Client-IP-adres heeft geen toegang tot de API-server

In dit artikel wordt beschreven hoe u problemen oplost die optreden wanneer u geen verbinding kunt maken met een AKS-cluster (Azure Kubernetes Service), omdat uw CLIENT-IP-adres geen toegang heeft tot de AKS-API-server.

Voorwaarden

• Azure CLI.
• Het hulpprogramma client-URL (curl).

Symptomen

Azure-portal

Wanneer u toegang probeert te krijgen tot Kubernetes-resources, zoals mamespaces en workloads vanuit Azure Portal, kunnen de volgende fouten optreden:

Netwerkfout

Kan de API-server 'https://< API-server-FQDN>' niet bereiken of de API-server is te druk om te reageren. Controleer de netwerkinstellingen en vernieuw deze om het opnieuw te proberen.

Azure-CLI

Wanneer u probeert verbinding te maken met een cluster met behulp van de Azure CLI, ziet u mogelijk de volgende fouten:

"Unhandled Error" err="couldn't get current server API group list: Get \"https://<API-SERVER-FQDN>:443/api?timeout=32s\": dial tcp <API-SERVER-IP>:443: i/o timeout"

Unable to connect to the server: dial tcp <API-SERVER-IP>:443: i/o timeout

Unable to connect to the server: dial tcp <API-SERVER-IP>:443: connectex: A connection attempt failed because the connected party did not properly respond after a period, or established connection failed because connected host has failed to respond.

Oorzaak

Api-server geautoriseerde IP-bereiken zijn mogelijk ingeschakeld op de API-server van het cluster, maar het IP-adres van de client is niet opgenomen in de IP-bereiken. Als u wilt controleren of deze functie is ingeschakeld, controleert u of de volgende az aks show-opdracht in Azure CLI een lijst met IP-bereiken produceert:

az aks show --resource-group <cluster-resource-group> \
    --name <cluster-name> \
    --query apiServerAccessProfile.authorizedIpRanges

Oplossing

Bekijk de api-bereiken die zijn geautoriseerd voor de API-server en voeg het IP-adres van uw client toe binnen dat bereik.

Notitie

1. Hebt u toegang tot de API-server vanuit een bedrijfsnetwerk waar verkeer wordt gerouteerd via een proxyserver of firewall? Vraag vervolgens de netwerkbeheerder voordat u het IP-adres van de client toevoegt aan de lijst met geautoriseerde bereiken voor de API-server.

2. Vraag uw clusterbeheerder ook voordat u het IP-adres van de client toevoegt, omdat er mogelijk beveiligingsproblemen zijn met het toevoegen van een tijdelijk IP-adres aan de lijst met geautoriseerde bereiken.

Azure-portal

1. Navigeer vanuit Azure Portal naar het cluster.

2. Zoek in het linkermenu Instellingen en selecteer Vervolgens Netwerken.

3. Selecteer op de pagina Netwerken het tabblad Overzicht .

4. Selecteer Beheren onder Resource-instellingen.

5. Voeg in het deelvenster Geautoriseerde IP-bereiken uw client-IP-adres toe, zoals wordt weergegeven in de volgende schermopname:

   

Azure-CLI

1. Haal uw client-IP-adres op door deze curl-opdracht uit te voeren:

   $ curl --silent checkip.dyndns.org
   <html><head><title>Current IP Check</title></head><body>Current IP Address: 0.255.127.63</body></html>
   

2. Werk het door de API-server geautoriseerde bereik bij met de opdracht az aks update in Azure CLI, met behulp van uw client-IP-adres:

   az aks update --resource-group <cluster-resource-group> \
       --name <cluster-name> \
       --api-server-authorized-ip-ranges <ip-ranges-that-include-your-client-ip-address>
   

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Azure-feedbackcommunity.