Estabelecer conectividade de rede a um cluster privado Azure Kubernetes Service (AKS)

Em clusters privados AKS, o endpoint do servidor API não tem endereço IP público. Para gerir o servidor API, é necessário usar uma máquina virtual (VM) ou contentor que tenha acesso à rede virtual (VNet) do cluster AKS. Existem várias opções para estabelecer conectividade de rede com o cluster privado:

Use uma instância do Azure Cloud Shell implementada numa sub-rede ligada ao servidor API do cluster.
Use o recurso de túnel de cliente nativo do Azure Bastion (versão preliminar).
Use uma VM em uma rede separada e configure o emparelhamento de rede virtual.
Utilize uma conexão de ponto de extremidade privado.
Crie uma VM na mesma VNet que o cluster AKS usando o comando az vm create com a opção --vnet-name.
Use uma Rota Expressa ou uma conexão VPN.
Utilize o recurso command invoke AKS.

Escolha uma opção de conectividade

Azure Cloud Shell e Azure Bastion (pré-visualização) são as opções mais fáceis. Express Route e VPNs acrescentam custos e exigem complexidade de rede adicional. O emparelhamento de rede virtual requer que você planeje seus intervalos CIDR de rede para garantir que não haja intervalos sobrepostos.

A tabela a seguir descreve as principais diferenças e limitações do uso do Azure Cloud Shell e do Azure Bastion:

Opção	Azure Cloud Shell	Azure Bastion (visualização)
Diferenças principais	• Acesso efémero, baseado em navegador. • Custo-benefício. • Vem com ferramentas pré-instaladas como `az cli` e `kubectl`.	• Acesso persistente e de longa duração. • Adequado para gerenciar vários clusters. • Use suas próprias ferramentas de cliente nativo.
Limitações	• Não é compatível com clusters AKS Automatic ou clusters com bloqueio de grupo de recursos de rede (NRG). • Não é possível ter várias sessões do Cloud Shell em diferentes redes virtuais ao mesmo tempo.	• Não é suportado com clusters automáticos AKS ou clusters com bloqueio NRG.

Conectar-se usando o Azure Cloud Shell

A ligação a um cluster AKS privado através do Azure Cloud Shell requer a conclusão dos seguintes passos:

Implementar os recursos necessários: Precisas de implementar o Cloud Shell num VNet que possa aceder ao teu cluster privado. Esta etapa fornece a infraestrutura necessária. Embora o Cloud Shell seja um serviço gratuito, usar o Cloud Shell em uma VNet requer alguns recursos que incorrem em custos. Para obter mais informações, consulte Implantar o Cloud Shell em uma rede virtual.
Configure a ligação: Depois de implantar os recursos, qualquer utilizador na subscrição que tenha permissões apropriadas no cluster pode configurar o Cloud Shell para ser implementado no VNet, permitindo uma ligação segura ao cluster privado.

Implantar os recursos necessários

Para implantar e configurar os recursos necessários, você deve ter a atribuição de função Proprietário na assinatura. Para exibir e atribuir funções, consulte Listar proprietários de uma assinatura.

Pode implementar os recursos necessários usando o portal Azure ou o modelo ARM fornecido se gerir a infraestrutura como código ou tiver políticas organizacionais que exijam convenções específicas de nomenclatura de recursos.

Opcionalmente, você pode deixar os recursos implantados no lugar para conexões futuras ou excluí-los e recriá-los conforme necessário.

Use o portal do Azure (visualização prévia)

Esta opção cria uma VNet separada com os recursos necessários para o Cloud Shell e configura o emparelhamento de VNet para você.

No portal do Azure, navegue até seu recurso de cluster privado.
Na página de Visão Geral, selecione Conectar.
No separador Cloud Shell , em Pré-requisitos para ligação privada a cluster, selecione Configurar para implementar os recursos necessários.
- A implantação cria um novo grupo de recursos chamado RG-CloudShell-PrivateClusterConnection-{RANDOM_ID}.
Quando a implementação for bem-sucedida, em Definir contexto do cluster, selecione Abrir Cloud Shell.

Captura de ecrã do portal Azure na página de recursos de um cluster privado mostrando o botão Ligar com o separador Cloud Shell selecionado.

Observação

Se já configurou o Cloud Shell num VNet para um determinado cluster, repetir estes passos garante que as definições de utilizador do Cloud Shell estão corretamente alinhadas com esse VNet.

Utilizar um modelo do ARM

Para ter mais controle sobre a configuração de implantação, use o modelo ARM fornecido.

Você pode implantar o Cloud Shell na mesma VNet que o seu cluster privado AKS com uma sub-rede dedicada, ou pode implantar em uma nova VNet e conectar-se via VNet peering.

Configurar a ligação ao cluster privado

Depois de implementar os recursos necessários, qualquer utilizador na subscrição pode configurar a sua Cloud Shell para ser implementada no VNet dado usando os passos em Configurar Cloud Shell para usar uma rede virtual.

Garantir que o utilizador tem acesso adequado ao nível Kubernetes para se ligar com sucesso ao cluster privado. Para mais informações, consulte Opções de Acesso e identidade para o Azure Kubernetes Service (AKS).

Connect usando Azure Bastion (versão prévia)

O Azure Bastion é um serviço PaaS totalmente gerenciado que você provisiona para se conectar com segurança a recursos privados por meio de endereços IP privados. Para usar o recurso de encapsulamento de cliente nativo do Bastion, consulte Conectar-se ao cluster privado do AKS usando o Azure Bastion.

Liga-te usando peering de rede virtual (VNet)

Para usar peering VNet, precisas de configurar uma ligação entre o VNet e a zona DNS privada. Podes configurar peering VNet usando o portal Azure ou a CLI do Azure.

Utilizar o portal do Azure

No portal do Azure, navegue até ao grupo de recursos do nó e selecione o seu recurso de zona DNS privada.
No menu de serviço, em Gerenciamento de DNS, selecione Adicionar Links de Rede Virtual>.
Na página Adicionar Link de Rede Virtual , configure as seguintes definições:
- Nome do link: insira um nome para o link de rede virtual.
- Rede Virtual: Selecione a rede virtual que contém a VM.
Selecione Criar para criar o link de rede virtual.
Navegue até ao grupo de recursos que contém a rede virtual do seu cluster AKS e selecione o seu recurso de rede virtual.
No menu de serviço, em Configurações, selecione Emparelhamentos>Adicionar.
Na página Adicionar peering , configure as seguintes definições:
- Nome do link de peering: Introduza um nome para o link de peering.
- Rede virtual: selecione a rede virtual da VM.
Selecione Adicionar para criar o link de emparelhamento.

Para obter mais informações, consulte Emparelhamento de rede virtual.

Utilizar a CLI do Azure

Crie um novo link para adicionar a rede virtual da VM à zona DNS privada usando o az network private-dns link vnet create comando.

az network private-dns link vnet create \
    --name <new-link-name> \
    --resource-group <node-resource-group-name> \
    --zone-name <private-dns-zone-name> \
    --virtual-network <vm-virtual-network-resource-id> \
    --registration-enabled false

Crie um emparelhamento entre a rede virtual da VM e a rede virtual do grupo de recursos do nó usando o comando az network vnet peering create.

az network vnet peering create \
    --name <new-peering-name-1> \
    --resource-group <vm-virtual-network-resource-group-name> \
    --vnet-name <vm-virtual-network-name> \
    --remote-vnet <node-resource-group-virtual-network-resource-id> \
    --allow-vnet-access

Crie um segundo emparelhamento entre a rede virtual do grupo de recursos do nó e a rede virtual da VM usando o comando az network vnet peering create.

az network vnet peering create \
    --name <new-peering-name-2> \
    --resource-group <node-resource-group-name> \
    --vnet-name <node-resource-group-virtual-network-name> \
    --remote-vnet <vm-virtual-network-resource-id> \
    --allow-vnet-access

Liste os emparelhamentos de rede virtual que você criou usando o az network vnet peering list comando.

az network vnet peering list \
    --resource-group <node-resource-group-name> \
    --vnet-name <private-dns-zone-name>

Usar uma conexão de ponto de extremidade privada

Podes configurar um endpoint privado para que um VNet não precise de ser peered para comunicar com o cluster privado. Para configurar uma ligação de endpoint privado, cria-se primeiro um novo endpoint privado na rede virtual que contém os recursos que consomem, e depois cria-se uma ligação entre a sua rede virtual e uma nova zona DNS privada na mesma rede.

Importante

Se a rede virtual estiver configurada com servidores DNS personalizados, precisa de configurar o DNS privado adequadamente para o ambiente. Para mais informações, consulte a documentação de resolução de nomes de rede virtual.

Criar um recurso de ponto de extremidade privado

Na home page do portal do Azure, selecione Criar um recurso.
Procure por Ponto de extremidade privado e selecione Criar>ponto de extremidade privado.
Selecione Criar.
Na guia Noções básicas, defina as seguintes configurações:
- Detalhes do projeto
  - Assinatura: selecione a assinatura onde o cluster privado está localizado.
  - Grupo de recursos: selecione o grupo de recursos que contém sua rede virtual.
- Detalhes da instância
  - Nome: insira um nome para seu ponto de extremidade privado, como myPrivateEndpoint.
  - Região: selecione a mesma região da sua rede virtual.
Selecione Next: Resource e configure as seguintes definições:
- Método de conexão: selecione Conectar a um recurso do Azure em meu diretório.
- Assinatura: selecione a assinatura onde o cluster privado está localizado.
- Tipo de recurso: Selecione Microsoft.ContainerService/managedClusters.
- Recurso: Selecione seu cluster privado.
- Subrecurso de destino: Selecione gerenciamento.
Selecione Próximo: Rede Virtual e configure as seguintes definições:
- Networking
  - Rede virtual: Selecione a sua rede virtual.
  - Sub-rede: Selecione sua sub-rede.
Selecione Next: DNS>Next: Tags e (opcionalmente) configure valores-chave conforme necessário.
Selecione Seguinte: Rever + criar>Criar.

Depois que o recurso for criado, registre o endereço IP privado do ponto de extremidade privado para uso futuro.

Criar uma zona DNS privada

Depois de criar o ponto de extremidade privado, crie uma nova zona DNS privada com o mesmo nome da zona DNS privada criada pelo cluster privado. Lembre-se de criar essa zona DNS na VNet que contém os recursos consumidos.

No portal do Azure, navegue até o grupo de recursos do seu nó e selecione o seu recurso de zona DNS privada.
No menu de serviço, em Gestão DNS, selecione Conjuntos de Registos e note o seguinte:
- O nome da zona DNS privada, que segue o padrão *.privatelink.<region>.azmk8s.io.
- O nome do A registo (excluindo o nome DNS privado).
- O tempo de vida (TTL).
Na home page do portal do Azure, selecione Criar um recurso.
Procure por zona DNS privada e selecione Criar>zona DNS privada.
Na guia Noções básicas, defina as seguintes configurações:
- Detalhes do projeto
  - Selecione a sua Subscrição.
  - Selecione o grupo de recursos onde você criou o ponto de extremidade privado.
- Detalhes da instância
  - Nome: insira o nome da zona DNS recuperada das etapas anteriores.
  - Região: Por padrão, indica a localização do seu grupo de recursos.
Selecione Revisar e criar>Criar.

Criar um `A` registo

Depois de criada a zona DNS privada, cria-se um A registo que associa o endpoint privado ao cluster privado.

Navega até ao recurso privado da tua zona DNS.
No menu de serviço, em Gerenciamento de DNS, selecione Adicionar conjuntos>de registros.
Na página Adicionar conjunto de registos , configure as seguintes definições:
- Nome: insira o nome recuperado do A registro na zona DNS do cluster privado.
- Tipo: Selecione A - Registro de endereço.
- TTL: Insira o A número do registro na zona DNS do cluster privado.
- Unidade TTL: altere o valor da lista suspensa para corresponder ao valor no A registo da zona DNS do cluster privado.
- Endereço IP: insira o endereço IP do ponto de extremidade privado que você criou.
Selecione Adicionar para criar o A registro.

Importante

Ao criar o A registro, use apenas o nome e não o nome de domínio totalmente qualificado (FQDN).

Vincular a zona DNS privada à rede virtual

Depois de criado o A registo, liga a zona DNS privada à rede virtual que irá aceder ao cluster privado.

Navega até ao recurso privado da tua zona DNS.
No menu de serviço, em Gerenciamento de DNS, selecione Adicionar Links de Rede Virtual>.
Na página Adicionar Link de Rede Virtual , configure as seguintes definições:
- Nome do link: insira um nome para o link de rede virtual.
- Assinatura: selecione a assinatura onde o cluster privado está localizado.
- Rede Virtual: Selecione a rede virtual do seu cluster privado.
Selecione Criar para criar o link.

Pode levar alguns minutos para que a operação seja concluída. Depois que o link de rede virtual for criado, você poderá acessá-lo na guia Links de Rede Virtual usada na etapa 2.

Advertência

Se o cluster privado for interrompido e reiniciado, o serviço de link privado original do cluster privado será removido e recriado, o que interrompe a conexão entre seu ponto de extremidade privado e o cluster privado. Para resolver esse problema, exclua e recrie todos os pontos de extremidade privados criados pelo usuário vinculados ao cluster privado. Se os endpoints privados recriados tiverem novos endereços IP, também precisa de atualizar os registos DNS.
Se você atualizar os registros DNS na zona DNS privada, verifique se o host do qual você está tentando se conectar está usando os registros DNS atualizados. Você pode verificar isso usando o nslookup comando. Se você notar que as atualizações não estão refletidas na saída, talvez seja necessário liberar o cache DNS em sua máquina e tentar novamente.

Criar uma VM na mesma rede virtual

Para criar uma VM no mesmo VNet que o teu cluster AKS privado, usa o az vm create comando com a --vnet-name flag para especificar o VNet.

az vm create \
    --resource-group <resource-group-name> \
    --name <vm-name> \
    --image <image-name> \
    --vnet-name <vm-virtual-network-name> \
    --subnet <subnet-name> \
    --admin-username <admin-username> \
    --admin-password <admin-password>

Use uma Rota Expressa ou uma ligação VPN

Para usar uma ligação Express Route ou VPN, consulte Sobre gateways virtuais de rede ExpressRoute.

Use a funcionalidade AKS `command invoke`

Para usar a funcionalidade AKS command invoke para se ligar a um cluster privado, veja Aceder a um cluster privado usando command invoke.

Para mais informações sobre clusters privados no AKS, consulte Criar um cluster privado Azure Kubernetes Service (AKS).

Feedback

Esta página foi útil?

Last updated on 2025-12-16