Requisitos de red de Azure Arc en VMware habilitados para AKS (versión preliminar)
Se aplica a: AKS habilitado por Azure Arc en VMware (versión preliminar)
En este artículo se presentan los conceptos básicos que proporcionan redes a las máquinas virtuales y aplicaciones de Azure Kubernetes Service (AKS) habilitadas por Azure Arc en VMware:
- Redes lógicas para AKS habilitadas por máquinas virtuales de Arc
- IP del plano de control
- Equilibradores de carga de Kubernetes
En este artículo también se describen los requisitos previos de red necesarios para crear clústeres de Kubernetes. Se recomienda trabajar con un administrador de red para proporcionar y configurar los parámetros de red necesarios para implementar AKS.
Conceptos de red para clústeres de AKS
Asegúrese de configurar las redes correctamente para los siguientes componentes en los clústeres de Kubernetes:
- Máquinas virtuales de clúster de AKS
- DIRECCIÓN IP del plano de control de AKS
- Equilibrador de carga para aplicaciones en contenedor
Red para máquinas virtuales de clúster de AKS
Los nodos de Kubernetes se implementan como máquinas virtuales especializadas en AKS. Estas máquinas virtuales se asignan direcciones IP para habilitar la comunicación entre los nodos de Kubernetes. AKS usa segmentos de red lógica de VMware para proporcionar direcciones IP y redes para las máquinas virtuales subyacentes de los clústeres de Kubernetes. En esta versión preliminar, solo se admiten segmentos de red lógicos de VMware basados en DHCP. Una vez que se proporciona el segmento de red de VMware durante la creación del clúster de AKS Arc, las direcciones IP se asignan dinámicamente a las máquinas virtuales subyacentes de los clústeres de Kubernetes.
IP del plano de control
Kubernetes usa un plano de control para asegurarse de que todos los componentes del clúster de Kubernetes se mantienen en el estado deseado. El plano de control también administra y mantiene los nodos de trabajo que contienen las aplicaciones en contenedores. AKS implementa el equilibrador de carga kubeVIP para asegurarse de que la dirección IP del servidor de API del plano de control de Kubernetes siempre está disponible. Para funcionar correctamente, esta instancia de KubeVIP requiere una única dirección IP inmutable "plano de control". La dirección IP del plano de control es un parámetro necesario para crear un clúster de Kubernetes. Debe asegurarse de que la dirección IP del plano de control de un clúster de Kubernetes no se superponga con ninguna otra dirección IP. La superposición de direcciones IP puede provocar errores inesperados para el clúster de AKS y cualquier otro lugar en el que se use la dirección IP. Debe planear reservar una dirección IP por clúster de Kubernetes en su entorno. Asegúrese de que la dirección IP del plano de control se excluye del ámbito del servidor DHCP.
Direcciones IP del equilibrador de carga para aplicaciones en contenedores
El propósito principal de un equilibrador de carga es distribuir el tráfico entre varios nodos de un clúster de Kubernetes. Este equilibrio de carga puede ayudar a evitar el tiempo de inactividad y mejorar el rendimiento general de las aplicaciones. Para esta versión preliminar, debe traer su propio equilibrador de carga de terceros; por ejemplo, MetalLB. También debe asegurarse de que las direcciones IP asignadas al equilibrador de carga no entren en conflicto con las direcciones IP usadas en ningún otro lugar. Las direcciones IP en conflicto pueden provocar errores imprevistos en la implementación y las aplicaciones de AKS.
Planeamiento de direcciones IP para clústeres y aplicaciones de Kubernetes
Como mínimo, debe tener el siguiente número de direcciones IP disponibles por clúster de Kubernetes. El número real de direcciones IP depende del número de clústeres de Kubernetes, del número de nodos de cada clúster y del número de servicios y aplicaciones que desea ejecutar en el clúster de Kubernetes:
| Parámetro | Número mínimo de direcciones IP |
|---|---|
| Segmento de red lógica de VMware | Una dirección IP para cada nodo de trabajo del clúster de Kubernetes. Por ejemplo, si desea crear 3 grupos de nodos con 3 nodos en cada grupo de nodos, necesita 9 direcciones IP disponibles desde el servidor DHCP. |
| IP del plano de control | Reserve una dirección IP para cada clúster de Kubernetes del entorno. Por ejemplo, si necesita crear 5 clústeres en total, debe reservar 5 direcciones IP, una para cada clúster de Kubernetes. Estas 5 direcciones IP deben estar fuera del ámbito del servidor DHCP. |
| Direcciones IP del equilibrador de carga | El número de direcciones IP reservadas depende del modelo de implementación de aplicaciones. Como punto de partida, puede reservar una dirección IP para cada servicio de Kubernetes. |
Configuración del proxy
En esta versión preliminar, no se admite la creación de clústeres de AKS Arc en un entorno de VMware habilitado para proxy.
Excepciones de dirección URL de firewall
Para más información sobre la lista de permitidos de la dirección URL de proxy o firewall de Azure Arc, consulte los requisitos de red del puente de recursos de Azure Arc.
Para la implementación y el funcionamiento de clústeres de Kubernetes, se debe acceder a las siguientes direcciones URL desde todos los nodos físicos y las máquinas virtuales de la implementación. Asegúrese de que estas direcciones URL están permitidas en la configuración del firewall:
| URL | Port |
|---|---|
| .dp.prod.appliances.azure.com | HTTPS/443 |
| .eus.his.arc.azure.com | HTTPS/443 |
| guestnotificationservice.azure.com | HTTPS/443 |
| .dp.kubernetesconfiguration.azure.com | HTTPS/443 |
| management.azure.com | HTTPS/443 |
| raw.githubusercontent.com | HTTPS/443 |
| storage.googleapis.com | HTTPS/443 |
| msk8s.api.cdp.microsoft.com | HTTPS/443 |
| adhs.events.data.microsoft.com | HTTPS/443 |
| .events.data.microsoft.com | HTTPS/443 |
| graph.microsoft.com | HTTPS/443 |
| .login.microsoft.com | HTTPS/443 |
| mcr.microsoft.com | HTTPS/443 |
| .data.mcr.microsoft.com | HTTPS/443 |
| msk8s.sb.tlu.dl.delivery.mp.microsoft.com | HTTPS/443 |
| .prod.microsoftmetrics.com | HTTPS/443 |
| login.microsoftonline.com | HTTPS/443 |
| dc.services.visualstudio.com | HTTPS/443 |
| ctldl.windowsupdate.com | HTTP/80 |
| azurearcfork8s.azurecr.io | HTTPS/443 |
| ecpacr.azurecr.io | HTTPS/443 |
| hybridaks.azurecr.io | HTTPS/443 |
| kvamanagementoperator.azurecr.io | HTTPS/443 |
| linuxgeneva-microsoft.azurecr.io | HTTPS/443 |
| gcr.io | HTTPS/443 |
| aka.ms | HTTPS/443 |
| k8connecthelm.azureedge.net | HTTPS/443 |
| k8sconnectcsp.azureedge.net | HTTPS/443 |
| .blob.core.windows.net | HTTPS/443 |