Netwerkconcepten voor het implementeren van AKS-knooppunten
Van toepassing op: AKS op Azure Stack HCI 22H2, AKS op Windows Server
U kunt kiezen tussen twee IP-adrestoewijzingsmodellen voor uw netwerkarchitectuur voor AKS ingeschakeld door Arc. AKS ondersteunt verschillende implementatieopties voor Azure Kubernetes Service (AKS):
- Statisch IP-netwerk: het virtuele netwerk wijst statische IP-adressen toe aan de Kubernetes-cluster-API-server, Kubernetes-knooppunten, onderliggende VM's, load balancers en eventuele Kubernetes-services die boven op het cluster worden uitgevoerd.
- DHCP-netwerken: het virtuele netwerk wijst dynamische IP-adressen toe aan de Kubernetes-knooppunten, onderliggende VM's en load balancers met behulp van een DHCP-server. De Kubernetes-cluster-API-server en eventuele Kubernetes-services die u boven op uw cluster uitvoert, worden nog steeds statische IP-adressen toegewezen.
Notitie
De hier gedefinieerde virtuele netwerkarchitectuur voor AKS Arc kan afwijken van de onderliggende fysieke netwerkarchitectuur in een datacenter.
Virtuele IP-adresgroep
Een VIP-groep (Virtual IP) is een set IP-adressen die verplicht zijn voor elke implementatie in AKS Arc. De VIP-groep is een reeks gereserveerde IP-adressen die worden gebruikt om IP-adressen toe te wijzen aan de Kubernetes-cluster-API-server. Het garandeert dat uw toepassingen op Kubernetes-services altijd bereikbaar zijn. Houd er rekening mee dat u, ongeacht het virtuele netwerkmodel en het adrestoewijzingsmodel dat u kiest, een VIP-pool moet opgeven voor uw AKS-hostimplementatie.
Het aantal IP-adressen in de VIP-groep is afhankelijk van het aantal workloadclusters en Kubernetes-services dat is gepland voor uw implementatie.
Afhankelijk van uw netwerkmodel verschilt de definitie van de VIP-pool op de volgende manieren:
- Statisch IP: als u een statisch IP-adres gebruikt, moet u ervoor zorgen dat uw virtuele IP-adressen afkomstig zijn van hetzelfde subnet dat u hebt opgegeven.
- DHCP: als uw netwerk is geconfigureerd met DHCP, neemt u contact op met de netwerkbeheerder om het IP-adresbereik van de VIP-adresgroep uit te sluiten van het DHCP-bereik dat wordt gebruikt voor de AKS-implementatie in Azure Local.
IP-adresgroep van Kubernetes-knooppunt-VM
Kubernetes-knooppunten worden geïmplementeerd als gespecialiseerde virtuele machines in AKS Arc. AKS wijst IP-adressen toe aan deze virtuele machines om communicatie tussen Kubernetes-knooppunten mogelijk te maken.
- Statisch IP-adres: u moet een IP-adresbereik voor een Kubernetes-knooppunt opgeven. Het aantal IP-adressen in dit bereik is afhankelijk van het totale aantal Kubernetes-knooppunten dat u wilt gebruiken voor implementatie in uw AKS-host- en workload-Kubernetes-clusters. Houd er rekening mee dat updates een tot drie extra IP-adressen verbruiken tijdens de update.
- DHCP: u hoeft geen KUbernetes-knooppunt-VM-pool op te geven, omdat IP-adressen naar de Kubernetes-knooppunten dynamisch worden toegewezen door de DHCP-server in uw netwerk.
Virtueel netwerk met statisch IP-netwerk (aanbevolen)
Met dit netwerkmodel maakt u een virtueel netwerk dat IP-adressen toewijst van een statisch gedefinieerde adresgroep aan alle objecten in uw implementatie. Een extra voordeel van het gebruik van statische IP-netwerken is dat langdurige implementaties en toepassingsworkloads gegarandeerd altijd bereikbaar zijn.
Geef de volgende parameters op tijdens het definiëren van een virtueel netwerk met statische IP-configuraties:
Belangrijk
Deze versie van AKS staat geen netwerkconfiguratiewijzigingen toe zodra de AKS-host of het workloadcluster is geïmplementeerd. Als u de netwerkinstellingen wilt wijzigen, moet u beginnen met het verwijderen van de workloadclusters en het verwijderen van AKS.
Naam: De naam van uw virtuele netwerk.
Adresvoorvoegsel: het IP-adresvoorvoegsel dat moet worden gebruikt voor uw subnet.
Gateway: het IP-adres van de standaardgateway voor het subnet.
DNS-server: een matrix van IP-adressen die verwijzen naar de DNS-servers die moeten worden gebruikt voor het subnet. Er kunnen minimaal één en maximaal drie servers worden opgegeven.
Vm-pool van Kubernetes-knooppunten: een doorlopend bereik van IP-adressen dat moet worden gebruikt voor uw Kubernetes-knooppunt-VM's.
Virtuele IP-adresgroep: Een doorlopend bereik van IP-adressen dat moet worden gebruikt voor uw Kubernetes-cluster-API-server en Kubernetes-services.
Notitie
De VIP-pool moet deel uitmaken van hetzelfde subnet als de KUbernetes-knooppunt-VM-pool.
vLAN-id: de vLAN-id voor het virtuele netwerk. Als dit wordt weggelaten, wordt het virtuele netwerk niet gelabeld.
Virtueel netwerk met DHCP-netwerken
Met dit netwerkmodel maakt u een virtueel netwerk dat IP-adressen toewijst met DHCP aan alle objecten in de implementatie.
U moet de volgende parameters opgeven tijdens het definiëren van een virtueel netwerk met statische IP-configuraties:
Naam: De naam van uw virtuele netwerk.
Virtuele IP-adresgroep: het continue bereik van IP-adressen dat moet worden gebruikt voor uw Kubernetes-cluster-API-server en Kubernetes-services.
Notitie
De VIP-adresgroepen moeten zich in hetzelfde subnet bevinden als het DHCP-bereik en moeten worden uitgesloten van het DHCP-bereik om adresconflicten te voorkomen.
vLAN-id: de vLAN-id voor het virtuele netwerk. Als u dit weglaat, wordt het virtuele netwerk niet gelabeld.
Microsoft On-premises cloudservice
Microsoft On-premises Cloud (MOC) is de beheerstack waarmee de virtuele machines op lokale En Windows Server-gebaseerde SDDC in de cloud kunnen worden beheerd. MOC bestaat uit:
- Eén exemplaar van een maximaal beschikbare
cloud agentservice die in het cluster is geïmplementeerd. Deze agent wordt uitgevoerd op een willekeurig knooppunt in het lokale Azure- of Windows Server-cluster en is geconfigureerd om een failover naar een ander knooppunt uit te voeren. - Een
node agentuitvoering op elk fysiek Azure-knooppunt.
Als u communicatie met MOC wilt inschakelen, moet u het IP-adres CIDR opgeven dat moet worden gebruikt voor de service. Dit -cloudserviceCIDR is een parameter in de Set-AksHciConfig opdracht die wordt gebruikt om het IP-adres toe te wijzen aan de cloudagentservice en hoge beschikbaarheid van de cloudagentservice in te schakelen.
De keuze van een IP-adres voor de MOC-service is afhankelijk van het onderliggende netwerkmodel dat wordt gebruikt door de clusterimplementatie in Azure Local of Windows Server.
Notitie
De IP-adrestoewijzing voor de MOC-service is onafhankelijk van het virtuele Kubernetes-netwerkmodel. De TOEWIJZING van IP-adressen is afhankelijk van het onderliggende fysieke netwerk en de IP-adressen die zijn geconfigureerd voor de lokale Azure- of Windows Server-clusterknooppunten in uw datacenter.
Lokale Azure- en Windows Server-clusterknooppunten met een IP-adrestoewijzingsmodus op basis van DHCP: Als aan uw Lokale Azure-knooppunten een IP-adres van een DHCP-server wordt toegewezen die aanwezig is op het fysieke netwerk, hoeft u niet expliciet een IP-adres op te geven voor de MOC-service, omdat de MOC-service ook een IP-adres van de DHCP-server ontvangt.
Azure Local- en Windows Server-clusterknooppunten met een statisch IP-toewijzingsmodel: Als aan uw clusterknooppunten statische IP-adressen zijn toegewezen, moet u expliciet een IP-adres opgeven voor de MOC-cloudservice. Het IP-adres voor de MOC-service moet zich in hetzelfde subnet bevinden als de IP-adressen van lokale Azure- en Windows Server-clusterknooppunten. Als u expliciet een IP-adres voor de MOC-service wilt toewijzen, gebruikt u de
-cloudserviceCIDRparameter in deSet-AksHciConfigopdracht. Zorg ervoor dat u een IP-adres invoert in de CIDR-indeling, bijvoorbeeld: '10.11.23.45/16'.
Netwerkmodellen vergelijken
Dhcp en statisch IP bieden netwerkconnectiviteit op uw AKS op lokale Azure- en Windows Server-implementatie. Er zijn echter voor- en nadelen voor elk. Op hoog niveau zijn de volgende overwegingen van toepassing:
DHCP : biedt geen garantie voor langdurige IP-adressen voor sommige resourcetypen in een AKS-implementatie. - Ondersteunt uitbreiding van gereserveerde DHCP IP-adressen als uw implementatie groter wordt dan u in eerste instantie had verwacht.
Statisch IP- Garandeert langdurige IP-adressen voor alle resources in een AKS-implementatie. - Aangezien automatische uitbreiding van de IP-adresgroep van Kubernetes-knooppunt niet wordt ondersteund, kunt u mogelijk geen nieuwe clusters maken als u de IP-adresgroep van het Kubernetes-knooppunt hebt uitgeput.
De volgende tabel vergelijkt IP-adrestoewijzing voor resources tussen statische IP- en DHCP-netwerkmodellen:
| Mogelijkheid | Statisch IP-adres | DHCP |
|---|---|---|
| Kubernetes-cluster-API-server | Statisch toegewezen met behulp van VIP-pool. | Statisch toegewezen met behulp van VIP-pool. |
| Kubernetes-knooppunten (op virtuele machines) | Toegewezen met behulp van ip-adresgroep van Kubernetes-knooppunt. | Dynamisch toegewezen. |
| Kubernetes-services | Statisch toegewezen met behulp van VIP-pool. | Statisch toegewezen met behulp van VIP-pool. |
| VM voor HAProxy-load balancer | Toegewezen met behulp van ip-adresgroep van Kubernetes-knooppunt. | Dynamisch toegewezen. |
| Microsoft On-Premises Cloud Service | Is afhankelijk van de configuratie van fysieke netwerken voor lokale Azure- en Windows Server-clusterknooppunten. | Is afhankelijk van de configuratie van fysieke netwerken voor lokale Azure- en Windows Server-clusterknooppunten. |
| VIP-pool | Verplicht | Verplicht |
| IP-adresgroep van Kubernetes-knooppunt-VM | Verplicht | Niet ondersteund |
Minimale IP-adresreserveringen voor een AKS-implementatie
Ongeacht uw implementatiemodel blijft het aantal gereserveerde IP-adressen hetzelfde. In deze sectie wordt het aantal IP-adressen beschreven dat u moet reserveren op basis van uw AKS Arc-implementatiemodel.
Minimale IP-adresreservering
U moet minimaal het volgende aantal IP-adressen reserveren voor uw implementatie:
| Clustertype | Knooppunt besturingsvlak | Werkknooppunt | Voor updatebewerkingen | Load balancer |
|---|---|---|---|---|
| AKS-host | Eén IP-adres | N.v.t. | Twee IP-adressen | N.v.t. |
| Workloadcluster | Eén IP per knooppunt | Eén IP per knooppunt | 5 IP | Eén IP-adres |
Daarnaast moet u het volgende aantal IP-adressen reserveren voor uw VIP-groep:
| Brontype | Aantal IP-adressen |
|---|---|
| Cluster-API-server | 1 per cluster |
| Kubernetes-services | 1 per service |
| Toepassingsservices | 1 per geplande service |
Zoals u kunt zien, is het aantal vereiste IP-adressen variabel, afhankelijk van de architectuur van uw AKS-implementatie en het aantal services dat u uitvoert op uw Kubernetes-cluster. We raden u aan minimaal 256 IP-adressen (/24 subnet) voor uw implementatie te reserveren.
Een voorbeeldimplementatie doorlopen
Jane is een IT-beheerder die net begint met AKS die is ingeschakeld door Azure Arc. Ze wil twee Kubernetes-clusters implementeren: Kubernetes-cluster A en Kubernetes-cluster B in haar lokale Azure-cluster. Ze wil ook een stemtoepassing uitvoeren boven op haar cluster. Deze toepassing heeft drie exemplaren van de front-endgebruikersinterface die wordt uitgevoerd op de twee clusters en één exemplaar van de back-enddatabase.
- Kubernetes-cluster A heeft 3 besturingsvlakknooppunten en 5 werkknooppunten.
- Kubernetes-cluster B heeft 1 besturingsvlakknooppunt en 3 werkknooppunten.
- 3 exemplaren van de front-endgebruikersinterface (poort 443).
- 1 exemplaar van de back-enddatabase (poort 80).
Op basis van de vorige tabel moet ze het volgende reserveren:
- 3 IP-adressen voor de AKS-host (één IP voor het besturingsvlakknooppunt en twee IP-adressen voor het uitvoeren van updatebewerkingen).
- 3 IP-adressen voor de besturingsvlakknooppunten in cluster A (één IP per besturingsvlakknooppunt).
- 5 IP-adressen voor de werkknooppunten in cluster A (één IP per werkknooppunt).
- 6 IP-adressen voor cluster A (vijf IP-adressen voor het uitvoeren van updatebewerkingen en 1 IP voor load balancer).
- 1 IP-adressen voor de besturingsvlakknooppunten in cluster B (één IP per besturingsvlakknooppunt).
- 3 IP-adressen voor de werkknooppunten in cluster B (één IP per werkknooppunt).
- 6 IP-adressen voor cluster B (vijf IP-adressen voor het uitvoeren van updatebewerkingen en 1 IP-adres voor load balancer).
- 2 IP-adressen voor de Kubernetes-cluster-API-servers (één IP per Kubernetes-cluster).
- 3 IP-adressen voor de Kubernetes-service (één IP-adres per exemplaar van de front-endgebruikersinterface, omdat ze allemaal dezelfde poort gebruiken. De back-enddatabase kan een van de drie IP-adressen gebruiken zolang deze een andere poort gebruikt).
Zoals eerder uitgelegd, vereist Jane in totaal 32 IP-adressen om het cluster te implementeren. Jane moet daarom een /26-subnet reserveren voor haar virtuele netwerk.
Gereserveerde IP-adressen splitsen op basis van een statisch IP-netwerkmodel
Hoewel het totale aantal gereserveerde IP-adressen hetzelfde blijft, bepaalt het implementatiemodel hoe deze IP-adressen worden verdeeld over IP-groepen. Het statische IP-netwerkmodel heeft twee IP-adresgroepen:
- IP-adresgroep voor Kubernetes-knooppunten: voor VM's met Kubernetes-knooppunten en de vm van de load balancer. Deze IP-adresgroep bevat ook het IP-adres dat is vereist voor het uitvoeren van updatebewerkingen.
- Virtuele IP-adresgroep: voor de Kubernetes-API-server en Kubernetes-services.
In dit voorbeeld moet Jane deze IP-adressen verder verdelen over VIP-pools en IP-adresgroepen voor Kubernetes-knooppunten:
- 5 (twee voor Kubernetes-cluster-API-server en drie voor Kubernetes-services) van de 32 IP-adressen voor haar VIP-pool.
- 27 (alle IP-adressen voor haar Kubernetes-knooppunten en onderliggende VM's, de load balancer-VM's en updatebewerkingen) voor haar Kubernetes-knooppunt-IP-pool.
Gereserveerde IP-adressen splitsen op basis van een DHCP-netwerkmodel
Hoewel het totale aantal gereserveerde IP-adressen hetzelfde blijft, bepaalt het implementatiemodel hoe deze IP-adressen worden verdeeld over IP-groepen. Zoals besproken in de vorige sectie, heeft het DHCP-netwerkmodel één IP-bereik:
- Virtuele IP-adresgroep: voor de Kubernetes-API-server en Kubernetes-services
Werken met het vorige voorbeeld:
- Jane moet in totaal 32 IP-adressen of een /26-subnet reserveren op haar DHCP-server.
- Ze moet 5 (twee voor Kubernetes-cluster-API-server en drie voor Kubernetes-services) uitsluiten van het DHCP-bereik van 32 IP-adressen voor haar VIP-pool.
Toegangsbeheerobjectcontrollers
Tijdens de implementatie van een doelcluster wordt een HAProxyop -based load balancer-resource gemaakt. De load balancer is geconfigureerd voor het distribueren van verkeer naar de pods in uw service op een bepaalde poort. De load balancer werkt alleen op laag 4, wat aangeeft dat de service zich niet bewust is van de werkelijke toepassing; Het kan dus geen aanvullende routeringsoverwegingen maken.
Toegangsbeheerobjectcontrollers werken op laag 7 en kunnen intelligentere regels gebruiken om toepassingsverkeer te distribueren. Een veelvoorkomend gebruik van een ingangscontroller is het routeren van HTTP-verkeer naar verschillende toepassingen op basis van de binnenkomende URL.
Volgende stappen
In dit artikel worden enkele netwerkconcepten besproken voor het implementeren van AKS-knooppunten in Azure Local. Raadpleeg voor meer informatie de volgende artikelen: