Udostępnij za pośrednictwem

Używanie łączności prywatnej dla klastrów Kubernetes z obsługą usługi Arc z usługą Private Link (wersja zapoznawcza)

  • Artykuł

Usługa Azure Private Link umożliwia bezpieczne łączenie usług platformy Azure z siecią wirtualną przy użyciu prywatnych punktów końcowych. Oznacza to, że możesz połączyć lokalne klastry Kubernetes z usługą Azure Arc i wysyłać cały ruch przez usługę Azure ExpressRoute lub połączenie sieci VPN typu lokacja-lokacja zamiast korzystać z sieci publicznych. W usłudze Azure Arc można użyć modelu zakresu usługi Private Link, aby umożliwić wielu klastrom Kubernetes komunikowanie się z zasobami usługi Azure Arc przy użyciu jednego prywatnego punktu końcowego.

W tym dokumencie opisano, kiedy należy używać usługi i jak skonfigurować usługę Azure Arc Private Link (wersja zapoznawcza).

Ważne

Funkcja usługi Azure Arc Private Link jest obecnie dostępna w wersji zapoznawczej we wszystkich regionach, w których jest obecna platforma Kubernetes z obsługą usługi Azure Arc, z wyjątkiem Azji Południowo-Wschodniej. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Zalety

Za pomocą usługi Private Link możesz wykonywać następujące czynności:

  • Połącz się prywatnie z usługą Azure Arc bez otwierania dostępu do sieci publicznej.
  • Upewnij się, że dane z klastra Kubernetes z obsługą usługi Arc są dostępne tylko za pośrednictwem autoryzowanych sieci prywatnych.
  • Zapobiegaj eksfiltracji danych z sieci prywatnych, definiując określone klastry Kubernetes z włączoną usługą Azure Arc i inne zasoby usług platformy Azure, takie jak Azure Monitor, które łączą się za pośrednictwem prywatnego punktu końcowego.
  • Bezpiecznie połącz prywatną sieć lokalną z usługą Azure Arc przy użyciu usługi ExpressRoute i usługi Private Link.
  • Zachowaj cały ruch wewnątrz sieci szkieletowej platformy Microsoft Azure.

Aby uzyskać więcej informacji, zobacz Najważniejsze korzyści wynikające z usługi Azure Private Link.

Jak to działa

Zakres usługi Azure Arc Private Link łączy prywatne punkty końcowe (i zawarte w nich sieci wirtualne) z zasobem platformy Azure, w tym przypadku klastry Kubernetes z włączoną usługą Azure Arc. Po włączeniu rozszerzenia klastra Kubernetes z obsługą usługi Arc połączenie z innymi zasobami platformy Azure może być wymagane w tych scenariuszach. Na przykład w usłudze Azure Monitor dzienniki zebrane z klastra są wysyłane do obszaru roboczego usługi Log Analytics.

Łączność z innymi zasobami platformy Azure z wymienionego wcześniej klastra Kubernetes z obsługą usługi Arc wymaga skonfigurowania usługi Private Link dla każdej usługi. Przykład można znaleźć w artykule Private Link for Azure Monitor (Usługa Private Link dla usługi Azure Monitor).

Bieżące ograniczenia

Podczas planowania konfiguracji usługi Private Link należy wziąć pod uwagę te bieżące ograniczenia.

  • Z siecią wirtualną można skojarzyć tylko jeden zakres usługi Azure Arc Private Link.

  • Klaster Kubernetes z włączoną usługą Azure Arc może łączyć się tylko z jednym zakresem usługi Azure Arc Private Link.

  • Wszystkie lokalne klastry Kubernetes muszą używać tego samego prywatnego punktu końcowego, rozwiązując poprawne informacje o prywatnym punkcie końcowym (nazwa rekordu FQDN i prywatny adres IP) przy użyciu tego samego usługi przesyłania dalej DNS. Aby uzyskać więcej informacji, zobacz Prywatne wartości strefy DNS prywatnego punktu końcowego platformy Azure. Klaster Kubernetes z obsługą usługi Azure Arc, zakres usługi Azure Arc Private Link i sieć wirtualna muszą znajdować się w tym samym regionie świadczenia usługi Azure. Prywatny punkt końcowy i sieć wirtualna muszą również znajdować się w tym samym regionie świadczenia usługi Azure, ale ten region może się różnić od zakresu usługi Azure Arc Private Link i klastra Kubernetes z obsługą usługi Arc.

  • Ruch do identyfikatora Entra firmy Microsoft, usługi Azure Resource Manager i tagów usługi Microsoft Container Registry musi być dozwolony za pośrednictwem lokalnej zapory sieciowej w okresie obowiązywania wersji zapoznawczej.

  • Inne używane usługi platformy Azure, takie jak Azure Monitor, mogą wymagać własnych prywatnych punktów końcowych w sieci wirtualnej.

    Uwaga

    Funkcja Łączenie klastra (a tym samym lokalizacja niestandardowa) nie jest obecnie obsługiwana w klastrach Kubernetes z włączoną obsługą usługi Azure Arc z włączoną łącznością prywatną. Łączność sieciowa korzystająca z linków prywatnych dla usług Azure Arc, takich jak usługi danych z obsługą usługi Azure Arc i usługi App Services z obsługą usługi Azure Arc, które korzystają z tych funkcji, również nie są obecnie obsługiwane.

W klastrach Kubernetes z obsługą usługi Azure Arc skonfigurowanych za pomocą linków prywatnych te rozszerzenia obsługują kompleksową łączność za pośrednictwem linków prywatnych:

Aby połączyć klaster Kubernetes z usługą Azure Arc za pośrednictwem łącza prywatnego, skonfiguruj sieć w następujący sposób:

  1. Ustanów połączenie między siecią lokalną a siecią wirtualną platformy Azure przy użyciu sieci VPN typu lokacja-lokacja lub obwodu usługi ExpressRoute .
  2. Wdróż zakres usługi Azure Arc Private Link, który kontroluje, które klastry Kubernetes mogą komunikować się z usługą Azure Arc za pośrednictwem prywatnych punktów końcowych, i skojarz je z siecią wirtualną platformy Azure przy użyciu prywatnego punktu końcowego.
  3. Zaktualizuj konfigurację DNS w sieci lokalnej, aby rozwiązać problemy z prywatnymi adresami punktów końcowych.
  4. Skonfiguruj zaporę lokalną, aby zezwolić na dostęp do usługi Microsoft Entra ID, Azure Resource Manager i Microsoft Container Registry.
  5. Skojarz klastry Kubernetes z włączoną usługą Azure Arc z zakresem usługi Azure Arc Private Link.
  6. Opcjonalnie wdróż prywatne punkty końcowe dla innych usług platformy Azure używanych z klastrem Kubernetes z włączoną usługą Azure Arc, na przykład Azure Monitor.

W pozostałej części tego artykułu założono, że skonfigurowaliśmy już obwód usługi ExpressRoute lub połączenie sieci VPN typu lokacja-lokacja.

Konfiguracja sieci

Platforma Kubernetes z obsługą usługi Azure Arc integruje się z kilkoma usługami platformy Azure, aby zapewnić zarządzanie chmurą i ład w hybrydowych klastrach Kubernetes. Większość z tych usług oferuje już prywatne punkty końcowe. Należy jednak skonfigurować reguły zapory i routingu, aby zezwolić na dostęp do identyfikatora Entra firmy Microsoft i usługi Azure Resource Manager przez Internet, dopóki te usługi nie będą oferować prywatnych punktów końcowych. Należy również zezwolić na dostęp do usługi Microsoft Container Registry (i AzureFrontDoor.FirstParty jako prekursor rejestru kontenerów firmy Microsoft) w celu ściągnięcia obrazów i wykresów Helm w celu włączenia usług, takich jak Azure Monitor, oraz do wstępnej konfiguracji agentów usługi Azure Arc w klastrach Kubernetes.

Istnieją dwa sposoby włączania tej konfiguracji:

  • Jeśli sieć jest skonfigurowana do kierowania całego ruchu powiązanego z Internetem za pośrednictwem obwodu sieci VPN platformy Azure lub usługi ExpressRoute, możesz skonfigurować sieciową grupę zabezpieczeń skojarzoną z podsiecią na platformie Azure, aby zezwolić na wychodzący dostęp tcp 443 (HTTPS) do usługi Microsoft Entra ID, Azure Resource Manager, Azure Front Door i Microsoft Container Registry przy użyciu tagów usługi. Reguły sieciowej grupy zabezpieczeń powinny wyglądać następująco:

    Ustawienie Reguła identyfikatora Entra firmy Microsoft Reguła usługi Azure Resource Manager Reguła AzureFrontDoorFirstParty Reguła usługi Microsoft Container Registry
    Źródło Virtual Network Virtual Network Virtual Network Virtual Network
    Zakresy portów źródłowych * * * *
    Element docelowy Tag usługi Tag usługi Tag usługi Tag usługi
    Docelowy tag usługi AzureActiveDirectory AzureResourceManager AzureFrontDoor.FirstParty MicrosoftContainerRegistry
    Zakresy portów docelowych 443 443 443 443
    Protokół TCP TCP TCP TCP
    Akcja Zezwalaj Zezwalaj Zezwalaj (zarówno dla ruchu przychodzącego, jak i wychodzącego) Zezwalaj
    Priorytet 150 (muszą być niższe niż wszystkie reguły blokujące dostęp do Internetu) 151 (musi być niższa niż każda reguła blokująca dostęp do Internetu) 152 (musi być niższa niż każda reguła blokująca dostęp do Internetu) 153 (musi być niższa niż każda reguła blokująca dostęp do Internetu)
    Nazwisko AllowAADOutboundAccess AllowAzOutboundAccess AllowAzureFrontDoorFirstPartyAccess AllowMCROutboundAccess

  • Alternatywnie skonfiguruj zaporę w sieci lokalnej, aby zezwolić na wychodzący dostęp TCP 443 (HTTPS) do identyfikatora Entra firmy Microsoft, usługi Azure Resource Manager i usługi Microsoft Container Registry oraz dostępu przychodzącego i wychodzącego do AzureFrontDoor.FirstParty korzystania z plików tagów usługi do pobrania. Plik JSON zawiera wszystkie zakresy publicznych adresów IP używanych przez identyfikator firmy Microsoft, usługę Azure Resource Manager i AzureFrontDoor.FirstPartyrejestr kontenerów firmy Microsoft oraz jest aktualizowany co miesiąc w celu odzwierciedlenia wszelkich zmian. Tag usługi Microsoft Entra to AzureActiveDirectory, tag usługi usługi azure Resource Manager to AzureResourceManager, tag usługi Microsoft Container Registry to MicrosoftContainerRegistry, a tag usługi azure Front Door to AzureFrontDoor.FirstParty. Zapoznaj się z administratorem sieci i dostawcą zapory sieciowej, aby dowiedzieć się, jak skonfigurować reguły zapory.

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do pozycji Utwórz zasób w witrynie Azure Portal i wyszukaj pozycję Zakres usługi Azure Arc Private Link, a następnie wybierz pozycję Utwórz. Alternatywnie przejdź bezpośrednio do strony Zakresy usługi Private Link usługi Azure Arc w witrynie Azure Portal, a następnie wybierz pozycję Utwórz zakres łącza prywatnego usługi Azure Arc.

  3. Wybierz subskrypcję i grupę zasobów. W okresie obowiązywania wersji zapoznawczej sieć wirtualna i klastry Kubernetes z obsługą usługi Azure Arc muszą znajdować się w tej samej subskrypcji co zakres usługi Azure Arc Private Link.

  4. Nadaj zakresowi usługi Azure Arc Private Link nazwę.

  5. Aby wymagać, aby każdy klaster Kubernetes z obsługą usługi Arc skojarzony z tym zakresem usługi Azure Arc Private Link wysyłał dane do usługi za pośrednictwem prywatnego punktu końcowego, wybierz pozycję Zezwalaj na dostęp do sieci publicznej. W takim przypadku klastry Kubernetes skojarzone z tym zakresem usługi Azure Arc Private Link mogą komunikować się z usługą za pośrednictwem sieci prywatnych lub publicznych. To ustawienie można zmienić po utworzeniu zakresu zgodnie z potrzebami.

    Zrzut ekranu przedstawiający ekran tworzenia zakresu usługi Azure Arc Private Link w witrynie Azure Portal.

  6. Wybierz pozycję Przejrzyj i utwórz.

  7. Po zakończeniu walidacji wybierz pozycję Utwórz.

Tworzenie prywatnego punktu końcowego

Po utworzeniu zakresu usługi Azure Arc Private Link należy połączyć go z co najmniej jedną siecią wirtualną przy użyciu prywatnego punktu końcowego. Prywatny punkt końcowy uwidacznia dostęp do usług Azure Arc na prywatnym adresie IP w przestrzeni adresowej sieci wirtualnej.

Prywatny punkt końcowy w sieci wirtualnej umożliwia dostęp do punktów końcowych klastra Kubernetes z włączoną usługą Azure Arc za pośrednictwem prywatnych adresów IP z puli sieci, a nie do publicznych adresów IP tych punktów końcowych. Dzięki temu można nadal korzystać z klastrów Kubernetes z włączoną usługą Azure Arc bez otwierania sieci wirtualnej do niekwestionowanego ruchu wychodzącego. Ruch z prywatnego punktu końcowego do zasobów przechodzi przez platformę Microsoft Azure i nie jest kierowany do sieci publicznych.

  1. W witrynie Azure Portal przejdź do zasobu Zakresu usługi Azure Arc Private Link.

  2. W menu zasobów w obszarze Konfiguruj wybierz pozycję Połączenia prywatnego punktu końcowego.

  3. Wybierz pozycję Dodaj , aby rozpocząć proces tworzenia punktu końcowego. Możesz również zatwierdzić połączenia, które zostały uruchomione w centrum usługi Private Link, wybierając je, a następnie wybierając pozycję Zatwierdź.

    Zrzut ekranu przedstawiający ekran Połączenia prywatnego punktu końcowego w witrynie Azure Portal.

  4. Wybierz subskrypcję i grupę zasobów, a następnie wprowadź nazwę punktu końcowego. Wybierz ten sam region co sieć wirtualna.

  5. Wybierz pozycję Dalej: Zasób.

  6. Jeśli te wartości nie zostały jeszcze wybrane, na stronie Zasób wykonaj następujące czynności:

    1. Wybierz subskrypcję zawierającą zasób zakresu usługi Azure Arc Private Link.
    2. W polu Typ zasobu wybierz pozycję Microsoft.HybridCompute/privateLinkScopes.
    3. W polu Zasób wybierz utworzony wcześniej zakres usługi Azure Arc Private Link.
    4. Wybierz pozycję Dalej: Sieć wirtualna.

  7. Na stronie Sieć wirtualna:

    1. Wybierz sieć wirtualną i podsieć, z której chcesz nawiązać połączenie z klastrami Kubernetes z włączoną usługą Azure Arc.
    2. Wybierz pozycję Dalej: DNS.

  8. Na stronie DNS:

    1. W obszarze Integracja z prywatną strefą DNS wybierz pozycję Tak. Zostanie utworzona nowa strefa Prywatna strefa DNS.

      Alternatywnie, jeśli wolisz ręcznie zarządzać rekordami DNS, wybierz pozycję Nie, a następnie zakończ konfigurowanie usługi Private Link, w tym tego prywatnego punktu końcowego i konfiguracji zakresu prywatnego. Następnie skonfiguruj usługę DNS zgodnie z instrukcjami w obszarze Wartości prywatnej strefy DNS prywatnego punktu końcowego platformy Azure. Pamiętaj, aby nie tworzyć pustych rekordów podczas przygotowywania się do konfiguracji łącza prywatnego. Utworzone rekordy DNS mogą zastąpić istniejące ustawienia i wpłynąć na łączność z klastrami Kubernetes z obsługą usługi Arc.

      Ważne

      Tej samej strefy sieci wirtualnej/DNS nie można używać zarówno dla zasobów usługi Arc przy użyciu łącza prywatnego, jak i tych, które nie korzystają z łącza prywatnego. Zasoby usługi Arc, które nie są połączone za pośrednictwem łącza prywatnego, muszą być rozpoznawane jako publiczne punkty końcowe.

    2. Wybierz pozycję Przejrzyj i utwórz.

    3. Niech walidacja przejdzie pomyślnie.

    4. Wybierz pozycję Utwórz.

Konfigurowanie lokalnego przekazywania DNS

Lokalne klastry Kubernetes muszą być w stanie rozpoznać rekordy DNS łącza prywatnego z prywatnymi adresami IP punktu końcowego. Kroki konfiguracji różnią się w zależności od tego, czy używasz prywatnych stref DNS platformy Azure do obsługi rekordów DNS, czy własnego serwera DNS w środowisku lokalnym.

Konfiguracja DNS przy użyciu zintegrowanych z platformą Azure prywatnych stref DNS

Jeśli wybrano opcję Tak dla opcji Integracja z prywatną strefą DNS podczas tworzenia prywatnego punktu końcowego, lokalne klastry Kubernetes muszą mieć możliwość przekazywania zapytań DNS do wbudowanych serwerów usługi Azure DNS w celu poprawnego rozpoznawania prywatnych adresów końcowych. Potrzebujesz usługi przesyłania dalej DNS na platformie Azure (specjalnie utworzonej maszyny wirtualnej lub wystąpienia usługi Azure Firewall z włączonym serwerem proxy DNS), po czym można skonfigurować lokalny serwer DNS do przekazywania zapytań do platformy Azure w celu rozpoznawania prywatnych adresów IP punktów końcowych.

Aby uzyskać więcej informacji, zobacz Azure Private Resolver with on-premises DNS forwarder (Usługa Azure Private Resolver z lokalnym usługą przesyłania dalej DNS).

Ręczna konfiguracja serwera DNS

Jeśli zrezygnowano z używania prywatnych stref DNS platformy Azure podczas tworzenia prywatnego punktu końcowego, musisz utworzyć wymagane rekordy DNS na lokalnym serwerze DNS.

  1. W witrynie Azure Portal przejdź do zasobu prywatnego punktu końcowego skojarzonego z siecią wirtualną i zakresem łącza prywatnego.
  2. W menu usługi w obszarze Ustawienia wybierz pozycję Konfiguracja DNS, aby wyświetlić listę rekordów DNS i odpowiednie adresy IP, które należy skonfigurować na serwerze DNS. Nazwy FQDN i adresy IP zmienią się w zależności od regionu wybranego dla prywatnego punktu końcowego i dostępnych adresów IP w podsieci.
  3. Postępuj zgodnie ze wskazówkami od dostawcy serwera DNS, aby dodać niezbędne strefy DNS i rekordy A, aby dopasować tabelę w portalu. Upewnij się, że wybrano serwer DNS, który ma odpowiedni zakres dla sieci. Każdy klaster Kubernetes używający tego serwera DNS rozpoznaje teraz prywatne adresy IP punktu końcowego i musi być skojarzony z zakresem usługi Azure Arc Private Link lub połączenie zostanie odrzucone.

Uwaga

Konfigurowanie linków prywatnych dla klastrów Kubernetes z obsługą usługi Azure Arc jest obsługiwane od wersji 1.3.0 rozszerzenia interfejsu wiersza polecenia, ale wymaga interfejsu connectedk8s wiersza polecenia platformy Azure w wersji nowszej niż 2.3.0. Jeśli używasz wersji nowszej niż 1.3.0 dla rozszerzenia interfejsu connectedk8s wiersza polecenia, wprowadziliśmy walidacje, aby sprawdzić i pomyślnie połączyć klaster z usługą Azure Arc tylko wtedy, gdy używasz interfejsu wiersza polecenia platformy Azure w wersji nowszej niż 2.3.0.

Możesz skonfigurować łącza prywatne dla istniejącego klastra Kubernetes z włączoną usługą Azure Arc lub podczas dołączania klastra Kubernetes do usługi Azure Arc po raz pierwszy przy użyciu następującego polecenia:

az connectedk8s connect -g <resource-group-name> -n <connected-cluster-name> -l <location> --enable-private-link true --private-link-scope-resource-id <pls-arm-id>
Nazwa parametru opis
--enable-private-link Włącza funkcję łącza prywatnego, jeśli jest ustawiona na Truewartość .
--private-link-scope-resource-id Identyfikator utworzonego wcześniej zasobu zakresu łącza prywatnego. Na przykład: /subscriptions//resourceGroups//providers/Microsoft.HybridCompute/privateLinkScopes/.

W przypadku klastrów Kubernetes z włączoną usługą Azure Arc, które zostały skonfigurowane przed skonfigurowaniem zakresu łącza prywatnego usługi Azure Arc, skonfiguruj linki prywatne w witrynie Azure Portal, wykonując następujące kroki:

  1. W witrynie Azure Portal przejdź do zasobu Zakresu usługi Azure Arc Private Link.
  2. Z menu usługi w obszarze Konfiguruj wybierz pozycję Zasoby usługi Azure Arc. Następnie wybierz pozycję Dodaj.
  3. Wszystkie klastry Kubernetes z obsługą usługi Arc będą widoczne w tej samej subskrypcji i regionie co zakres usługi Private Link. Zaznacz pole wyboru dla każdego klastra Kubernetes, który chcesz skojarzyć z zakresem usługi Private Link. Po zakończeniu wybierz pozycję Wybierz , aby zapisać zmiany.

Rozwiązywanie problemów

Jeśli wystąpią problemy, mogą pomóc następujące sugestie:

  • Sprawdź lokalny serwer DNS, aby sprawdzić, czy jest on przekierowywany do usługi Azure DNS lub jest skonfigurowany z odpowiednimi rekordami A w strefie łącza prywatnego. Te polecenia wyszukiwania powinny zwracać prywatne adresy IP w sieci wirtualnej platformy Azure. Jeśli rozpoznają publiczne adresy IP, sprawdź dokładnie konfigurację DNS serwera i sieci.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com
nslookup dp.kubernetesconfiguration.azure.com

  • W przypadku problemów z dołączaniem klastra Kubernetes upewnij się, że dodano tagi usługi Microsoft Entra ID, Azure Resource Manager, AzureFrontDoor.FirstParty i Microsoft Container Registry do lokalnej zapory sieciowej.

Aby uzyskać więcej porad dotyczących rozwiązywania problemów, zobacz Rozwiązywanie problemów z łącznością z prywatnym punktem końcowym platformy Azure.

Następne kroki