AKS activé par la configuration réseau requise pour Azure Arc
S’applique à : Azure Local, version 23H2
Cet article présente les concepts de mise en réseau de base pour vos machines virtuelles et applications dans AKS activés par Azure Arc. L’article décrit également les conditions préalables requises pour la création de clusters Kubernetes. Nous vous recommandons de travailler avec un administrateur réseau pour fournir et configurer les paramètres de mise en réseau requis pour déployer AKS activé par Arc.
Dans cet article conceptuel, les composants clés suivants sont introduits. Ces composants ont besoin d’une adresse IP statique pour que le cluster et les applications AKS Arc créent et fonctionnent correctement :
- Réseau logique pour les machines virtuelles AKS Arc et l’adresse IP du plan de contrôle
- Équilibreur de charge pour les applications conteneurisées
Réseaux logiques pour les machines virtuelles AKS Arc et l’adresse IP du plan de contrôle
Les nœuds Kubernetes sont déployés en tant que machines virtuelles spécialisées dans AKS activées par Arc. Ces machines virtuelles sont allouées aux adresses IP pour permettre la communication entre les nœuds Kubernetes. AKS Arc utilise des réseaux logiques locaux Azure pour fournir des adresses IP et des réseaux pour les machines virtuelles sous-jacentes des clusters Kubernetes. Pour plus d’informations sur les réseaux logiques, consultez Réseaux logiques pour Azure Local. Vous devez planifier la réserve d’une adresse IP par machine virtuelle de nœud de cluster AKS dans votre environnement local Azure.
Remarque
L’adresse IP statique est le seul mode pris en charge pour l’attribution d’une adresse IP aux machines virtuelles AKS Arc. Cela est dû au fait que Kubernetes exige que l’adresse IP affectée à un nœud Kubernetes soit constante tout au long du cycle de vie du cluster Kubernetes. Les réseaux virtuels définis par logiciel et les fonctionnalités associées au SDN ne sont actuellement pas pris en charge sur AKS sur Azure Local, version 23H2.
Les paramètres suivants sont requis pour utiliser un réseau logique pour l’opération de création de cluster AKS Arc :
| Paramètre réseau logique | Description | Paramètre requis pour le cluster AKS Arc |
|---|---|---|
--address-prefixes |
AddressPrefix pour le réseau. Actuellement, seul 1 préfixe d’adresse est pris en charge. Utilisation : --address-prefixes "10.220.32.16/24". |
 |
--dns-servers |
Liste séparée par l’espace des adresses IP du serveur DNS. Utilisation : --dns-servers 10.220.32.16 10.220.32.17. |
|
--gateway |
Passerelle. L’adresse IP de la passerelle doit se trouver dans l’étendue du préfixe d’adresse. Utilisation : --gateway 10.220.32.16. |
|
--ip-allocation-method |
Méthode d’allocation d’adresses IP. Les valeurs prises en charge sont « Static ». Utilisation : --ip-allocation-method "Static". |
|
--vm-switch-name |
Nom du commutateur de machine virtuelle. Utilisation : --vm-switch-name "vm-switch-01". |
|
--ip-pool-start |
Si vous utilisez MetalLB ou un autre équilibreur de charge tiers en mode L2/ARP, nous vous recommandons vivement d’utiliser des pools IP pour séparer les exigences IP AKS Arc des adresses IP de l’équilibreur de charge. Cette recommandation est d’éviter les conflits d’adresses IP qui peuvent entraîner des défaillances involontaires et difficiles à diagnostiquer. Cette valeur est l’adresse IP de début de votre pool d’adresses IP. L’adresse doit se trouver dans la plage du préfixe d’adresse. Utilisation : --ip-pool-start "10.220.32.18". |
Facultatif, mais fortement recommandé. |
--ip-pool-end |
Si vous utilisez MetalLB ou un autre équilibreur de charge tiers en mode L2/ARP, nous vous recommandons vivement d’utiliser des pools IP pour séparer les exigences IP AKS Arc des adresses IP de l’équilibreur de charge. Cette recommandation est d’éviter les conflits d’adresses IP qui peuvent entraîner des défaillances involontaires et difficiles à diagnostiquer. Cette valeur est l’adresse IP de fin de votre pool d’adresses IP. L’adresse doit se trouver dans la plage du préfixe d’adresse. Utilisation : --ip-pool-end "10.220.32.38". |
Facultatif, mais fortement recommandé. |
ADRESSE IP du plan de contrôle
Kubernetes utilise un plan de contrôle pour garantir que chaque composant du cluster Kubernetes est conservé dans l’état souhaité. Le plan de contrôle gère également et gère les nœuds Worker qui contiennent les applications conteneurisées. AKS activé par Arc déploie l’équilibreur de charge KubeVIP pour vous assurer que l’adresse IP du serveur d’API du plan de contrôle Kubernetes est disponible à tout moment. Cette instance KubeVIP nécessite une seule « adresse IP du plan de contrôle » immuable pour fonctionner correctement. AKS Arc choisit automatiquement une adresse IP de plan de contrôle pour vous à partir du réseau logique passé pendant l’opération de création du cluster Kubernetes.
Vous avez également la possibilité de passer une adresse IP de plan de contrôle. Dans ce cas, l’adresse IP du plan de contrôle doit se trouver dans l’étendue du préfixe d’adresse du réseau logique. Vous devez vous assurer que l’adresse IP du plan de contrôle ne chevauche rien d’autre, notamment les réseaux logiques de machine virtuelle Arc, les adresses IP réseau d’infrastructure, les équilibreurs de charge, etc. Les adresses IP qui se chevauchent peuvent entraîner des défaillances inattendues pour le cluster AKS et tout autre endroit où l’adresse IP est utilisée. Vous devez planifier la réserve d’une adresse IP par cluster Kubernetes dans votre environnement.
Adresses IP de l’équilibreur de charge pour les applications conteneurisées
L’objectif principal d’un équilibreur de charge est de distribuer le trafic entre plusieurs nœuds dans un cluster Kubernetes. Cet équilibrage de charge peut aider à prévenir les temps d’arrêt et à améliorer les performances globales des applications. AKS prend en charge les options suivantes pour déployer un équilibreur de charge pour votre cluster Kubernetes :
- Déployer l’extension pour MetalLB pour Kubernetes avec Azure Arc.
- Apportez votre propre équilibreur de charge tiers.
Que vous choisissiez l’extension Arc pour MetalLB ou apportez votre propre équilibreur de charge, vous devez fournir un ensemble d’adresses IP au service d’équilibreur de charge. Les options suivantes s’offrent à vous :
- Fournissez des adresses IP pour vos services à partir du même sous-réseau que les machines virtuelles AKS Arc.
- Utilisez un autre réseau et une liste d’adresses IP si votre application a besoin d’un équilibrage de charge externe.
Quelle que soit l’option que vous choisissez, vous devez vous assurer que les adresses IP allouées à l’équilibreur de charge ne sont pas en conflit avec les adresses IP du réseau logique. Les adresses IP en conflit peuvent entraîner des défaillances imprévues dans votre déploiement et vos applications AKS.
Paramètres du proxy
Les paramètres de proxy dans AKS sont hérités du système d’infrastructure sous-jacent. La fonctionnalité permettant de définir des paramètres de proxy individuels pour les clusters Kubernetes et de modifier les paramètres de proxy n’est pas encore prise en charge. Pour plus d’informations sur la façon de définir le proxy correctement, consultez la configuration requise pour le proxy local Azure.
Exceptions d’URL de pare-feu
Les exigences de pare-feu pour AKS ont été consolidées avec les exigences du pare-feu local Azure. Consultez la configuration requise pour le pare-feu local Azure pour obtenir la liste des URL qui doivent être autorisées à déployer AKS.
Paramètres du serveur DNS
Vous devez vous assurer que le serveur DNS du réseau logique peut résoudre le nom de domaine complet du cluster local Azure. La résolution de noms DNS est requise pour que tous les nœuds locaux Azure puissent communiquer avec les nœuds de machine virtuelle AKS.
Configuration requise pour le port réseau et les réseaux locaux virtuels
Lorsque vous déployez Azure Local, vous allouez un bloc contigu d’au moins six adresses IP statiques sur le sous-réseau de votre réseau de gestion, omettant les adresses déjà utilisées par les machines physiques. Ces adresses IP sont utilisées par l’infrastructure locale et interne Azure (Arc Resource Bridge) pour la gestion des machines virtuelles Arc et AKS Arc. Si votre réseau de gestion qui fournit des adresses IP aux services Locaux Azure Liés à Arc Resource Bridge se trouve sur un réseau local virtuel différent du réseau logique que vous avez utilisé pour créer des clusters AKS, vous devez vous assurer que les ports suivants sont ouverts pour créer et exploiter correctement un cluster AKS.
| Port de destination | Destination | Source | Description | Notes de mise en réseau entre réseaux locaux virtuels |
|---|---|---|---|---|
| 22 | Réseau logique utilisé pour les machines virtuelles AKS Arc | Adresses IP dans le réseau de gestion | Requis pour collecter les journaux pour la résolution des problèmes. | Si vous utilisez des réseaux locaux virtuels distincts, les adresses IP du réseau de gestion utilisés pour Azure Local et Arc Resource Bridge doivent accéder aux machines virtuelles de cluster AKS Arc sur ce port. |
| 6443 | Réseau logique utilisé pour les machines virtuelles AKS Arc | Adresses IP dans le réseau de gestion | Requis pour communiquer avec les API Kubernetes. | Si vous utilisez des réseaux locaux virtuels distincts, les adresses IP du réseau de gestion utilisés pour Azure Local et Arc Resource Bridge doivent accéder aux machines virtuelles de cluster AKS Arc sur ce port. |
| 55000 | Adresses IP dans le réseau de gestion | Réseau logique utilisé pour les machines virtuelles AKS Arc | Serveur gRPC de l’Agent cloud | Si vous utilisez des réseaux locaux virtuels distincts, les machines virtuelles AKS Arc doivent accéder aux adresses IP dans le réseau de gestion utilisé pour l’adresse IP de l’agent cloud et l’adresse IP du cluster sur ce port. |
| 65000 | Adresses IP dans le réseau de gestion | Réseau logique utilisé pour les machines virtuelles AKS Arc | Authentification gRPC de l’Agent cloud | Si vous utilisez des réseaux locaux virtuels distincts, les machines virtuelles AKS Arc doivent accéder aux adresses IP dans le réseau de gestion utilisé pour l’adresse IP de l’agent cloud et l’adresse IP du cluster sur ce port. |