Azure предоставляет два варианта для модулей, работающих на рабочих узлах AKS, для доступа к инстансу MySQL или PostgreSQL БД:
Создать правило брандмауэра на Azure Сервер БД с диапазоном IP-адресов, который охватывает все IP-адреса узлов кластера AKS (это может быть очень большой диапазон при использовании автоматического масштабирования узла).
Создайте VNet Правило на сервере БД Azure, который разрешает доступ с su bnet, в котором находятся узлы AKS. Это используется вместе с Microsoft. Sql VNet Конечная точка службы включена в кластере su bnet.
VNet Правила рекомендуются и предпочтительнее в этой ситуации по нескольким причинам. Узлы часто конфигурируются с динамическими c IP-адресами, которые могут изменяться при перезапуске узла, что приводит к нарушению правил брандмауэра, которые ссылаются на указанные c IP-адреса. Узлы могут быть добавлены в кластер, что потребует обновления правила брандмауэра для добавления дополнительных IP-адресов. VNet Правила позволяют избежать этих проблем, предоставляя доступ ко всему su bnet узлов AKS.
Действия вручную
Настройка безопасной сетевой среды для AKS и Azure DB требует следующее:
- Настройка кластера AKS
ResourceGroup:
логическая группировка ресурсов, необходимых для всех ресурсов.
VNet:
создает виртуальную сеть для узлов кластера AKS.
Subnet
имеет диапазон частных IP-адресов для узлов кластера AKS. Создайте кластер AKS, используя указанные выше ресурсы.
Настроить управляемый доступ к службам
VNet Service Endpoint:
обновить кластер su bnet выше, добавив конечную точку службы для Microsoft.Sql
, чтобы обеспечить подключение для нового ресурса службы Azure БД.
Предоставление управляемых услуг с частными IP-адресами в сети кластера
Управление предоставлением Azure Экземпляры сервисов БД: PostgreSQL, MySQL. VNet Rule
для каждого экземпляра управляемой службы, чтобы разрешить трафик c со всех узлов кластера su bnet на заданный Azure экземпляр службы БД (PostgreSQL, MySQL).