Nasazení cílových clusterů AKS v různých virtuálních sítích SDN
Platí pro: AKS v Azure Local 22H2, AKS na Windows Serveru
Nasazení AKS, které je povoleno prostřednictvím Azure Arc na cílových clusterech v různých virtuálních sítích definovaných softwarem (SDN) , může nabízet celou řadu výhod, které jsou primárně zaměřeny na zabezpečení, škálovatelnost a organizaci sítí:
- zabezpečení a izolace: Každá izolovaná virtuální síť funguje jako samostatná entita, která může pomoct obsahovat potenciální bezpečnostní hrozby. Pokud dojde k ohrožení zabezpečení jedné sítě, je méně pravděpodobné, že se hrozba rozšíří do jiných virtuálních sítí.
- škálovatelnost: Nasazení cílových clusterů AKS do více sítí může zlepšit škálovatelnost vašich aplikací. S rostoucími požadavky nebo dodržováním předpisů můžete do nových virtuálních sítí SDN přidat další cílové clustery AKS.
- segmentace služeb: Izolované sítě umožňují logicky oddělit služby nebo aplikace na základě jejich funkce nebo podniku, který obsluhují, zejména sítě O/T s vysokými požadavky na dodržování předpisů a zákonné požadavky. Tato segmentace zjednodušuje správu, monitorování a řešení potíží.
- dodržování právních předpisů: Pro organizace, které pracují s přísnými pokyny, jako je výroba, zdravotnictví a finance, mohou izolované sítě pomoci dosáhnout dodržování předpisů s malým nárůstem fyzického adresního prostoru IP adres, jako jsou sítě VLAN, podsítě atd.
Následující obrázek ukazuje nasazení cílových clusterů AKS. Obrázek ukazuje, že cluster pro správu AKS Arc a cílové clustery jsou v různých virtuálních sítích SDN:
Konfigurace nové virtuální sítě SDN
Před nasazením nového cílového clusteru AKS musíte vytvořit novou virtuální síť. Pokud se název virtuální sítě SDN už vytvořil pomocí Centra pro správu Windows nebo PowerShellu, můžete použít existující virtuální síť (spravovanou SDN). Pokud se nevytvořil, vytvoříme pro vás virtuální síť v síťovém adaptéru AKS a SDN (spravovaná virtuální síť MOC):
New-AksHciClusterNetwork -name "SDNVNet1" -vswitchName "ConvergedSwitch(hci)" `
-ipAddressPrefix "13.20.0.0/8" -gateway "13.20.0.1" -dnsServers "10.195.95.223" `
-k8sNodeIpPoolStart "13.20.0.2" -k8sNodeIpPoolEnd "13.20.100.255"
Parametr | Popis |
---|---|
name |
Název výchozí virtuální sítě Znovu použije existující síť spravovanou SDN, pokud existuje, nebo vytvoří novou spravovanou síť MOC. |
vswitchName |
Název virtuálního přepínače nakonfigurovaného pro SDN. Tento vSwitch má povolené rozšíření VFP; V systému lze povolit pouze jeden přepínač vSwitch s VFP. |
ipAddressPrefix |
Předpona podsítě pro vytvoření virtuální sítě v síťovém adaptéru Tato předpona je předpona podsítě, nikoli předpona virtuální sítě. MOC v současné době podporuje pouze jednu podsíť. |
gateway |
Výchozí brána pro podsíť Musí to být první IP adresa podsítě. SDN nepodporuje vlastní výchozí brány pro virtuální sítě. |
dnsServers |
DNS servery dostupné z veřejných IP adres virtuálních počítačů SDN nebo jiných (například připojení L3), používané pro překlad názvů. |
K8sNodeIpPoolStart , K8sNodeIpPoolEnd |
Podmnožina nebo úplný rozsah IP adres od ipAddressPrefix . Používá se službou MOC IPAM k přidělování IP adres pro uzly. Užitečné, pokud nasazujete jiné než AKS na místní virtuální počítače Azure ve stejné podsíti, ale nedoporučuje se kvůli možné chybné konfiguraci. |
Vytvoření clusteru Kubernetes ve virtuální síti SDN
Po vytvoření virtuální sítě SDN, která je izolovaná, můžete vytvořit nový cluster Kubernetes. Nejprve načtěte virtuální síť SDN, kterou jste vytvořili, a uložte tuto hodnotu do proměnné:
$vnet = New-AksHciClusterNetwork -name "SDNVNet1" -vSwitchName $vSwitchName -ipAddressPrefix $ipAddressPrefix -gateway $gateway -dnsServers "192.168.60.10" -k8sNodeIpPoolStart $k8sNodeIpPoolStart -k8sNodeIpPoolEnd $k8sNodeIpPoolEnd
Tuto proměnnou můžete použít k předání do cmdletu New-AksHciCluster. Musíte zadat alespoň název a virtuální síť:
New-AksHciCluster -name "OTCluster1" -vnet "$SDNVNet1"