如何通过专用端点从Azure AKS群集连接Azure SQL服务器

Question

在我的Azure环境中，我有私有SQL Server。若要访问Server和数据库，请使用专用端点。在同一个虚拟网络中，当我从VM连接到SQL时，我没有问题。我在同一个虚拟网络中有AKS，我尝试从pod连接到数据库，但是Kubernetes DNS没有正确解析Server。DNS名称解析为外部IP，但私有SQL没有外部访问权限。

下面是Server如何从VM解析的示例：

nslookup *****************.database.windows.net
Server:     127.0.0.53
Address:    127.0.0.53#53

Non-authoritative answer:
*****************.database.windows.net  canonical name = *****************.privatelink.database.windows.net.
Name:   *****************.privatelink.database.windows.net
Address: 172.0.8.4

这是到专用端点的正确地址

以及它是如何从AKS集群中的pod中解析出来的：

kubectl exec -it dnsutils -- nslookup *****************.database.windows.net

Server:     10.0.0.10
Address:    10.0.0.10#53

Non-authoritative answer:
*****************.database.windows.net  canonical name = *****************.privatelink.database.windows.net.
*****************.privatelink.database.windows.net  canonical name = dataslice6.******.database.windows.net.
dataslice6.******.database.windows.net  canonical name = dataslice6*******.trafficmanager.net.
dataslice6*******.trafficmanager.net    canonical name = cr5.******-a.control.database.windows.net.
Name:   cr5.*******-a.control.database.windows.net
Address: 40.78.225.32

如何设置从AKS到的连接荚？

Answer 1

在 Azure DB服务器上使用AKS群集节点的一系列IP地址创建.

在Azure服务器上创建一个，允许从子网访问到AKS节点。这在群集子网上启用的Microsoft.Sql VNet服务终结点中使用。

如果Azure SQL数据库仅允许私有访问，则可以通过数据库使用跨区域私有端点，也可以在区域专用端点中使用Azure Global 。

为了从SQL连接到AKS，我们将在中使用。

有关detail的更多信息，请参见以下链接中的：

https://learn.microsoft.com/en-us/azure/aks/command-invoke

https://arsenvlad.medium.com/aks-workload-accessing-azure-sql-database-in-another-region-cb6fb30545e4

https://argonsys.com/microsoft-cloud/library/private-aks-and-acr-using-private-endpoint-part-1-2/

https://blog.crossplane.io/azure-secure-connectivity-for-aks-azure-db/

Answer 2

我猜您的SQL服务器的私有IP正在停靠桥的CIDR范围内，这是在您的AKS集群的网络菜单中找到的。如果它落在范围内，那么停靠者将不允许请求退出码头网络。