AKS, включенные Azure Arc в требованиях к сети VMware (предварительная версия)
Область применения: AKS, включенная Azure Arc в VMware (предварительная версия)
В этой статье приведены основные понятия, обеспечивающие сеть для виртуальных машин и приложений в Служба Azure Kubernetes (AKS), включенных Azure Arc в VMware:
- Логические сети для AKS, включенные виртуальными машинами Arc
- IP-адрес плоскости управления
- Подсистемы балансировки нагрузки Kubernetes
В этой статье также описаны необходимые требования к сети для создания кластеров Kubernetes. Рекомендуется работать с администратором сети, чтобы предоставить и настроить параметры сети, необходимые для развертывания AKS.
Сетевые понятия для кластеров AKS
Убедитесь, что сеть настроена правильно для следующих компонентов в кластерах Kubernetes:
- Виртуальные машины кластера AKS
- IP-адрес плоскости управления AKS
- Подсистема балансировки нагрузки для контейнерных приложений
Сеть для виртуальных машин кластера AKS
Узлы Kubernetes развертываются как специализированные виртуальные машины в AKS. Эти виртуальные машины выделены IP-адреса для обеспечения связи между узлами Kubernetes. AKS использует сегменты логической сети VMware для предоставления IP-адресов и сетей для базовых виртуальных машин кластеров Kubernetes. Для этой предварительной версии поддерживаются только сегменты логической сети на основе DHCP VMware. После предоставления сегмента сети VMware во время создания кластера AKS Arc IP-адреса динамически выделяются базовым виртуальным машинам кластеров Kubernetes.
IP-адрес плоскости управления
Kubernetes использует плоскость управления, чтобы гарантировать, что каждый компонент в кластере Kubernetes хранится в требуемом состоянии. Плоскость управления также управляет рабочими узлами, владеющими контейнерными приложениями. AKS развертывает подсистему балансировки нагрузки KubeVIP, чтобы убедиться, что IP-адрес сервера API уровня управления Kubernetes всегда доступен. Для правильной работы этого экземпляра KubeVIP требуется один неизменяемый IP-адрес плоскости управления. IP-адрес плоскости управления является обязательным параметром для создания кластера Kubernetes. Необходимо убедиться, что IP-адрес плоскости управления кластера Kubernetes не перекрывается с другими IP-адресами. Перекрывающиеся IP-адреса могут привести к непредвиденным сбоям как для кластера AKS, так и для любого другого места, где используется IP-адрес. Необходимо зарезервировать один IP-адрес для кластера Kubernetes в вашей среде. Убедитесь, что IP-адрес плоскости управления исключен из области DHCP-сервера.
IP-адреса подсистемы балансировки нагрузки для контейнерных приложений
Основной целью подсистемы балансировки нагрузки является распределение трафика между несколькими узлами в кластере Kubernetes. Эта балансировка нагрузки может помочь предотвратить простой и повысить общую производительность приложений. Для этой предварительной версии необходимо принести собственный сторонний балансировщик нагрузки; например, MetalLB. Кроме того, необходимо убедиться, что IP-адреса, выделенные подсистеме балансировки нагрузки, не конфликтуют с IP-адресами, используемыми в других местах. Конфликтующие IP-адреса могут привести к непредвиденным сбоям в развертывании и приложениях AKS.
Планирование IP-адресов для кластеров и приложений Kubernetes
Как минимум, для каждого кластера Kubernetes должно быть доступно следующее число IP-адресов. Фактическое число IP-адресов зависит от количества кластеров Kubernetes, количества узлов в каждом кластере и количества служб и приложений, которые вы хотите запустить в кластере Kubernetes:
| Параметр | Минимальное количество IP-адресов |
|---|---|
| Сегмент логической сети VMware | Один IP-адрес для каждого рабочего узла в кластере Kubernetes. Например, если вы хотите создать 3 пула узлов с 3 узлами в каждом пуле узлов, вам потребуется 9 доступных IP-адресов с DHCP-сервера. |
| IP-адрес плоскости управления | Зарезервируйте один IP-адрес для каждого кластера Kubernetes в вашей среде. Например, если необходимо создать 5 кластеров в общей сложности, необходимо зарезервировать 5 IP-адресов, по одному для каждого кластера Kubernetes. Эти 5 IP-адресов должны находиться вне области DHCP-сервера. |
| IP-адреса подсистемы балансировки нагрузки | Количество зарезервированных IP-адресов зависит от модели развертывания приложения. В качестве отправной точки можно зарезервировать один IP-адрес для каждой службы Kubernetes. |
Параметры прокси-сервера
Для этой предварительной версии создание кластеров AKS Arc в среде VMware с поддержкой прокси-сервера не поддерживается.
Исключения URL-адресов брандмауэра
Сведения о списке разрешений брандмауэра и прокси-сервера Azure Arc см . в требованиях к сети моста ресурсов Azure Arc.
Для развертывания и работы кластеров Kubernetes следующие URL-адреса должны быть доступны со всех физических узлов и виртуальных машин в развертывании. Убедитесь, что эти URL-адреса разрешены в конфигурации брандмауэра:
| URL | Порт |
|---|---|
| .dp.prod.appliances.azure.com | HTTPS/443 |
| .eus.his.arc.azure.com | HTTPS/443 |
| guestnotificationservice.azure.com | HTTPS/443 |
| .dp.kubernetesconfiguration.azure.com | HTTPS/443 |
| management.azure.com | HTTPS/443 |
| raw.githubusercontent.com | HTTPS/443 |
| storage.googleapis.com | HTTPS/443 |
| msk8s.api.cdp.microsoft.com | HTTPS/443 |
| adhs.events.data.microsoft.com | HTTPS/443 |
| .events.data.microsoft.com | HTTPS/443 |
| graph.microsoft.com | HTTPS/443 |
| .login.microsoft.com | HTTPS/443 |
| mcr.microsoft.com | HTTPS/443 |
| .data.mcr.microsoft.com | HTTPS/443 |
| msk8s.sb.tlu.dl.delivery.mp.microsoft.com | HTTPS/443 |
| .prod.microsoftmetrics.com | HTTPS/443 |
| login.microsoftonline.com | HTTPS/443 |
| dc.services.visualstudio.com | HTTPS/443 |
| ctldl.windowsupdate.com | HTTP/80 |
| azurearcfork8s.azurecr.io | HTTPS/443 |
| ecpacr.azurecr.io | HTTPS/443 |
| hybridaks.azurecr.io | HTTPS/443 |
| kvamanagementoperator.azurecr.io | HTTPS/443 |
| linuxgeneva-microsoft.azurecr.io | HTTPS/443 |
| gcr.io | HTTPS/443 |
| aka.ms | HTTPS/443 |
| k8connecthelm.azureedge.net | HTTPS/443 |
| k8sconnectcsp.azureedge.net | HTTPS/443 |
| .blob.core.windows.net | HTTPS/443 |