AKS aktiverat av Azure Arc-nätverkskrav
Gäller för: Azure Local, version 23H2
Den här artikeln beskriver grundläggande nätverksbegrepp för dina virtuella datorer och program i AKS som aktiveras av Azure Arc. Artikeln beskriver också de nödvändiga nätverkskraven för att skapa Kubernetes-kluster. Vi rekommenderar att du arbetar med en nätverksadministratör för att tillhandahålla och konfigurera de nätverksparametrar som krävs för att distribuera AKS som aktiverats av Arc.
I den här konceptuella artikeln introduceras följande viktiga komponenter. Dessa komponenter behöver en statisk IP-adress för att AKS Arc-klustret och programmen ska kunna skapa och fungera korrekt:
- Logiskt nätverk för virtuella AKS Arc-datorer och kontrollplans-IP
- Lastbalanserare för containerbaserade program
Logiska nätverk för virtuella AKS Arc-datorer och kontrollplans-IP
Kubernetes-noder distribueras som specialiserade virtuella datorer i AKS som aktiveras av Arc. Dessa virtuella datorer är allokerade IP-adresser för att aktivera kommunikation mellan Kubernetes-noder. AKS Arc använder lokala logiska Azure-nätverk för att tillhandahålla IP-adresser och nätverk för de underliggande virtuella datorerna i Kubernetes-klustren. Mer information om logiska nätverk finns i Logiska nätverk för Azure Local. Du måste planera att reservera en IP-adress per virtuell DATOR med AKS-klusternod i din lokala Azure-miljö.
Kommentar
Statisk IP är det enda läge som stöds för att tilldela en IP-adress till virtuella AKS Arc-datorer. Det beror på att Kubernetes kräver att IP-adressen som tilldelats en Kubernetes-nod är konstant under kubernetes-klustrets livscykel. Programvarudefinierade virtuella nätverk och SDN-relaterade funktioner stöds för närvarande inte på AKS på Azure Local version 23H2.
Följande parametrar krävs för att använda ett logiskt nätverk för AKS Arc-klusterskapande:
| Parameter för logiskt nätverk | beskrivning | Obligatorisk parameter för AKS Arc-kluster |
|---|---|---|
--address-prefixes |
AddressPrefix för nätverket. För närvarande stöds endast ett adressprefix. Användning: --address-prefixes "10.220.32.16/24". |
 |
--dns-servers |
Utrymmesavgränsad lista över DNS-serverns IP-adresser. Användning: --dns-servers 10.220.32.16 10.220.32.17. |
|
--gateway |
Gateway. Gateway-IP-adressen måste ligga inom adressprefixets omfång. Användning: --gateway 10.220.32.16. |
|
--ip-allocation-method |
Ip-adressallokeringsmetod. Värden som stöds är "Static". Användning: --ip-allocation-method "Static". |
|
--vm-switch-name |
Namnet på växeln för den virtuella datorn. Användning: --vm-switch-name "vm-switch-01". |
|
--ip-pool-start |
Om du använder MetalLB eller någon annan lastbalanserare från tredje part i L2/ARP-läge rekommenderar vi starkt att du använder IP-pooler för att separera AKS Arc IP-krav från lastbalanserarens IP-adresser. Den här rekommendationen är att undvika IP-adresskonflikter som kan leda till oavsiktliga och svårdiagnostiserade fel. Det här värdet är IP-startadressen för din IP-pool. Adressen måste finnas i adressprefixets intervall. Användning: --ip-pool-start "10.220.32.18". |
Valfritt, men rekommenderas starkt. |
--ip-pool-end |
Om du använder MetalLB eller någon annan lastbalanserare från tredje part i L2/ARP-läge rekommenderar vi starkt att du använder IP-pooler för att separera AKS Arc IP-krav från lastbalanserarens IP-adresser. Den här rekommendationen är att undvika IP-adresskonflikter som kan leda till oavsiktliga och svårdiagnostiserade fel. Det här värdet är IP-adressens slutadress för din IP-pool. Adressen måste finnas i adressprefixets intervall. Användning: --ip-pool-end "10.220.32.38". |
Valfritt, men rekommenderas starkt. |
Ip-adress för kontrollplan
Kubernetes använder ett kontrollplan för att säkerställa att varje komponent i Kubernetes-klustret hålls i önskat tillstånd. Kontrollplanet hanterar och underhåller även de arbetsnoder som innehåller de containerbaserade programmen. AKS som aktiveras av Arc distribuerar KubeVIP-lastbalanseraren för att säkerställa att API-serverns IP-adress för Kubernetes-kontrollplanet alltid är tillgänglig. Den här KubeVIP-instansen kräver en enda oföränderlig "kontrollplans-IP-adress" för att fungera korrekt. AKS Arc väljer automatiskt en kontrollplans-IP för dig från det logiska nätverk som skickades under kubernetes-klusterskapandeåtgärden.
Du har också möjlighet att skicka en IP-adress för kontrollplanet. I sådana fall måste kontrollplanets IP-adress ligga inom omfånget för adressprefixet för det logiska nätverket. Du måste se till att kontrollplanets IP-adress inte överlappar något annat, inklusive logiska arc-VM-nätverk, ip-adresser för infrastrukturnätverk, lastbalanserare osv. Överlappande IP-adresser kan leda till oväntade fel för både AKS-klustret och andra platser där IP-adressen används. Du måste planera att reservera en IP-adress per Kubernetes-kluster i din miljö.
Ip-adresser för lastbalanserare för containerbaserade program
Huvudsyftet med en lastbalanserare är att distribuera trafik över flera noder i ett Kubernetes-kluster. Den här belastningsutjämningen kan hjälpa till att förhindra driftstopp och förbättra programmets övergripande prestanda. AKS har stöd för följande alternativ för att distribuera en lastbalanserare för ditt Kubernetes-kluster:
- Distribuera tillägget för MetalLB för Azure Arc-aktiverade Kubernetes.
- Ta med din egen lastbalanserare från tredje part.
Oavsett om du väljer Arc-tillägget för MetalLB eller ta med en egen lastbalanserare måste du ange en uppsättning IP-adresser till lastbalanserarens tjänst. Du kan välja mellan följande alternativ:
- Ange IP-adresser för dina tjänster från samma undernät som de virtuella AKS Arc-datorerna.
- Använd ett annat nätverk och en lista över IP-adresser om programmet behöver extern belastningsutjämning.
Oavsett vilket alternativ du väljer måste du se till att IP-adresserna som allokerats till lastbalanseraren inte är i konflikt med IP-adresserna i det logiska nätverket. Motstridiga IP-adresser kan leda till oförutsedda fel i din AKS-distribution och dina program.
Proxyinställningar
Proxyinställningar i AKS ärvs från det underliggande infrastruktursystemet. Funktionen för att ange enskilda proxyinställningar för Kubernetes-kluster och ändra proxyinställningar stöds inte ännu. Mer information om hur du anger proxyn korrekt finns i proxykrav för Azure Local.
Undantag för brandväggs-URL
Brandväggskraven för AKS har konsoliderats med Azure Local-brandväggskrav. Se Azures lokala brandväggskrav för en lista över URL:er som måste tillåtas att distribuera AKS.
DNS-serverinställningar
Du måste se till att DNS-servern i det logiska nätverket kan matcha FQDN för Azure Local-klustret. DNS-namnmatchning krävs för att alla lokala Azure-noder ska kunna kommunicera med AKS VM-noderna.
Krav för nätverksport och kors-VLAN
När du distribuerar Azure Local allokerar du ett sammanhängande block med minst sex statiska IP-adresser i hanteringsnätverkets undernät och utelämnar adresser som redan används av de fysiska datorerna. Dessa IP-adresser används av Lokal Azure-infrastruktur (Arc Resource Bridge) för hantering av virtuella Arc-datorer och AKS Arc. Om ditt hanteringsnätverk som tillhandahåller IP-adresser till Arc Resource Bridge-relaterade lokala Azure-tjänster finns på ett annat VLAN än det logiska nätverk som du använde för att skapa AKS-kluster, måste du se till att följande portar öppnas för att skapa och använda ett AKS-kluster.
| Målport | Mål | Source | beskrivning | Anteckningar om kors-VLAN-nätverk |
|---|---|---|---|---|
| 22 | Logiskt nätverk som används för virtuella AKS Arc-datorer | IP-adresser i hanteringsnätverket | Krävs för att samla in loggar för felsökning. | Om du använder separata virtuella lokala nätverk måste IP-adresser i hanteringsnätverket som används för Azure Local och Arc Resource Bridge komma åt de virtuella AKS Arc-klusterdatorerna på den här porten. |
| 6443 | Logiskt nätverk som används för virtuella AKS Arc-datorer | IP-adresser i hanteringsnätverket | Krävs för att kommunicera med Kubernetes-API:er. | Om du använder separata virtuella lokala nätverk måste IP-adresser i hanteringsnätverket som används för Azure Local och Arc Resource Bridge komma åt de virtuella AKS Arc-klusterdatorerna på den här porten. |
| 55000 | IP-adresser i hanteringsnätverket | Logiskt nätverk som används för virtuella AKS Arc-datorer | Cloud Agent gRPC-server | Om du använder separata VLAN måste de virtuella AKS Arc-datorerna komma åt IP-adresserna i hanteringsnätverket som används för molnagentens IP-adress och kluster-IP på den här porten. |
| 65000 | IP-adresser i hanteringsnätverket | Logiskt nätverk som används för virtuella AKS Arc-datorer | GRPC-autentisering för molnagent | Om du använder separata VLAN måste de virtuella AKS Arc-datorerna komma åt IP-adresserna i hanteringsnätverket som används för molnagentens IP-adress och kluster-IP på den här porten. |
Nästa steg
Planering och överväganden för IP-adresser för Kubernetes-kluster och -program