Klientens IP-adress kan inte komma åt API-servern

I den här artikeln beskrivs hur du åtgärdar problem som uppstår när du inte kan ansluta till ett AKS-kluster (Azure Kubernetes Service) eftersom klientens IP-adress inte kan komma åt AKS API-servern.

Förutsättningar

• Azure CLI.
• Verktyget klient-URL (curl).

Symptom

Azure-portalen

När du försöker komma åt Kubernetes-resurser, till exempel mamespaces och arbetsbelastningar från Azure Portal, kan följande fel uppstå:

Nätverksfel

Det går inte att nå API-servern "https://< API-server-FQDN>" eller api-servern är för upptagen för att svara. Kontrollera nätverksinställningarna och uppdatera för att försöka igen.

Azure CLI

När du försöker ansluta till ett kluster med hjälp av Azure CLI kan följande fel visas:

"Unhandled Error" err="couldn't get current server API group list: Get \"https://<API-SERVER-FQDN>:443/api?timeout=32s\": dial tcp <API-SERVER-IP>:443: i/o timeout"

Unable to connect to the server: dial tcp <API-SERVER-IP>:443: i/o timeout

Unable to connect to the server: dial tcp <API-SERVER-IP>:443: connectex: A connection attempt failed because the connected party did not properly respond after a period, or established connection failed because connected host has failed to respond.

Orsak

API-serverauktoriserade IP-intervall kan ha aktiverats på klustrets API-server, men klientens IP-adress ingick inte i IP-intervallen. Kontrollera om den här funktionen har aktiverats genom att se om följande az aks show-kommando i Azure CLI skapar en lista över IP-intervall:

az aks show --resource-group <cluster-resource-group> \
    --name <cluster-name> \
    --query apiServerAccessProfile.authorizedIpRanges

Lösning

Titta på klustrets API-serverauktoriserade intervall och lägg till klientens IP-adress inom det intervallet.

Kommentar

1. Har du åtkomst till API-servern från ett företagsnätverk där trafik dirigeras via en proxyserver eller brandvägg? Be sedan nätverksadministratören innan du lägger till klientens IP-adress i listan över auktoriserade intervall för API-servern.

2. Fråga även klusteradministratören innan du lägger till klientens IP-adress, eftersom det kan finnas säkerhetsproblem med att lägga till en tillfällig IP-adress i listan över auktoriserade intervall.

Azure-portalen

1. Gå till klustret från Azure Portal.

2. Leta upp Inställningar på den vänstra menyn och välj sedan Nätverk.

3. På sidan Nätverk väljer du fliken Översikt .

4. Välj Hantera under Resursinställningar.

5. I fönstret Auktoriserade IP-intervall lägger du till klientens IP-adress enligt följande skärmbild:

   

Azure CLI

1. Hämta klientens IP-adress genom att köra det här curl-kommandot :

   $ curl --silent checkip.dyndns.org
   <html><head><title>Current IP Check</title></head><body>Current IP Address: 0.255.127.63</body></html>
   

2. Uppdatera DET API-serverauktoriserade intervallet med kommandot az aks update i Azure CLI med hjälp av klientens IP-adress:

   az aks update --resource-group <cluster-resource-group> \
       --name <cluster-name> \
       --api-server-authorized-ip-ranges <ip-ranges-that-include-your-client-ip-address>
   

Kontakta oss för att få hjälp

Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.