Azure Arc on VMware ネットワーク要件で有効になっている AKS (プレビュー)
適用対象: Azure Arc on VMware で有効になっている AKS (プレビュー)
この記事では、VMware 上の Azure Arc によって有効になっている Azure Kubernetes Service (AKS) の VM とアプリケーションにネットワークを提供する主要な概念について説明します。
- Arc VM で有効になっている AKS の論理ネットワーク
- コントロール プレーン IP
- Kubernetes ロード バランサー
この記事では、Kubernetes クラスターを作成するために必要なネットワークの前提条件についても説明します。 ネットワーク管理者と協力して、AKS のデプロイに必要なネットワーク パラメーターを指定して設定することをお勧めします。
AKS クラスターのネットワークの概念
Kubernetes クラスターで次のコンポーネントのネットワークを正しく設定していることを確認します。
- AKS クラスター VM
- AKS コントロール プレーン IP
- コンテナー化されたアプリケーションのロード バランサー
AKS クラスター VM のネットワーク
Kubernetes ノードは、AKS に特殊な仮想マシンとしてデプロイされます。 これらの VM には、Kubernetes ノード間の通信を可能にするために IP アドレスが割り当てられます。 AKS では、VMware 論理ネットワーク セグメントを使用して、Kubernetes クラスターの基になる VM の IP アドレスとネットワークを提供します。 このプレビューでは、DHCP ベースの VMware 論理ネットワーク セグメントのみがサポートされます。 AKS Arc クラスターの作成時に VMware ネットワーク セグメントが提供されると、IP アドレスは Kubernetes クラスターの基になる VM に動的に割り当てられます。
コントロール プレーン IP
Kubernetes はコントロール プレーンを使用して、Kubernetes クラスター内のすべてのコンポーネントが目的の状態に保たれるようにします。 コントロール プレーンでは、コンテナー化されたアプリケーションを保持するワーカー ノードも管理および維持されます。 AKS は KubeVIP ロード バランサーをデプロイして、Kubernetes コントロール プレーンの API サーバー IP アドレスを常に使用できるようにします。 この KubeVIP インスタンスが正しく機能するには、変更できない単一の "コントロール プレーン IP アドレス" が必要です。コントロール プレーン IP は、Kubernetes クラスターを作成するために必要なパラメーターです。 Kubernetes クラスターのコントロール プレーン IP アドレスが他の IP アドレスと重複しないようにする必要があります。 IP アドレスが重複すると、AKS クラスターとその他の IP アドレスが使用されている場所の両方で予期しないエラーが発生する可能性があります。 環境内の Kubernetes クラスターごとに 1 つの IP アドレスを予約する必要があります。 コントロール プレーンの IP アドレスが DHCP サーバーのスコープから除外されていることを確認します。
コンテナー化されたアプリケーションのロード バランサー IP
ロード バランサーの主な目的は、Kubernetes クラスター内の複数のノードにトラフィックを分散することです。 この負荷分散は、ダウンタイムを防ぎ、アプリケーションの全体的なパフォーマンスを向上させるのに役立ちます。 このプレビューでは、独自のサード パーティのロード バランサーを持ち込む必要があります。たとえば、 MetalLB などです。 また、ロード バランサーに割り当てられた IP アドレスが、他の場所で使用されている IP アドレスと競合しないようにする必要があります。 IP アドレスが競合すると、AKS のデプロイとアプリケーションで予期しないエラーが発生する可能性があります。
Kubernetes クラスターとアプリケーションの IP アドレス計画
少なくとも、Kubernetes クラスターごとに次の数の IP アドレスを使用できる必要があります。 実際の IP アドレスの数は、Kubernetes クラスターの数、各クラスター内のノードの数、および Kubernetes クラスターで実行するサービスとアプリケーションの数によって異なります。
| パラメーター | IP アドレスの最小数 |
|---|---|
| VMware 論理ネットワーク セグメント | Kubernetes クラスター内のすべてのワーカー ノードに対して 1 つの IP アドレス。 たとえば、各ノード プールに 3 つのノードを含む 3 つのノード プールを作成する場合は、DHCP サーバーから 9 つの使用可能な IP アドレスが必要です。 |
| コントロール プレーン IP | 環境内の Kubernetes クラスターごとに 1 つの IP アドレスを予約します。 たとえば、合計で 5 つのクラスターを作成する必要がある場合は、Kubernetes クラスターごとに 1 つずつ、5 つの IP アドレスを予約する必要があります。 これらの 5 つの IP アドレスは、DHCP サーバーの範囲外である必要があります。 |
| ロード バランサー IP | 予約されている IP アドレスの数は、アプリケーションのデプロイ モデルによって異なります。 開始点として、Kubernetes サービスごとに 1 つの IP アドレスを予約できます。 |
プロキシの設定
このプレビューでは、プロキシが有効な VMware 環境での AKS Arc クラスターの作成はサポートされていません。
ファイアウォール URL の例外
Azure Arc ファイアウォール/プロキシ URL 許可リストの詳細については、 Azure Arc リソース ブリッジのネットワーク要件を参照してください。
Kubernetes クラスターのデプロイと操作では、デプロイ内のすべての物理ノードと仮想マシンから次の URL に到達できる必要があります。 ファイアウォール構成で次の URL が許可されていることを確認します。
| URL | ポート |
|---|---|
| .dp.prod.appliances.azure.com | HTTPS/443 |
| .eus.his.arc.azure.com | HTTPS/443 |
| guestnotificationservice.azure.com | HTTPS/443 |
| .dp.kubernetesconfiguration.azure.com | HTTPS/443 |
| management.azure.com | HTTPS/443 |
| raw.githubusercontent.com | HTTPS/443 |
| storage.googleapis.com | HTTPS/443 |
| msk8s.api.cdp.microsoft.com | HTTPS/443 |
| adhs.events.data.microsoft.com | HTTPS/443 |
| .events.data.microsoft.com | HTTPS/443 |
| graph.microsoft.com | HTTPS/443 |
| .login.microsoft.com | HTTPS/443 |
| mcr.microsoft.com | HTTPS/443 |
| .data.mcr.microsoft.com | HTTPS/443 |
| msk8s.sb.tlu.dl.delivery.mp.microsoft.com | HTTPS/443 |
| .prod.microsoftmetrics.com | HTTPS/443 |
| login.microsoftonline.com | HTTPS/443 |
| dc.services.visualstudio.com | HTTPS/443 |
| ctldl.windowsupdate.com | HTTP/80 |
| azurearcfork8s.azurecr.io | HTTPS/443 |
| ecpacr.azurecr.io | HTTPS/443 |
| hybridaks.azurecr.io | HTTPS/443 |
| kvamanagementoperator.azurecr.io | HTTPS/443 |
| linuxgeneva-microsoft.azurecr.io | HTTPS/443 |
| gcr.io | HTTPS/443 |
| aka.ms | HTTPS/443 |
| k8connecthelm.azureedge.net | HTTPS/443 |
| k8sconnectcsp.azureedge.net | HTTPS/443 |
| .blob.core.windows.net | HTTPS/443 |