个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我最近开始使用 azure 开发 terraform。作为其中的一部分,我尽可能多地浏览了文档来创建资源。在此我尝试创建 AKS 集群。我能够创建成功。但我有一些担忧(我觉得有错误,如果我错了请纠正)。
目前在 AKS 集群配置期间,aks-engine 将自动创建路由表和网络安全。我在 terraform 文档中没有看到任何阻止这些问题的选项。因为我想使用现有的路由表和 NSG,因为我位于公司网络下。预期行为:ASK 应选择现有路由表和 NSG,而不是创建新资源。这是我的代码片段。请帮助我。
provider "azurerm" {
version = "~> 2.15"
features {}
}
resource "azurerm_resource_group" "aks" {
name = var.resource_group
location = var.location
}
#fetch existing subnet
data "azurerm_subnet" "aks" {
name = var.subnetname
virtual_network_name = var.virtual_network_name
resource_group_name = var.vnet_resource_group
}
resource "azurerm_subnet_network_security_group_association" "aks" {
subnet_id = data.azurerm_subnet.aks.id
network_security_group_id = var.network_security_group
}
resource "azurerm_route_table" "aks"{
name = var.subnetname
resource_group_name = azurerm_resource_group.aks.name
location = azurerm_resource_group.aks.location
disable_bgp_route_propagation = false
route{
name = var.route_name
address_prefix = var.route_address_prefix
next_hop_type = var.route_next_hop_type
}
}
resource "azurerm_subnet_route_table_association" "aks" {
subnet_id = data.azurerm_subnet.aks.id
route_table_id = azurerm_route_table.aks.id
}
resource "azurerm_kubernetes_cluster" "aks" {
name = azurerm_resource_group.aks.name
resource_group_name = azurerm_resource_group.aks.name
location = azurerm_resource_group.aks.location
dns_prefix = "akstfpoc" #The dns_prefix must contain between 3 and 45 characters, and can contain only letters, numbers, and hyphens. It must start with a letter and must end with a letter or a number.
kubernetes_version = "1.15.10"
private_cluster_enabled = false
node_resource_group = var.node_resource_group
api_server_authorized_ip_ranges = [] #var.api_server_authorized_ip_ranges
default_node_pool {
enable_node_public_ip = false
name = "agentpool"
node_count = var.node_count
orchestrator_version = "1.15.10"
vm_size = var.vm_size
os_disk_size_gb = var.os_disk_size_gb
vnet_subnet_id = data.azurerm_subnet.aks.id
}
linux_profile {
admin_username = var.admin_username
ssh_key {
key_data = var.ssh_key
}
}
service_principal {
client_id = var.client_id
client_secret = var.client_secret
}
role_based_access_control {
enabled = true
}
network_profile {
network_plugin = "kubenet"
#dns_service_ip = "172.17.1.10"
#service_cidr = "172.16.0.0/14"
pod_cidr = "172.40.0.0/16"
network_policy = "calico"
outbound_type = "loadBalancer"
load_balancer_sku = "Standard"
# load_balancer_profile {
# managed_outbound_ip_count = []
# outbound_ip_address_ids = []
# outbound_ip_prefix_ids = [""]
# }
}
addon_profile {
aci_connector_linux {
enabled = false
}
azure_policy {
enabled = false
}
http_application_routing {
enabled = false
}
kube_dashboard {
enabled = false
}
oms_agent {
enabled = false
}
}
}
最佳答案
要使用私有(private)子网,您应该使用
network_plugin = “azure ”
这将允许您将 AKS 集群绑定(bind)到预先存在的子网,您将完全控制路由表和 NSG(您可以预先创建它们并使用 Terraform 将它们与您的子网关联)
查看有关如何使用 azure-cli 的文档
https://learn.microsoft.com/en-us/azure/aks/configure-azure-cni
对于 Terraform,您需要设置
default_agent_pool 上的 vnet_subnet_id:https://www.terraform.io/docs/providers/azurerm/r/kubernetes_cluster.html#vnet_subnet_id
https://www.terraform.io/docs/providers/azurerm/r/kubernetes_cluster.html#network_profile
关于azure - AKS 群集创建额外的路由表、额外的 NSG 并且不使用现有的自定义路由表和 NSG,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62566202/
25
4
0
我最近开始使用 azure 开发 terraform。作为其中的一部分,我尽可能多地浏览了文档来创建资源。在此我尝试创建 AKS 集群。我能够创建成功。但我有一些担忧(我觉得有错误,如果我错了请纠正)
我正在尝试编写一个脚本来自动为我们的生产 NSG 创建 NSG 规则。我很确定我有一些接近工作的东西,但我遇到的问题是 Get-AZNetworkSecurityGroup 命令返回一个字符串,因此我
出于安全目的,是否可以将 NSG 启用到云服务?我尝试创建一个 Vnet,但无法将 NSG 添加到我创建的 vnet,不确定是否可以这样做。 最佳答案 您无法将 NSG 分配给云服务。云服务是 Azu
我正在将现有的 Azure 经典 VM 迁移到基于资源管理器的新 VM,希望得到一些建议。 新架构将具有 负载均衡器绑定(bind)到公共(public) IP 1 个虚拟网络 1 个网络安全组 1
我正在致力于备份 Azure Stack 的 Azure 网络安全。 我已经使用了 Azure Powershell,并且使用该模块我可以导出 CSV 中的现有配置,并使用导出的 CSV 重新部署内容
我在创建 VNET/子网时遇到一些困难。我也在使用 ASE,为此我只能使用经典 VNET。 Azure 提供两种类型的 VNET。根据创建方式(通过 Azure 门户、xplat-cli、旧门户、po
我的要求很简单。我需要将 NSG 关联到包含我的应用程序网关的子网。 一旦将 NSG 关联到此子网,我就会收到连接超时错误。 根据 Microsoft 文档,我添加了端口范围 65503-65534
我在创建 VNET/子网时遇到一些困难。我也在使用 ASE,为此我只能使用经典 VNET。 Azure 提供两种类型的 VNET。根据创建方式(通过 Azure 门户、xplat-cli、旧门户、po
我的要求很简单。我需要将 NSG 关联到包含我的应用程序网关的子网。 一旦将 NSG 关联到此子网,我就会收到连接超时错误。 根据 Microsoft 文档,我添加了端口范围 65503-65534
我有一个关于云中客户服务器的网络问题。 我们仅使用标准 2012R2 虚拟机,其中通过 NSG 防火墙设置了一些端点,并且我们在网络前端有一个 LoadBalancer,其中一些端口转发到同一 VPC
正在处理自定义策略强制子网和 nsg 关联的项目。如果子网没有与其关联的 NSG,则无法配置。 使用 terraform 部署资源 - 资源组、VNET、NSG,在创建子网之前,我创建了与子网关联的
我现在使用 Azure NSG 仅允许受信任的 IP 访问我自己的 VNET 中的 Azure IaaS VM 上托管的后端服务。 我的问题是,IP白名单策略足够安全吗?我想知道黑客是否有可能将源IP
我终于正确设置了一个 azure 的 sftp 容器实例,但在为其配置安全性时遇到了困难(很像 here )。 我的基本流程是这样的: Azure 上的 PIP -> -> 使用 PIP 的负载均衡器
尝试创建策略以启用现有 NSG 的 NSG 流日志(如果处于禁用状态)。完成任务的任何建议或引用。提前致谢。 最佳答案 现在可以通过 Azure Policy 运行 { "mode": "All"
我正在向 NSG 添加一条安全规则,允许访问端口 4239,1128,1129。通过 Azure 门户,它可以工作。通过 Powershell,它拒绝。 我使用以下代码来获取 NSG、添加安全规则并更
尝试创建策略以启用现有 NSG 的 NSG 流日志(如果处于禁用状态)。完成任务的任何建议或引用。提前致谢。 最佳答案 现在可以通过 Azure Policy 运行 { "mode": "All"
我正在向 NSG 添加一条安全规则,允许访问端口 4239,1128,1129。通过 Azure 门户,它可以工作。通过 Powershell,它拒绝。 我使用以下代码来获取 NSG、添加安全规则并更
我想为我的 NSG 出站部分创建一组规则,以仅允许连接到 Azure 服务。有 article了解如何使用 PowerShell 实现此目的,但我将 Linux 与 Azure CLI 结合使用。 除
问题描述 对Azure上的虚拟机资源,需要进行安全管理。只有指定的IP地址才能够通过RDP/SSH远程到虚拟机上, 有如下几点考虑: 1) 使用Azure Policy服务,扫描订阅中全部的网络安
我正在使用 ARM 模板创建新的 NSG,并更新同一 ARM 模板中的子网。我希望能够通过“引用”获取子网地址前缀,但这样做时我总是检测到循环依赖关系。有什么办法解决吗?我的子网臂模板部分如下所示:
我是一名优秀的程序员,十分优秀!