AKS activé par Azure Arc sur les exigences réseau VMware (préversion)
S’applique à : AKS activé par Azure Arc sur VMware (préversion)
Cet article présente les concepts fondamentaux qui fournissent la mise en réseau de vos machines virtuelles et applications dans Azure Kubernetes Service (AKS) activés par Azure Arc sur VMware :
- Réseaux logiques pour AKS activés par les machines virtuelles Arc
- ADRESSE IP du plan de contrôle
- Équilibreurs de charge Kubernetes
Cet article décrit également les conditions préalables requises pour la création de clusters Kubernetes. Nous vous recommandons de travailler avec un administrateur réseau pour fournir et configurer les paramètres de mise en réseau requis pour déployer AKS.
Concepts réseau pour les clusters AKS
Vérifiez que vous configurez correctement la mise en réseau pour les composants suivants dans vos clusters Kubernetes :
- Machines virtuelles de cluster AKS
- ADRESSE IP du plan de contrôle AKS
- Équilibreur de charge pour les applications conteneurisées
Réseau pour les machines virtuelles de cluster AKS
Les nœuds Kubernetes sont déployés en tant que machines virtuelles spécialisées dans AKS. Ces machines virtuelles sont allouées aux adresses IP pour permettre la communication entre les nœuds Kubernetes. AKS utilise des segments de réseau logique VMware pour fournir des adresses IP et des réseaux pour les machines virtuelles sous-jacentes des clusters Kubernetes. Pour cette préversion, seuls les segments de réseau logique VMware basés sur DHCP sont pris en charge. Une fois le segment de réseau VMware fourni lors de la création du cluster AKS Arc, les adresses IP sont allouées dynamiquement aux machines virtuelles sous-jacentes des clusters Kubernetes.
ADRESSE IP du plan de contrôle
Kubernetes utilise un plan de contrôle pour garantir que chaque composant du cluster Kubernetes est conservé dans l’état souhaité. Le plan de contrôle gère également et gère les nœuds Worker qui contiennent les applications conteneurisées. AKS déploie l’équilibreur de charge KubeVIP pour s’assurer que l’adresse IP du serveur d’API du plan de contrôle Kubernetes est toujours disponible. Pour fonctionner correctement, cette instance KubeVIP nécessite une seule « adresse IP du plan de contrôle » immuable. L’adresse IP du plan de contrôle est un paramètre requis pour créer un cluster Kubernetes. Vous devez vous assurer que l’adresse IP du plan de contrôle d’un cluster Kubernetes ne chevauche aucune autre adresse IP. Les adresses IP qui se chevauchent peuvent entraîner des défaillances inattendues pour le cluster AKS et tout autre endroit où l’adresse IP est utilisée. Vous devez planifier la réserve d’une adresse IP par cluster Kubernetes dans votre environnement. Vérifiez que l’adresse IP du plan de contrôle est exclue de l’étendue de votre serveur DHCP.
Adresses IP de l’équilibreur de charge pour les applications conteneurisées
L’objectif principal d’un équilibreur de charge est de distribuer le trafic entre plusieurs nœuds dans un cluster Kubernetes. Cet équilibrage de charge peut aider à prévenir les temps d’arrêt et à améliorer les performances globales des applications. Pour cette préversion, vous devez apporter votre propre équilibreur de charge tiers ; par exemple, MetalLB. Vous devez également vous assurer que les adresses IP allouées à l’équilibreur de charge ne sont pas en conflit avec les adresses IP utilisées ailleurs. Les adresses IP en conflit peuvent entraîner des défaillances imprévues dans votre déploiement et vos applications AKS.
Planification des adresses IP pour les clusters et applications Kubernetes
Au minimum, vous devez disposer du nombre d’adresses IP disponibles par cluster Kubernetes. Le nombre réel d’adresses IP dépend du nombre de clusters Kubernetes, du nombre de nœuds de chaque cluster et du nombre de services et d’applications que vous souhaitez exécuter sur le cluster Kubernetes :
| Paramètre | Nombre minimal d’adresses IP |
|---|---|
| Segment de réseau logique VMware | Une adresse IP pour chaque nœud Worker de votre cluster Kubernetes. Par exemple, si vous souhaitez créer 3 pools de nœuds avec 3 nœuds dans chaque pool de nœuds, vous avez besoin de 9 adresses IP disponibles à partir de votre serveur DHCP. |
| ADRESSE IP du plan de contrôle | Réservez une adresse IP pour chaque cluster Kubernetes dans votre environnement. Par exemple, si vous devez créer 5 clusters au total, vous devez réserver 5 adresses IP, une pour chaque cluster Kubernetes. Ces 5 adresses IP doivent être en dehors de l’étendue de votre serveur DHCP. |
| Adresses IP de l’équilibreur de charge | Le nombre d’adresses IP réservées dépend de votre modèle de déploiement d’application. En guise de point de départ, vous pouvez réserver une adresse IP pour chaque service Kubernetes. |
Paramètres du proxy
Pour cette préversion, la création de clusters AKS Arc dans un environnement VMware avec proxy n’est pas prise en charge.
Exceptions d’URL de pare-feu
Pour plus d’informations sur la liste verte du pare-feu/proxy Azure Arc, consultez la configuration réseau requise pour le pont des ressources Azure Arc.
Pour le déploiement et le fonctionnement des clusters Kubernetes, les URL suivantes doivent être accessibles à partir de tous les nœuds physiques et machines virtuelles du déploiement. Vérifiez que ces URL sont autorisées dans votre configuration de pare-feu :
| URL | Port |
|---|---|
| .dp.prod.appliances.azure.com | HTTPS/443 |
| .eus.his.arc.azure.com | HTTPS/443 |
| guestnotificationservice.azure.com | HTTPS/443 |
| .dp.kubernetesconfiguration.azure.com | HTTPS/443 |
| management.azure.com | HTTPS/443 |
| raw.githubusercontent.com | HTTPS/443 |
| storage.googleapis.com | HTTPS/443 |
| msk8s.api.cdp.microsoft.com | HTTPS/443 |
| adhs.events.data.microsoft.com | HTTPS/443 |
| .events.data.microsoft.com | HTTPS/443 |
| graph.microsoft.com | HTTPS/443 |
| .login.microsoft.com | HTTPS/443 |
| mcr.microsoft.com | HTTPS/443 |
| .data.mcr.microsoft.com | HTTPS/443 |
| msk8s.sb.tlu.dl.delivery.mp.microsoft.com | HTTPS/443 |
| .prod.microsoftmetrics.com | HTTPS/443 |
| login.microsoftonline.com | HTTPS/443 |
| dc.services.visualstudio.com | HTTPS/443 |
| ctldl.windowsupdate.com | HTTP/80 |
| azurearcfork8s.azurecr.io | HTTPS/443 |
| ecpacr.azurecr.io | HTTPS/443 |
| hybridaks.azurecr.io | HTTPS/443 |
| kvamanagementoperator.azurecr.io | HTTPS/443 |
| linuxgeneva-microsoft.azurecr.io | HTTPS/443 |
| gcr.io | HTTPS/443 |
| aka.ms | HTTPS/443 |
| k8connecthelm.azureedge.net | HTTPS/443 |
| k8sconnectcsp.azureedge.net | HTTPS/443 |
| .blob.core.windows.net | HTTPS/443 |