Zugreifen auf einen Azure Kubernetes Service (AKS)-API-Server

In diesem Artikel werden Optionen zum Herstellen einer Verbindung mit dem API-Server Ihres Azure Kubernetes Service (AKS)-Clusters beschrieben. In einem Standard-AKS-Cluster wird der API-Server über das Internet verfügbar gemacht. In einem privaten AKS-Cluster können Sie nur über ein Gerät mit Netzwerkzugriff auf den privaten Cluster eine Verbindung mit dem API-Server herstellen.

Die Planung des API-Serverzugriffs ist eine Day-Zero-Aktivität, und wie Sie auf den Server zugreifen, hängt von Ihrem Bereitstellungsszenario ab.

AKS-API-Serverzugriff

Um einen AKS-Cluster zu verwalten, interagieren Sie mit seinem API-Server. Es ist wichtig, den API-Serverzugriff nur auf die erforderlichen Benutzer zu beschränken. Sie können einen präzisen Zugriff ermöglichen, indem Sie den AKS-Cluster mit Microsoft Entra ID integrieren. Administratoren können den Zugriff mithilfe Azure rollenbasierten Zugriffssteuerung (Azure RBAC) verwalten. Sie können Benutzer und Identitäten auch in Microsoft Entra Gruppen platzieren und entsprechende Rollen und Berechtigungen zuweisen. Microsoft Entra Authentifizierung wird in AKS-Clustern über OpenID Connect aktiviert. Weitere Informationen finden Sie in den folgenden Ressourcen:

Note

Sie können die AKS-Clustersicherheit verbessern, indem Sie nur autorisierte IP-Adressbereiche für den Zugriff auf den API-Server zulassen.

Azure DDoS Protection in Kombination mit bewährten Methoden für den Anwendungsentwurf bietet erweiterte Gegenmaßnahmen gegen verteilte DDoS-Angriffe (Denial-of-Service). Aktivieren Sie den DDoS-Schutz in jedem virtuellen Umkreisnetzwerk.

Zugreifen auf einen AKS-Cluster über das Internet

Wenn Sie einen nichtprivaten Cluster erstellen, der den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des API-Servers auflöst, wird standardmäßig eine öffentliche IP-Adresse zugewiesen. Sie können eine Verbindung mit Ihrem Cluster herstellen, indem Sie das Azure Portal oder eine Shell wie die Azure CLI, PowerShell oder Eingabeaufforderung verwenden.

Note

Sie können den Kubernetes-Befehlszeilenclient kubectl verwenden, um eine Verbindung mit einem Cluster über das Internet herzustellen.

Azure Cloud Shell

Azure Cloud Shell ist eine shell, die in das Azure-Portal integriert ist. Sie können Azure-Ressourcen von der Cloud Shell aus verwalten und eine Verbindung herstellen, wie Sie es von PowerShell oder der Azure CLI aus tun können.

Zugreifen auf einen privaten AKS-Cluster

Es gibt mehrere Möglichkeiten, eine Verbindung mit einem privaten AKS-Cluster herzustellen. Die Planung des Zugriffs ist eine "Day-Zero"-Aktivität, die auf die Anforderungen und Einschränkungen Ihres Szenarios abgestimmt ist. Sie können eine Verbindung mit Ihrem privaten Cluster herstellen, indem Sie die folgenden Komponenten und Dienste verwenden:

  • Ein Jump-Box, der in ein Subnetz als Ihre Betriebsarbeitsstation bereitgestellt wird: Diese Einrichtung kann aus eigenständigen, persistenten virtuellen Maschinen (VMs) in einer Verfügbarkeitsgruppe oder Azure Virtual Machine Scale Sets bestehen.

  • Azure Container Instances und ein OpenSSH-kompatibler Client: Stellen Sie eine Containerinstanz bereit, die einen Ssh-Server (Secure Shell) ausführt, und verwenden Sie dann Ihren OpenSSH-kompatiblen Client, um auf den Container zuzugreifen. Dieser Container dient als Sprungfeld in Ihrem Netzwerk, um Ihren privaten Cluster zu erreichen.

  • Azure Bastion: Verwenden Sie Azure Bastion, um einen sichereren, browserbasierten Remotezugriff auf Ihre virtuellen Computer oder Sprungfelder in Ihrem Azure virtuellen Netzwerk einzurichten. Mit diesem Zugriff können Sie sicherer eine Verbindung mit privaten Endpunkten wie Ihrem AKS-API-Server herstellen. Azure Bastion bietet auch eine native Client-Tunnelfunktion (Vorschau), die die direkte Verbindung zu privaten AKS-Clustern ermöglicht, ohne dass eine Jumpbox erforderlich ist.

  • Virtuelles privates Netzwerk (VPN): Erstellen Sie eine sichere VPN-Verbindung, die Ihr lokales oder Remotenetzwerk in Ihr virtuelles Netzwerk erweitert. Mit dieser Verbindung können Sie auf Ihren privaten Cluster zugreifen, als ob Sie lokal verbunden waren.

  • Azure ExpressRoute: Verwenden Sie ExpressRoute, um eine dedizierte private Verbindung zwischen Ihrem lokalen Netzwerk und Azure zu erstellen. Diese Verbindung trägt dazu bei, einen sichereren und zuverlässigeren Zugriff auf Ihren privaten Cluster zu gewährleisten, ohne das öffentliche Internet zu verwenden.

  • Der Azure CLI-Befehl az aks command invoke: Führen Sie Befehle direkt auf Ihrem AKS-Cluster mit der Azure CLI über den az aks command invoke-Befehl aus. Dieser Befehl interagiert mit dem Cluster, ohne weitere Netzwerkendpunkte verfügbar zu geben. Sie können auch das entsprechende Run-Befehl-Feature im Azure Portal für die browserbasierte Befehlsausführung verwenden.

  • Cloud Shell Instanz, die in einem Subnetz bereitgestellt wird, das mit dem API-Server für den Cluster verbunden ist: Stellen Sie Cloud Shell in einem Subnetz bereit, das mit dem API-Server Ihres Clusters verknüpft ist. Dieser Ansatz bietet eine sicherere, verwaltete Befehlszeilenumgebung zum Verwalten Ihres privaten Clusters.

  • Azure Virtual Desktop: Access Azure Virtual Desktop, um Windows oder Linux-Desktops als Sprungfelder zu verwenden, um Ihren privaten Cluster von fast überall aus sicherer zu verwalten.

Note

Der gesamte Datenverkehr an den API-Server wird über das Übertragungssteuerungsprotokoll an Port 443 über HTTPS übertragen. Netzwerksicherheitsgruppen (NSGs) oder andere Netzwerkfirewalls müssen Datenverkehr vom Ursprung zum FQDN des API-Servers an Port 443 für HTTPS zulassen. Verkehrsberechtigungen sollten speziell auf den FQDN für den API-Server des Clusters beschränkt werden.

Azure Bastion

Azure Bastion ist eine Plattform als Dienst (PaaS), die sichere Remotedesktop Protocol (RDP) oder SSH-Verbindungen zu einer VM innerhalb Ihres virtuellen Netzwerks ermöglicht, die keine öffentliche IP-Adresse auf dem virtuellen Computer erfordert. Zwei primäre Ansätze für die Verwendung von Azure Bastion mit privaten AKS-Clustern sind das Herstellen einer Verbindung über ein Sprungfeld oder die Verwendung von systemeigenen Clienttunneln, um eine direkte Verbindung ohne Sprungbox herzustellen.

Azure Bastion mit einem Sprungfeld

Wenn Sie eine Verbindung mit einem privaten AKS-Cluster herstellen, verwenden Sie Azure Bastion, um auf ein Sprungfeld im virtuellen Hubnetzwerk zuzugreifen. Alternativ können Sie SSH, RDP oder Remotedesktop Services verwenden, um das Sprungfeld remote zu steuern. Der AKS-Cluster befindet sich in einem Speichennetz, das ihn von der Jump-Box trennt. Virtuelles Netzwerk-Peering verbindet die Hub- und Speichennetzwerke. Die Jump Box kann den FQDN des AKS-API-Servers mithilfe eines privaten Azure-Endpunkts, einer privaten DNS-Zone (Domain Name System) und eines DNS-A-Eintrags auflösen. Durch dieses Setup wird sichergestellt, dass der FQDN des API-Servers nur innerhalb des virtuellen Netzwerks aufgelöst wird. Diese Konfiguration stellt eine vertrauenswürdige Verbindung mit dem privaten AKS-Cluster bereit.

Note

Für den beständigen Zugriff auf Ihren privaten AKS-Cluster sind die Verfügbarkeit und Redundanz Ihrer Jump-Server von entscheidender Bedeutung. Um diese Zuverlässigkeit zu gewährleisten, platzieren Sie Ihre Sprungfelder in Verfügbarkeitsgruppen, und verwenden Sie Virtual Machine Scale Sets, die nur wenige VM-Instanzen haben. Weitere Informationen finden Sie in den folgenden Ressourcen:

Architecture-Diagramm, das die Datenverkehrsroute von einem Benutzer zu einem privaten AKS-Cluster zeigt. Der Datenverkehr fließt durch Azure Bastion und eine Sprungbox.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Datenfluss

  1. Ein Benutzer versucht, mithilfe von Azure Bastion und einem HTML5-Browser mit Transport Layer Security-Verschlüsselung eine Verbindung mit einem Sprungfeld herzustellen.

  2. Der Benutzer wählt aus dem Portal aus, ob RDP oder SSH zum Herstellen einer Verbindung mit dem Sprungfeld verwendet werden soll.

  3. Der Benutzer meldet sich über Azure Bastion beim Sprungfeld an. Der Versuch, eine Verbindung mit dem privaten AKS-Cluster herzustellen, erfolgt über dieses Sprungfeld. Das virtuelle Hubnetzwerk verfügt über eine virtuelle Netzwerkverbindung mit der privaten AKS-DNS-Zone, um den FQDN des privaten Clusters aufzulösen.

  4. Das virtuelle Hubnetzwerk und das Speichennetzwerk kommunizieren, indem die virtuelle Netzwerk-Peering verwendet wird.

  5. Um den privaten AKS-Cluster zu erreichen, wechselt der Datenverkehr in das Azure Backbone. Ein privater Endpunkt stellt eine private, isolierte Verbindung mit dem privaten AKS-Cluster her.

  6. Der Datenverkehr erreicht den API-Server des privaten AKS-Clusters. Der Benutzer kann dann Pods, Knoten und Anwendungen verwalten.

Note

Der FQDN Ihres privaten Clusters kann von außerhalb Ihres virtuellen Netzwerks aufgelöst werden, wenn Sie den öffentlichen FQDN nicht direkt für einen vorhandenen Cluster deaktivieren.

Beheben von Verbindungsproblemen

Wenn Sie keine Verbindung mit Ihrem privaten Cluster herstellen können:

  • Überprüfen Sie das virtuelle Netzwerk-Peering. Dieser Mechanismus bietet Netzwerk-zu-Netzwerkkonnektivität zwischen zwei virtuellen Netzwerken. Damit der Datenverkehr zwischen diesen beiden Netzwerken fließt, müssen Sie das virtuelle Netzwerk-Peering zwischen ihnen einrichten. Wenn Sie ein virtuelles Netzwerk-Peering einrichten, wird eine Route in der Systemroutentabelle des virtuellen Netzwerks platziert. Diese Route stellt einen Pfad zum Erreichen des Zieladressraums bereit. Weitere Informationen zur Problembehandlung für virtuelle Netzwerk-Peerings finden Sie unter Erstellen, Ändern oder Löschen eines virtuellen Netzwerk-Peerings.

    Note

    Sie benötigen kein Netzwerk-Peering, wenn sich Ihre Jumpbox im selben virtuellen Netzwerk wie der private Endpunkt und der private AKS-Cluster befindet.

  • Überprüfen Sie die Virtuelle Netzwerkverbindung mit der privaten DNS-Zone. Virtuelle Netzwerkverbindungen bieten eine Möglichkeit für virtuelle Computer, die sich in virtuellen Netzwerken befinden, um eine Verbindung mit einer privaten DNS-Zone herzustellen und die DNS-Einträge innerhalb der Zone aufzulösen. Wenn Sie keine Verbindung mit Ihrem privaten AKS-Cluster herstellen oder den FQDN des privaten Clusters nicht auflösen können, überprüfen Sie, ob Ihr virtuelles Netzwerk über eine Verbindung mit Ihrer privaten DNS-Zone verfügt. Der Name der privaten DNS-Zone sollte das privatelink.<region>.azmk8s.io Format aufweisen.

    Weitere Informationen zum Behandeln von Problemen mit virtuellen Netzwerklinks finden Sie in den folgenden Artikeln:

    Note

    Wenn Sie einen privaten AKS-Cluster erstellen, wird eine private DNS-Zone erstellt, die über eine virtuelle Netzwerkverbindung mit dem virtuellen Netzwerk verfügt, in dem der private AKS-Cluster gehostet wird.

Azure Bastion nativen Clienttunneling

Sie können den nativen Clienttunnel verwenden, um eine direkte Verbindung mit privaten AKS-Clustern ohne Jumpbox herzustellen. Dieser Ansatz unterstützt beständigen, langfristigen Zugriff und sorgt dafür, dass Ihre systemeigenen Clienttools von Ihrem lokalen Computer aus funktionieren.

Von Bedeutung

Dieses Feature befindet sich in der Vorschau. AKS-Preview-Funktionen stehen auf Selbstbedienungs- und Opt-in-Basis zur Verfügung. Microsoft bietet Vorschauversionen wie besehen und je nach Verfügbarkeit an, und sie sind nicht in Service-Level-Vereinbarungen (SLAs) oder eingeschränkter Gewährleistung enthalten. Der Kundensupport bietet eine teilweise, nach bestem Bemühen erstellte Abdeckung für AKS-Vorschauen, sodass diese Funktionen nicht für den produktiven Einsatz geeignet sind. Weitere Informationen finden Sie in den folgenden Supportartikeln:

Anforderungen

  • Deloy Azure Bastion mithilfe der Standard- oder Premium-SKU.

  • Aktivieren Sie die systemeigene Clientunterstützung in den Azure Bastion Konfigurationseinstellungen.

  • Stellen Sie sicher, dass Sie über die Reader-Rolle im AKS-Cluster, der Azure Bastion-Ressource und dem virtuellen Netzwerk verfügen.

Verbindungsworkflow

  1. Abrufen von Anmeldeinformationen für Ihren privaten AKS-Cluster:

    az aks get-credentials --admin --name <AKSClusterName> --resource-group <ResourceGroupName>

  2. Öffnen Sie den Tunnel zu Ihrem Ziel-AKS-Cluster:

    az aks bastion --name <AKSClusterName> --resource-group <AKSClusterResourceGroup> --admin --bastion <BastionResourceId>

  3. Aktualisieren Sie Ihre Kubeconfig-Datei so, dass sie auf den Azure Bastion Tunnel verweist:

    export BASTION_PORT=$(ps aux | sed -n 's/.*--port \([0-9]*\).*/\1/p' | head -1)
sed -i "s|server: https://.*|server: https://localhost:${BASTION_PORT}|" $KUBECONFIG

  4. Interagieren Sie mit Ihrem AKS-Cluster:

    kubectl get nodes

Weitere Informationen finden Sie unter Verbinden mit privaten AKS-Clustern mithilfe von Azure Bastion.

Note

Azure Bastion natives Client-Tunneling wird für automatische AKS-Cluster oder Cluster, die eine Einschränkung der Netzwerkressourcengruppe (NRG) haben, nicht unterstützt.

Verbesserung der Sicherheit

Um AKS-Workloads und Ihre Sprungfelder zu sichern, verwenden Sie just-in-time (JIT)-Zugriff und eine Privileged Access Workstation (PAW). JIT-Zugriff ist Teil Microsoft Defender for Cloud. Dies kann dazu beitragen, die potenzielle Angriffsfläche und Sicherheitsrisiken zu minimieren, indem der eingehende Datenverkehr zu Ihrem Jump-Server blockiert wird und der Zugriff nur bei Bedarf und für einen bestimmten Zeitraum gewährt wird. Nach Ablauf der Zeit wird der Zugriff automatisch widerrufen. Weitere Informationen finden Sie unter Just-in-Time-Computerzugriff.

PAWs sind gehärtete Geräte, die eine hohe Sicherheit für Operatoren bieten, indem allgemeine Angriffsvektoren wie E-Mail und Webbrowsen blockiert werden. Weitere Informationen finden Sie unter "Sichere Geräte" im Rahmen des Abschnitts "Privilegierter Zugriff".

VPN

Eine VPN-Verbindung bietet hybride Konnektivität von Ihrer lokalen Umgebung zu Azure. Diese Konnektivität ermöglicht den Zugriff auf einen privaten AKS-Cluster. Der API-Server des privaten Clusters ist außerhalb Ihrer virtuellen Netzwerke nicht erreichbar. Mit einem VPN können Sie eine Verbindung mit Ihrem virtuellen Netzwerk in Azure über einen verschlüsselten Tunnel herstellen, auf Ihr Sprungfeld zugreifen und dann eine Verbindung mit dem API-Server des privaten Clusters herstellen.

Architekturdiagramm, das den Datenverkehrsfluss von einem Benutzer zu einem privaten AKS-Cluster zeigt. Die Route umfasst ein VPN-Gateway, einen IPsec-Tunnel (Internet Protocol Security) und ein Sprungfeld.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Datenfluss

  1. Ein Benutzer initiiert RDP- oder SSH-Datentransfer an den Jumppoint von einer lokalen Arbeitsstation.

  2. Der Jump Box-Datenverkehr verlässt die Edge-Router und das VPN-Gerät des Kunden. Der Datenverkehr verwendet einen verschlüsselten Internetprotokollsicherheitstunnel (Internet Protocol Security, IPsec), um das Internet zu durchlaufen.

  3. Der Jumpbox-Datenverkehr erreicht das virtuelle Netzwerkgateway in Azure, das sowohl der Eingangs- als auch der Ausgangspunkt der Azure-virtuellen Netzwerkinfrastruktur ist.

  4. Nachdem der Datenverkehr über das virtuelle Netzwerkgateway weitergeleitet wird, erreicht er den Jump Box. Der Versuch, eine Verbindung mit dem privaten AKS-Cluster herzustellen, erfolgt über die Jumpbox. Das virtuelle Hubnetzwerk verfügt über eine virtuelle Netzwerkverbindung mit der privaten AKS-DNS-Zone, um den FQDN des privaten Clusters aufzulösen.

  5. Das virtuelle Hubnetzwerk und das Speichen-Netzwerk stehen miteinander in Verbindung mithilfe eines virtuellen Netzwerkpeerings.

  6. Um den privaten AKS-Cluster zu erreichen, wechselt der Datenverkehr in das Azure Backbone. Ein privater Endpunkt stellt eine private, isolierte Verbindung mit dem privaten AKS-Cluster her.

  7. Der Datenverkehr erreicht den API-Server des privaten AKS-Clusters. Der Benutzer kann dann Pods, Knoten und Anwendungen verwalten.

ExpressRoute

ExpressRoute bietet Verbindungen mit Ihrem privaten AKS-Cluster aus einer lokalen Umgebung. ExpressRoute verwendet das Border Gateway Protocol (BGP), um Routen zwischen Ihrem lokalen Netzwerk und Azure auszutauschen. Diese Verbindung erstellt einen sicheren Pfad zwischen Infrastruktur as a Service -Ressourcen (IaaS) und lokalen Arbeitsstationen. ExpressRoute bietet eine dedizierte, isolierte Verbindung mit konsistenter Bandbreite und Latenz, was es ideal für Unternehmensumgebungen macht.

Architekturdiagramm, das die Datenverkehrsroute von einem Benutzer zu einem privaten AKS-Cluster zeigt. Die Route umfasst ExpressRoute und ein Sprungfeld.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Datenfluss

  1. Ein Benutzer initiiert RDP- oder SSH-Datentransfer an den Jumppoint von einer lokalen Arbeitsstation.

  2. Der Datenverkehr über die Jumpbox verlässt die Edge-Router des Kunden und wird über eine Glasfaserverbindung zum Meet-Me-Punkt geleitet, an dem sich der ExpressRoute-Kreis befindet. Der Datenverkehr erreicht dort die Microsoft Enterprise Edge(MSEE)-Geräte. Anschließend wechselt es in die Azure-Infrastruktur.

  3. Der Jumpbox-Datenverkehr erreicht das ExpressRoute-Gateway, das sowohl der Eingangs- als auch der Ausgangspunkt der Azure-virtuellen Netzwerkinfrastruktur ist.

  4. Der Datenverkehr erreicht die Jump-Box. Der Versuch, eine Verbindung mit dem privaten AKS-Cluster herzustellen, erfolgt über die Jumpbox. Das virtuelle Hubnetzwerk verfügt über eine virtuelle Netzwerkverbindung mit der privaten AKS-DNS-Zone, um den FQDN des privaten Clusters aufzulösen.

  5. Das virtuelle Hubnetzwerk und das Speichen-Netzwerk stehen miteinander in Verbindung mithilfe eines virtuellen Netzwerkpeerings.

  6. Um den privaten AKS-Cluster zu erreichen, wechselt der Datenverkehr in das Azure Backbone. Ein privater Endpunkt stellt eine private, isolierte Verbindung mit dem privaten AKS-Cluster her.

  7. Der Datenverkehr erreicht den API-Server des privaten AKS-Clusters. Der Benutzer kann dann Pods, Knoten und Anwendungen verwalten.

Note

ExpressRoute erfordert einen Nicht-Microsoft-Verbindungsanbieter, um eine Peeringverbindung mit den MSEE-Routern bereitzustellen. ExpressRoute-Datenverkehr ist nicht verschlüsselt.

Den Befehl "aks" aufrufen

Mit einem privaten AKS-Cluster können Sie eine Verbindung von einem virtuellen Computer herstellen, der Zugriff auf den API-Server hat. Verwenden Sie den Befehl Azure CLI aks command invoke, um Befehle wie kubectl oder helm remote über die Azure-API auszuführen. Dieser Ansatz erstellt einen vorübergehenden Pod im Cluster, der nur für die Dauer des Befehls besteht. Der aks command invoke Befehl dient als alternative Verbindungsmethode, wenn Sie kein VPN, ExpressRoute oder peered virtuelles Netzwerk besitzen. Stellen Sie sicher, dass Ihr Cluster- und Knotenpool über ausreichende Ressourcen zum Erstellen des vorübergehenden Pods verfügen.

Die "Befehl ausführen"-Funktion des Portals

Das Azure-Portal bietet einen Run-Befehl-Feature, das dieselbe zugrunde liegende command invoke Funktionalität verwendet. Sie können diese browserbasierte Schnittstelle verwenden, um Befehle auf Ihrem privaten Cluster ohne die Azure CLI auszuführen. Der vom Befehl "Ausführen" erstellte Pod enthält kubectl und helm für Cluster-Operationen, zusammen mit jq, xargs, grep und awk für Bash-Unterstützung.

Sie können auch Microsoft Copilot in Azure verwenden, um kubectl-Befehle auszuführen. Weitere Informationen finden Sie unter Arbeiten mit AKS-Clustern effizient durch die Verwendung von Copilot in Azure.

Verbinden von Cloud Shell mit einem Subnetz

Wenn Sie Cloud Shell in einem virtuellen Netzwerk bereitstellen, das Sie steuern, können Sie mit Ressourcen innerhalb dieses Netzwerks interagieren. Das Bereitstellen von Cloud Shell in einem Subnetz, das Sie verwalten, ermöglicht die Konnektivität mit dem API-Server eines privaten AKS-Clusters. Mit dieser Bereitstellung lässt sich eine direkte Verbindung mit dem privaten Cluster herstellen. Weitere Informationen finden Sie unter Deploy Cloud Shell in einem Azure virtuellen Netzwerk.

Note

Bereitstellung von Cloud Shell in einem virtuellen Netzwerk wird für AKS-Automatik-Cluster oder Cluster mit NRG-Lockdown nicht unterstützt.

Verwenden von SSH und Visual Studio Code zum Testen

SSH verwaltet und greift auf Dateien auf einem Remotehost mithilfe von public-private Schlüsselpaaren sicher zu. Von Ihrem lokalen Computer aus können Sie SSH mit der Visual Studio Code Remote - SSH-Erweiterung verwenden, um eine Verbindung mit einem Sprungfeld in Ihrem virtuellen Netzwerk herzustellen. Der verschlüsselte SSH-Tunnel wird an der öffentlichen IP-Adresse des Sprungfelds beendet, wodurch es einfach ist, Kubernetes-Manifestdateien zu ändern.

Informationen zur Verbindung mit Ihrer Jumpbox per SSH finden Sie unter Remoteentwicklung über SSH.

Wenn Sie keine Verbindung mit Ihrer VM über SSH herstellen können, um Ihren privaten Cluster zu verwalten:

  • Überprüfen Sie die eingehende NSG-Regel für das VM-Subnetz. Die NSG-Standardregel blockiert den gesamten eingehenden Datenverkehr von außerhalb Azure. Erstellen Sie daher eine neue Regel, die SSH-Datenverkehr von der öffentlichen IP-Adresse Ihres lokalen Computers zulässt.

  • Überprüfen Sie den Speicherort des Zertifikats, und überprüfen Sie die richtige Platzierung der Zertifikate. Stellen Sie sicher, dass sich der private Schlüssel im Verzeichnis C:\Users\User\.ssh\id_rsa auf Ihrem lokalen Computer befindet und dass sich der öffentliche Schlüssel in der Datei ~/.ssh/id_rsa.pub auf dem virtuellen Computer in Azure befindet.

Note

Wir empfehlen Ihnen:

  • Vermeiden Sie die Verwendung einer öffentlichen IP-Adresse zum Herstellen einer Verbindung mit Ressourcen in Produktionsumgebungen. Verwenden Sie öffentliche IP-Adressen nur in Entwicklungs- oder Testumgebungen. Erstellen Sie in diesen Szenarien eine eingehende NSG-Regel, um Datenverkehr von der öffentlichen IP-Adresse Ihres lokalen Computers zuzulassen. Weitere Informationen zu NSG-Regeln finden Sie unter Erstellen, Ändern oder Löschen einer NSG.

  • Vermeiden Sie die Verwendung von SSH, um eine direkte Verbindung mit AKS-Knoten oder -Containern herzustellen. Verwenden Sie stattdessen eine dedizierte externe Verwaltungslösung. Diese Vorgehensweise ist besonders wichtig, wenn Sie den Befehl aks command invoke verwenden, der einen vorübergehenden Pod innerhalb Ihres Clusters für den Zugriff über einen Proxy erstellt.

Schlussfolgerung

  • Sie können über das Internet auf den API-Server Ihres AKS-Clusters zugreifen, wenn der öffentliche FQDN aktiviert ist.

  • Cloud Shell ist eine integrierte Befehlszeilenshell im Azure-Portal, mit der Sie eine Verbindung mit einem AKS-Cluster herstellen können.

  • Verwenden Sie für einen sichereren Zugriff Azure Bastion entweder mit einem Sprungfeld oder einem nativen Clienttunnel.

  • VPNs und ExpressRoute bieten Hybridkonnektivität mit Ihrem privaten AKS-Cluster.

  • Wenn keine externe Konnektivitätslösung verfügbar ist, können Sie aks command invoke remote verwenden oder das Befehl-Ausführen-Feature des Portals nutzen.

  • Sie können Cloud Shell direkt in einem virtuellen Netzwerk bereitstellen, das Sie für den Zugriff auf den privaten Cluster verwalten.

  • Sie können Visual Studio Code mit SSH auf einem Sprungfeld verwenden, um die Verbindung zu verschlüsseln und die Manifestdateiänderung zu vereinfachen. Dieser Ansatz macht jedoch eine öffentliche IP-Adresse in Ihrer Umgebung verfügbar.

Contributors

Dieser Artikel wird von Microsoft gepflegt. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.

Hauptautoren:

Andere Mitwirkende:

Um nicht öffentliche LinkedIn-Profile zu sehen, melden Sie sich bei LinkedIn an.

Nächste Schritte

  • Last updated on