你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

已启用 Azure Arc 的 Kubernetes 的网络连接

已启用 Arc 的 Kubernetes 支持完全连接和半连接模式,方便用户使用 Azure Arc 的控制平面加入和管理 Kubernetes 群集。 已启用 Azure Arc 的 Kubernetes 代理与 Azure Arc 终结点通信,以使用 Kubernetes 群集中的拉取和推送方法交换不同类型的元数据信息

本文档介绍网络体系结构、设计注意事项和设计建议,以便你启用与 Azure 控制平面的连接,从而管理和操作在本地和其他云环境中运行的已启用 Arc 的 Kubernetes 群集。

体系结构

下图显示了一个已启用 Azure Arc 的 Kubernetes 网络体系结构,该体系结构支持完全连接和半连接网络连接模式。

此图显示已启用 Azure Arc 的 Kubernetes 网络体系结构。

下图显示了一个网络体系结构,该体系结构允许使用已启用 Azure Arc 的 Kubernetes 群集连接功能特性从任何网络位置进行群集访问。

此图显示已启用 Azure Arc 的 Kubernetes 群集连接网络体系结构。

设计注意事项

  • 查看 Azure 登陆区域的网络拓扑和连接设计领域,以评估已启用 Azure Arc 的 Kubernetes 对连接模型的影响。
  • 查看已启用 Azure Arc 的 Kubernetes 的网络要求,以了解群集如何通过本地网络或其他云提供商与 Azure 通信。
  • 考虑在组织的安全性和符合性要求之间进行权衡,以及已启用 Azure Arc 的 Kubernetes 为组织提供的好处。 决定实现完全连接模式还是半连接模式
  • 决定在通过 ExpressRoute/VPN 或 Internet 连接连接到 Azure Log Analytics 工作区时是使用公共终结点还是专用终结点。
  • 决定在通过 ExpressRoute/VPN 或 Internet 连接连接到 Azure Key Vault 时是使用公共终结点还是专用终结点。
  • 为已启用 Azure Arc 的 Kubernetes 群集管理选择网络连接选项,因为已启用 Azure Arc 的 Kubernetes 群集支持来自任何网络的群集管理。 有关在确定独立于网络的群集管理时的设计注意事项和建议,请参阅标识和访问管理
  • 考虑通过可以访问任何位置的群集连接功能安全地管理已启用 Azure Arc 的 Kubernetes 群集,这样就不需打开入站网络端口,仅允许与 Azure 中的 Azure Arc 服务进行出站通信。
  • 使用本地或多云防火墙或代理服务器对出站流量进行 TLS 检查时,以及使用网络入侵检测和防护系统 (IDPS) 时,需决定是否豁免已启用 Azure Arc 的 Kubernetes 终结点,因为这些防火墙或代理服务器不信任某些服务器证书。

设计建议

后续步骤

有关混合云和多云云旅程的详细信息,请参阅以下文章: