Establecimiento de la conectividad de red con un clúster privado de Azure Kubernetes Service (AKS)

En clústeres de AKS privados, el punto de conexión del servidor de API no tiene ninguna dirección IP pública. Para administrar el servidor de API, debe usar una máquina virtual (VM) o un contenedor que tenga acceso a la red virtual (VNet) del clúster de AKS. Hay varias opciones para establecer la conectividad de red con el clúster privado:

Use una instancia de Azure Cloud Shell implementada en una subred conectada al servidor de API para el clúster.
Use la característica de tunelización de cliente nativa de Azure Bastion (versión preliminar).
Use una máquina virtual de una red diferente y configure el emparejamiento de red virtual.
Use una conexión de punto de conexión privado.
Cree una máquina virtual en la misma red virtual que el clúster de AKS mediante el comando az vm create con la marca --vnet-name.
Use una conexión de ExpressRoute o VPN.
Use la característica command invoke de AKS.

Elección de una opción de conectividad

Azure Cloud Shell y Azure Bastion (versión preliminar) son las opciones más sencillas. ExpressRoute y VPN agregan costos y requieren una complejidad de red adicional. Para utilizar el emparejamiento de red virtual, debe planear los intervalos CIDR de la red para asegurarse de que no haya intervalos superpuestos.

En la tabla siguiente se describen las principales diferencias y limitaciones del uso de Azure Cloud Shell y Azure Bastion:

Opción	Azure Cloud Shell	Azure Bastion (versión preliminar)
Diferencias clave	• Acceso efímero basado en navegador. • Rentable y económico. • Incluye herramientas preinstaladas como `az cli` y `kubectl`.	• Acceso persistente y de larga duración. • Adecuado para administrar varios clústeres. • Use sus propias herramientas de cliente nativas.
Limitaciones	• No se admite con clústeres automáticos de AKS o clústeres con el bloqueo del grupo de recursos de red (NRG). • No puede tener varias sesiones de Cloud Shell en redes virtuales diferentes al mismo tiempo.	• No se admite con clústeres automáticos de AKS o clústeres con el bloqueo del grupo de recursos de red (NRG).

Conexión mediante Azure Cloud Shell

La conexión a un clúster de AKS privado a través de Azure Cloud Shell requiere completar los pasos siguientes:

Implemente los recursos necesarios: Debe implementar Cloud Shell en una red virtual que pueda acceder al clúster privado. Este paso aprovisiona la infraestructura necesaria. Aunque Cloud Shell es un servicio gratuito, el uso de Cloud Shell en una red virtual requiere algunos recursos que incurren en costos. Para más información, consulte Implementación de Cloud Shell en una red virtual.
Configure la conexión: Después de implementar los recursos, cualquier usuario de la suscripción que tenga los permisos adecuados en el clúster puede configurar Cloud Shell para que se implemente en la red virtual para permitir una conexión segura al clúster privado.

Desplegar recursos necesarios

Para implementar y configurar los recursos necesarios, debe tener la asignación del rol Propietario en la suscripción. Para ver y asignar roles, consulte Enumerar propietarios de una suscripción.

Puede implementar los recursos necesarios mediante Azure Portal o la plantilla de ARM proporcionada si administra la infraestructura como código o tiene directivas organizativas que requieren convenciones de nomenclatura de recursos específicas.

Opcionalmente, puede dejar los recursos implementados en su lugar para futuras conexiones o eliminarlos y volver a crearlos según sea necesario.

Uso de Azure Portal (versión preliminar)

Esta opción crea una red virtual independiente con los recursos necesarios para Cloud Shell y configura automáticamente el emparejamiento de red virtual.

En Azure Portal, vaya al recurso de clúster privado.
En la página Información general, seleccione Conectar.
En la pestaña Cloud Shell , en Requisitos previos para la conexión de clúster privado, seleccione Configurar para implementar los recursos necesarios.
- La implementación crea un nuevo grupo de recursos denominado RG-CloudShell-PrivateClusterConnection-{RANDOM_ID}.
Una vez que la implementación se realice correctamente, en Establecer contexto de clúster, seleccione Abrir Cloud Shell.

Captura de pantalla de Azure Portal en la página de recursos de un clúster privado que muestra el botón Conectar con la pestaña Cloud Shell seleccionada.

Nota:

Si ya configuró Cloud Shell en una red virtual para un clúster determinado, repetir estos pasos garantiza que la configuración de usuario de Cloud Shell esté correctamente alineada con esa red virtual.

Uso de una plantilla de ARM

Para tener más control sobre la configuración de implementación, use la plantilla de ARM proporcionada.

Puede implementar Cloud Shell en la misma red virtual que el clúster privado de AKS con una subred dedicada, o bien puede implementar en una nueva red virtual y conectarse a través del emparejamiento de VNet.

Configuración de la conexión al clúster privado

Después de implementar los recursos necesarios, cualquier usuario de la suscripción puede configurar su cloud Shell para que se implemente en la red virtual determinada mediante los pasos descritos en Configuración de Cloud Shell para usar una red virtual.

Asegúrese de que el usuario tiene acceso adecuado a nivel de Kubernetes para conectarse correctamente al clúster privado. Para más información, consulte Opciones de acceso e identidad para Azure Kubernetes Service (AKS).

Conexión mediante Azure Bastion (versión preliminar)

Azure Bastion es un servicio PaaS completamente administrado que se provisiona para conectar de manera segura a recursos privados mediante direcciones IP privadas. Para usar la característica de tunelización de cliente nativo de Bastion, consulte Conexión al clúster privado de AKS mediante Azure Bastion.

Conexión mediante el emparejamiento de red virtual (VNet)

Si desea usar el emparejamiento de red virtual, tiene que configurar un vínculo entre la red virtual y la zona DNS privada. Puede configurar el emparejamiento VNet utilizando el portal de Azure o la CLI de Azure.

Uso de Azure Portal

En Azure Portal, navegue hasta su grupo de recursos de nodo y seleccione su recurso de zona DNS privada.
En el menú de servicio, en Administración de DNS, seleccione Vínculos de red virtuales>Añadir.
En la página Agregar vínculo de red virtual , configure las opciones siguientes:
- Nombre del vínculo: escriba un nombre para el vínculo de red virtual.
- Red virtual: seleccione la red virtual que contiene la máquina virtual.
Seleccione Crear para crear el vínculo de red virtual.
Vaya al grupo de recursos que contiene la red virtual del clúster de AKS y seleccione el recurso de red virtual.
En el menú de servicios, en Configuración, seleccione Emparejamientos>Agregar.
En la página Agregar emparejamiento, configure las siguientes opciones:
- Nombre del vínculo de emparejamiento: escriba un nombre para el vínculo de emparejamiento.
- Red virtual: seleccione la red virtual de la máquina virtual.
Seleccione Agregar para crear el vínculo de emparejamiento.

Para más información, consulte Emparejamiento de redes virtuales.

Uso de la CLI de Azure

Cree un nuevo vínculo para agregar la red virtual de la máquina virtual a la zona DNS privada mediante el comando az network private-dns link vnet create.

az network private-dns link vnet create \
    --name <new-link-name> \
    --resource-group <node-resource-group-name> \
    --zone-name <private-dns-zone-name> \
    --virtual-network <vm-virtual-network-resource-id> \
    --registration-enabled false

Cree un emparejamiento entre la red virtual de la máquina virtual y la red virtual del grupo de recursos del nodo mediante el comando az network vnet peering create.

az network vnet peering create \
    --name <new-peering-name-1> \
    --resource-group <vm-virtual-network-resource-group-name> \
    --vnet-name <vm-virtual-network-name> \
    --remote-vnet <node-resource-group-virtual-network-resource-id> \
    --allow-vnet-access

Cree un segundo emparejamiento entre la red virtual del grupo de recursos del nodo y la red virtual de la máquina virtual mediante el comando az network vnet peering create.

az network vnet peering create \
    --name <new-peering-name-2> \
    --resource-group <node-resource-group-name> \
    --vnet-name <node-resource-group-virtual-network-name> \
    --remote-vnet <vm-virtual-network-resource-id> \
    --allow-vnet-access

Enumere los emparejamientos de red virtual que creó mediante el comando az network vnet peering list.

az network vnet peering list \
    --resource-group <node-resource-group-name> \
    --vnet-name <private-dns-zone-name>

Use una conexión de punto de conexión privado

Puede configurar un punto de conexión privado para que no sea necesario emparejar una red virtual para comunicarse con el clúster privado. Para configurar una conexión de punto de conexión privado, primero debe crear un nuevo punto de conexión privado en la red virtual que contiene los recursos consumidores y, a continuación, crear un enlace entre la red virtual y una nueva zona DNS privada en la misma red.

Importante

Si la red virtual está configurada con servidores DNS personalizados, debe configurar DNS privado de forma adecuada para el entorno. Para obtener más información, consulte la documentación de resolución de nombres de red virtual.

Creación de un recurso de punto de conexión privado

En la página principal de Azure Portal, seleccione Crear un recurso.
Busque Punto de conexión privado y seleccione Crear>Punto de conexión privado.
Selecciona Crear.
En la pestaña Información básica, configure los siguientes valores:
- Detalles del proyecto
  - Suscripción: seleccione la suscripción donde se encuentra el clúster privado.
  - Grupo de recursos: seleccione el grupo de recursos que contiene su red virtual.
- Detalles de la instancia
  - Nombre: escriba un nombre para su punto de conexión privado, como myPrivateEndpoint.
  - Región: seleccione la misma región que su red virtual.
Seleccione Siguiente: Recurso y configure las opciones siguientes:
- Método de conexión: seleccione Conectarse a un recurso Azure en mi directorio.
- Suscripción: seleccione la suscripción donde se encuentra el clúster privado.
- Tipo de recurso: seleccione Microsoft.ContainerService/managedClusters.
- Recurso: seleccione el clúster privado.
- Subrecurso de destino: seleccione administración.
Seleccione Siguiente: Red virtual y configure las opciones siguientes:
- Creación de redes
  - Red virtual: Seleccione la red virtual.
  - Subred: seleccione la subred.
Seleccione Siguiente: DNS>Siguiente: Etiquetas y (opcionalmente) configure los valores de clave según sea necesario.
Seleccione Siguiente: Revisar y crear>Crear.

Una vez creado el recurso, registre la dirección IP privada del punto de conexión privado para su uso futuro.

Crear una zona DNS privada

Una vez que se crea el punto de conexión privado, cree una zona DNS privada con el mismo nombre que la que ha creado el clúster privado. Recuerde crear esta zona DNS en la red virtual que contiene los recursos de consumo.

En Azure Portal, vaya a su grupo de recursos de nodo y seleccione su recurso de zona DNS privada.
En el menú servicio, en Administración de DNS, seleccione Conjuntos de registros y anote lo siguiente:
- Nombre de la zona DNS privada, que sigue el patrón *.privatelink.<region>.azmk8s.io.
- Nombre del registro A (excepto el nombre DNS privado).
- Período de vida (TTL).
En la página principal de Azure Portal, seleccione Crear un recurso.
Busque Zona DNS privada y seleccione Crear>Zona DNS privada.
En la pestaña Información básica, configure los siguientes valores:
- Detalles del proyecto
  - Seleccione su suscripción.
  - Seleccione el grupo de recursos donde creó el punto de conexión privado.
- Detalles de la instancia
  - Nombre: escriba el nombre de la zona DNS recuperada en los pasos anteriores.
  - Región: Por defecto, se utiliza la ubicación del grupo de recursos.
Seleccione Revisar y crear>Crear.

Creación de un registro `A`

Una vez creada la zona DNS privada, cree un A registro, que asocia el punto de conexión privado al clúster privado.

Acceda a su recurso de la zona DNS privada.
En el menú de servicio, en Administración de DNS, seleccione Conjuntos de registros>Agregar.
En la página Agregar conjunto de registros , configure las opciones siguientes:
- Nombre: introduzca el nombre recuperado del registro A en la zona DNS del clúster privado.
- Tipo: seleccione A: registro de dirección.
- TTL: escriba el número del registro A en la zona DNS del clúster privado.
- Unidad TTL: cambie el valor de la lista desplegable para que coincida con el registro A de la zona DNS del clúster privado.
- Dirección IP: escriba la dirección IP del punto de conexión privado que ha creado.
Seleccione Agregar para crear el registro A.

Importante

Al crear el registro A, use solo el nombre y no el nombre de dominio completo (FQDN).

Vínculo de la zona DNS privada a la red virtual

Una vez creado el A registro, vincule la zona DNS privada a la red virtual que tendrá acceso al clúster privado.

Acceda a su recurso de la zona DNS privada.
En el menú de servicio, en Administración de DNS, seleccione Vínculos de red virtuales>Añadir.
En la página Agregar vínculo de red virtual , configure las opciones siguientes:
- Nombre del vínculo: escriba un nombre para el vínculo de red virtual.
- Suscripción: seleccione la suscripción donde se encuentra el clúster privado.
- Red virtual: seleccione la red virtual del clúster privado.
Seleccione Crear para crear el vínculo.

La operación puede tardar unos minutos en completarse. Una vez creado el vínculo de red virtual, puede acceder a él desde la pestaña Vínculos de red virtual que usó en el paso 2.

Advertencia

Si el clúster privado se detiene y reinicia, se quita y se vuelve a crear el servicio de vínculo privado original del clúster privado, lo que interrumpe la conexión entre el punto de conexión privado y el clúster privado. Para resolver este problema, elimine y vuelva a crear los puntos de conexión privados creados por el usuario vinculados al clúster privado. Si los puntos de conexión privados vueltos a crear tienen nuevas direcciones IP, también debe actualizar los registros DNS.
Si actualiza los registros DNS en la zona DNS privada, asegúrese de que el host desde el que intenta conectarse usa los registros DNS actualizados. Puede comprobarlo mediante el comando nslookup. Si observa que las actualizaciones no se reflejan en la salida, es posible que tenga que vaciar la caché DNS en el equipo e intentarlo de nuevo.

Creación de una máquina virtual en la misma red virtual

Para crear una máquina virtual en la misma red virtual que el clúster de AKS privado, use el az vm create comando con la --vnet-name marca para especificar la red virtual.

az vm create \
    --resource-group <resource-group-name> \
    --name <vm-name> \
    --image <image-name> \
    --vnet-name <vm-virtual-network-name> \
    --subnet <subnet-name> \
    --admin-username <admin-username> \
    --admin-password <admin-password>

Uso de una conexión ExpressRoute o VPN

Para usar una conexión ExpressRoute o VPN, consulte Acerca de las puertas de enlace de red virtual de ExpressRoute.

Uso de la característica AKS `command invoke`

Para usar la característica de AKS command invoke para conectarse a un clúster privado, consulte Acceso a un clúster privado mediante command invoke.

Para más información sobre los clústeres privados en AKS, consulte Creación de un clúster privado de Azure Kubernetes Service (AKS).

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-12-16