问题标签 [azure-aks]

在将 Istio 安装到集群后，是否有其他人遇到过严重的网络问题？我们看到（其他服务的）helm 部署挂起和失败，并且 kube 仪表板运行非常缓慢。Kubectl 命令仍然很快（通过 -v=6 不到 200 毫秒）。

这是在将 vanilla Istio 0.8 安装到新的 AKS（启用 RBAC）之后，尝试了不同的区域（东部/西部/美国中部），它们都出现了相同的问题。

它目前对我们无法使用，但也许我只是遗漏了一些东西，我还没有找到任何关于同一问题的票？我相信这开始发生在大约一周前（6 月 27 日），也就是微软对其 AKS 集群进行一些更改的时候，但我们同时开始使用 RBAC，因此它可以是两者的任意组合。

基本上我有一个设置

• azure 中的 Hub-Spoke 订阅和 vnet 拓扑。
• 内部用户和开发人员访问的 AAD 和外部用户的 b2c。
• AAD 和 Keyvault 在 HUB 订阅/VNET 中。
• 在 Azure AKS 群集中部署的 API 位于分支订阅中。
• 还有 API 管理位于与 AKS/API 相同的订阅和 VNET 中的 API 前面，因此在 Spoke 订阅中

鉴于上述设置，我有这些问题

1. 是否所有 API、API 管理、Keyvault 和 Azure AD 都需要绑定到同一个订阅，或者我可以在我的中心订阅中拥有 Keyvault，而在不同订阅中拥有其他服务。
2. 我们是否将每个 API 注册为与 KEYVAULT 相同的 AAD 中的应用程序，或者我们可以只注册 API 管理并使用 API 管理来获取机密。
3. 我们是否可以使用托管服务标识，即使组件在不同的订阅中但在同一个 Azure AD 中注册

我有一个由微服务组成的应用程序，这些微服务是 dockerized 并部署在西欧的 Azure kubernetes 服务上。

为了访问应用程序，创建了一个 nginx 入口控制器，并将公共端点映射到自定义域。例如，公共 ip xxxx 映射到 Azure DNS 中的域 testwebsite.com。Ingress 负责到微服务的路由。

如何将此设置转换为多个区域并仍使用相同的 DNS 名称？

在配置的 AKS 上有一个带有使用 AAD 身份验证的应用程序的 docker 容器。

基于这篇文章，还有配置入口。API 运行良好。

当我添加到带有 https 前缀的 Azure Active Directory 应用程序注册回复 URL 时，我收到错误“请求中指定的回复 url 与为应用程序配置的回复 url 不匹配”。我看到在浏览器地址行中，redirect_uri 以 http 开头。

当我添加以 http 开头的回复 URL 时，我收到“异常：关联失败”。

我尝试过的：添加到 ingress.yaml 设置 ingress.kubernetes.io/force-ssl-redirect: "true"

可能有一些方法可以强制入口运行 https 而不是 http，或者可能有一些 AAD 重定向配置？有任何想法吗？

更新 2：http 重定向可能是因为 ADAL。

PS：能够在没有答案的情况下找到类似的主题

UPDATE3：我决定不使用 nginx 作为入口。相反，我现在正在使用负载均衡器。很快就可以使用 Azure 应用程序网关入口控制器

Azure Kubernetes 服务中的机器是否共享相同的 NTP 服务器并因此保持相同的时间？我正在寻找第二个或更好的精度（毫秒等）

这是关于 AKS，但我知道他们也有其他 Kubernetes 产品。

我使用 VS2017 开发了支持 Docker 的 .net 核心 Web 和 API 应用程序。并按照以下链接通过 VS 2017 为 Web 和 API 应用程序配置应用程序洞察力。

适用于 ASP.NET Core 的应用程序洞察力

在 Application Insights 中监控 Docker 应用程序

微软/应用洞察

我将上述容器部署到 azure kubernetes 中，然后在浏览器中浏览这些容器 URL，但我无法在应用程序洞察仪表板上的 Docker Tile 中看到与这些图像和容器相关的数据。

如何解决这个问题？

我正在尝试使用以下链接连接到内部负载均衡器： https ://docs.microsoft.com/en-us/azure/aks/internal-lb

我在收到的错误消息中看到一个不存在的用户：

当我在我的 azure 订阅中搜索此用户时，我没有找到它。任何帮助将不胜感激

下面是我的清单文件

我通过启用 systemd 服务在 centOS 上创建了一个 docker 映像并构建了我的映像。我创建了 docker-compose.yml 文件和 docker-compose up -d 并构建了图像，我可以在 localhost:8080/my/app 上访问我的应用程序。

我正在使用本教程 - https://carlos.mendible.com/2017/12/01/deploy-your-first-service-to-azure-container-services-aks/。

因此，在完成 docker 映像后，我将映像部署到 Azure 容器注册表，然后创建了 Azure 容器服务（AKS 集群）。然后将相同的工作 docker 映像部署到 AKS 群集，当我尝试访问负载均衡器公共 IP 时，我得到 404 页面未找到。我进入 kubernetes 机器并尝试 curl localhost:8080/my/app，仍然是 404。

我看到我的服务在 Kubernetes pod 内启动并运行，没有任何问题，并且配置与我的 docker 容器几乎相同。

这是我的 Dockerfile：

这是我的 Docker-Compose.yml

这是我的 Kubectl yml 文件。

我使用了这些命令 -

我错过了什么吗？

我们有一个在 Ubuntu VM 上运行的应用程序。此应用程序连接到 Azure Redis、Azure Postgres 和 Azure CosmosDB(mongoDB) 服务。

我目前正在将此应用程序移动到 Azure AKS，并打算从群集访问所有上述服务。服务将继续在外部，不会驻留在集群内。

我试图了解如何配置服务和 aks 的网络/防火墙，以便集群内的 pod 可以访问上述服务或任何 Azure 服务。

我尝试了以下方法：

• 创建了一个包含所有服务的连接参数（公共 ip/地址、用户名/密码、端口等）的 configMap，并在部署资源中使用了这个 configMap。
• 将所有服务的连接参数硬编码为容器映像中的环境变量
• 在服务的防火墙/入站规则中，我添加了 AKS API ip，单个节点 ips

以上都没有奏效。我错过了什么吗？还应该配置什么？

我在 minikube 上本地测试了设置，所有服务都在我的本地机器上运行，并且运行良好。

我最近注册了 Azure Kubernetes 的免费计划。我的问题与在 Azure Kubernetes 服务 (AKS) 上使用基于入口主机的 http 应用程序路由配置 CORS 有关。我试图找到一个 Azure Kubernetes 服务 (AKS) 论坛。这是与我的问题最近的论坛。

我已经为我的集群启用了 http_application_routing 插件。我最初遵循 http 应用程序路由的文档。这成功地为我的每个入口主机端点创建了 DNS 区域条目。但是，我希望在入口主机端点之间配置 CORS 访问。首先，我添加了下面的注释，并将 kubernetes.io/ingress.class 注释设置为 addon-http-application-routing。

但是，我无法再访问入口端点，也没有创建 DNS 区域条目。随后，我将 nginx 入口控制器安装到集群上，并将 kubernetes.io/ingress.class 注解设置为 nginx。然后，我将 kubernetes DNS 区域配置为具有 nginx 入口端点的 A 和 TXT 记录（参见下面的清单），以反映 http 应用程序路由附加的行为。但是，这些只持续了很短的时间，然后就自动从 Kubernetes 集群 DNS 区域中删除了。

谁能指导我获取以下资源：

1. 使用入口类 addon-http-application-routing 时为入口控制器配置 CORS

或者

2. 为每个 nginx 入口主机端点正确配置 DNS 区域，以便不会自动删除添加的记录集。

亲切的问候

dcs3spp

编辑 1：更多信息

通过进一步阅读，我了解到 HTTP 应用程序路由附加使用 ExternalDNS + Nginx 入口控制器。这可以解释为什么我添加到区域中用于我自己的 Nginx 入口控制器的任何记录都被删除了。ExternalDNS 从区域中删除不是由它创建的记录。

我已经成功地遵循了一个主机条目的示例。

经过进一步研究，当从入口规则 yaml 文件中删除 CORS 注释时，所有记录都被添加到 DNS 区域。

我创建了一个gitlab项目，其中包含两个 yaml 规则文件。一个带有 CORS 注释，一个没有。

今天，我将 Azure Kubernetes 集群位置从westEurope 切换到了uksouth，它最近才可用。

第一次部署时，13 分钟后，DNS 区域中没有创建任何记录。删除入口规则部署，然后使用 CORS 注释重新应用后，所有主机的记录都在 DNS 区域中创建。也许， ExternalDNS配置 CORS需要时间，而与我在英国的位置相比， westEurope的位置要慢一些？不知道为什么在第一次部署后 13 分钟后没有创建 DNS 区域条目......将继续监控......