AKS, включенные требованиями к сети Azure Arc
Область применения: Локальная версия Azure, версия 23H2
В этой статье представлены основные понятия сети для виртуальных машин и приложений в AKS, включенных Azure Arc. В статье также описаны необходимые сетевые требования для создания кластеров Kubernetes. Рекомендуется работать с администратором сети, чтобы предоставить и настроить параметры сети, необходимые для развертывания AKS, включенного Arc.
В этой концептуальной статье представлены следующие ключевые компоненты. Эти компоненты требуют статического IP-адреса для успешного создания и работы кластера AKS Arc и приложений:
- Логическая сеть для виртуальных машин AKS Arc и IP-адреса плоскости управления
- Подсистема балансировки нагрузки для контейнерных приложений
Логические сети для виртуальных машин AKS Arc и IP-адреса плоскости управления
Узлы Kubernetes развертываются как специализированные виртуальные машины в AKS, включенные Arc. Эти виртуальные машины выделены IP-адреса для обеспечения связи между узлами Kubernetes. AKS Arc использует локальные логические сети Azure для предоставления IP-адресов и сетей для базовых виртуальных машин кластеров Kubernetes. Дополнительные сведения о логических сетях см. в разделе "Логические сети" для локальных сетей Azure. Необходимо зарезервировать один IP-адрес на виртуальную машину узла кластера AKS в локальной среде Azure.
Примечание.
Статический IP-адрес — это единственный поддерживаемый режим назначения IP-адреса виртуальным машинам AKS Arc. Это связано с тем, что Kubernetes требует, чтобы IP-адрес, назначенный узлу Kubernetes, был константой на протяжении всего жизненного цикла кластера Kubernetes. Программные виртуальные сети и связанные функции SDN в настоящее время не поддерживаются в AKS на локальной платформе Azure версии 23H2.
Для использования логической сети для операции создания кластера AKS Arc требуются следующие параметры:
| Параметр логической сети | Description | Обязательный параметр для кластера AKS Arc |
|---|---|---|
--address-prefixes |
АдресPrefix для сети. В настоящее время поддерживается только 1 префикс адреса. Использование: --address-prefixes "10.220.32.16/24". |
 |
--dns-servers |
Разделенный пробелами список IP-адресов DNS-сервера. Использование: --dns-servers 10.220.32.16 10.220.32.17. |
|
--gateway |
Шлюз IP-адрес шлюза должен находиться в области префикса адреса. Использование: --gateway 10.220.32.16. |
|
--ip-allocation-method |
Метод выделения IP-адресов. Поддерживаемые значения : Static. Использование: --ip-allocation-method "Static". |
|
--vm-switch-name |
Имя коммутатора виртуальной машины. Использование: --vm-switch-name "vm-switch-01". |
|
--ip-pool-start |
Если вы используете MetalLB или любую другую стороннюю подсистему балансировки нагрузки в режиме L2/ARP, настоятельно рекомендуем использовать пулы IP для разделения IP-адресов AKS Arc от IP-адресов подсистемы балансировки нагрузки. Эта рекомендация поможет избежать конфликтов IP-адресов, которые могут привести к непредвиденным и сложным сбоям. Это значение является начальным IP-адресом пула IP-адресов. Адрес должен находиться в диапазоне префикса адреса. Использование: --ip-pool-start "10.220.32.18". |
Необязательно, но настоятельно рекомендуется. |
--ip-pool-end |
Если вы используете MetalLB или любую другую стороннюю подсистему балансировки нагрузки в режиме L2/ARP, настоятельно рекомендуем использовать пулы IP для разделения IP-адресов AKS Arc от IP-адресов подсистемы балансировки нагрузки. Эта рекомендация поможет избежать конфликтов IP-адресов, которые могут привести к непредвиденным и сложным сбоям. Это значение является конечным IP-адресом пула IP-адресов. Адрес должен находиться в диапазоне префикса адреса. Использование: --ip-pool-end "10.220.32.38". |
Необязательно, но настоятельно рекомендуется. |
IP-адрес плоскости управления
Kubernetes использует плоскость управления, чтобы гарантировать, что каждый компонент в кластере Kubernetes хранится в требуемом состоянии. Плоскость управления также управляет рабочими узлами, владеющими контейнерными приложениями. AKS, включенный Arc, развертывает подсистему балансировки нагрузки KubeVIP, чтобы обеспечить доступность IP-адреса сервера API уровня управления Kubernetes. Для работы этого экземпляра KubeVIP требуется один неизменяемый IP-адрес плоскости управления. AKS Arc автоматически выбирает IP-адрес плоскости управления для вас из логической сети, переданной во время операции создания кластера Kubernetes.
Вы также можете передать IP-адрес плоскости управления. В таких случаях IP-адрес плоскости управления должен находиться в пределах префикса адреса логической сети. Необходимо убедиться, что IP-адрес плоскости управления не перекрывается с другими сетями, включая логические сети виртуальных машин Arc, IP-адреса сети инфраструктуры, подсистемы балансировки нагрузки и т. д. Перекрывающиеся IP-адреса могут привести к непредвиденным сбоям как для кластера AKS, так и для любого другого места, где используется IP-адрес. Необходимо зарезервировать один IP-адрес для кластера Kubernetes в вашей среде.
IP-адреса подсистемы балансировки нагрузки для контейнерных приложений
Основной целью подсистемы балансировки нагрузки является распределение трафика между несколькими узлами в кластере Kubernetes. Эта балансировка нагрузки может помочь предотвратить простой и повысить общую производительность приложений. AKS поддерживает следующие параметры развертывания подсистемы балансировки нагрузки для кластера Kubernetes:
- Развертывание расширения для MetalLB для Kubernetes с поддержкой Azure Arc.
- Принесите собственную стороннюю подсистему балансировки нагрузки.
Независимо от того, выбираете ли вы расширение Arc для MetalLB или предоставляете собственный подсистему балансировки нагрузки, необходимо предоставить набор IP-адресов в службу подсистемы балансировки нагрузки. Вам доступны следующие варианты:
- Укажите IP-адреса для служб из той же подсети, что и виртуальные машины AKS Arc.
- Используйте другую сеть и список IP-адресов, если приложению требуется внешняя балансировка нагрузки.
Независимо от выбранного варианта, необходимо убедиться, что IP-адреса, выделенные подсистеме балансировки нагрузки, не конфликтуют с IP-адресами в логической сети. Конфликтующие IP-адреса могут привести к непредвиденным сбоям в развертывании и приложениях AKS.
Параметры прокси-сервера
Параметры прокси-сервера в AKS наследуются от базовой системы инфраструктуры. Функция настройки отдельных параметров прокси-сервера для кластеров Kubernetes и изменение параметров прокси-сервера пока не поддерживается. Дополнительные сведения о том, как правильно задать прокси-сервер, см. в разделе "Требования к прокси-серверу для локальной службы Azure".
Исключения URL-адресов брандмауэра
Требования к брандмауэру для AKS были консолидированы с требованиями локального брандмауэра Azure. Ознакомьтесь с требованиями к локальному брандмауэру Azure для списка URL-адресов, которые должны быть разрешены для успешного развертывания AKS.
параметры DNS-сервера;
Необходимо убедиться, что DNS-сервер логической сети может разрешить полное доменное имя локального кластера Azure. Разрешение DNS-имен требуется для всех локальных узлов Azure, чтобы иметь возможность взаимодействовать с узлами виртуальной машины AKS.
Требования к сетевому порту и кросс-VLAN
При развертывании Azure Local вы выделяете непрерывный блок по крайней мере шести статических IP-адресов в подсети сети управления, не указывая адреса, уже используемые физическими компьютерами. Эти IP-адреса используются локальной и внутренней инфраструктурой Azure (Мост ресурсов Arc) для управления виртуальными машинами Arc и AKS Arc. Если сеть управления, предоставляющая IP-адреса, связанные с Локальными службами Azure Arc, находятся в другой виртуальной локальной сети, отличной от логической сети, используемой для создания кластеров AKS, необходимо убедиться, что для успешного создания и эксплуатации кластера AKS открыты следующие порты.
| Конечный порт | Назначение | Оригинал | Description | Заметки о перекрестной сети виртуальной локальной сети |
|---|---|---|---|---|
| 22 | Логическая сеть, используемая для виртуальных машин AKS Arc | IP-адреса в сети управления | Требуется для сбора журналов для устранения неполадок. | При использовании отдельных виртуальных ЛС IP-адреса в сети управления, используемой для моста ресурсов Azure Local и Arc, должны получить доступ к виртуальным машинам кластера AKS Arc на этом порту. |
| 6443 | Логическая сеть, используемая для виртуальных машин AKS Arc | IP-адреса в сети управления | Требуется для взаимодействия с API Kubernetes. | При использовании отдельных виртуальных ЛС IP-адреса в сети управления, используемой для моста ресурсов Azure Local и Arc, должны получить доступ к виртуальным машинам кластера AKS Arc на этом порту. |
| 55000 | IP-адреса в сети управления | Логическая сеть, используемая для виртуальных машин AKS Arc | Сервер gRPC облачного агента | При использовании отдельных виртуальных ЛС виртуальные машины AKS Arc должны получить доступ к IP-адресам в сети управления, используемой для IP-адреса и IP-адреса кластера облачного агента на этом порту. |
| 65000 | IP-адреса в сети управления | Логическая сеть, используемая для виртуальных машин AKS Arc | Проверка подлинности gRPC облачного агента | При использовании отдельных виртуальных ЛС виртуальные машины AKS Arc должны получить доступ к IP-адресам в сети управления, используемой для IP-адреса и IP-адреса кластера облачного агента на этом порту. |
Следующие шаги
Планирование и рекомендации по планированию IP-адресов для кластеров и приложений Kubernetes