Il prodotto descritto da questa documentazione, GKE su Azure, è ora in modalità di manutenzione e verrà chiuso il 17 marzo 2027.

Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo di un proxy HTTP

Questo documento mostra come instradare il traffico da GKE su Azure tramite un proxy HTTP/HTTPS. Specifichi la configurazione del proxy quando crei un cluster.

Panoramica

GKE su Azure può instradare il traffico internet in uscita tramite un proxy per i seguenti motivi:

Per registrare i cluster con Google Cloud tramite Connect
Per eseguire l'agente Connect
Per scaricare immagini da Container Registry

Limitazioni

I campi httpProxy e httpsProxy non supportano gli URL che iniziano con https://. Devi utilizzare http://. Le richieste alla porta 443 utilizzano HTTPS.
Devi impostare i valori per httpProxy, httpsProxy e noProxy.
La configurazione proxy di un cluster, ovvero l'ID gruppo di risorse e l'ID secret, è immutabile. Devi creare un nuovo cluster e un nuovo pool di nodi per aggiornare questi valori.
Potresti dover aggiungere altri domini, IP o CIDR al campo noProxy. Ti consigliamo di aggiungere i CIDR delle subnet dei control plane del cluster (il CIDR dell'indirizzo del pod e il CIDR dell'indirizzo del servizio vengono aggiunti per impostazione predefinita).

Prerequisiti

Questa sezione descrive i prerequisiti che devi applicare prima di utilizzare un proxy.

Configurazione di Azure Key Vault

GKE su Azure archivia le informazioni di configurazione del proxy in Azure Key Vault. Per configurare un proxy con GKE su Azure, devi disporre delle autorizzazioni per creare un secret in un Key Vault. Il Key Vault deve essere accessibile dalla VNet del cluster.

Lista consentita proxy

Per consentire a GKE su Azure di connettersi ai servizi, il server proxy deve consentire il traffico verso domini Google e Microsoft specifici. Google Cloud

.azure.com
.gcr.io
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
oauth2.googleapis.com
securetoken.googleapis.com
storage.googleapis.com
sts.googleapis.com
www.googleapis.com
servicecontrol.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
GCP_LOCATION-gkemulticloud.googleapis.com

Sostituisci GCP_LOCATION con la regione Google Cloud in cui si trova il cluster. Specifica us-west1 o un'altra regione supportata.

Requisito del gruppo di sicurezza di rete della subnet

Se utilizzi i gruppi di sicurezza di rete (NSG) per gestire il traffico verso le tue subnet, le regole NSG devono consentire il traffico TCP in uscita verso le seguenti destinazioni:

AzureCloud: TCP, porte 80 e 443

Per saperne di più sull'utilizzo dei service tag con i gruppi di sicurezza di rete, consulta Service tag di Azure.

Crea un file di configurazione del proxy

La configurazione del proxy viene memorizzata in un secret di Azure Key Vault come stringa JSON. Puoi passare questa configurazione allo strumento a riga di comando az come file. Questa sezione descrive come creare il file.

La tabella seguente descrive i contenuti di questo file.

Campo	Descrizione	Esempi	Obbligatorio
`httpProxy`	Un URL del server proxy. Il valore deve includere un nome host/indirizzo IP e facoltativamente una porta, un nome utente e una password.	`"http://user:password@10.184.37.42:80"` `"10.184.37.42"`	Sì
`httpsProxy`	Un URL proxy per il traffico HTTPS criptato. L'URL httpProxy verrà utilizzato se httpsProxy ha un valore vuoto.	`"http://10.101.16.31:80"`	Sì
`noProxy`	Un elenco separato da virgole di URL da escludere dal proxy. Ogni valore può essere un indirizzo IP, un intervallo CIDR, un nome di dominio o il carattere asterisco (). I domini specificati con un punto iniziale (ad esempio, .google.com) indicano che è necessario un sottodominio. Un singolo asterisco ignora tutta la configurazione proxy.	`"1.2.3.4,10.0.0.0/16,example.com,.site.com"`	Sì

Per creare il file di configurazione, crea un file JSON che contenga i valori per le chiavi httpProxy, noProxy e httpsProxy facoltative.
```
{
  "httpProxy": "AUTHENTICATION_URL",
  "httpsProxy": "AUTHENTICATION_URL",
  "noProxy": "NO_PROXY_ADDRESSES"
}
```
Sostituisci quanto segue:
- AUTHENTICATION_URL: URL codificato contenente il nome utente e la password del proxy
- NO_PROXY_ADDRESSES: elenco separato da virgole di blocchi CIDR e URL, ad esempio 10.0.0.0/16,http://example.com
Salva il file per utilizzarlo nella sezione seguente.
Crea un secret con questi dati JSON come secret in Azure Key Vault utilizzando lo strumento a riga di comando az.
```
az keyvault secret set --name SECRET_NAME \
--vault-name KEY_VAULT_NAME \
--file PROXY_CONFIGURATION_FILE
```
Sostituisci quanto segue:
- SECRET_NAME: il nome del nuovo secret
- KEY_VAULT_NAME: il nome del tuo Key Vault
- PROXY_CONFIGURATION_FILE: il percorso del file di configurazione del proxy.
  
  L'output include il nome e i contenuti del secret. Ora puoi fare riferimento a questo secret quando crei un cluster.

Crea un cluster che utilizza un proxy

Per configurare GKE su Azure in modo che utilizzi un proxy HTTP per la connettività in uscita, segui questi passaggi:

Segui i passaggi descritti in Creare un cluster e un pool di nodi e passa i flag --proxy-resource-group-id e --proxy-secret-id.

gcloud container azure clusters create CLUSTER_NAME \
  --proxy-resource-group-id=PROXY_RESOURCE_GROUP_ID \
  --proxy-secret-id=PROXY_SECRET_ID
    ...

Sostituisci quanto segue:

CLUSTER_NAME: il nome del cluster
PROXY_RESOURCE_GROUP_ID: il gruppo di risorse che ospita il cluster
PROXY_SECRET_ID: l'ID del secret che contiene la configurazione proxy, ad esempio https://VAULT_NAME.vault.azure.net/secrets/SECRET_NAME/SECRET_VERSION

Passaggi successivi

Leggi ulteriori informazioni su come creare un cluster.