Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Kontroler pro přístup služby Application Gateway (AGIC) je aplikace Kubernetes, která umožňuje clusterům Azure Kubernetes Service (AKS) využívat nativní L7 load balancer Application Gateway Azure pro zpřístupnění pracovních úloh na internetu. AGIC monitoruje cluster Kubernetes, na který je hostovaný, a průběžně aktualizuje službu Application Gateway, aby vybrané služby byly zpřístupněny internetu.
Ingress Controller běží ve svém vlastním podu v clusteru AKS. AGIC monitoruje změny v podmnožině prostředků Kubernetes. Stav clusteru AKS se přeloží na konfiguraci specifickou pro službu Application Gateway a použije se na Azure Resource Manager (ARM).
V tomto článku se dozvíte o výhodách AGIC, možnostech nasazení (Helm a doplňku AKS) a podporovaných konfiguracích sítí kontejnerů.
Tip
Zvažte službu Application Gateway pro kontejnery pro vaše řešení příchozího přenosu dat Kubernetes. Další informace najdete v tématu Rychlý start: Nasazení služby Application Gateway pro kontejnery ALB Controller.
Výhody služby Application Gateway Ingress Controller
AGIC pomáhá eliminovat potřebu jiného nástroje pro vyrovnávání zatížení nebo veřejné IP adresy před clusterem AKS. Zabrání více skokům v síti v datové cestě, než se požadavky dostanou do clusteru AKS. Application Gateway komunikuje s pody pomocí jejich privátní IP adresy přímo a nevyžaduje služby NodePort ani KubeProxy. Tato funkce také přináší lepší výkon pro vaše nasazení.
Ingress Controller je podporován výhradně SKU s označením Standard_v2 a WAF_v2, které také umožňují výhody automatického škálování. Služba Application Gateway může reagovat na zvýšení nebo snížení zatížení provozu a odpovídajícím způsobem škálovat, aniž by spotřebovala prostředky z clusteru AKS.
Použití služby Application Gateway kromě AGIC také pomáhá chránit cluster AKS tím, že poskytuje zásady TLS a funkce Web Application Firewall (WAF).
AGIC se konfiguruje prostřednictvím Ingress resource Kubernetes spolu se službami, nasazeními a Pody. Pomocí nativního nástroje pro vyrovnávání zatížení Azure Application Gateway L7 poskytuje AGIC následující funkce:
- Směrování adres URL
- Spřažení na základě souborů cookie
- ukončení šifrování TLS
- Koncové šifrování TLS
- Podpora veřejných, soukromých a hybridních webů
- Integrovaný Firewall webových aplikací
Výstraha
AGIC ve výchozím nastavení předpokládá úplné vlastnictví služby Application Gateway, se kterou je propojená. AGIC přepíše veškerou existující konfiguraci služby Application Gateway, která není definovaná v prostředcích příchozího přenosu dat Kubernetes. Všechny naslouchací procesy, back-endové fondy, pravidla nebo jiná nastavení dříve nakonfigurovaná ve službě Application Gateway se odeberou nebo nahradí, když je povolená služba AGIC. Před povolením AGIC ve stávající službě Application Gateway zálohujte konfiguraci služby Application Gateway exportem šablony z portálu Azure. Další informace najdete v tématu Zálohování nasazení služby Application Gateway.
Pokud potřebujete, aby služba AGIC společně existovala s existujícími konfiguracemi služby Application Gateway, přečtěte si téma Nastavení sdíleného nasazení služby Application Gateway (pouze Helm).
Rozdíl mezi nasazením Helmu a doplňkem AKS
AGIC můžete nasadit pro AKS cluster pomocí nástroje Helm nebo AKS jako doplněk. Hlavní výhodou nasazení AGIC jako doplňku AKS je, že je jednodušší než nasazení prostřednictvím Helm. Pro nové nastavení můžete nasadit novou službu Application Gateway a nový cluster AKS s povoleným doplňkem AGIC v jednom řádku v Azure CLI. Doplněk je také plně spravovaná služba, která poskytuje další výhody, jako jsou automatické aktualizace a zvýšená podpora. Microsoft plně podporuje oba způsoby nasazení doplňku AGIC (Helm a AKS). Doplněk navíc umožňuje lepší integraci s AKS jako prvotřídní doplněk.
I když doplněk AGIC nasadíte jako pod v clusteru AKS, existují některé rozdíly mezi verzí nasazení Helm a doplňkovou verzí AGIC. Následující seznam uvádí rozdíly:
- U doplňku AKS nemůžete upravit hodnoty nasazení Helm:
-
verbosityLevelje ve výchozím nastavení nastavená na 5. -
usePrivateIpje ve výchozím nastavení nastaveno na false; přepište toto nastavení pomocí poznámky use-private-ip -
sharednení podporován na doplňku. - Doplněk
reconcilePeriodSecondsnení podporován. - Doplněk
armAuth.typenení podporován.
-
- AGIC nasazené prostřednictvím Helm podporuje ProhibitedTargets, což znamená, že AGIC může nakonfigurovat službu Application Gateway speciálně pro clustery AKS, aniž by to mělo vliv na ostatní existující back-endy. Doplněk AGIC tuto funkci v současné době nepodporuje.
- Vzhledem k tomu, že doplněk AGIC je spravovaná služba, automaticky obdržíte aktualizace nejnovější verze doplňku AGIC. Naproti tomu při nasazování AGIC přes Helm musíte AGIC aktualizovat ručně.
Poznámka:
V každém clusteru AKS můžete nasadit jenom jeden doplněk AGIC a každý doplněk AGIC může v současné době cílit jenom na jednu službu Application Gateway. Pro nasazení, která vyžadují více než jeden AGIC na cluster nebo více AGIC, které cílí na jednu službu Application Gateway, použijte AGIC nasazenou prostřednictvím Nástroje Helm.
Doplněk Helm i AGIC nepodporují službu ExternalName.
Sítě kontejnerů a AGIC
Kontrolér vstupní brány aplikace Application Gateway podporuje následující nabídky sítě pro AKS:
- Kubenet
- CNI
- Překrytí CNI
Azure CNI a Azure CNI Overlay jsou dvě doporučené možnosti pro Application Gateway Ingress Controller. Při výběru síťového modelu zvažte případy použití pro každý modul plug-in CNI a typ síťového modelu, který používá:
| Plug-in CNI | Síťový model | Zvýraznění případů použití |
|---|---|---|
| Azure CNI Overlay | Překrytí | - Nejlepší pro zachování IP adres virtuální sítě – Maximální počet uzlů podporovaný serverem API + 250 podů na uzel – Jednodušší konfigurace -Bez přímého přístupu k IP adrese externího podu |
| podsíť podů CNI Azure CNI | Plochý | – Přímý přístup k externímu podu – Režimy efektivního využití IP adres virtuální sítě nebo podpory velkého rozsahu clusterů |
| Podsíť uzlu Azure CNI | Plochý | – Přímý přístup k externímu podu – Jednodušší konfigurace - Omezené škálování – Neefektivní využití IP adres virtuální sítě |
Když zřídíte službu Application Gateway pro kontejnery do clusteru, který má povoleno překrytí CNI nebo CNI, služba Application Gateway pro kontejnery automaticky rozpozná zamýšlenou konfiguraci sítě. Nemusíte měnit konfiguraci rozhraní API brány ani ingressu, pokud chcete specifikovat překryvné rozhraní CNI nebo samotné CNI.
Pokud používáte Azure CNI Overlay, zvažte následující omezení:
- Kontroler AGIC: Pokud chcete využít výhod překrytí CNI, musíte používat verzi v1.9.1 nebo vyšší.
- Velikost podsítě: Podsíť služby Application Gateway musí mít nejvýše předponu /24. Pro jednu podsíť se podporuje pouze jedno nasazení.
- Delegování podsítě: Podsíť určená pro bránu Application Gateway musí mít delegování na Microsoft.Network/applicationGateways.
- Propojení regionálních virtuálních sítí: Nemůžete nasadit bránu Application Gateway ve virtuální síti a uzly clusteru AKS ve stejné virtuální síti v jedné oblasti.
- Globální propojování virtuálních sítí: Službu Application Gateway nelze nasadit ve virtuální síti v jedné oblasti a uzly clusteru AKS ve virtuální síti v jiné oblasti.
- Azure CNI Overlay s kontrolerem přístupu Application Gateway se nepodporuje v cloudu Azure Government ani v Microsoft Azure provozovaném společností 21Vianet (Azure v Číně).
Poznámka:
Řadič vstupní brány služby Application Gateway automaticky detekuje upgrade clusteru AKS z Kubenetu nebo CNI na CNI Overlay. Naplánujte upgrade během časového období údržby, protože může dojít k přerušení provozu. Po upgradu clusteru může kontrolér potřebovat několik minut k detekci a konfiguraci podpory CNI Overlay.
Výstraha
Před upgradem se ujistěte, že podsíť služby Application Gateway je podsíť /24 nebo menší. Upgrade z CNI na CNI Overlay s větší podsítí (například /23) vede k výpadku a vyžaduje znovuvytvoření podsítě pro Application Gateway s podporovanou velikostí.
Další kroky
- Nasazení systému AKS Add-On Greenfield: Pokyny k instalaci doplňku AGIC, AKS a Application Gateway na prázdnou infrastrukturu.
- Nasazení AKS Add-On Brownfield: Nainstalujte doplněk AGIC do clusteru AKS se stávající službou Application Gateway.
- Nasazení Helm Greenfieldu: Nainstalujte AGIC prostřednictvím Helmu, nového clusteru AKS a nové služby Application Gateway na infrastrukturu prázdných slate.
- Nasazení Helm Brownfieldu: Nasazení AGIC prostřednictvím Helmu na existujícím clusteru AKS a službě Application Gateway