Menyambungkan ke node kluster Azure Kubernetes Service (AKS) untuk pemeliharaan atau pemecahan masalah
Sepanjang siklus hidup kluster Azure Kubernetes Service (AKS), Anda akhirnya perlu langsung mengakses simpul AKS. Akses ini bisa untuk operasi pemeliharaan, pengumpulan log, atau pemecahan masalah.
Anda mengakses simpul melalui autentikasi, metode mana yang bervariasi tergantung pada OS Node dan metode koneksi Anda. Anda mengautentikasi dengan aman terhadap simpul AKS Linux dan Windows melalui dua opsi yang dibahas dalam artikel ini. Salah satu mengharuskan Anda memiliki akses API Kubernetes, dan yang lainnya adalah melalui AKS ARM API, yang menyediakan informasi IP privat langsung. Untuk alasan keamanan, node AKS tidak terekspos ke internet. Sebagai gantinya, untuk terhubung langsung ke simpul AKS apa pun, Anda perlu menggunakan salah satu kubectl debug atau alamat IP privat host.
Mengakses simpul menggunakan API Kubernetes
Metode ini memerlukan penggunaan kubectl debug perintah.
Sebelum Anda mulai
Panduan ini menunjukkan kepada Anda cara membuat koneksi ke simpul AKS dan memperbarui kunci SSH kluster AKS Anda. Untuk mengikuti langkah-langkahnya, Anda perlu menggunakan Azure CLI yang mendukung versi 2.0.64 atau yang lebih baru. Jalankan az --version untuk memeriksa versi. Jika Anda perlu memasang atau meningkatkan, lihat Memasang Azure CLI.
Selesaikan langkah-langkah ini jika Anda tidak memiliki kunci SSH. Buat kunci SSH tergantung pada Gambar OS Node Anda, untuk macOS dan Linux, atau Windows. Pastikan Anda menyimpan pasangan kunci dalam format OpenSSH, hindari format yang tidak didukung seperti .ppk. Selanjutnya, lihat Mengelola konfigurasi SSH untuk menambahkan kunci ke kluster Anda.
Linux dan macOS
Pengguna Linux dan macOS dapat SSH untuk mengakses simpul mereka menggunakan kubectl debug atau Alamat IP privat mereka. Pengguna Windows harus melompat ke bagian Proksi Windows Server untuk solusi untuk SSH melalui proksi.
SSH menggunakan debug kubectl
Untuk membuat koneksi shell interaktif, gunakan kubectl debug perintah untuk menjalankan kontainer istimewa pada simpul Anda.
Untuk mencantumkan
kubectl get nodessimpul Anda, gunakan perintah :kubectl get nodes -o wideContoh output:
NAME STATUS ROLES AGE VERSION INTERNAL-IP EXTERNAL-IP OS-IMAGE aks-nodepool1-37663765-vmss000000 Ready agent 166m v1.25.6 10.224.0.33 <none> Ubuntu 22.04.2 LTS aks-nodepool1-37663765-vmss000001 Ready agent 166m v1.25.6 10.224.0.4 <none> Ubuntu 22.04.2 LTS aksnpwin000000 Ready agent 160m v1.25.6 10.224.0.62 <none> Windows Server 2022 Datacenterkubectl debugGunakan perintah untuk memulai kontainer istimewa pada simpul Anda dan sambungkan ke simpul tersebut.kubectl debug node/aks-nodepool1-37663765-vmss000000 -it --image=mcr.microsoft.com/cbl-mariner/busybox:2.0Contoh output:
Creating debugging pod node-debugger-aks-nodepool1-37663765-vmss000000-bkmmx with container debugger on node aks-nodepool1-37663765-vmss000000. If you don't see a command prompt, try pressing enter. root@aks-nodepool1-37663765-vmss000000:/#Anda sekarang memiliki akses ke simpul melalui kontainer istimewa sebagai pod debugging.
Catatan
Anda dapat berinteraksi dengan sesi simpul dengan menjalankannya
chroot /hostdari kontainer khusus.
Keluar dari mode debug kubectl
Setelah selesai dengan simpul, masukkan exit perintah untuk mengakhiri sesi shell interaktif. Setelah sesi kontainer interaktif ditutup, hapus pod debugging yang digunakan dengan kubectl delete pod.
kubectl delete pod node-debugger-aks-nodepool1-37663765-vmss000000-bkmmx
Koneksi proksi Windows Server untuk SSH
Ikuti langkah-langkah ini sebagai solusi untuk menyambungkan dengan SSH pada simpul Windows Server.
Membuat server proksi
Saat ini, Anda tidak dapat tersambung ke node Windows Server secara langsung menggunakan kubectl debug. Sebagai gantinya, Anda harus terlebih dahulu terhubung ke node lain di kluster dengan kubectl, lalu sambungkan ke simpul Windows Server dari simpul tersebut menggunakan SSH.
Untuk menyambungkan ke simpul lain di kluster, gunakan kubectl debug perintah . Untuk informasi selengkapnya, ikuti langkah-langkah di atas di bagian kubectl. Buat koneksi SSH ke simpul Windows Server dari simpul lain menggunakan kunci SSH yang disediakan saat Anda membuat kluster AKS dan alamat IP internal simpul Windows Server.
Penting
Langkah-langkah berikut untuk membuat koneksi SSH ke simpul Windows Server dari simpul lain hanya dapat digunakan jika Anda membuat kluster AKS menggunakan Azure CLI dengan --generate-ssh-keys parameter . Jika Anda ingin menggunakan kunci SSH Anda sendiri, Anda dapat menggunakan az aks update untuk mengelola kunci SSH pada kluster AKS yang ada. Untuk informasi selengkapnya, lihat mengelola akses simpul SSH.
Catatan
Jika simpul proksi Linux Anda tidak berfungsi atau tidak responsif, gunakan metode Azure Bastion untuk menyambungkan sebagai gantinya.
kubectl debugGunakan perintah untuk memulai kontainer istimewa pada simpul proksi (Linux) Anda dan sambungkan ke kontainer tersebut.kubectl debug node/aks-nodepool1-37663765-vmss000000 -it --image=mcr.microsoft.com/cbl-mariner/busybox:2.0Contoh output:
Creating debugging pod node-debugger-aks-nodepool1-37663765-vmss000000-bkmmx with container debugger on node aks-nodepool1-37663765-vmss000000. If you don't see a command prompt, try pressing enter. root@aks-nodepool1-37663765-vmss000000:/#Buka jendela terminal baru dan gunakan
kubectl get podsperintah untuk mendapatkan nama pod yang dimulai olehkubectl debug.kubectl get podsContoh output:
NAME READY STATUS RESTARTS AGE node-debugger-aks-nodepool1-37663765-vmss000000-bkmmx 1/1 Running 0 21sDalam output sampel, node-debugger-aks-nodepool1-37663765-vmss000000-bkmmx adalah nama pod yang dimulai oleh
kubectl debug.kubectl port-forwardGunakan perintah untuk membuka koneksi ke pod yang disebarkan:kubectl port-forward node-debugger-aks-nodepool1-37663765-vmss000000-bkmmx 2022:22Contoh output:
Forwarding from 127.0.0.1:2022 -> 22 Forwarding from [::1]:2022 -> 22Contoh sebelumnya mulai meneruskan lalu lintas jaringan dari port
2022pada komputer pengembangan Anda ke port22pada pod yang disebarkan. Saat menggunakankubectl port-forwarduntuk membuka sambungan dan meneruskan lalu lintas jaringan, sambungan tetap terbuka hingga Anda menghentikan perintahkubectl port-forward.Buka terminal baru dan jalankan perintah
kubectl get nodesuntuk menampilkan alamat IP internal simpul Windows Server:kubectl get no -o custom-columns=NAME:metadata.name,'INTERNAL_IP:status.addresses[?(@.type == \"InternalIP\")].address'Contoh output:
NAME INTERNAL_IP aks-nodepool1-19409214-vmss000003 10.224.0.8Dalam contoh sebelumnya, 10.224.0.62 adalah alamat IP internal simpul Windows Server.
Buat koneksi SSH ke simpul Windows Server menggunakan alamat IP internal, dan sambungkan ke port
22melalui port2022pada komputer pengembangan Anda. Nama pengguna default untuk simpul AKS adalah azureuser. Terima permintaan untuk melanjutkan koneksi. Anda kemudian diberikan perintah bash dari simpul Windows Server Anda:ssh -o 'ProxyCommand ssh -p 2022 -W %h:%p azureuser@127.0.0.1' azureuser@10.224.0.62Contoh output:
The authenticity of host '10.224.0.62 (10.224.0.62)' can't be established. ECDSA key fingerprint is SHA256:1234567890abcdefghijklmnopqrstuvwxyzABCDEFG. Are you sure you want to continue connecting (yes/no)? yesCatatan
Jika Anda lebih suka menggunakan autentikasi kata sandi, sertakan parameter
-o PreferredAuthentications=password. Misalnya:ssh -o 'ProxyCommand ssh -p 2022 -W %h:%p azureuser@127.0.0.1' -o PreferredAuthentications=password azureuser@10.224.0.62
Menggunakan Kontainer Proses Host untuk mengakses simpul Windows
Buat
hostprocess.yamldengan konten berikut dan gantiAKSWINDOWSNODENAMEdengan nama simpul AKS Windows.apiVersion: v1 kind: Pod metadata: labels: pod: hpc name: hpc spec: securityContext: windowsOptions: hostProcess: true runAsUserName: "NT AUTHORITY\\SYSTEM" hostNetwork: true containers: - name: hpc image: mcr.microsoft.com/windows/servercore:ltsc2022 # Use servercore:1809 for WS2019 command: - powershell.exe - -Command - "Start-Sleep 2147483" imagePullPolicy: IfNotPresent nodeSelector: kubernetes.io/os: windows kubernetes.io/hostname: AKSWINDOWSNODENAME tolerations: - effect: NoSchedule key: node.kubernetes.io/unschedulable operator: Exists - effect: NoSchedule key: node.kubernetes.io/network-unavailable operator: Exists - effect: NoExecute key: node.kubernetes.io/unreachable operator: ExistsJalankan
kubectl apply -f hostprocess.yamluntuk menyebarkan kontainer proses host Windows (HPC) di simpul Windows yang ditentukan.Gunakan
kubectl exec -it [HPC-POD-NAME] -- powershell.Anda dapat menjalankan perintah PowerShell apa pun di dalam kontainer HPC untuk mengakses simpul Windows.
Catatan
Anda perlu mengalihkan folder akar ke C:\ di dalam kontainer HPC untuk mengakses file di simpul Windows.
SSH menggunakan Azure Bastion untuk Windows
Jika simpul proksi Linux Anda tidak dapat dijangkau, menggunakan Azure Bastion sebagai proksi adalah alternatif. Metode ini mengharuskan Anda menyiapkan host Azure Bastion untuk jaringan virtual tempat kluster berada. Lihat Koneksi dengan Azure Bastion untuk detail selengkapnya.
SSH menggunakan IP privat dari API AKS (pratinjau)
Jika Anda tidak memiliki akses ke API Kubernetes, Anda bisa mendapatkan akses ke properti seperti Node IP dan Node Name melalui API kumpulan agen AKS (pratinjau), (tersedia pada versi 07-02-2023 pratinjau atau di atasnya) untuk terhubung ke simpul AKS.
Penting
Fitur pratinjau AKS tersedia berdasarkan layanan mandiri. Pratinjau disediakan "apa adanya" dan "sebagaimana tersedia," dan mereka dikecualikan dari perjanjian tingkat layanan dan garansi terbatas. Pratinjau AKS sebagian dicakup oleh dukungan pelanggan berdasarkan upaya terbaik. Dengan demikian, fitur-fitur ini tidak dimaksudkan untuk penggunaan produksi. Untuk informasi lebih lanjut, lihat artikel dukungan berikut ini:
Membuat koneksi shell interaktif ke simpul menggunakan alamat IP
Untuk kenyamanan, simpul AKS diekspos pada jaringan virtual kluster melalui alamat IP privat. Namun, Anda harus berada di jaringan virtual kluster untuk SSH ke dalam simpul. Jika Anda belum memiliki lingkungan yang dikonfigurasi, Anda dapat menggunakan Azure Bastion untuk membuat proksi tempat Anda dapat melakukan SSH ke node kluster. Pastikan Azure Bastion disebarkan di jaringan virtual yang sama dengan kluster.
Dapatkan IP privat menggunakan
az aks machine listperintah , yang menargetkan semua VM dalam kumpulan simpul tertentu dengan--nodepool-namebendera .az aks machine list --resource-group myResourceGroup --cluster-name myAKSCluster --nodepool-name nodepool1 -o tableContoh output berikut menunjukkan alamat IP internal semua simpul di kumpulan simpul:
Name Ip Family --------------------------------- ----------- ----------- aks-nodepool1-33555069-vmss000000 10.224.0.5 IPv4 aks-nodepool1-33555069-vmss000001 10.224.0.6 IPv4 aks-nodepool1-33555069-vmss000002 10.224.0.4 IPv4Untuk menargetkan simpul tertentu di dalam kumpulan simpul, gunakan
--machine-namebendera:az aks machine show --cluster-name myAKScluster --nodepool-name nodepool1 -g myResourceGroup --machine-name aks-nodepool1-33555069-vmss000000 -o tableContoh output berikut menunjukkan alamat IP internal dari semua simpul yang ditentukan:
Name Ip Family --------------------------------- ----------- ----------- aks-nodepool1-33555069-vmss000000 10.224.0.5 IPv4SSH ke simpul menggunakan alamat IP privat yang Anda peroleh di langkah sebelumnya. Langkah ini hanya berlaku untuk komputer Linux. Untuk komputer Windows, lihat Koneksi dengan Azure Bastion.
ssh -i /path/to/private_key.pem azureuser@10.224.0.33
Langkah berikutnya
Jika membutuhkan lebih banyak data pemecahan masalah, Anda dapat melihat log kubelet atau melihat log sarana kontrol Kube.
Untuk mempelajari tentang mengelola kunci SSH Anda, lihat Mengelola konfigurasi SSH.