AKS habilitado pelos requisitos de rede do Azure Arc
Aplica-se a: Azure Local, versão 23H2
Este artigo apresenta os principais conceitos de rede para suas VMs e aplicativos no AKS habilitados pelo Azure Arc. O artigo também descreve os pré-requisitos de rede necessários para a criação de clusters do Kubernetes. Recomendamos que você trabalhe com um administrador de rede para fornecer e configurar os parâmetros de rede necessários para implantar o AKS habilitado pelo Arc.
Neste artigo conceitual, os seguintes componentes principais são apresentados. Esses componentes precisam de um endereço IP estático para que o cluster e os aplicativos do AKS Arc criem e operem com êxito:
- Rede lógica para VMs do AKS Arc e IP do painel de controle
- Balanceador de carga para aplicativos em contêineres
Redes lógicas para VMs do AKS Arc e IP do painel de controle
Os nós do Kubernetes são implantados como máquinas virtuais especializadas no AKS habilitado pelo Arc. Essas VMs são endereços IP alocados para permitir a comunicação entre nós do Kubernetes. O AKS Arc usa redes lógicas locais do Azure para fornecer endereços IP e rede para as VMs subjacentes dos clusters do Kubernetes. Para obter mais informações sobre redes lógicas, consulte Redes lógicas para Azure Local. Você deve planejar a reserva de um endereço IP por VM do nó de cluster do AKS em seu ambiente local do Azure.
Observação
O IP estático é o único modo com suporte para atribuir um endereço IP a VMs do AKS Arc. Isso ocorre porque o Kubernetes exige que o endereço IP atribuído a um nó do Kubernetes seja constante durante todo o ciclo de vida do cluster do Kubernetes. Atualmente, não há suporte para redes virtuais definidas pelo software e recursos relacionados à SDN no AKS no Azure Local, versão 23H2.
Os seguintes parâmetros são necessários para usar uma rede lógica para a operação de criação de cluster do AKS Arc:
| Parâmetro de rede lógica | Descrição | Parâmetro necessário para o cluster do AKS Arc |
|---|---|---|
--address-prefixes |
AddressPrefix para a rede. Atualmente, apenas 1 prefixo de endereço é suportado. Uso: --address-prefixes "10.220.32.16/24". |
 |
--dns-servers |
Lista separada por espaço de endereços IP do servidor DNS. Uso: --dns-servers 10.220.32.16 10.220.32.17. |
|
--gateway |
Gateway. O endereço IP do gateway deve estar dentro do escopo do prefixo de endereço. Uso: --gateway 10.220.32.16. |
|
--ip-allocation-method |
O método de alocação de endereço IP. Os valores suportados são "Estáticos". Uso: --ip-allocation-method "Static". |
|
--vm-switch-name |
O nome do comutador de VM. Uso: --vm-switch-name "vm-switch-01". |
|
--ip-pool-start |
Se você usar o MetalLB ou qualquer outro balanceador de carga de terceiros no modo L2/ARP, é altamente recomendável usar pools de IP para separar os requisitos de IP do AKS Arc dos IPs do balanceador de carga. Essa recomendação é para ajudar a evitar conflitos de endereço IP que podem levar a falhas não intencionais e difíceis de diagnosticar. Esse valor é o endereço IP inicial do pool de IPs. O endereço deve estar no intervalo do prefixo de endereço. Uso: --ip-pool-start "10.220.32.18". |
Opcional, mas altamente recomendado. |
--ip-pool-end |
Se você usar o MetalLB ou qualquer outro balanceador de carga de terceiros no modo L2/ARP, é altamente recomendável usar pools de IP para separar os requisitos de IP do AKS Arc dos IPs do balanceador de carga. Essa recomendação é para ajudar a evitar conflitos de endereço IP que podem levar a falhas não intencionais e difíceis de diagnosticar. Esse valor é o endereço IP final do pool de IPs. O endereço deve estar no intervalo do prefixo de endereço. Uso: --ip-pool-end "10.220.32.38". |
Opcional, mas altamente recomendado. |
IP do plano de controle
O Kubernetes usa um plano de controle para garantir que todos os componentes do cluster do Kubernetes sejam mantidos no estado desejado. O plano de controle também gerencia e mantém os nós de trabalho que contêm os aplicativos em contêineres. O AKS habilitado pelo Arc implanta o balanceador de carga KubeVIP para garantir que o endereço IP do servidor de API do painel de controle do Kubernetes esteja disponível o tempo todo. Essa instância KubeVIP requer um único "endereço IP do plano de controle" imutável para funcionar corretamente. O AKS Arc escolhe automaticamente um IP do painel de controle para você na rede lógica passada durante a operação de criação do cluster do Kubernetes.
Você também tem a opção de passar um IP do plano de controle. Nesses casos, o IP do plano de controle deve estar dentro do escopo do prefixo de endereço da rede lógica. Você deve garantir que o endereço IP do plano de controle não se sobreponha a qualquer outra coisa, incluindo redes lógicas Arc VM, IPs de rede de infraestrutura, balanceadores de carga etc. Endereços IP sobrepostos podem levar a falhas inesperadas para o cluster do AKS e qualquer outro local em que o endereço IP esteja sendo usado. Você deve planejar a reserva de um endereço IP por cluster do Kubernetes em seu ambiente.
IPs do balanceador de carga para aplicativos em contêineres
A principal finalidade de um balanceador de carga é distribuir o tráfego entre vários nós em um cluster do Kubernetes. Esse balanceamento de carga pode ajudar a evitar o tempo de inatividade e melhorar o desempenho geral dos aplicativos. O AKS dá suporte às seguintes opções para implantar um balanceador de carga para o cluster do Kubernetes:
- Implante a extensão para MetalLB para Kubernetes habilitado para Azure Arc.
- Traga seu próprio balanceador de carga de terceiros.
Se você escolher a extensão Arc para MetalLB ou trazer seu próprio balanceador de carga, deverá fornecer um conjunto de endereços IP para o serviço de balanceador de carga. Você tem as seguintes opções:
- Forneça endereços IP para seus serviços da mesma sub-rede que as VMs do AKS Arc.
- Use uma rede e uma lista de endereços IP diferentes se o aplicativo precisar de balanceamento de carga externo.
Independentemente da opção escolhida, você deve garantir que os endereços IP alocados para o balanceador de carga não entrem em conflito com os endereços IP na rede lógica. Endereços IP conflitantes podem levar a falhas imprevistas na implantação e nos aplicativos do AKS.
Configurações de proxy
As configurações de proxy no AKS são herdadas do sistema de infraestrutura subjacente. A funcionalidade para definir configurações de proxy individuais para clusters do Kubernetes e alterar as configurações de proxy ainda não é compatível. Para obter mais informações sobre como definir o proxy corretamente, consulte requisitos de proxy para o Azure Local.
Exceções de URL do firewall
Os requisitos de firewall para o AKS foram consolidados com os requisitos de firewall local do Azure. Consulte os requisitos do firewall local do Azure para obter a lista de URLs que precisam ter permissão para implantar o AKS com êxito.
Configurações do servidor DNS
Você precisa garantir que o servidor DNS da rede lógica possa resolver o FQDN do cluster local do Azure. A resolução de nomes DNS é necessária para que todos os nós locais do Azure possam se comunicar com os nós de VM do AKS.
Requisitos de porta de rede e VLAN cruzada
Ao implantar o Azure Local, você aloca um bloco contíguo de pelo menos seis endereços IP estáticos na sub-rede da rede de gerenciamento, omitindo os endereços já usados pelos computadores físicos. Esses IPs são usados pela infraestrutura local e interna do Azure (Arc Resource Bridge) para gerenciamento de VM do Arc e AKS Arc. Se a rede de gerenciamento que fornece endereços IP para os serviços locais do Azure relacionados à Ponte de Recursos do Arc estiver em uma VLAN diferente da rede lógica usada para criar clusters do AKS, você precisará garantir que as portas a seguir sejam abertas para criar e operar com êxito um cluster do AKS.
| Porta de destino | Destino | Fonte | Descrição | Notas de rede entre VLANs |
|---|---|---|---|---|
| 22 | Rede lógica usada para VMs do AKS Arc | Endereços IP na rede de gerenciamento | Necessário para coletar logs para solução de problemas. | Se você usar VLANs separadas, os endereços IP na rede de gerenciamento usada para o Azure Local e a Ponte de Recursos do Arc precisarão acessar as VMs de cluster do AKS Arc nessa porta. |
| 6443 | Rede lógica usada para VMs do AKS Arc | Endereços IP na rede de gerenciamento | Necessário para se comunicar com APIs do Kubernetes. | Se você usar VLANs separadas, os endereços IP na rede de gerenciamento usada para o Azure Local e a Ponte de Recursos do Arc precisarão acessar as VMs de cluster do AKS Arc nessa porta. |
| 55000 | Endereços IP na rede de gerenciamento | Rede lógica usada para VMs do AKS Arc | Servidor gRPC do Cloud Agent | Se você usar VLANs separadas, as VMs do AKS Arc precisarão acessar os endereços IP na rede de gerenciamento usada para o IP do agente de nuvem e o IP do cluster nessa porta. |
| 65000 | Endereços IP na rede de gerenciamento | Rede lógica usada para VMs do AKS Arc | Autenticação gRPC do Cloud Agent | Se você usar VLANs separadas, as VMs do AKS Arc precisarão acessar os endereços IP na rede de gerenciamento usada para o IP do agente de nuvem e o IP do cluster nessa porta. |
Próximas etapas
Planejamento e considerações sobre endereços IP para clusters e aplicativos do Kubernetes