/tags/azure/ azure Source Themes Academic (https://sourcethemes.com/academic/)zhWed, 25 Jul 2018 09:13:35 +0800 /img/logo-wide.png /tags/azure/ /post/azure-lb/ Wed, 25 Jul 2018 09:13:35 +0800 /post/azure-lb/ <p>使用 <a href="https://github.com/Azure/acs-engine" target="_blank">ACS Engine</a> 在 Azure 上安装好了 Kubernetes 之后，就可以使用 Loadbalancer 类型的服务了。测试条件下，一般会使用不同域名通过同一个 Ingress Controller 访问不同服务的方式。</p> <p>例如我们创建一个 Nginx Ingress Controller，服务启动之后会看到大概这样的信息：</p> <pre><code class="language-shell">$ kubectl describe svc ingress-nginx Name: ingress-nginx Namespace: ingress-nginx ... Type: LoadBalancer IP: 10.0.22.78 LoadBalancer Ingress: 104.216.145.198 ... </code></pre> <p>接下来可以使用 <a href="https://docs.microsoft.com/en-us/cli/azure/install-azure-cli?view=azure-cli-latest" target="_blank">az</a> 命令查询我们 Azure 中已经生效的外部 IP 所对应的记录内容：</p> <pre><code class="language-shell">az network public-ip list \ --query &quot;[?ipAddress=='104.216.145.198']&quot; </code></pre> <p>会得到一条 JSON 记录：</p> <pre><code class="language-json">{ &quot;dnsSettings&quot;: { &quot;domainNameLabel&quot;: &quot;k8s-5b&quot;, &quot;fqdn&quot;: &quot;k8s-5b.cloudapp.azure.com&quot;, &quot;reverseFqdn&quot;: null }, ... &quot;name&quot;: &quot;...&quot;, &quot;idleTimeoutInMinutes&quot;: 4, &quot;ipAddress&quot;: &quot;104.216.145.198&quot;, &quot;ipConfiguration&quot;: { ... </code></pre> <p>接下来，我们可以给这个 Ip 设置一个 AZURE 的内部域名，同样使用 <code>az</code> 客户端：</p> <pre><code class="language-shell">az network public-ip update --name=k8s-master-ip-k8s-5b55d212-28708154 \ --set dnsSettings.domainN ameLabel='awesome-name-fcsaqz87d' \ --resource-group=k8s </code></pre> <p>命令执行后，会返回一长串的描述信息，跟上述的 List 结果类似，节选我们的变更部分：</p> <pre><code class="language-json">&quot;dnsSettings&quot;: { &quot;domainNameLabel&quot;: &quot;awesome-name-fcsaqz87d&quot;, &quot;fqdn&quot;: &quot;awesome-name-fcsaqz87d.southeastasia.cloudapp.azure.com&quot;, &quot;reverseFqdn&quot;: null }, </code></pre> <p>这里可以看到，这个外部 IP 有了一个域名，接下来，我们可以在我们的域名提供商控制台上，为域名设置 CNAME 记录，指到这个 <code>fqdn</code> 上，然后可以用 nslookup 上进行验证，例如：</p> <pre><code class="language-shell">nslookup prom.abc.xyz canonical name = awesome-name-fcsaqz87d.southeastasia.cloudapp.azure.com. Name: awesome-name-fcsaqz87d.southeastasia.cloudapp.azure.com </code></pre> <p>就可以用外部域名来访问我们 Kubernetes 上的 Ingress 资源了。</p> <p>更进一步的，可以将泛域名设置到这一 IP 上，同时使用 <a href="https://letsencrypt.org/" target="_blank">Let&rsquo;s Encrypt</a> 的泛域名证书来完成对服务的 HTTPS 加固过程。</p> /post/istion-on-azure-k8s/ Fri, 02 Feb 2018 23:04:20 +0800 /post/istion-on-azure-k8s/ <ul> <li>ACS Engine: v0.12.4</li> <li>Istio: v0.5.0</li> <li>Kubernetes: v1.8.7</li> </ul> <p>在 Istio 注入之后，生成的 Init 容器中会有 RunAs 的 SecurityContext，而 ACS Engine 的缺省 admission 包含了<code>SecurityContextDeny</code>，会拒绝这一选项，造成 Istio Workload 无法运行，</p> <p>解决方法很简单，只要在定义文件中修改 api server 配置：</p> <pre><code class="language-json">&quot;properties&quot;: { &quot;orchestratorProfile&quot;: { &quot;kubernetesConfig&quot;: { &quot;apiServerConfig&quot;: { &quot;--request-timeout&quot;: &quot;30s&quot;, &quot;--admission-control&quot;: &quot;NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota,DenyEscalatingExec,AlwaysPullImages&quot; } </code></pre>