Partilhar via

Utilize etiquetas de serviço para intervalos de IP autorizados do servidor de API no Azure Kubernetes Service (AKS) (versão preliminar)

As etiquetas de serviço para intervalos de IP autorizados por servidores API são uma funcionalidade de pré-visualização que permite usar etiquetas de serviço para especificar intervalos de IP autorizados para o servidor API no Azure Kubernetes Service (AKS). Esta funcionalidade simplifica a gestão dos intervalos de IP autorizados ao permitir o uso de etiquetas de serviço pré-definidas em vez de especificar manualmente endereços IP individuais ou intervalos CIDR.

Importante

Os recursos de pré-visualização do AKS estão disponíveis numa base de autosserviço e adesão voluntária. As visualizações prévias são fornecidas "como estão" e "conforme disponíveis" e são excluídas dos contratos de nível de serviço e da garantia limitada. As versões de teste do AKS são parcialmente cobertas pelo suporte ao cliente numa base de melhor esforço. Assim sendo, estas funcionalidades não se destinam ao uso em produção. Para obter mais informações, consulte os seguintes artigos de suporte:

Pré-requisitos

Limitações

  • Esta funcionalidade não é compatível com a integração do VNet do API Server.
  • Apenas uma etiqueta de serviço é permitida no --api-server-authorized-ip-ranges parâmetro. Não podes especificar múltiplas etiquetas de serviço.

Instalar a extensão da CLI do aks-preview Azure

  1. Instale a extensão Azure CLI preview usando o az extension add comando.

    az extension add --name aks-preview

  2. Atualize a extensão para garantir que você tenha a versão mais recente usando o az extension update comando.

    az extension update --name aks-preview

Registar o flag de funcionalidade IP autorizada da etiqueta de serviço

  1. Registe o sinalizador de funcionalidade EnableServiceTagAuthorizedIPPreview com o comando az feature register. O registo demora alguns minutos a ser concluído.

    az feature register --namespace "Microsoft.ContainerService" --name "EnableServiceTagAuthorizedIPPreview"

    Exemplo de saída:

    {
  "id": "/subscriptions/<subscription-id>/providers/Microsoft.ContainerService/features/EnableServiceTagAuthorizedIPPreview",
  "name": "EnableServiceTagAuthorizedIPPreview",
  "properties": {
    "state": "Registering"
  },
  "type": "Microsoft.ContainerService/features"
}

  2. Assim que o estado da feature flag muda de Registering para Registered, atualize o registo do Microsoft.ContainerService fornecedor de recursos usando o az provider register comando.

    az provider register --namespace "Microsoft.ContainerService"

  3. Verifica o registo usando o az feature show comando.

    az feature show --namespace "Microsoft.ContainerService" --name "EnableServiceTagAuthorizedIPPreview"

    Exemplo de saída:

    {
  "id": "/subscriptions/<subscription-id>/providers/Microsoft.ContainerService/features/EnableServiceTagAuthorizedIPPreview",
  "name": "EnableServiceTagAuthorizedIPPreview",
  "properties": {
    "state": "Registered"
  },
  "type": "Microsoft.ContainerService/features"
}

Crie um cluster AKS com intervalos de IP autorizados por etiquetas de serviço

  • Crie um cluster com intervalos de IP autorizados pela etiqueta de serviço usando o az aks create comando com o --api-server-authorized-ip-ranges parâmetro. O exemplo seguinte cria um cluster chamado myAKSCluster no grupo de recursos myResourceGroup e autoriza a AzureCloud etiqueta de serviço para permitir que todos os serviços Azure acedam ao servidor API e especifiquem um endereço IP extra:

    az aks create --resource-group myResourceGroup --name myAKSCluster --api-server-authorized-ip-ranges AzureCloud,20.20.20.20

    Observação

    Deverias conseguir curlar o servidor API a partir de uma máquina virtual Azure (VM) ou de um serviço Azure que faz parte da AzureCloud tag de serviço.

  • Last updated on