Łączność sieciowa dla platformy Kubernetes z włączoną usługą Azure Arc

Platforma Kubernetes z obsługą usługi Arc obsługuje w pełni połączone i częściowo połączone tryby dołączania klastrów Kubernetes i zarządzania nimi za pomocą płaszczyzny sterowania usługi Azure Arc. Agenci kubernetes z obsługą usługi Azure Arc komunikują się z punktami końcowymi usługi Azure Arc, aby wymieniać różne typy informacji o metadanych przy użyciu metod ściągania i wypychania z klastrów Kubernetes.

W tym dokumencie opisano architekturę sieci, zagadnienia dotyczące projektowania i zalecenia dotyczące projektowania, które ułatwiają łączność z płaszczyzną sterowania platformy Azure, dzięki czemu można zarządzać klastrami Kubernetes z obsługą usługi Arc i obsługiwać je w środowiskach lokalnych i innych środowiskach w chmurze.

Architektura

Na poniższym diagramie przedstawiono architekturę sieci platformy Kubernetes z włączoną usługą Azure Arc, która obsługuje w pełni połączone i częściowo połączone tryby łączności sieciowej.

Na poniższym diagramie przedstawiono architekturę sieci, która umożliwia dostęp do klastra z dowolnej lokalizacji sieciowej przy użyciu funkcji łączenia klastra Kubernetes z włączoną usługą Azure Arc .

Zagadnienia dotyczące projektowania

• Przejrzyj obszar projektowania topologii sieci i łączności stref docelowych platformy Azure, aby ocenić wpływ platformy Kubernetes z włączoną usługą Azure Arc na model łączności.
• Zapoznaj się z wymaganiami sieciowymi dla platformy Kubernetes z obsługą usługi Azure Arc, aby dowiedzieć się, jak klastry komunikują się z platformą Azure z sieci lokalnej lub innych dostawców usług w chmurze.
• Rozważ kompromisy między wymaganiami organizacji dotyczącymi zabezpieczeń i zgodności a korzyściami oferowanymi przez platformę Kubernetes z obsługą usługi Azure Arc. Zdecyduj między trybem w pełni połączonym a trybem częściowo połączonym dla implementacji.
• Zdecyduj, czy używać publicznych lub prywatnych punktów końcowych podczas nawiązywania połączenia z obszarami roboczymi usługi Azure Log Analytics za pośrednictwem usługi ExpressRoute, czy sieci VPN, a nie łączności z Internetem.
• Zdecyduj, czy używać publicznych lub prywatnych punktów końcowych podczas nawiązywania połączenia z usługą Azure Key Vault za pośrednictwem usługi ExpressRoute, czy sieci VPN, a nie łączności z Internetem.
• Wybierz opcje łączności sieciowej dla zarządzania klastrami Kubernetes z włączoną usługą Azure Arc, ponieważ klastry Kubernetes z obsługą usługi Azure Arc obsługują zarządzanie klastrami z dowolnej sieci. Aby zapoznać się z zagadnieniami i zaleceniami dotyczącymi projektowania podczas podejmowania decyzji dotyczących niezależnego od sieci zarządzania klastrami, zobacz Zarządzanie tożsamościami i dostępem.
• Rozważ bezpieczne zarządzanie klastrem Kubernetes z włączoną usługą Azure Arc za pośrednictwem funkcji Cluster Connect w celu uzyskania dostępu do dowolnego miejsca, co eliminuje otwieranie portów sieciowych dla ruchu przychodzącego i zezwala tylko na komunikację wychodzącą z usługami Azure Arc na platformie Azure.
• W przypadku korzystania z lokalnych lub wielochmurowych zapór lub serwerów proxy do inspekcji protokołu TLS ruchu wychodzącego i systemu wykrywania nieautoryzowanego dostępu do sieci (IDPS) zdecyduj, czy należy wykluczyć punkty końcowe kubernetes z włączoną usługą Azure Arc, ponieważ niektóre certyfikaty serwera nie są zaufane przez te zapory lub serwery proxy.

Zalecenia dotyczące projektowania

• Korzystanie z w pełni połączonego trybu dołączanych klastrów Kubernetes pomaga być na bieżąco z najnowszymi wersjami produktów, aktualizacjami zabezpieczeń, zasadami i zainstalowanymi rozszerzeniami w celu wprowadzenia usług w chmurze platformy Azure do środowisk lokalnych lub wielochmurowych.
• Upewnij się, że spełniasz wymagania sieciowe platformy Kubernetes z obsługą usługi Azure Arc na podstawie wybranego modelu łączności.
• Włącz Azure Private Link uzyskiwanie dostępu do zasobów platformy Azure, takich jak Key Vault, konta magazynu, usługa Microsoft Container Registry i usługa Log Analytics z klastrów Kubernetes działających w środowiskach lokalnych lub innych środowiskach w chmurze za pośrednictwem usługi Azure Express Route lub połączeń sieci VPN.
  • Skonfiguruj usługę przesyłania dalej DNS , aby rozpoznawać publiczną strefę DNS usługi platformy Azure na platformie Azure.
• W przypadku agentów Platformy Kubernetes z włączoną usługą Azure Arc ruch przechodzący przez zapory lub serwery proxy utwórz źródło i niektóre docelowe grupy obiektów i/lub tagi, aby uprościć reguły ruchu wychodzącego z Internetu i obsługiwać inne listy dozwolonych adresów URL dla rozszerzeń usługi Azure Arc.
• Użyj usługi Azure Monitor, aby śledzić stan łączności klastra Kubernetes z włączoną usługą Azure Arc i zgłaszać alerty, które powiadamiają administratorów o zmianie stanów łączności. Rozważ użycie zapytań usługi Azure Resource Graph wraz z usługą Azure Monitor.
• W przypadku korzystania z częściowo połączonego trybu łączności sieciowej połącz klaster z usługą Azure Arc co najmniej raz na 30 dni, aby wyeksportować dane rozliczeniowe, i co najmniej raz na 90 dni, aby odnowić certyfikaty tożsamości zarządzanej i zaktualizować zasób i agentów platformy Kubernetes z włączoną usługą Azure Arc.

Następne kroki

Aby uzyskać więcej informacji na temat hybrydowej i wielochmurowej podróży w chmurze, zobacz następujące artykuły:

• Zapoznaj się z wymaganiami wstępnymi dotyczącymi platformy Kubernetes z obsługą usługi Azure Arc.
• Przejrzyj zweryfikowane dystrybucje kubernetes dla platformy Kubernetes z włączoną usługą Azure Arc.
• Zapoznaj się z artykułem Zarządzanie środowiskami hybrydowymi i wielochmurowymi.
• Dowiedz się, jak połączyć istniejący klaster Kubernetes z usługą Azure Arc.
• Dowiedz się więcej o trybach łączności platformy Kubernetes z włączoną usługą Azure Arc.
• Dowiedz się więcej o danych wymienianych między klastrami Kubernetes z włączoną usługą Azure Arc i platformą Azure.
• Dowiedz się, jak stosować konfiguracje na dużą skalę przy użyciu Azure Policy.
• Zapoznaj się z przykładowymi zapytaniami usługi Azure Resource Graph dla platformy Kubernetes z obsługą usługi Azure Arc.
• Informacje na temat usługi Open Service Mesh z obsługą usługi Azure Arc w celu zabezpieczenia komunikacji klastra Kubernetes z włączoną usługą Azure Arc oraz obszaru projektowania krytycznego dla obserwacji usług .
• Dowiedz się, jak uzyskiwać dostęp do klastrów Kubernetes z obsługą usługi Azure Arc z dowolnego miejsca przy użyciu funkcji Cluster Connect.
• Korzystaj ze zautomatyzowanych scenariuszy platformy Kubernetes z włączoną usługą Azure Arc dzięki przewodnikowi Szybki start usługi Azure Arc.
• Dowiedz się więcej o usłudze Azure Arc za pośrednictwem ścieżki szkoleniowej usługi Azure Arc.
• Zobacz Często zadawane pytania — obsługa usługi Azure Arc , aby uzyskać odpowiedzi na najczęściej zadawane pytania.