本文介绍如何排查从 Microsoft Azure Kubernetes 服务 (AKS) 群集连接到同一虚拟网络中的终结点的问题。
故障排除清单
故障排除清单涵盖与以下项的连接:
同一子网或不同子网中的虚拟机(VM)或终结点
对等互连虚拟网络中的 VM 或终结点
专用终结点
步骤 1:执行基本故障排除
请确保可以连接到终结点。 有关说明,请参阅 出站 AKS 群集连接的基本故障排除。
步骤 2:检查专用终结点
如果连接通过专用终结点,请按照排查 Azure 专用终结点连接问题中的说明进行操作。
步骤 3:检查虚拟网络对等互连
如果连接使用虚拟网络对等互连,请按照排查两个对等互连虚拟网络之间的连接问题中的说明进行操作。
步骤 4:检查 AKS 网络安全组是否阻止出站方案中的流量
若要使用 AKS 检查网络安全组(NSG)及其关联规则,请执行以下步骤:
在Azure 门户中,搜索并选择虚拟机规模集。
在规模集实例列表中,选择正在使用的实例。
在规模集实例的菜单窗格中,选择“ 网络”。
此时将显示规模集实例的“网络”页。 在“ 出站端口规则 ”选项卡中,将显示两组规则。 这些规则集基于对规模集实例执行操作的两个 NSG。 下表描述了规则集。
NSG 规则级别 NSG 规则名称 已附加到 说明 子网 <my-aks-nsg> <my-aks-subnet 子网> 如果 AKS 群集使用自定义虚拟网络和自定义子网,则这是一种常见的安排。 网络适配器 aks-agentpool-agentpool-number-nsg<> aks-agentpool-vm-scale-set-number-vmss>< 网络接口 此 NSG 由 AKS 群集应用,并由 AKS 管理。
默认情况下,NSG 上允许出口流量。 但是,在某些情况下,与 AKS 子网关联的自定义 NSG 可能具有 更紧急优先级的拒绝 规则。 此规则将停止流向某些终结点的流量。
AKS 不会修改 NSG 中的出口规则。 如果 AKS 使用自定义 NSG,请验证它是否允许正确的端口和协议上的终结点的出口流量。 若要确保 AKS 群集按预期运行,请验证自定义 NSG 的出口是否允许 AKS 群集所需的出站网络规则。
自定义 NSG 可以通过阻止出站规则来直接影响出口流量。 它们还可以间接影响出口流量。 有关详细信息,请参阅 自定义网络安全组阻止流量。
联系我们寻求帮助
如果你有任何疑问或需要帮助,请创建支持请求或联系 Azure 社区支持。 你还可以将产品反馈提交到 Azure 反馈社区。