你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

已启用 Azure Arc 的 Kubernetes 的网络连接

已启用 Arc 的 Kubernetes 支持完全连接和半连接模式，方便用户使用 Azure Arc 的控制平面加入和管理 Kubernetes 群集。 已启用 Azure Arc 的 Kubernetes 代理与 Azure Arc 终结点通信，以使用 Kubernetes 群集中的拉取和推送方法交换不同类型的元数据信息。

本文档介绍网络体系结构、设计注意事项和设计建议，以便你启用与 Azure 控制平面的连接，从而管理和操作在本地和其他云环境中运行的已启用 Arc 的 Kubernetes 群集。

体系结构

下图显示了一个已启用 Azure Arc 的 Kubernetes 网络体系结构，该体系结构支持完全连接和半连接网络连接模式。

下图显示了一个网络体系结构，该体系结构允许使用已启用 Azure Arc 的 Kubernetes 群集连接功能特性从任何网络位置进行群集访问。

设计注意事项

• 查看 Azure 登陆区域的网络拓扑和连接设计领域，以评估已启用 Azure Arc 的 Kubernetes 对连接模型的影响。
• 查看已启用 Azure Arc 的 Kubernetes 的网络要求，以了解群集如何通过本地网络或其他云提供商与 Azure 通信。
• 考虑在组织的安全性和符合性要求之间进行权衡，以及已启用 Azure Arc 的 Kubernetes 为组织提供的好处。 决定实现完全连接模式还是半连接模式。
• 决定在通过 ExpressRoute/VPN 或 Internet 连接连接到 Azure Log Analytics 工作区时是使用公共终结点还是专用终结点。
• 决定在通过 ExpressRoute/VPN 或 Internet 连接连接到 Azure Key Vault 时是使用公共终结点还是专用终结点。
• 为已启用 Azure Arc 的 Kubernetes 群集管理选择网络连接选项，因为已启用 Azure Arc 的 Kubernetes 群集支持来自任何网络的群集管理。 有关在确定独立于网络的群集管理时的设计注意事项和建议，请参阅标识和访问管理。
• 考虑通过可以访问任何位置的群集连接功能安全地管理已启用 Azure Arc 的 Kubernetes 群集，这样就不需打开入站网络端口，仅允许与 Azure 中的 Azure Arc 服务进行出站通信。
• 使用本地或多云防火墙或代理服务器对出站流量进行 TLS 检查时，以及使用网络入侵检测和防护系统 (IDPS) 时，需决定是否豁免已启用 Azure Arc 的 Kubernetes 终结点，因为这些防火墙或代理服务器不信任某些服务器证书。

设计建议

• 对已加入的 Kubernetes 群集使用完全连接模式可以让你始终使用最新的产品版本、安全更新、策略和已安装扩展，以便将 Azure 云服务引入本地或多云环境。
• 确保根据所选连接模型满足已启用 Azure Arc 的 Kubernetes 网络要求。
• 启用 Azure 专用链接，以通过 Azure ExpressRoute 或 VPN 连接从在本地或其他云环境中运行的 Kubernetes 群集访问 Azure 资源，例如 Key Vault、存储帐户、Microsoft 容器注册表和 Log Analytics。
  • 将 DNS 转发器配置为在 Azure 中解析 Azure 服务公共 DNS 区域。
• 对于已启用 Azure Arc 的 Kubernetes 代理流量（会经过防火墙或代理服务器），请创建一个源和某些目标对象组和/或标记，以简化出站 Internet 流量规则并为 Azure Arc 扩展的其他 URL 允许列表提供支持。
• 使用 Azure Monitor 跟踪已启用 Azure Arc 的 Kubernetes 群集连接状态，在连接状态发生更改时发出警报来通知管理员。 请考虑将 Azure Resource Graph 查询与 Azure Monitor 配合使用。
• 使用半连接网络连接模式时，至少每 30 天一次将群集连接到 Azure Arc，以导出计费数据，至少每 90 天一次续订托管标识证书并更新已启用 Azure Arc 的 Kubernetes 资源和代理。

后续步骤

有关混合云和多云云旅程的详细信息，请参阅以下文章：

• 查看已启用 Azure Arc 的 Kubernetes 的先决条件。
• 查看已启用 Azure Arc 的 Kubernetes 的已验证 Kubernetes 发行版。
• 查看管理混合和多云环境。
• 了解如何将现有 Kubernetes 群集连接到 Azure Arc。
• 了解已启用 Azure Arc 的 Kubernetes 连接模式。
• 了解在已启用 Azure Arc 的 Kubernetes 群集与 Azure 之间交换的数据。
• 了解如何使用 Azure Policy 大规模应用配置。
• 查看针对已启用 Azure Arc 的 Kubernetes 的 Azure Resource Graph 示例查询。
• 了解已启用 Azure Arc 的 Open Service Mesh，以保护已启用 Azure Arc 的 Kubernetes 群集通信和服务可观测性关键设计领域。
• 了解如何使用群集连接从任意位置访问已启用 Azure Arc 的 Kubernetes 群集。
• 使用 Azure Arc 快速入门体验已启用 Azure Arc 的 Kubernetes 自动化方案。
• 通过 Azure Arc 学习路径详细了解 Azure Arc。
• 参阅常见问题解答 - 已启用 Azure Arc，以获取最常见问题的答案。