Azure CLI
Als u Azure CLI wilt blijven gebruiken, kunt u de AGIC-invoegtoepassing blijven inschakelen in het AKS-cluster dat u hebt gemaakt, myCluster en de AGIC-invoegtoepassing opgeven voor het gebruik van de bestaande toepassingsgateway die u hebt gemaakt, myApplicationGateway.
appgwId=$(az network application-gateway show --name myApplicationGateway --resource-group myResourceGroup -o tsv --query "id")
az aks enable-addons --name myCluster --resource-group myResourceGroup --addon ingress-appgw --appgw-id $appgwId
De AGIC-invoegtoepassing inschakelen in een bestaand AKS-cluster via Azure Portal
- Navigeer op de startpagina van Azure Portal naar uw AKS-clusterresource.
- Selecteer in het servicemenu onder Instellingen de optie Netwerkintegratie>van virtueel netwerk.
- Selecteer Beheren onder de controller voor inkomend verkeer van Application Gateway.
- Schakel op de pagina controller voor inkomend verkeer van Application Gateway het selectievakje in om de ingangscontroller in te schakelen en selecteer vervolgens uw bestaande toepassingsgateway in de vervolgkeuzelijst.
- Selecteer Opslaan.
Belangrijk
Als u een toepassingsgateway in een andere resourcegroep gebruikt dan de AKS-clusterresourcegroep, moet voor de beheerde identiteit ingressapplicationgateway-{AKSNAME} die is gemaakt, de rollen Netwerkbijdrager en Lezer zijn ingesteld in de resourcegroep van de toepassingsgateway.
Koppel de twee virtuele netwerken als peers
Omdat u het AKS-cluster in een eigen virtueel netwerk en de toepassingsgateway in een ander virtueel netwerk hebt geïmplementeerd, moet u de twee virtuele netwerken aan elkaar koppelen om verkeer van de toepassingsgateway naar de pods in het cluster te laten stromen. Voor de peering van de twee virtuele netwerken moet de Azure CLI-opdracht twee keer worden uitgevoerd, om ervoor te zorgen dat de verbinding bi-directioneel is. Met de eerste opdracht maakt u een peeringverbinding van het virtuele Application Gateway-netwerk naar het virtuele AKS-netwerk; met de tweede opdracht wordt een peeringverbinding in de andere richting gemaakt.
nodeResourceGroup=$(az aks show --name myCluster --resource-group myResourceGroup -o tsv --query "nodeResourceGroup")
aksVnetName=$(az network vnet list --resource-group $nodeResourceGroup -o tsv --query "[0].name")
aksVnetId=$(az network vnet show --name $aksVnetName --resource-group $nodeResourceGroup -o tsv --query "id")
az network vnet peering create --name AppGWtoAKSVnetPeering --resource-group myResourceGroup --vnet-name myVnet --remote-vnet $aksVnetId --allow-vnet-access
appGWVnetId=$(az network vnet show --name myVnet --resource-group myResourceGroup -o tsv --query "id")
az network vnet peering create --name AKStoAppGWVnetPeering --resource-group $nodeResourceGroup --vnet-name $aksVnetName --remote-vnet $appGWVnetId --allow-vnet-access
Notitie
In de stap Een nieuw AKS-cluster implementeren hierboven hebben we AKS gemaakt met Azure CNI, voor het geval u een bestaand AKS-cluster hebt met behulp van de Kubenet-modus , moet u de routetabel bijwerken om de pakketten te helpen die zijn bestemd voor een POD IP-adres het knooppunt te bereiken dat als host fungeert voor de pod. Een eenvoudige manier om dit te bereiken, is door dezelfde routetabel die door AKS is gemaakt, te koppelen aan het subnet van Application Gateway.
Een voorbeeldtoepassing implementeren met behulp van AGIC
U implementeert nu een voorbeeldtoepassing in het AKS-cluster dat u hebt gemaakt en die de AGIC-invoegtoepassing voor inkomend verkeer gebruikt en de toepassingsgateway verbindt met het AKS-cluster. Eerst haalt u referenties op voor het AKS-cluster dat u hebt geïmplementeerd door de opdracht az aks get-credentials
uit te voeren.
az aks get-credentials --name myCluster --resource-group myResourceGroup
Wanneer i de referenties hebt van het cluster dat u hebt gemaakt, voert u de volgende opdracht uit om een voorbeeldtoepassing in te stellen die gebruikmaakt van AGIC voor inkomend verkeer naar het cluster. AGIC werkt de toepassingsgateway die u eerder hebt ingesteld bij met bijbehorende routeringsregels voor de nieuwe voorbeeldtoepassing die u hebt geïmplementeerd.
kubectl apply -f https://raw.githubusercontent.com/Azure/application-gateway-kubernetes-ingress/master/docs/examples/aspnetapp.yaml
Controleer of de toepassing bereikbaar is
Nu de toepassingsgateway is ingesteld om verkeer naar het AKS-cluster te verwerken, gaan we controleren of uw toepassing bereikbaar is. U haalt eerst het IP-adres van het inkomende verkeer op.
kubectl get ingress
Controleer of de voorbeeldtoepassing die u hebt gemaakt, actief is door naar het IP-adres van de toepassingsgateway te gaan die u hebt gekregen van het uitvoeren van de bovenstaande opdracht of door dit curl
te controleren. Het kan een minuut duren voordat de toepassingsgateway de update heeft, dus als de toepassingsgateway nog steeds de status Bijwerken heeft in Azure Portal, laat u deze voltooien voordat u het IP-adres probeert te bereiken.
Resources opschonen
Wanneer u deze niet meer nodig hebt, verwijdert u alle resources die in deze zelfstudie zijn gemaakt door myResourceGroup en MC_myResourceGroup_myCluster_eastus resourcegroepen te verwijderen:
az group delete --name myResourceGroup
az group delete --name MC_myResourceGroup_myCluster_eastus