Azure CNI ネットワークの概要
Kubernetes ではさまざまなプラグインがサポートされており、新機能を追加したり、既存のクラスターの動作を置き換えたり強化したりできます。 Container Network Interface (CNI) は、開発者がコンテナー ネットワークを構成するためのプラグインを作成できるようにする仕様です。 Kubernetes は CNI 仕様を適用して、クラスターで CNI プラグインを使用できるようにします。
Azure CNI プラグイン
Azure CNI プラグインを使用すると、コンテナーと Azure 仮想ネットワーク (VNet) 間のコラボレーションが可能になります。 Kubernetes クラスターで Azure CNI を使用すると、Azure 仮想ネットワークからポッドに IP アドレスを割り当てることができます。 その後、そのポッドは他のデバイスと同様に、その仮想ネットワーク上で通信できるようになります。 これは、VPN または ExpressRoute を使用して、他のポッド、ピアリングされたネットワーク、オンプレミス ネットワークに接続することも、Private Link を使用して他の Azure サービスに接続することもできます。
従来の Azure CNI プラグインに加えて、Azure Kubernetes Service (AKS) では次の CNI プラグインがサポートされています。
| プラグイン | 説明 | いつ使用するか |
|---|---|---|
| Azure CNI オーバーレイ | クラスター ノードは、Azure 仮想ネットワーク サブネットにデプロイされます。 ポッドには、ノードをホストする仮想ネットワークとは論理的に異なるプライベート CIDR (クラスレス ドメイン間ルーティング) から IP アドレスが割り当てられます。 クラスター内のポッドとノードのトラフィックは、オーバーレイ ネットワークを使用します。 NAT は、ノードの IP アドレスを使用して、クラスターの外部のリソースに到達します。 | • スケーリングしてポッドの数を増やしたいが、仮想ネットワーク内の IP アドレス空間が限られている。 • ポッドのほとんどの通信がクラスター内で行われる。 • 仮想ノードなどの高度な AKS 機能を使用する必要がない。 |
| Azure CNI Powered by Cilium | Azure CNI コントロール プレーンと Cilium データ プレーンを組み合わせます。 Cilium では、ポッド間のトラフィックを許可または拒否するネットワーク ポリシーが適用されるため、別のネットワーク ポリシー エンジンを使用する必要はありません。 ポッド IP を割り当てるには、オーバーレイ ネットワークまたは仮想ネットワーク経由の 2 つの異なる方法から選択できます。 | • より大規模なクラスターのサポートを必要としている。 • サービス ルーティングの高速化、より効率的なネットワーク ポリシーの適用、クラスター トラフィックの監視の向上を必要としている。 • 高性能のネットワークとセキュリティで、従来の Azure CNI と Azure CNI オーバーレイ プラグインの機能を使いたい。 |
| IP の動的割り当てと拡張サブネットのサポートのための Azure CNI | 従来の Azure CNI プラグインの機能を使い、それらを拡張して、AKS クラスターをホストしているサブネットとは別のサブネットからポッド IP を割り当てます。 IP は、ポッド サブネットからクラスター ポッドに動的に割り当てられます。 ノードとポッドのサブネットは個別にスケーリングでき、同じ仮想ネットワーク内の複数のノード プールまたはクラスターの間でポッド サブネットを共有できます。 ポッドには個別のサブネットがあるため、ノード ポリシーとは異なる個別の仮想ネットワーク ポリシーをそれらに構成できます。 | • ノードとポッド サブネットを個別に拡張できる柔軟性を必要としている。 • パフォーマンスを犠牲にすることなく、より大規模なクラスターをサポートする必要がある。 • ポッド用に個別の仮想ネットワーク ポリシーを構成したい。 |
| Bring Your Own (BYO) CNI | AKS クラスターは、プレインストールされている CNI プラグインなしでデプロイされます。 そこから、Azure でサポートされている、Microsoft 製ではない好みの CNI プラグインをインストールできます。 「Azure Kubernetes Service (AKS) でのアプリケーションに対するネットワークの概念」をご覧ください。 Microsoft サポートは、BYO CNI でデプロイされたクラスター内の CNI 関連の問題を支援できないことに注意してください。 | • オンプレミスの Kubernetes 環境で使用するのと同じ CNI プラグインを AKS で使用したい。 • サポートされている Microsoft 製ではないプラグインで利用できる高度な機能を使いたい。 |