Síťové připojení pro Kubernetes s podporou Azure Arc

Kubernetes s podporou arc podporuje plně připojené a částečně připojené režimy pro onboarding a správu clusterů Kubernetes pomocí řídicí roviny služby Azure Arc. Agenti Kubernetes s podporou Azure Arc komunikují s koncovými body Azure Arc za účelem výměny různých typů informací o metadatech pomocí metod vyžádání a nabízení z clusterů Kubernetes.

Tento dokument vysvětluje architekturu sítě, aspekty návrhu a doporučení návrhu, která vám pomůžou povolit připojení k řídicí rovině Azure, abyste mohli spravovat a provozovat clustery Kubernetes s podporou arc spuštěné v místních a dalších cloudových prostředích.

Architektura

Následující diagram znázorňuje síťovou architekturu Kubernetes s podporou Azure Arc, která podporuje režimy plně připojeného a částečně připojeného síťového připojení.

Následující diagram znázorňuje síťovou architekturu, která umožňuje přístup ke clusteru z libovolného síťového umístění pomocí funkce Kubernetes Cluster Connect s podporou Azure Arc .

Na co dát pozor při navrhování

• Projděte si oblast návrhu síťové topologie a připojení cílových zón Azure a vyhodnoťte vliv Kubernetes s podporou Azure Arc na váš model připojení.
• Projděte si požadavky na síť pro Kubernetes s podporou Azure Arc a zjistěte, jak clustery komunikují s Azure od místních sítí nebo jiných poskytovatelů cloudu.
• Zvažte kompromisy mezi požadavky vaší organizace na zabezpečení a dodržování předpisů a výhodami, které kubernetes s podporou Azure Arc nabízí vaší organizaci. Rozhodněte se mezi režimem plně připojeného a částečně připojeným režimem pro vaši implementaci.
• Rozhodněte se, jestli se při připojování k pracovním prostorům Azure Log Analytics přes ExpressRoute nebo VPN mají používat veřejné nebo privátní koncové body, a ne připojení k internetu.
• Rozhodněte se, jestli se při připojování ke službě Azure Key Vault přes ExpressRoute nebo VPN mají používat veřejné nebo privátní koncové body, nebo připojení k internetu.
• Zvolte možnosti síťového připojení pro správu clusterů Kubernetes s podporou Azure Arc, protože clustery Kubernetes s podporou Azure Arc podporují správu clusterů z jakékoli sítě. Aspekty návrhu a doporučení při rozhodování o správě clusteru nezávislé na síti najdete v tématu Správa identit a přístupu.
• Zvažte zabezpečenou správu clusteru Kubernetes s podporou Azure Arc prostřednictvím funkce Cluster Connect pro přístup odkudkoli, která eliminuje otevírání příchozích síťových portů a umožňuje pouze odchozí komunikaci se službami Azure Arc v Azure.
• Pokud používáte místní nebo vícecloudové brány firewall nebo proxy servery pro kontrolu odchozího provozu a systému detekce a prevence vniknutí do sítě (IDPS), rozhodněte se, jestli se mají nebo nemají vyloučit koncové body Kubernetes s podporou Azure Arc, protože některé certifikáty serveru nejsou pro tyto brány firewall nebo proxy servery důvěryhodné.

Doporučení k návrhu

• Použití plně připojeného režimu pro onboardované clustery Kubernetes vám pomůže udržet si aktuální informace o nejnovějších verzích produktů, aktualizacích zabezpečení, zásadách a nainstalovaných rozšířeních pro přenesení cloudových služeb Azure do místních nebo vícecloudových prostředí.
• Ujistěte se, že splňujete požadavky na síť Kubernetes s podporou Azure Arc na základě zvoleného modelu připojení.
• Povolte Azure Private Link přístup k prostředkům Azure, jako jsou Key Vault, účty úložiště, Microsoft Container Registry a Log Analytics, z clusterů Kubernetes spuštěných v místním nebo jiném cloudovém prostředí prostřednictvím připojení Azure Express Route nebo vpn.
  • Nakonfigurujte nástroj pro předávání DNS pro překlad veřejné zóny DNS služby Azure v Azure.
• V případě přenosů agentů Kubernetes s podporou Azure Arc přes brány firewall nebo proxy servery vytvořte zdrojové a některé cílové skupiny objektů nebo značky, které zjednoduší pravidla odchozího internetového provozu a podporují další seznamy povolených adres URL pro rozšíření Azure Arc.
• Pomocí služby Azure Monitor můžete sledovat stav připojení ke clusteru Kubernetes s podporou Azure Arc a zvyšovat upozornění, která upozorní správce na změnu stavů připojení. Zvažte použití dotazů Azure Resource Graph společně se službou Azure Monitor.
• Pokud používáte režim částečně připojeného síťového připojení, připojte cluster ke službě Azure Arc alespoň jednou za 30 dní, abyste mohli exportovat fakturační data, a alespoň jednou za 90 dnů obnovte certifikáty spravované identity a aktualizovat prostředky a agenty Kubernetes s podporou Azure Arc.

Další kroky

Další informace o hybridní a vícecloudové cestě ke cloudu najdete v následujících článcích:

• Projděte si požadavky pro Kubernetes s podporou Azure Arc.
• Projděte si ověřené distribuce Kubernetes pro Kubernetes s podporou Azure Arc.
• Přečtěte si téma Správa hybridních a multicloudových prostředí.
• Zjistěte, jak připojit existující cluster Kubernetes ke službě Azure Arc.
• Přečtěte si o režimech připojení Kubernetes s podporou Azure Arc.
• Přečtěte si o výměně dat mezi clustery Kubernetes s podporou Azure Arc a Azure.
• Zjistěte, jak použít konfigurace ve velkém měřítku pomocí Azure Policy.
• Projděte si ukázkové dotazy Azure Resource Graph pro Kubernetes s podporou Azure Arc.
• Seznamte se se službou Open Service Mesh s podporou Azure Arc pro zabezpečení komunikace clusteru Kubernetes s podporou Azure Arc a kritické oblasti návrhu pozorovatelnosti služeb .
• Naučte se přistupovat ke clusterům Kubernetes s podporou Azure Arc odkudkoli pomocí připojení clusteru.
• Vyzkoušejte si automatizované scénáře Kubernetes s podporou Azure Arc pomocí nástroje Azure Arc Jumpstart.
• Další informace o Službě Azure Arc najdete ve studijním programu Azure Arc.
• Odpovědi na nejčastější dotazy najdete v tématu Nejčastější dotazy – Azure Arc s podporou .