注意
Kubernetes SIG Network和安全响应委员会宣布即将停用Ingress NGINX项目, 维护将于2026年3月结束。 目前,使用 NGINX 的应用程序路由加载项的 AKS 群集无需立即执行任何操作。 Microsoft将为应用程序路由加载项的NGINX Ingress资源的重要安全补丁提供正式支持,支持截止至2026年11月。
AKS 正在迁移到
- 应用程序路由扩展用户:生产工作负荷在 2026 年 11 月之前仍受全面支持。 迁移到 应用程序路由网关 API 实现,以获得基于网关 API 的入口流量管理体验。
-
OSS NGINX 用户 有多个选项:
- 迁移到 使用 NGINX 的应用程序路由加载项 ,在规划长期网关 API 迁移的同时,从官方支持(截至2026年11月)中受益。
- 迁移到 应用程序路由网关 API 实现,以获得基于网关 API 的入口流量管理体验。
- 服务网格用户:如果计划采用服务网格,请考虑 基于 Istio 的服务网格加载项。 今天使用 Istio 入口,计划在正式发布为 GA 时迁移到 Istio 网关 API 支持。
本文介绍如何将 NGINX 入口控制器配置为使用Azure内部负载均衡器。 它还介绍如何配置专用Azure DNS区域,以便为专用终结点启用 DNS 解析以解析特定域。
开始之前
具有应用程序路由附加产品的 AKS 群集。
若要附加 Azure 专用 DNS 区域,需要在 Azure 订阅上具有 Owner、Azure 帐户管理员或Azure 共同管理员角色。
连接到 AKS 群集
若要从本地计算机连接到 Kubernetes 群集,请使用 Kubernetes 命令行客户端 kubectl。 可以使用 az aks install-cli 命令在本地安装它。
以下示例使用命令在test-rg中配置连接到名为az aks get-credentials的群集。
az aks get-credentials \
--resource-group test-rg \
--name aks-cluster
创建虚拟网络
若要将私有 DNS 区域发布到您的虚拟网络,请指定一个虚拟网络列表,这些网络通过 虚拟网络链接 被允许解析该区域中的记录。
以下示例在test-rg资源组中创建名为vnet-1的虚拟网络,以及在该虚拟网络内创建一个具有特定地址前缀的名为subnet-1的子网。
az network vnet create \
--name vnet-1 \
--resource-group test-rg \
--location chinanorth3 \
--address-prefix 10.2.0.0/16 \
--subnet-name subnet-1 \
--subnet-prefixes 10.2.0.0/24
创建Azure专用 DNS 区域
注意事项
可以将应用程序路由加载项配置为为入口资源上定义的主机自动在一个或多个Azure全局和专用 DNS 区域上创建记录。 所有全局Azure DNS区域和所有专用Azure DNS区域必须位于同一资源组中。
使用 az network private-dns zone create 命令创建 DNS 区域,指定要在其中创建该区域的名称和资源组。 以下示例将在 test-rg 资源组中创建名为 private.contoso.com 的 DNS 区域。
az network private-dns zone create \
--resource-group test-rg \
--name private.contoso.com
您可以使用 az network private-dns link vnet create 命令创建一个指向之前创建的 DNS 区域的虚拟网络链接。 以下示例为虚拟网络 vnet-1 创建一个链接,链接名为 dns-link,指向区域 private.contoso.com。 要包括 --registration-enabled 参数以明确指定该链接未启用注册功能。
az network private-dns link vnet create \
--resource-group test-rg \
--name dns-link \
--zone-name private.contoso.com \
--virtual-network vnet-1 \
--registration-enabled false
Azure DNS专用区域自动注册功能管理虚拟网络中部署的虚拟机的 DNS 记录。 将虚拟网络与启用了此设置的专用 DNS 区域链接时,将为部署在虚拟网络中的 AKS 节点的每个Azure虚拟机创建 DNS 记录。
将Azure专用 DNS 区域附加到应用程序路由加载项
注意事项
az aks approuting zone add 命令使用运行命令的用户的权限来创建 Azure DNS Zone 角色分配。
专用 DNS 区域贡献者角色是一个用于管理专用 DNS 资源的内置角色,并分配给附加组件的托管身份。 有关 AKS 托管标识的详细信息,请参阅托管标识摘要。
使用
az network dns zone show命令检索 DNS 区域的资源 ID,并将输出设置为名为ZONEID的变量。 以下示例将查询资源组 test-rg 中的区域 private.contoso.com。ZONEID=$(az network private-dns zone show \ --resource-group test-rg \ --name private.contoso.com \ --query "id" \ --output tsv)更新加载项以使用
az aks approuting zone命令启用与Azure DNS的集成。 可以传递以逗号分隔的 DNS 区域资源 ID 列表。 以下示例将更新资源组 test-rg 中的 AKS 群集 aks-cluster。az aks approuting zone add \ --resource-group test-rg \ --name aks-cluster \ --ids=${ZONEID} \ --attach-zones
创建具有专用 IP 地址和内部负载均衡器的 NGINX 入口控制器
应用路由插件使用名为自定义资源定义(CRD)的 KubernetesNginxIngressController来配置 NGINX 入口控制器。 你可以创建更多入口控制器或修改现有配置。
NginxIngressController CRD 具有一个 loadBalancerAnnotations 字段,通过设置负载均衡器注释来控制 NGINX 入口控制器服务的行为。 有关负载均衡器注解的详细信息,请参阅 通过 Kubernetes 注解进行定制。
执行以下步骤创建一个带有专用 IP 地址并面向内部的 Azure 负载均衡器的 NGINX Ingress 控制器。
将以下 YAML 清单复制到名为 nginx-internal-controller.yaml 的新文件中,并将该文件保存到本地计算机。
apiVersion: approuting.kubernetes.azure.com/v1alpha1 kind: NginxIngressController metadata: name: nginx-internal spec: ingressClassName: nginx-internal controllerNamePrefix: nginx-internal loadBalancerAnnotations: service.beta.kubernetes.io/azure-load-balancer-internal: "true"使用
kubectl apply命令创建 NGINX 入口控制器资源。kubectl apply -f nginx-internal-controller.yaml以下示例输出显示了已创建的资源:
nginxingresscontroller.approuting.kubernetes.azure.com/nginx-internal created验证是否已创建入口控制器
可以使用
kubectl get nginxingresscontroller命令验证 NGINX 入口控制器的状态。kubectl get nginxingresscontroller以下示例输出显示了创建的资源。 控制器可能需要几分钟时间才可用:
NAME INGRESSCLASS CONTROLLERNAMEPREFIX AVAILABLE default webapprouting.kubernetes.azure.com nginx True nginx-internal nginx-internal nginx-internal True
部署应用程序
应用程序路由附加产品使用 Kubernetes Ingress 对象的注释来创建适当的资源。
创建一个名为
aks-store的应用程序命名空间,然后使用kubectl create namespace命令来运行示例 Pod。kubectl create namespace aks-store使用以下 YAML 清单文件部署 AKS 存储应用程序:
kubectl apply -f https://raw.githubusercontent.com/Azure-Samples/aks-store-demo/main/sample-manifests/docs/app-routing/aks-store-deployments-and-services.yaml -n aks-store
此清单会为 AKS 存储区应用程序创建必要的部署和服务。
创建使用 Azure 专用 DNS 区域主机名和专用 IP 地址的 Ingress 资源
使用 DNS 主机的名称更新 host,例如 store-front.private.contoso.com。 请确认是否为 ingressClassName 指定了 nginx-internal。
将以下 YAML 清单复制到名为 ingress.yaml 的新文件中,并将该文件保存到本地计算机。
apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: store-front namespace: aks-store spec: ingressClassName: nginx-internal rules: - host: store-front.private.contoso.com http: paths: - backend: service: name: store-front port: number: 80 path: / pathType: Prefix使用
kubectl apply命令创建入口资源。kubectl apply -f ingress.yaml -n aks-store以下示例输出显示了已创建的资源:
ingress.networking.k8s.io/store-front created
验证是否已创建托管 Ingress
可以使用 kubectl get ingress 命令验证是否已创建托管的 Ingress。
kubectl get ingress -n aks-store
以下示例输出显示了托管的 Ingress 已被创建:
NAME CLASS HOSTS ADDRESS PORTS AGE
store-front nginx-internal store-front.private.contoso.com 80 10s
验证是否已更新Azure专用 DNS 区域
几分钟后,运行 az network private-dns record-set a list 命令以查看Azure专用 DNS 区域的 A 记录。 指定资源组的名称和 DNS 区域的名称。 在此示例中,资源组为 test-rg,DNS 区域为 private.contoso.com。
az network private-dns record-set a list \
--resource-group test-rg \
--zone-name private.contoso.com
以下示例输出显示了所创建的记录:
[
{
"aRecords": [
{
"ipv4Address": "10.224.0.7"
}
],
"etag": "ecc303c5-4577-4ca2-b545-d34e160d1c2d",
"fqdn": "store-front.private.contoso.com.",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/test-rg/providers/Microsoft.Network/privateDnsZones/private.contoso.com/A/store-front",
"isAutoRegistered": false,
"name": "store-front",
"resourceGroup": "test-rg",
"ttl": 300,
"type": "Microsoft.Network/privateDnsZones/A"
}
]
后续步骤
有关与 SSL 加密、高级 NGINX 入口控制器和入口资源配置相关的其他配置信息,请查看 DNS 和 SSL 配置以及应用程序路由加载项配置。