AKS ingeschakeld door Azure Arc in VMware-netwerkvereisten (preview)
Van toepassing op: AKS ingeschakeld door Azure Arc op VMware (preview)
In dit artikel worden de belangrijkste concepten geïntroduceerd die netwerken bieden voor uw VM's en toepassingen in Azure Kubernetes Service (AKS) die zijn ingeschakeld door Azure Arc op VMware:
- Logische netwerken voor AKS die zijn ingeschakeld door Arc-VM's
- IP-adres van besturingsvlak
- Kubernetes load balancers
In dit artikel worden ook de vereiste netwerkvereisten beschreven voor het maken van Kubernetes-clusters. U wordt aangeraden samen te werken met een netwerkbeheerder om de vereiste netwerkparameters voor het implementeren van AKS op te geven en in te stellen.
Netwerkconcepten voor AKS-clusters
Zorg ervoor dat u netwerken correct instelt voor de volgende onderdelen in uw Kubernetes-clusters:
- AKS-cluster-VM's
- IP-adres van AKS-besturingsvlak
- Load balancer voor containertoepassingen
Netwerk voor AKS-cluster-VM's
Kubernetes-knooppunten worden geïmplementeerd als gespecialiseerde virtuele machines in AKS. Deze VM's worden toegewezen IP-adressen om communicatie tussen Kubernetes-knooppunten mogelijk te maken. AKS maakt gebruik van logische VMware-netwerksegmenten om IP-adressen en netwerken te bieden voor de onderliggende VM's van de Kubernetes-clusters. Voor deze preview worden alleen op DHCP gebaseerde logische VMware-netwerksegmenten ondersteund. Zodra het VMware-netwerksegment is opgegeven tijdens het maken van een AKS Arc-cluster, worden IP-adressen dynamisch toegewezen aan de onderliggende VM's van de Kubernetes-clusters.
IP-adres van besturingsvlak
Kubernetes maakt gebruik van een besturingsvlak om ervoor te zorgen dat elk onderdeel in het Kubernetes-cluster de gewenste status heeft. Het besturingsvlak beheert en onderhoudt ook de werkknooppunten die de containertoepassingen bevatten. AKS implementeert de KubeVIP-load balancer om ervoor te zorgen dat het IP-adres van de API-server van het Kubernetes-besturingsvlak altijd beschikbaar is. Voor een juiste werking is voor dit KubeVIP-exemplaar één onveranderbaar IP-adres van het besturingsvlak vereist. Het IP-adres van het besturingsvlak is een vereiste parameter voor het maken van een Kubernetes-cluster. U moet ervoor zorgen dat het IP-adres van het besturingsvlak van een Kubernetes-cluster niet overlapt met een ander IP-adres. Overlappende IP-adressen kunnen leiden tot onverwachte fouten voor zowel het AKS-cluster als elke andere plaats waar het IP-adres wordt gebruikt. U moet van plan zijn om één IP-adres per Kubernetes-cluster in uw omgeving te reserveren. Zorg ervoor dat het IP-adres van het besturingsvlak is uitgesloten van het bereik van uw DHCP-server.
IP-adressen van load balancers voor containertoepassingen
Het belangrijkste doel van een load balancer is het distribueren van verkeer over meerdere knooppunten in een Kubernetes-cluster. Deze taakverdeling kan helpen bij het voorkomen van downtime en het verbeteren van de algehele prestaties van toepassingen. Voor deze preview moet u uw eigen load balancer van derden meenemen; Bijvoorbeeld MetalLB. U moet er ook voor zorgen dat de IP-adressen die aan de load balancer zijn toegewezen, niet conflicteren met de IP-adressen die overal anders worden gebruikt. Conflicterende IP-adressen kunnen leiden tot onvoorziene fouten in uw AKS-implementatie en -toepassingen.
IP-adresplanning voor Kubernetes-clusters en -toepassingen
U moet minimaal het volgende aantal IP-adressen beschikbaar hebben per Kubernetes-cluster. Het werkelijke aantal IP-adressen is afhankelijk van het aantal Kubernetes-clusters, het aantal knooppunten in elk cluster en het aantal services en toepassingen dat u wilt uitvoeren op het Kubernetes-cluster:
| Parameter | Minimum aantal IP-adressen |
|---|---|
| Logisch VMware-netwerksegment | Eén IP-adres voor elk werkknooppunt in uw Kubernetes-cluster. Als u bijvoorbeeld drie knooppuntgroepen met 3 knooppunten in elke knooppuntgroep wilt maken, hebt u 9 beschikbare IP-adressen van uw DHCP-server nodig. |
| IP-adres van besturingsvlak | Reserveer één IP-adres voor elk Kubernetes-cluster in uw omgeving. Als u bijvoorbeeld in totaal vijf clusters moet maken, moet u 5 IP-adressen reserveren, één voor elk Kubernetes-cluster. Deze vijf IP-adressen moeten buiten het bereik van uw DHCP-server vallen. |
| IP-adressen van load balancers | Het aantal gereserveerde IP-adressen is afhankelijk van uw toepassingsimplementatiemodel. Als uitgangspunt kunt u één IP-adres reserveren voor elke Kubernetes-service. |
Proxyinstellingen
Voor deze preview wordt het maken van AKS Arc-clusters in een VMware-omgeving met proxy niet ondersteund.
Uitzonderingen voor firewall-URL's
Zie de netwerkvereisten voor de Azure Arc-resourcebrug voor meer informatie over de acceptatielijst voor de Firewall/proxy-URL van Azure Arc.
Voor de implementatie en werking van Kubernetes-clusters moeten de volgende URL's bereikbaar zijn vanaf alle fysieke knooppunten en virtuele machines in de implementatie. Zorg ervoor dat deze URL's zijn toegestaan in uw firewallconfiguratie:
| URL | Poort |
|---|---|
| .dp.prod.appliances.azure.com | HTTPS/443 |
| .eus.his.arc.azure.com | HTTPS/443 |
| guestnotificationservice.azure.com | HTTPS/443 |
| .dp.kubernetesconfiguration.azure.com | HTTPS/443 |
| management.azure.com | HTTPS/443 |
| raw.githubusercontent.com | HTTPS/443 |
| storage.googleapis.com | HTTPS/443 |
| msk8s.api.cdp.microsoft.com | HTTPS/443 |
| adhs.events.data.microsoft.com | HTTPS/443 |
| .events.data.microsoft.com | HTTPS/443 |
| graph.microsoft.com | HTTPS/443 |
| .login.microsoft.com | HTTPS/443 |
| mcr.microsoft.com | HTTPS/443 |
| .data.mcr.microsoft.com | HTTPS/443 |
| msk8s.sb.tlu.dl.delivery.mp.microsoft.com | HTTPS/443 |
| .prod.microsoftmetrics.com | HTTPS/443 |
| login.microsoftonline.com | HTTPS/443 |
| dc.services.visualstudio.com | HTTPS/443 |
| ctldl.windowsupdate.com | HTTP/80 |
| azurearcfork8s.azurecr.io | HTTPS/443 |
| ecpacr.azurecr.io | HTTPS/443 |
| hybridaks.azurecr.io | HTTPS/443 |
| kvamanagementoperator.azurecr.io | HTTPS/443 |
| linuxgeneva-microsoft.azurecr.io | HTTPS/443 |
| gcr.io | HTTPS/443 |
| aka.ms | HTTPS/443 |
| k8connecthelm.download.prss.microsoft.com | HTTPS/443 |
| k8sconnectcsp.download.prss.microsoft.com | HTTPS/443 |
| .blob.core.windows.net | HTTPS/443 |