Upravit

Sdílet prostřednictvím


Síťová architektura pro AKS v Azure Local

Azure Stack HCI
Windows Server

Tento scénář ukazuje, jak navrhnout a implementovat koncepty sítě pro nasazování uzlů Azure Kubernetes Service (AKS) do clusterů AKS.

Tento článek obsahuje doporučení pro návrh sítí pro uzly Kubernetes a kontejnery Kubernetes. Je součástí směrného plánu architektury sady dvou článků. Podívejte se na doporučení základní architektury.

Důležité

Informace v tomto článku se týkají AKS ve službě Azure Stack HCI, verze 22H2 a AKS-HCI ve Windows Serveru. Nejnovější verze AKS běží na operačním systému Azure Stack HCI verze 23H2. Další informace o nejnovější verzi najdete v dokumentaci k AKS v operačním systému Azure Stack HCI verze 23H2.

Architektura

Následující obrázek znázorňuje síťovou architekturu pro azure Kubernetes Service v clusterech místních nebo Windows Server 2019/2022 datacenter:

Koncepční obrázek znázorňující architekturu standardních hodnot sítě

Stáhněte si soubor aplikace Visio s touto architekturou.

Scénář se skládá z následujících komponent a možností:

  • Azure Stack HCI verze 22H2je řešení clusteru hyperkonvergované infrastruktury (HCI), které hostuje virtualizované úlohy Windows a Linux a jejich úložiště v hybridním místním prostředí. Místní instance Azure se implementuje jako cluster 2–4 uzlů.
  • Cluster převzetí služeb při selhání datacenter s Windows Serverem 2019/2022 je skupina nezávislých počítačů, které spolupracují na zvýšení dostupnosti a škálovatelnosti clusterových rolí.
  • Azure Kubernetes Service ve službě Azure Local je místní implementace služby Azure Kubernetes Service (AKS), která automatizuje spouštění kontejnerizovaných aplikací ve velkém měřítku.
  • Doména služby Active Directory Services je hierarchická struktura, která ukládá informace o objektech v síti. Poskytuje řešení identit a přístupu pro identity přidružené k uživatelům, počítačům, aplikacím nebo jiným prostředkům, které jsou součástí hranice zabezpečení.
  • Cluster pro správu označovaný také jako hostitel AKS zodpovídá za nasazení a správu více clusterů úloh. Cluster pro správu využívá 1 IP adresu z fondu uzlů, ale pro operace aktualizace byste měli rezervovat další 2 IP adresy. Cluster pro správu také využívá jednu IP adresu z fondu virtuálních IP adres.
  • Cluster úloh je vysoce dostupné nasazení Kubernetes pomocí virtuálních počítačů s Linuxem pro spouštění komponent řídicí roviny Kubernetes a linuxových a/nebo pracovních uzlů Windows.
    • Řídicí rovina. Běží v linuxové distribuci a obsahuje komponenty serveru API pro interakci s rozhraním Kubernetes API a distribuovaným úložištěm klíč-hodnota atd. pro ukládání všech konfigurací a dat clusteru. Využívá jednu IP adresu z fondu uzlů a jednu IP adresu z fondu VIRTUÁLNÍCH IP adres.
    • Nástroj pro vyrovnávání zatížení Běží na virtuálním počítači s Linuxem a poskytuje služby s vyrovnáváním zatížení pro cluster úloh. Využívá jednu IP adresu z fondu uzlů a jednu IP adresu z fondu VIRTUÁLNÍCH IP adres.
    • Pracovní uzly. Spusťte v operačním systému Windows nebo Linux, který hostuje kontejnerizované aplikace. Využívá IP adresy z fondu uzlů, ale pro operace aktualizace byste měli naplánovat aspoň 3 další IP adresy.
    • Prostředky Kubernetes Pody představují jednu instanci vaší aplikace, která má obvykle mapování 1:1 s kontejnerem, ale některé pody můžou obsahovat více kontejnerů. Nasazení představují jeden nebo více identických podů. Pody a nasazení jsou logicky seskupeny do oboru názvů, který řídí přístup ke správě prostředků. Z fondu VIRTUÁLNÍCH IP adres spotřebovávají 1 IP adresu na pod.
  • Azure Arc je cloudová služba, která rozšiřuje model správy založený na Azure Resource Manageru na prostředky mimo Azure, včetně virtuálních počítačů, clusterů Kubernetes a kontejnerizovaných databází.
  • Azure Policy je cloudová služba, která vyhodnocuje prostředky Azure a místní prostředky prostřednictvím integrace s Azure Arc porovnáním vlastností s přizpůsobitelnými obchodními pravidly.
  • Azure Monitor je cloudová služba, která maximalizuje dostupnost a výkon vašich aplikací a služeb tím, že poskytuje komplexní řešení pro shromažďování, analýzu a akce na telemetrii z cloudových a místních prostředí.
  • Microsoft Defender for Cloud je jednotný systém správy zabezpečení infrastruktury, který posiluje stav zabezpečení vašich datových center a poskytuje pokročilou ochranu před hrozbami napříč hybridními úlohami v cloudu a místním prostředí.

Komponenty

Podrobnosti scénáře

Případy použití pro tento scénář jsou popsány v prvním článku série, základní architektura.

Sítě uzlů Kubernetes

Hlavním aspektem návrhu sítí pro AKS v Azure Local je výběr síťového modelu, který poskytuje dostatek IP adres. AKS v Azure Local používá virtuální sítě k přidělování IP adres prostředkům uzlů Kubernetes. Můžete použít dva modely přiřazení IP adres:

  • Statické sítě IP jsou předvídatelnější, ale při počáteční konfiguraci se přidají další úsilí.
  • Sítě DHCP (Dynamic Host Configuration Protocol) používají dynamické přidělování IP adres a méně úsilí, ale musíte být opatrní, abyste nevyčerpali dostupný fond IP adres. Musíte také spravovat rezervace a rozsahy vyloučení pro fondy virtuálních IP adres a určité prostředky v celém clusteru, jako je služba cloudového agenta.

Oba modely přiřazení musí plánovat IP adresy pro:

  • Fond virtuálních IP adres
  • Fond IP adres virtuálních počítačů uzlu Kubernetes

Fond virtuálních IP adres

Virtuální fond IP adres je sada IP adres, které jsou povinné pro všechny AKS v místním nasazení Azure. Naplánujte počet IP adres ve virtuálním fondu IP adres na základě počtu clusterů úloh a služeb Kubernetes. Fond virtuálních IP adres poskytuje IP adresy pro následující typy prostředků:

  • Cloudový agent vyžaduje plovoucí IP adresu z virtuálního fondu IP adres.

  • Součást serveru API, která běží v virtuálním počítači Kubernetes Virtual Appliance (KVA) (cluster pro správu), používá IP adresu z virtuálního fondu IP adres. Server rozhraní API je součástí řídicí roviny Kubernetes, která zveřejňuje rozhraní API Kubernetes. Server rozhraní API je front-end řídicí roviny Kubernetes. KVA je virtuální počítač s Mariner Linuxem a hostuje cluster Kubernetes. IP adresa je plovoucí a používá se také pro jakýkoli jiný virtuální počítač KVA, který nasadíte v AKS v Azure Local. Virtuální počítač KVA také hostuje službu nástroje pro vyrovnávání zatížení virtuální IP adresy Kubernetes.

  • Naplánujte přidělování IP adres pro počet virtuálních počítačů řídicí roviny nasazených na cílových serverech, protože využívají také více IP adres z virtuálního fondu IP adres. Důležité informace jsou popsány v další části.

  • Cílový cluster obsahuje virtuální počítač nástroje pro vyrovnávání zatížení, který je HAProxy a vlastní fond virtuálních IP adres pro cílový cluster. Tento virtuální počítač zveřejňuje všechny služby Kubernetes prostřednictvím fondu virtuálních IP adres.

  • Aplikace, které běží v podech Kubernetes, používají IP adresy z virtuálního fondu IP adres.

  • Nástroj pro vyrovnávání zatížení HAProxy je nasazený jako specializovaný virtuální počítač a dá se použít k vyrovnávání zatížení příchozích požadavků napříč několika koncovými body. Využívají IP adresy z virtuálního fondu IP adres a je potřeba naplánovat přidělování IP adres pro každý cluster úloh.

Fond IP adres virtuálních počítačů uzlu Kubernetes

Uzly Kubernetes se nasazují jako virtuální počítače v AKS v místním nasazení Azure. Ujistěte se, že plánujete počet IP adres podle celkového počtu uzlů Kubernetes a zahrnete aspoň tři další IP adresy, které se použijí během procesu upgradu. V případě konfigurace statických IP adres je potřeba zadat rozsah ip adres virtuálního počítače uzlu Kubernetes, což není nutné pro přidělení DHCP. Naplánujte další IP adresy pro:

  • Virtuální počítač KVA také používá více IP adres pro Kubernetes z fondu IP adres uzlů Kubernetes. Naplánujte přidání IP adres během procesu aktualizace, protože virtuální počítač KVA používá stejnou virtuální IP adresu pro službu API, ale vyžaduje samostatnou IP adresu od fondu IP adres uzlů Kubernetes.
  • Virtuální počítače řídicí roviny využívají jednu IP adresu z fondu IP adres virtuálních počítačů uzlu Kubernetes pro serverovou službu rozhraní API. Tyto virtuální počítače také hostují agenta Azure ARC, který se připojuje k webu Azure Portal pro účely správy.
  • Uzly ve fondu uzlů (Linux nebo Windows) budou využívat IP adresy z fondu IP adres přidělených pro virtuální počítač uzlu Kubernetes.

Místní cloudová služba Microsoftu

Naplánujte rozsah IP adres pro místní cloud Microsoftu (MOC), který umožňuje zásobník správy, aby se virtuální počítače v Azure Local spravují v cloudu. Přidělování IP adres pro službu MOC je v základní fyzické síti a IP adresy nakonfigurované pro místní uzly clusteru Azure jsou ve vašem datovém centru. IP adresy pro fyzické uzly místního Azure můžete nakonfigurovat jedním z následujících způsobů:

  • Uzly místního clusteru Azure s režimem přidělování IP adres založeným na protokolu DHCP. Služba MOC získá IP adresu ze služby DHCP prezentované ve fyzické síti.
  • Uzly místního clusteru Azure s modelem přidělování statických IP adres. IP adresa cloudové služby MOC musí být explicitně zadána jako rozsah IP adres ve formátu CIDR (Classless Inter-Domain Routing) a musí být ve stejné podsíti jako IP adresy uzlů místního clusteru Azure.

Nástroj pro vyrovnávání zatížení v AKS v Azure Local

Pro malé nasazení můžete použít integrovaný nástroj pro vyrovnávání zatížení nasazený jako virtuální počítač s Linuxem, který používá HAProxy + KeepAlive k odesílání provozu do aplikačních služeb nasazených jako součást clusteru AKS. Nástroj pro vyrovnávání zatížení HAProxy konfiguruje pody jako koncové body v nástroji pro vyrovnávání zatížení. Vyrovnává zatížení požadavků na server rozhraní API Kubernetes a spravuje provoz do aplikačních služeb.

Ke správě provozu do služeb můžete použít také vlastní nástroj pro vyrovnávání zatížení. Vlastní nástroj pro vyrovnávání zatížení poskytuje větší flexibilitu nasazení a zajišťuje, aby AKS v Azure Local fungovalo společně s existujícími nasazeními, jako jsou nasazení softwarově definované sítě (SDN), která používají nástroje pro vyrovnávání zatížení. Pro vlastní nástroje pro vyrovnávání zatížení poskytuje kube-virtual IP clustery Kubernetes s virtuální IP adresou a nástrojem pro vyrovnávání zatížení pro řídicí rovinu i službu Kubernetes Services typu LoadBalancer. Služba kube-virtual IP se automaticky nasadí na každý pracovní uzel.

AKS v Azure Local také podporuje použití nástroje pro vyrovnávání zatížení založené na platformě OSS nebo jiných nástrojů pro vyrovnávání zatížení na základě operačního systému k vyrovnávání provozu určeného pro služby v clusteru úloh. MetalLB je implementace nástroje pro vyrovnávání zatížení pro holé clustery Kubernetes pomocí standardních směrovacích protokolů, jako je protokol BGP protokolu Border Gateway. Může pracovat s doplňky sítě, Calico i Flannelem, ale musíte zajistit, aby se rozsah virtuálních IP adres zadaný během instalace AKS v Azure Local nepřekrývaly s rozsahem IP adres plánovaným pro vlastní nástroj pro vyrovnávání zatížení.

Nasazení tohoto scénáře

Nasazení kontroleru příchozího přenosu dat

Zvažte implementaci kontroleru příchozího přenosu dat pro ukončení protokolu TLS, reverzibilní proxy server nebo konfigurovatelné směrování provozu. Kontrolery příchozího přenosu dat fungují ve vrstvě 7 a můžou používat inteligentní pravidla k distribuci provozu aplikací. Prostředky příchozího přenosu dat Kubernetes se používají ke konfiguraci pravidel a tras pro příchozí data u jednotlivých služeb Kubernetes. Když definujete kontroler příchozího přenosu dat, konsolidujete pravidla směrování provozu do jednoho prostředku, který běží jako součást clusteru.

Pomocí kontroleru příchozího přenosu dat zpřístupňujte služby prostřednictvím externě dostupných adres URL. Příchozí přenos dat zveřejňuje trasy HTTP a HTTPS mimo cluster pro služby v rámci clusteru. Směrování provozu se řídí pravidly definovanými u prostředku příchozího přenosu dat. Pravidla HTTP příchozího přenosu dat obsahují následující informace:

  • Volitelný hostitel. Pokud nezadáte informace o hostiteli, pravidlo se použije pro veškerý příchozí provoz HTTP.
  • Seznam cest, které mají přidružený back-end definovaný s service.name a service.port.name nebo service.port.number.
  • Back-end, který poskytuje kombinaci názvů služeb a portů.
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: hello-world
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
    kubernetes.io/ingress.class: "nginx"
spec:
  rules:
  - host: test.example.com
     http:
       paths:
       - path: /hello-world
          pathType: Prefix
          backend:
            service:
              name: hello-world
              port:
                 number: 8080

K vyvážení provozu mezi různými back-endy aplikace použijte kontroler příchozího přenosu dat. Provoz se rozdělí a odešle do různých koncových bodů služby a nasazení na základě informací o cestě.

Pokud chcete směrovat provoz HTTP na více názvů hostitelů na stejné IP adrese, můžete pro každého hostitele použít jiný prostředek příchozího přenosu dat. Provoz, který prochází IP adresou nástroje pro vyrovnávání zatížení, se směruje na základě názvu hostitele a cesty zadané v pravidle příchozího přenosu dat.

Koncepty sítí kontejnerů ve službě Azure Kubernetes Service (AKS) v místním prostředí Azure

Kubernetes poskytuje abstrakční vrstvu virtuální síti, aby aplikace založené na kontejnerech mohly interně nebo externě komunikovat. Komponenta kube-proxy běží na každém uzlu a může poskytovat přímý přístup ke službě, distribuovat provoz pomocí vyrovnávání zatížení nebo používat kontrolery příchozího přenosu dat pro složitější směrování aplikací. Kubernetes používá služby k logickému seskupení sady podů a poskytování síťového připojení. K dispozici jsou následující služby Kubernetes:

  • IP adresa clusteru: Tato služba vytvoří interní IP adresu pro interní aplikace.
  • NodePort: Tato služba vytvoří mapování portů na podkladovém uzlu, takže aplikace bude přímo přístupná s IP adresou a portem uzlu.
  • LoadBalancer: Služby Kubernetes můžete zpřístupnit externě pomocí pravidel nástroje pro vyrovnávání zatížení nebo kontroleru příchozího přenosu dat.
  • ExternalName:. Tato služba používá pro aplikaci Kubernetes konkrétní položku DNS.

Sítě Kubernetes

V AKS v Azure Local je možné cluster nasadit pomocí jednoho z následujících síťových modelů:

  • Sítě Calico projektu. Toto je výchozí síťový model pro AKS v Azure Local a je založený na opensourcové síti, která poskytuje zabezpečení sítě pro kontejnery, virtuální počítače a nativní hostitelské úlohy. Zásady sítě Calico se dají použít na jakýkoli druh koncového bodu, jako jsou pody, kontejnery, virtuální počítače nebo hostitelské rozhraní. Každá zásada se skládá z pravidel, která řídí příchozí a odchozí provoz pomocí akcí, které můžou buď povolit, odepřít, protokolovat nebo předávat provoz mezi zdrojovými a cílovými koncovými body. Calico může pro doručování provozu použít buď rozšířený linuxový filtr paketů Berkeley (eBPF), nebo síťový kanál jádra Linuxu. Calico je také podporován ve Windows pomocí hostitelské síťové služby (HNS) pro vytváření síťových oborů názvů na koncový bod kontejneru. V síťovém modelu Kubernetes získá každý pod svou vlastní IP adresu, která se sdílí mezi kontejnery v rámci daného podu. Pody komunikují v síti pomocí IP adres podů a izolace se definuje pomocí zásad sítě. Calico používá moduly plug-in CNI (Container Network Interface) pro přidávání nebo odstraňování podů do sítě podů Kubernetes a modulů plug-in CNI IPAM (Správa IP adres (IPAM)) pro přidělování a vydávání IP adres.
  • Flannel překryvné sítě. Flannel vytvoří vrstvu virtuální sítě, která překryjí síť hostitele. Překryvné sítě používají zapouzdření síťových paketů přes stávající fyzickou síť. Flannel zjednodušuje Správa IP adres (IPAM) (IPAM), podporuje opakované použití PROTOKOLU IP mezi různými aplikacemi a obory názvů a poskytuje logické oddělení sítí kontejnerů od podsítě používané uzly Kubernetes. Izolace sítě se dosahuje pomocí sítě Virtual eXtensible Local Area Network (VXLAN), zapouzdřeného protokolu, který poskytuje připojení k datovému centru pomocí tunelového propojení pro roztažení připojení vrstvy 2 přes základní síť vrstvy 3. Flannel podporuje kontejnery Linuxu využívající daemonSet i kontejnery Windows pomocí modulu plug-in Flannel CNI.

Návrh místních sítí Azure

Celkový návrh sítě zahrnuje plánování aktivit pro místní Azure.

Nejprve začněte plánováním hardwaru a instalace místního Prostředí Azure. Integrované systémy můžete zakoupit od hardwarového partnera Microsoftu s předinstalovaným operačním systémem Azure Stack HCI, nebo si můžete koupit ověřené uzly a nainstalovat operační systém sami. Azure Local je určený jako hostitel virtualizace, takže role serveru Kubernetes musí běžet uvnitř virtuálních počítačů.

Požadavky na fyzickou síť pro místní Azure

Společnost Microsoft necertifikuje síťové přepínače, ale má určité požadavky, které musí dodavatel zařízení splňovat:

  • Standard: IEEE 802.1Q, který definuje virtuální místní síť (VLAN).
  • Standard: IEEE 802.1Qbb, který definuje řízení toku priority (PFC).
  • Standard: IEEE 802.1Qaz, který definuje ETS (Enhanced Transmission Selection).
  • Standard: IEEE 802.1AB, který definuje protokol LLTD (Link Layer Topology Discovery).

Požadavky na síť hostitele pro místní Azure

Zvažte použití síťového adaptéru, který dosáhl certifikace Windows Server Software Defined Data Center (SDDC) s certifikací Standard nebo Premium Additional Qualification (AQ).

Ujistěte se, že síťový adaptér podporuje:

  • Dynamická více fronta virtuálních počítačů (Dynamic VMMQ nebo d.VMMQ) je inteligentní technologie na straně příjmu pro automatické ladění zpracování síťového provozu na jádra procesoru.
  • Přímý přístup do paměti vzdáleného počítače (RDMA) je přesměrování zátěže zásobníku sítě na síťový adaptér. Umožňuje, aby provoz úložiště SMB obešel operační systém ke zpracování.
  • Hostovaný RDMA umožňuje úlohám SMB pro virtuální počítače získat stejné výhody použití RDMA na hostitelích.
  • Switch Embedded Teaming (SET) je softwarová seskupovací technologie.

Zvažte použití síťového ATC, který poskytuje řízení na základě záměru pro zjednodušení konfigurace sítě hostitele.

AKS v Azure Local vyžaduje spolehlivé síťové připojení s vysokou šířkou pásma a nízkou latencí mezi jednotlivými uzly serveru. Ujistěte se, že je k dispozici a vyhrazen alespoň jeden síťový adaptér pro správu clusteru. Ověřte také, že jsou fyzické přepínače ve vaší síti nakonfigurované tak, aby povolovaly provoz na všech sítích VLAN, které budete používat.

Virtuální přepínač

Azure Local zjednodušuje návrh sítě tím, že konfiguruje virtuální přepínač, který se dá použít pro klasifikaci sítě. Virtuální síťová karta (vNIC) se dá umístit do různých sítí VLAN, aby hostitelé mohli poskytovat různé toky provozu pro následující sítě:

  • Síť pro správu. Síť pro správu je součástí severojižní sítě a používá se pro komunikaci hostitelů.
  • Výpočetní síť. Výpočetní síť je součástí severojižní sítě a používá se pro provoz virtuálních počítačů. K ladění výkonu sítě na základě poptávky použijte technologii QOS (Quality of Service), virtualizaci rozhraní SR-IOV (Single-Root I/O Virtualization) a virtuální přímý přístup do paměti vzdáleného počítače (vRDMA).
  • Síť úložiště. Síť úložiště je součástí sítě east-west a vyžaduje RDMA s doporučenou propustností 10 GB+. Používá se k migraci virtuálních počítačů za provozu.
  • Síť hosta virtuálního počítače.

Výhody přenosů mezi východem a západem provozu RDMA

Síťový provoz east-west představuje komunikaci mezi hostiteli a nezpřístupňuje žádný externí přístup. Provoz zůstává uvnitř přepínače Top of Rack (ToR) a hranice vrstvy 2. Zahrnuje následující typy provozu:

  • Prezenční signály clusteru a komunikace mezi uzly
  • [SMB] Vrstva sběrnice úložiště
  • [SMB] Sdílený svazek clusteru
  • [SMB] Opětovné sestavení úložiště

Provoz na sever –jih

North-South provoz je externí provoz, který dosahuje AKS v místní instanci Azure. Provoz můžete naplánovat pro celou řadu služeb Azure, které umožňují monitorování, fakturaci a správu zabezpečení prostřednictvím integrace služby Azure ARC. Provoz na sever-jih má následující charakteristiky:

  • Provoz proudí z přepínače ToR do páteře nebo z páteře na přepínač ToR.
  • Provoz opustí fyzický rack nebo překročí hranici vrstvy 3 (IP).
  • Provoz zahrnuje správu (PowerShell, Windows Admin Center), výpočetní prostředky (virtuální počítač) a provoz roztaženého clusteru mezi lokalitami.
  • Používá ethernetový přepínač pro připojení k fyzické síti.

AKS v Azure Local může použít několik možností nasazení sítě clusteru:

  • Sblížená síť kombinující více záměrů sítě (MGMT, Compute, Storage). Toto je doporučené nasazení pro více než tři fyzické uzly a vyžaduje, aby všechny fyzické síťové adaptéry byly připojené ke stejným přepínačům ToR. ROCEv2 se důrazně doporučuje.
  • Nasazení bez přepnutí využívá komunikaci na sever jako síťový tým zkombinováním výpočetních sítí a sítí pro správu.
  • Hybridní nasazení jako kombinace obou nasazení.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který ho přepíše, postupujte podle doporučení.

Doporučení k síti

Hlavním zájmem návrhu sítí pro AKS v Azure Local je výběr síťového modelu, který poskytuje dostatek IP adres pro váš cluster Kubernetes a jeho služby a aplikace.

  • Zvažte implementaci statických IP adres, aby služba AKS v Azure Local mohla řídit přiřazení IP adres.

  • Správně rozkódujte rozsahy IP adres, abyste měli dostatek volných IP adres pro fond uzlů Kubernetes a pro virtuální fond IP adres. Ujistěte se, že je váš virtuální fond IP adres dostatečně velký, aby při každém upgradu bylo možné používat postupné upgrady, které vyžadují více IP adres. Můžete naplánovat následující:

    • Adresování a názvy hostitelů pro nastavení proxy serveru
    • IP adresy pro řídicí rovinu cílového clusteru
    • IP adresy pro Azure ARC
    • IP adresy pro horizontální škálování uzlů pracovní a řídicí roviny v cílových clusterech
  • Váš fond virtuálních IP adres by měl být dostatečně velký, aby podporoval nasazení aplikačních služeb, které vyžadují připojení k externímu směrovači.

  • Implementujte Calico CNI, abyste zajistili vylepšené síťové zásady pro řízení komunikace podů a aplikací.

  • Ujistěte se, že jsou fyzické uzly clusteru (HCI nebo Windows Server) umístěné ve stejném racku a připojené ke stejným přepínačům ToR.

  • Zakažte protokol IPv6 na všech síťových adaptérech.

  • Ujistěte se, že existující virtuální přepínač a jeho název jsou stejné ve všech uzlech clusteru.

  • Ověřte, že všechny podsítě, které pro váš cluster definujete, jsou směrovatelné mezi sebou a do internetu.

  • Ujistěte se, že mezi místními hostiteli Azure a tenantovými virtuálními počítači existuje síťové připojení.

  • Povolte dynamické aktualizace DNS ve vašem prostředí DNS, aby služba AKS v Azure Local mohla zaregistrovat obecný název cloudového agenta v systému DNS ke zjišťování.

  • Zvažte implementaci klasifikace síťového provozu podle směru:

    • North-South provoz je provoz z místního Prostředí Azure a ze zbytku sítě.
      • Správa
      • Compute
      • Provoz roztaženého clusteru mezi lokalitami
    • East-West provoz v rámci místního prostředí Azure:
      • Přenosy dat úložiště, včetně migrace za provozu mezi uzly ve stejném clusteru
      • Ethernetový přepínač nebo přímé připojení.

Modely provozu úložiště

  • K oddělení provozu úložiště v Azure Local použijte více podsítí a sítí VLAN.
  • Zvažte implementaci přidělování šířky pásma provozu různých typů provozu.

Důležité informace

Dobře navržená architektura Microsoft Azure je sada hlavních principů, které jsou v tomto scénáři sledovány. V kontextu těchto principů jsou uvedené následující aspekty.

Spolehlivost

  • Integrovaná odolnost, která je součástí softwarově definovaného výpočetního prostředí Microsoftu (cluster s podporou převzetí služeb při selhání uzlů Hyper-V), úložiště (Prostory úložiště s přímým přístupem vnořené odolnosti) a sítí (softwarově definované sítě).
  • Zvažte výběr síťového přepínače, který podporuje oborové standardy a zajišťuje spolehlivou komunikaci mezi uzly. Mezi následující standardy patří:
    • Standard: IEEE 802.1Q
    • Standard IEEE 802.1Qbb
    • Standard IEEE 802.1 Qas
    • Standard IEEE 802.1 AB
  • Zvažte implementaci více hostitelů v clusteru pro správu a v clusteru Kubernetes, abyste splnili minimální úroveň dostupnosti pro úlohy.
  • AKS v Azure Local využívá clustering s podporou převzetí služeb při selhání a migraci za provozu pro zajištění vysoké dostupnosti a odolnosti proti chybám. Migrace za provozu je funkce Hyper-V, která umožňuje transparentně přesouvat spuštěné virtuální počítače z jednoho hostitele Hyper-V do jiného bez vnímaných výpadků.
  • Měli byste zajistit, aby se služby odkazované v části Architektura podporovaly v oblasti, do které je služba Azure Arc nasazená.

Zabezpečení

  • Zabezpečení provozu mezi pody pomocí zásad sítě v AKS v Azure Local
  • Server ROZHRANÍ API v AKS v Azure Local obsahuje certifikační autoritu, která podepisuje certifikáty pro komunikaci ze serveru rozhraní API Kubernetes s kubelet.
  • K vytvoření zabezpečeného připojení k serveru rozhraní API Kubernetes použijte jednotné přihlašování (SSO) Microsoft Entra.
  • Azure RBAC můžete použít ke správě přístupu k Kubernetes s podporou Azure Arc napříč Azure a místními prostředími pomocí identit Microsoft Entra. Další informace najdete v tématu Použití Azure RBAC pro autorizaci Kubernetes.

Optimalizace nákladů

  • Pomocí cenové kalkulačky Azure můžete odhadnout náklady na služby používané v architektuře. Další osvědčené postupy jsou popsány v části Optimalizace nákladů v architektuře Microsoft Azure Well-Architected Framework.
  • Zvažte implementaci hyperprocesingu na fyzickém počítači, abyste optimalizovali náklady, protože AKS v místní fakturační jednotce Azure je virtuální jádro.
  • Funkce řídicí roviny Azure Arc se poskytuje bez dalších poplatků. To zahrnuje podporu pro organizaci prostředků prostřednictvím skupin pro správu Azure a značek a řízení přístupu prostřednictvím Azure RBAC. Služby Azure používané ve spojení se servery s podporou Azure Arc účtují náklady podle jejich využití.
  • Pro nákladovou efektivitu můžete použít jen dva uzly clusteru s pouze čtyřmi disky a 64 gigabajty (GB) paměti na uzel. Pokud chcete dále minimalizovat náklady, můžete použít přepínání mezi uzly a eliminovat tak potřebu redundantních přepínačů zařízení.

Provozní dokonalost

  • Zjednodušená správa pomocí Centra pro správu Windows. Windows Admin Center je uživatelské rozhraní pro vytváření a správu AKS v Azure Local. Dá se nainstalovat na virtuální počítač s Windows 10/11 nebo Windows Serverem, který je potřeba zaregistrovat v Azure, a je ve stejné doméně jako cluster Azure Local nebo Windows Server Datacenter.
  • Integrace se službou Azure Arc nebo celou řadou služeb Azure, které poskytují více možností správy, údržby a odolnosti (Azure Monitor, Azure Backup).
  • Pokud je cluster Kubernetes připojený ke službě Azure Arc, můžete cluster Kubernetes spravovat pomocí GitOps. Pokud chcete zkontrolovat osvědčené postupy pro připojení hybridního clusteru Kubernetes ke službě Azure Arc, projděte si scénář hybridní správy a nasazení clusterů Kubernetes v Azure Arc.
  • Místní platforma Azure také pomáhá zjednodušit virtuální sítě pro AKS v místních instancích Azure tím, že poskytuje "základní" síť vysoce dostupným způsobem.

Efektivita výkonu

  • Využijte certifikovaný hardware Azure Local pro lepší dostupnost a výkon aplikací, zjednodušenou správu a provoz a nižší celkové náklady na vlastnictví.
  • Úložiště: Prostory úložiště s přímým přístupem
    • Konfigurace svazku (vnořené dvoucestné zrcadlení versus vnořená zrcadlově akcelerovaná parita)
    • Konfigurace disku (ukládání do mezipaměti, vrstvy)
  • Ujistěte se, že jsou uzly clusteru fyzicky umístěné ve stejném racku a připojené ke stejným přepínačům ToR.
  • Naplánujte rezervace IP adres pro konfiguraci hostitelů AKS, clusterů úloh, serverů rozhraní API clusteru, služeb Kubernetes a aplikačních služeb. Microsoft doporučuje rezervaci minimálně 256 IP adres pro nasazení AKS v Azure Local.
  • Zvažte implementaci kontroleru příchozího přenosu dat, který funguje ve vrstvě 7 a používá inteligentnější pravidla k distribuci provozu aplikací.
  • Akceleraci grafického procesoru (GPU) můžete použít pro rozsáhlé úlohy.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autoři:

Další přispěvatelé:

Další kroky