Uso de etiquetas de servicio para intervalos IP autorizados del servidor de API en Azure Kubernetes Service (AKS) (versión preliminar)

Las etiquetas de servicio para los intervalos IP autorizados del servidor de API son una característica en versión preliminar que permite usar etiquetas de servicio para especificar intervalos IP autorizados para el servidor de API en Azure Kubernetes Service (AKS). Esta característica simplifica la administración de intervalos IP autorizados, ya que permite usar etiquetas de servicio predefinidas en lugar de especificar manualmente direcciones IP individuales o intervalos CIDR.

Prerrequisitos

• La CLI de Azure, versión 2.0.76 o posterior, instalada y configurada. Compruebe la versión con el comando az --version. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure.
• La extensión de CLI de Azure está instalada.
• La marca de característica EnableServiceTagAuthorizedIPPreview registrada en la suscripción de Azure.

Limitaciones

• Esta característica no es compatible con la integración con red virtual del servidor de API.
• Solo se permite una etiqueta de servicio en el parámetro --api-server-authorized-ip-ranges. No se pueden especificar varias etiquetas de servicio.

Instalación de la extensión de la CLI de Azure aks-preview

1. Instale la extensión de versión preliminar de la CLI de Azure mediante el az extension add comando .

   az extension add --name aks-preview
   

2. Use la extensión para asegurarse de que tiene la versión más reciente mediante el comando az extension update.

   az extension update --name aks-preview
   

Registre el indicador de la función IP autorizada de la etiqueta de servicio

1. Registre la marca de características de EnableServiceTagAuthorizedIPPreview mediante el comando az feature register. El registro tarda unos minutos en completarse.

   az feature register --namespace "Microsoft.ContainerService" --name "EnableServiceTagAuthorizedIPPreview"
   

   Ejemplo de resultado:

   {
     "id": "/subscriptions/<subscription-id>/providers/Microsoft.ContainerService/features/EnableServiceTagAuthorizedIPPreview",
     "name": "EnableServiceTagAuthorizedIPPreview",
     "properties": {
       "state": "Registering"
     },
     "type": "Microsoft.ContainerService/features"
   }
   

2. Una vez que el estado de la marca de característica cambia de Registering a Registered, actualice el registro del Microsoft.ContainerService proveedor de recursos mediante el az provider register comando .

   az provider register --namespace "Microsoft.ContainerService"
   

3. Compruebe el registro mediante el az feature show comando .

   az feature show --namespace "Microsoft.ContainerService" --name "EnableServiceTagAuthorizedIPPreview"
   

   Ejemplo de resultado:

   {
     "id": "/subscriptions/<subscription-id>/providers/Microsoft.ContainerService/features/EnableServiceTagAuthorizedIPPreview",
     "name": "EnableServiceTagAuthorizedIPPreview",
     "properties": {
       "state": "Registered"
     },
     "type": "Microsoft.ContainerService/features"
   }
   

Crear un clúster de AKS con rangos de IP autorizados por etiquetas de servicio

• Cree un clúster utilizando la etiqueta de servicio con intervalos de IP autorizados, mediante el comando az aks create y el parámetro --api-server-authorized-ip-ranges. En el ejemplo siguiente se crea un clúster denominado myAKSCluster en el grupo de recursos myResourceGroup y se autoriza la AzureCloud etiqueta de servicio para permitir que todos los servicios de Azure accedan al servidor de API y especifiquen una dirección IP adicional:

  az aks create --resource-group myResourceGroup --name myAKSCluster --api-server-authorized-ip-ranges AzureCloud,20.20.20.20
  

  Nota:

  Debe ser capaz de ejecutar curl en el servidor de API desde una máquina virtual de Azure o un servicio de Azure que forme parte de la etiqueta de servicio AzureCloud.