Интеграция APIM и AKS

#azure-api-management #azure-aks #vnet #azure-nsg

#azure-api-management #azure-aks #виртуальная сеть #azure-nsg

Вопрос:

Я пытаюсь интегрировать APIM (внешний) в виртуальную сеть, в которой работает AKS. прямо сейчас я создал подсеть CIDR / 29, где есть подсеть AKS, и назначил ее APIM, но APIM продолжают жаловаться, что порт 3443 заблокирован. Я специально добавил правило, разрешающее 3443, как указано в шагах по устранению неполадок https://learn.microsoft.com/en-us/azure/api-management/api-management-using-with-vnet#-common-network-configuration-issues к NSG, назначенному подсети, но все равно он выдает ошибку? может кто-нибудь помочь мне в дальнейшем устранении неполадок?

Правило NSG для подсети -> Входящие

 > priority- 102, Name - Port_3443, port - 3443, protocol - TCP, Source -
> ApiManagement, Destination - VirtualNetwork, Action - Allow

Обновить:
Я удалил NSG из подсети, в которой находится APIM, по-прежнему показывая ту же проблему

1. Вы открыли 80/443 исходящих в подсеть AKS и, в частности, открыли входящие, поступающие из подсети APIM?

2. на самом деле у меня нет NSG, назначенного подсети APIM, что означает, что она широко открыта, верно?. Мне интересно, есть ли что-нибудь, что я могу проверить с точки зрения виртуальной сети. помимо этого у меня нет возможности устранить неполадки.

Ответ №1:

Из документа вам необходимо развернуть экземпляр APIM в выделенной подсети, которая не содержит других ресурсов.

При развертывании экземпляра Azure API Management в виртуальной сети Resource Manager служба должна находиться в выделенной подсети, которая не содержит других ресурсов, кроме экземпляров Azure API Management. Если предпринята попытка развернуть экземпляр Azure API Management в подсети виртуальной сети Resource Manager, которая содержит другие ресурсы, развертывание завершится неудачно.

Вы можете развернуть AKS в другой подсети в той виртуальной сети, в которой существует экземпляр APIM. Если NSG не назначен, это означает, что он широко открыт для этой виртуальной сети или из нее.

Дополнительные ссылки можно получить на https://blog.baeke.info/2019/06/10/azure-api-management-and-azure-kubernetes-service /

1. Да, у меня есть выделенная подсеть для экземпляра APIM без правил NSG. тем не менее я получаю сообщение об ошибке.

2. Вы имеете в виду выделенную подсеть без правил или без присвоенного NSG? Если вы установили NSG, вам следует добавить правила для порта 3443. Существуют ли какие-либо правила NSG, назначенные подсети AKS?

3. Да, это то, что сбивает с толку. у нас есть несколько подсетей в одной виртуальной сети. Я создал одну подсеть, выделенную для APIM, и есть другая подсеть для AKS, для которой назначен NSG, но нет правил, разрешающих порт 3443. Насколько я понимаю из документации, нам нужно добавлять порты только в подсеть APIM, если есть NSG, верно? или нам нужно открыть порт во всех подсетях, принадлежащих виртуальной сети, когда APIM является частью?

4. То, что вы поняли, правильно. При наличии NSG порты необходимо добавлять только в подсеть APIM. Однако это зависит от другого сценария, вам нужно добавить разные порты. Не могли бы вы показать конкретное сообщение об ошибке, а также когда и как оно будет отображаться?