Azure Arc ネットワーク要件で有効になっている AKS
適用対象: Azure Local バージョン 23H2
この記事では、Azure Arc で有効になっている AKS の VM とアプリケーションのコア ネットワークの概念について説明します。この記事では、Kubernetes クラスターを作成するために必要なネットワークの前提条件についても説明します。 ネットワーク管理者と協力して、Arc で有効にされた AKS のデプロイに必要なネットワーク パラメーターを指定して設定することをお勧めします。
この概念記事では、次の主要なコンポーネントについて説明します。 AKS Arc クラスターとアプリケーションを正常に作成して動作させるには、これらのコンポーネントに静的 IP アドレスが必要です。
- AKS Arc VM とコントロール プレーン IP の論理ネットワーク
- コンテナー化されたアプリケーションのロード バランサー
AKS Arc VM とコントロール プレーン IP の論理ネットワーク
Kubernetes ノードは、Arc によって有効になっている AKS に特殊な仮想マシンとしてデプロイされます。これらの VM には、Kubernetes ノード間の通信を可能にするために IP アドレスが割り当てられます。 AKS Arc は、Azure ローカル論理ネットワークを使用して、Kubernetes クラスターの基になる VM の IP アドレスとネットワークを提供します。 論理ネットワークの詳細については、「 Azure Local の論理ネットワークを参照してください。 Azure ローカル環境の AKS クラスター ノード VM ごとに 1 つの IP アドレスを予約する必要があります。
Note
静的 IP は、AKS Arc VM に IP アドレスを割り当てるためにサポートされている唯一のモードです。 これは、Kubernetes クラスターのライフサイクル全体を通して Kubernetes ノードに割り当てられた IP アドレスが一定である必要があるためです。 ソフトウェア定義の仮想ネットワークと SDN 関連の機能は、現在、AKS on Azure Local バージョン 23H2 ではサポートされていません。
AKS Arc クラスターの作成操作に論理ネットワークを使用するには、次のパラメーターが必要です。
論理ネットワーク パラメーター | 説明 | AKS Arc クラスターに必要なパラメーター |
---|---|---|
--address-prefixes |
ネットワークの AddressPrefix。 現在サポートされているアドレス プレフィックスは 1 つだけです。 使用方法: --address-prefixes "10.220.32.16/24" 。 |
|
--dns-servers |
DNS サーバーの IP アドレスのスペース区切りの一覧。 使用方法: --dns-servers 10.220.32.16 10.220.32.17 。 |
|
--gateway |
ゲートウェイ。 ゲートウェイ IP アドレスは、アドレス プレフィックスのスコープ内にある必要があります。 使用方法: --gateway 10.220.32.16 。 |
|
--ip-allocation-method |
IP アドレスの割り当て方法。 サポートされている値は "Static" です。 使用方法: --ip-allocation-method "Static" 。 |
|
--vm-switch-name |
VM スイッチの名前。 使用方法: --vm-switch-name "vm-switch-01" 。 |
|
--ip-pool-start |
L2/ARP モードで MetalLB またはその他のサード パーティ製ロード バランサーを使用する場合は、IP プールを使用して、AKS Arc IP 要件をロード バランサー IP から分離することを強くお勧めします。 この推奨事項は、意図しない、診断が困難なエラーにつながる可能性がある IP アドレスの競合を回避するために役立ちます。 この値は、IP プールの開始 IP アドレスです。 アドレスは、アドレス プレフィックスの範囲内である必要があります。 使用方法: --ip-pool-start "10.220.32.18" 。 |
省略可能ですが、強くお勧めします。 |
--ip-pool-end |
L2/ARP モードで MetalLB またはその他のサード パーティ製ロード バランサーを使用する場合は、IP プールを使用して、AKS Arc IP 要件をロード バランサー IP から分離することを強くお勧めします。 この推奨事項は、意図しない、診断が困難なエラーにつながる可能性がある IP アドレスの競合を回避するために役立ちます。 この値は、IP プールの終了 IP アドレスです。 アドレスは、アドレス プレフィックスの範囲内である必要があります。 使用方法: --ip-pool-end "10.220.32.38" 。 |
省略可能ですが、強くお勧めします。 |
コントロール プレーン IP
Kubernetes はコントロール プレーンを使用して、Kubernetes クラスター内のすべてのコンポーネントが目的の状態に保たれるようにします。 コントロール プレーンでは、コンテナー化されたアプリケーションを保持するワーカー ノードも管理および維持されます。 Arc によって有効になっている AKS では、KubeVIP ロード バランサーがデプロイされ、Kubernetes コントロール プレーンの API サーバー IP アドレスが常に使用可能になります。 この KubeVIP インスタンスが正しく機能するには、変更できない "コントロール プレーン IP アドレス" が 1 つ必要です。 AKS Arc は、Kubernetes クラスターの作成操作中に渡された論理ネットワークからコントロール プレーン IP を自動的に選択します。
コントロール プレーン IP を渡すオプションもあります。 このような場合、コントロール プレーン IP は論理ネットワークのアドレス プレフィックスのスコープ内にある必要があります。 コントロール プレーンの IP アドレスが、Arc VM 論理ネットワーク、インフラストラクチャ ネットワーク IP、ロード バランサーなど、他の IP アドレスと重複しないようにする必要があります。IP アドレスが重複すると、AKS クラスターと、IP アドレスが使用されているその他の場所の両方で予期しないエラーが発生する可能性があります。 環境内の Kubernetes クラスターごとに 1 つの IP アドレスを予約する必要があります。
コンテナー化されたアプリケーションのロード バランサー IP
ロード バランサーの主な目的は、Kubernetes クラスター内の複数のノードにトラフィックを分散することです。 この負荷分散は、ダウンタイムを防ぎ、アプリケーションの全体的なパフォーマンスを向上させるのに役立ちます。 AKS では、Kubernetes クラスターのロード バランサーをデプロイするための次のオプションがサポートされています。
- Azure Arc 対応 Kubernetes 用の MetalLB の拡張機能をデプロイ。
- 独自のサード パーティ製ロード バランサーを持ち込みます。
MetalLB の Arc 拡張機能を選択する場合でも、独自のロード バランサーを使用する場合でも、ロード バランサー サービスに一連の IP アドレスを指定する必要があります。 次のようなオプションがあります。
- AKS Arc VM と同じサブネットからサービスの IP アドレスを指定します。
- アプリケーションで外部負荷分散が必要な場合は、別のネットワークと IP アドレスの一覧を使用します。
選択したオプションに関係なく、ロード バランサーに割り当てられた IP アドレスが論理ネットワーク内の IP アドレスと競合しないようにする必要があります。 IP アドレスが競合すると、AKS のデプロイとアプリケーションで予期しないエラーが発生する可能性があります。
プロキシの設定
AKS のプロキシ設定は、基になるインフラストラクチャ システムから継承されます。 Kubernetes クラスターの個々のプロキシ設定を設定し、プロキシ設定を変更する機能はまだサポートされていません。 プロキシを正しく設定する方法の詳細については、Azure Local の proxy 要件を参照してください。
ファイアウォール URL の例外
AKS のファイアウォール要件は、Azure ローカル ファイアウォールの要件と統合されています。 AKS の正常なデプロイを許可する必要がある URL の一覧については、「 Azure ローカル ファイアウォールの要件 を参照してください。
DNS サーバー設定
論理ネットワークの DNS サーバーが Azure ローカル クラスターの FQDN を解決できることを確認する必要があります。 すべての Azure ローカル ノードが AKS VM ノードと通信できるようにするには、DNS の名前解決が必要です。
ネットワーク ポートとクロス VLAN の要件
Azure Local をデプロイするときは、管理ネットワークのサブネットに少なくとも ix 静的 IP アドレスの連続したブロックを割り当てます物理マシンで既に使用されているアドレスを省略します。 これらの IP は、Arc VM 管理と AKS Arc 用の Azure ローカルおよび内部インフラストラクチャ (Arc リソース ブリッジ) によって使用されます。Arc Resource Bridge 関連の Azure Local サービスに IP アドレスを提供する管理ネットワークが、AKS クラスターの作成に使用した論理ネットワークとは異なる VLAN 上にある場合は、AKS クラスターを正常に作成して運用するために、次のポートが開かれていることを確認する必要があります。
宛先ポート | 宛先 | ソース | 説明 | クロス VLAN ネットワークに関する注意事項 |
---|---|---|---|---|
22 | AKS Arc VM に使用される論理ネットワーク | 管理ネットワーク内の IP アドレス | トラブルシューティングのためにログを収集するために必要です。 | 個別の VLAN を使用する場合、Azure Local と Arc Resource Bridge に使用される管理ネットワーク内の IP アドレスは、このポート上の AKS Arc クラスター VM にアクセスする必要があります。 |
6443 | AKS Arc VM に使用される論理ネットワーク | 管理ネットワーク内の IP アドレス | Kubernetes API と通信するために必要です。 | 個別の VLAN を使用する場合、Azure Local と Arc Resource Bridge に使用される管理ネットワーク内の IP アドレスは、このポート上の AKS Arc クラスター VM にアクセスする必要があります。 |
55000 | 管理ネットワーク内の IP アドレス | AKS Arc VM に使用される論理ネットワーク | Cloud Agent gRPC サーバー | 個別の VLAN を使用する場合、AKS Arc VM は、このポートのクラウド エージェント IP とクラスター IP に使用される管理ネットワーク内の IP アドレスにアクセスする必要があります。 |
65000 | 管理ネットワーク内の IP アドレス | AKS Arc VM に使用される論理ネットワーク | Cloud Agent gRPC 認証 | 個別の VLAN を使用する場合、AKS Arc VM は、このポートのクラウド エージェント IP とクラスター IP に使用される管理ネットワーク内の IP アドレスにアクセスする必要があります。 |