Compartilhar via

Usar marcas de serviço para intervalos de IP autorizados do servidor de API no AKS (Serviço de Kubernetes do Azure) (versão prévia)

As marcas de serviço para intervalos de IP autorizados do servidor de API são um recurso de visualização que permite usar marcas de serviço para especificar intervalos de IP autorizados para o servidor de API no AKS (Serviço de Kubernetes do Azure). Esse recurso simplifica o gerenciamento de intervalos de IP autorizados, permitindo que você use marcas de serviço predefinidas em vez de especificar manualmente endereços IP individuais ou intervalos CIDR.

Importante

As funcionalidades em versão preliminar do AKS estão disponíveis de forma optativa e por autoatendimento. As versões prévias são fornecidas “no estado em que se encontram” e “conforme disponíveis” e são excluídas dos contratos de nível de serviço e da garantia limitada. As versões prévias do AKS são parcialmente cobertas pelo suporte ao cliente em uma base de melhor esforço. Dessa forma, esses recursos não são destinados ao uso em produção. Para obter mais informações, consulte os seguintes artigos:

Pré-requisitos

Limitações

  • Esse recurso não é compatível com a Integração VNet do Servidor de API.
  • Somente uma marca de serviço é permitida no parâmetro --api-server-authorized-ip-ranges. Você não pode especificar várias tags de serviço.

Instale a extensão aks-preview da CLI do Azure

  1. Instale a extensão de visualização da CLI do Azure usando o az extension add comando.

    az extension add --name aks-preview

  2. Atualize a extensão para garantir que você tenha a versão mais recente usando o comando az extension update.

    az extension update --name aks-preview

Registrar o sinalizador de recurso de IP autorizado da marca de serviço

  1. Registre o sinalizador de recurso EnableServiceTagAuthorizedIPPreview usando o comando az feature register. Leva alguns minutos para que o registro seja concluído.

    az feature register --namespace "Microsoft.ContainerService" --name "EnableServiceTagAuthorizedIPPreview"

    Exemplo de saída:

    {
  "id": "/subscriptions/<subscription-id>/providers/Microsoft.ContainerService/features/EnableServiceTagAuthorizedIPPreview",
  "name": "EnableServiceTagAuthorizedIPPreview",
  "properties": {
    "state": "Registering"
  },
  "type": "Microsoft.ContainerService/features"
}

  2. Depois que o estado do sinalizador de recurso mudar de Registering para Registered, atualize o registro do provedor de recursos Microsoft.ContainerService usando o comando az provider register.

    az provider register --namespace "Microsoft.ContainerService"

  3. Verifique o registro usando o az feature show comando.

    az feature show --namespace "Microsoft.ContainerService" --name "EnableServiceTagAuthorizedIPPreview"

    Exemplo de saída:

    {
  "id": "/subscriptions/<subscription-id>/providers/Microsoft.ContainerService/features/EnableServiceTagAuthorizedIPPreview",
  "name": "EnableServiceTagAuthorizedIPPreview",
  "properties": {
    "state": "Registered"
  },
  "type": "Microsoft.ContainerService/features"
}

Criar um cluster do AKS com intervalos de IP autorizados por marca de serviço

  • Crie um cluster com intervalos de IP autorizados da marca de serviço usando o az aks create comando com o --api-server-authorized-ip-ranges parâmetro. O exemplo a seguir cria um cluster chamado myAKSCluster no grupo de recursos myResourceGroup e autoriza a AzureCloud marca de serviço a permitir que todos os serviços do Azure acessem o servidor de API e especifiquem um endereço IP extra:

    az aks create --resource-group myResourceGroup --name myAKSCluster --api-server-authorized-ip-ranges AzureCloud,20.20.20.20

    Observação

    Você deve ser capaz de executar o comando curl no servidor de API a partir de uma máquina virtual (VM) do Azure ou de um serviço do Azure que seja parte da tag de serviço AzureCloud.

  • Last updated on