AKS ingeschakeld door Azure Arc-netwerkvereisten
Van toepassing op: Azure Local, versie 23H2
In dit artikel worden de belangrijkste netwerkconcepten voor uw VM's en toepassingen in AKS geïntroduceerd die zijn ingeschakeld door Azure Arc. In het artikel worden ook de vereiste netwerkvereisten beschreven voor het maken van Kubernetes-clusters. U wordt aangeraden samen te werken met een netwerkbeheerder om de netwerkparameters op te geven en in te stellen die vereist zijn voor het implementeren van AKS die door Arc zijn ingeschakeld.
In dit conceptuele artikel worden de volgende belangrijke onderdelen geïntroduceerd. Deze onderdelen hebben een statisch IP-adres nodig om het AKS Arc-cluster en de toepassingen succesvol te kunnen maken en gebruiken:
- Logisch netwerk voor AKS Arc-VM's en IP-adres van besturingsvlak
- Load balancer voor containertoepassingen
Logische netwerken voor AKS Arc-VM's en IP-adres van besturingsvlak
Kubernetes-knooppunten worden geïmplementeerd als gespecialiseerde virtuele machines in AKS die zijn ingeschakeld door Arc. Deze VM's worden toegewezen IP-adressen om communicatie tussen Kubernetes-knooppunten mogelijk te maken. AKS Arc maakt gebruik van logische Netwerken van Azure om IP-adressen en netwerken te bieden voor de onderliggende VM's van de Kubernetes-clusters. Zie Logische netwerken voor Azure Local voor meer informatie over logische netwerken. U moet één IP-adres per AKS-clusterknooppunt-VM reserveren in uw lokale Azure-omgeving.
Notitie
Statisch IP is de enige ondersteunde modus voor het toewijzen van een IP-adres aan AKS Arc-VM's. Dit komt doordat Kubernetes vereist dat het IP-adres dat is toegewezen aan een Kubernetes-knooppunt, constant is gedurende de levenscyclus van het Kubernetes-cluster. Software-gedefinieerde virtuele netwerken en SDN-gerelateerde functies worden momenteel niet ondersteund op AKS in Azure Local, versie 23H2.
De volgende parameters zijn vereist voor het gebruik van een logisch netwerk voor het maken van AKS Arc-clusters:
| Parameter logisch netwerk | Beschrijving | Vereiste parameter voor AKS Arc-cluster |
|---|---|---|
--address-prefixes |
AddressPrefix voor het netwerk. Op dit moment wordt slechts 1 adresvoorvoegsel ondersteund. Gebruik: --address-prefixes "10.220.32.16/24". |
 |
--dns-servers |
Door ruimte gescheiden lijst met IP-adressen van DNS-servers. Gebruik: --dns-servers 10.220.32.16 10.220.32.17. |
|
--gateway |
Gateway. Het IP-adres van de gateway moet binnen het bereik van het adresvoorvoegsel vallen. Gebruik: --gateway 10.220.32.16. |
|
--ip-allocation-method |
De toewijzingsmethode voor IP-adressen. Ondersteunde waarden zijn 'Statisch'. Gebruik: --ip-allocation-method "Static". |
|
--vm-switch-name |
De naam van de VM-switch. Gebruik: --vm-switch-name "vm-switch-01". |
|
--ip-pool-start |
Als u MetalLB of een andere load balancer van derden gebruikt in de L2/ARP-modus, raden we u ten zeerste aan IP-adresgroepen van AKS Arc te scheiden van IP-adressen van load balancers. Deze aanbeveling is om conflicten met IP-adressen te voorkomen die kunnen leiden tot onbedoelde en moeilijk te diagnosticeren fouten. Deze waarde is het begin-IP-adres van uw IP-groep. Het adres moet zich in het bereik van het adresvoorvoegsel bevinden. Gebruik: --ip-pool-start "10.220.32.18". |
Optioneel, maar sterk aanbevolen. |
--ip-pool-end |
Als u MetalLB of een andere load balancer van derden gebruikt in de L2/ARP-modus, raden we u ten zeerste aan IP-adresgroepen van AKS Arc te scheiden van IP-adressen van load balancers. Deze aanbeveling is om conflicten met IP-adressen te voorkomen die kunnen leiden tot onbedoelde en moeilijk te diagnosticeren fouten. Deze waarde is het eind-IP-adres van uw IP-adres. Het adres moet zich in het bereik van het adresvoorvoegsel bevinden. Gebruik: --ip-pool-end "10.220.32.38". |
Optioneel, maar sterk aanbevolen. |
IP-adres van besturingsvlak
Kubernetes maakt gebruik van een besturingsvlak om ervoor te zorgen dat elk onderdeel in het Kubernetes-cluster de gewenste status heeft. Het besturingsvlak beheert en onderhoudt ook de werkknooppunten die de containertoepassingen bevatten. AKS die is ingeschakeld door Arc implementeert de KubeVIP-load balancer om ervoor te zorgen dat het IP-adres van de API-server van het Kubernetes-besturingsvlak altijd beschikbaar is. Voor dit KubeVIP-exemplaar is één onveranderbaar IP-adres van het besturingsvlak vereist om correct te kunnen functioneren. AKS Arc kiest automatisch een IP-adres van het besturingsvlak voor u van het logische netwerk dat is doorgegeven tijdens het maken van het Kubernetes-cluster.
U hebt ook de mogelijkheid om een IP-adres van het besturingsvlak door te geven. In dergelijke gevallen moet het IP-adres van het besturingsvlak binnen het bereik van het adresvoorvoegsel van het logische netwerk vallen. U moet ervoor zorgen dat het IP-adres van het besturingsvlak niet overlapt met iets anders, waaronder logische arc-VM-netwerken, IP-adressen van infrastructuurnetwerken, load balancers, enzovoort. Overlappende IP-adressen kunnen leiden tot onverwachte fouten voor zowel het AKS-cluster als elke andere plaats waar het IP-adres wordt gebruikt. U moet van plan zijn om één IP-adres per Kubernetes-cluster in uw omgeving te reserveren.
IP-adressen van load balancers voor containertoepassingen
Het belangrijkste doel van een load balancer is het distribueren van verkeer over meerdere knooppunten in een Kubernetes-cluster. Deze taakverdeling kan helpen bij het voorkomen van downtime en het verbeteren van de algehele prestaties van toepassingen. AKS ondersteunt de volgende opties voor het implementeren van een load balancer voor uw Kubernetes-cluster:
- Implementeer de extensie voor MetalLB voor Kubernetes met Azure Arc.
- Bring your own third party load balancer.
Of u nu de Arc-extensie voor MetalLB of bring your own load balancer kiest, u moet een set IP-adressen opgeven voor de load balancer-service. U hebt de volgende opties:
- Geef IP-adressen op voor uw services van hetzelfde subnet als de AKS Arc-VM's.
- Gebruik een ander netwerk en een andere lijst met IP-adressen als uw toepassing externe taakverdeling nodig heeft.
Ongeacht de optie die u kiest, moet u ervoor zorgen dat de IP-adressen die aan de load balancer zijn toegewezen, niet conflicteren met de IP-adressen in het logische netwerk. Conflicterende IP-adressen kunnen leiden tot onvoorziene fouten in uw AKS-implementatie en -toepassingen.
Proxyinstellingen
Proxy-instellingen in AKS worden overgenomen van het onderliggende infrastructuursysteem. De functionaliteit voor het instellen van afzonderlijke proxy-instellingen voor Kubernetes-clusters en het wijzigen van proxy-instellingen wordt nog niet ondersteund. Zie proxyvereisten voor Azure Local voor meer informatie over het correct instellen van de proxy.
Uitzonderingen voor firewall-URL's
Firewallvereisten voor AKS zijn samengevoegd met lokale firewallvereisten van Azure. Zie de azure-firewallvereisten voor een lijst met URL's die moeten worden toegestaan om AKS te implementeren.
DNS-serverinstellingen
U moet ervoor zorgen dat de DNS-server van het logische netwerk de FQDN van het lokale Azure-cluster kan oplossen. DNS-naamomzetting is vereist voor alle lokale Azure-knooppunten om te kunnen communiceren met de AKS-VM-knooppunten.
Netwerkpoort- en VLAN-vereisten
Wanneer u Azure Local implementeert, wijst u een aaneengesloten blok van ten minste zes statische IP-adressen toe op het subnet van uw beheernetwerk, zodat adressen die al door de fysieke machines worden gebruikt weggelaten. Deze IP-adressen worden gebruikt door de lokale en interne infrastructuur van Azure (Arc Resource Bridge) voor arc-VM-beheer en AKS Arc. Als uw beheernetwerk dat IP-adressen levert aan Arc Resource Bridge gerelateerde Lokale Azure-services zich op een ander VLAN bevindt dan het logische netwerk dat u hebt gebruikt om AKS-clusters te maken, moet u ervoor zorgen dat de volgende poorten worden geopend om een AKS-cluster te maken en te gebruiken.
| Doelpoort | Bestemming | Source | Beschrijving | Opmerkingen bij meerdere VLAN-netwerken |
|---|---|---|---|---|
| 22 | Logisch netwerk dat wordt gebruikt voor AKS Arc-VM's | IP-adressen in het beheernetwerk | Vereist voor het verzamelen van logboeken voor probleemoplossing. | Als u afzonderlijke VLAN's gebruikt, moeten IP-adressen in het beheernetwerk dat wordt gebruikt voor Azure Local en Arc Resource Bridge toegang krijgen tot de AKS Arc-cluster-VM's op deze poort. |
| 6443 | Logisch netwerk dat wordt gebruikt voor AKS Arc-VM's | IP-adressen in het beheernetwerk | Vereist voor communicatie met Kubernetes-API's. | Als u afzonderlijke VLAN's gebruikt, moeten IP-adressen in het beheernetwerk dat wordt gebruikt voor Azure Local en Arc Resource Bridge toegang krijgen tot de AKS Arc-cluster-VM's op deze poort. |
| 55000 | IP-adressen in het beheernetwerk | Logisch netwerk dat wordt gebruikt voor AKS Arc-VM's | Cloud Agent gRPC-server | Als u afzonderlijke VLAN's gebruikt, moeten de AKS Arc-VM's toegang hebben tot de IP-adressen in het beheernetwerk dat wordt gebruikt voor ip-adressen van de cloudagent en het cluster-IP op deze poort. |
| 65000 | IP-adressen in het beheernetwerk | Logisch netwerk dat wordt gebruikt voor AKS Arc-VM's | GRPC-verificatie voor cloudagent | Als u afzonderlijke VLAN's gebruikt, moeten de AKS Arc-VM's toegang hebben tot de IP-adressen in het beheernetwerk dat wordt gebruikt voor ip-adressen van de cloudagent en het cluster-IP op deze poort. |
Volgende stappen
Planning en overwegingen voor IP-adressen voor Kubernetes-clusters en -toepassingen