Požadavky na síť pro AKS povolenou službou Azure Arc
Platí pro: Azure Stack HCI verze 23H2
Tento článek představuje základní koncepty sítí pro virtuální počítače a aplikace v AKS, které umožňuje Azure Arc. Tento článek také popisuje požadavky na síť pro vytváření clusterů Kubernetes. Doporučujeme, abyste ve spolupráci se správcem sítě zadali a nastavili síťové parametry potřebné k nasazení AKS povolené službou Arc.
V tomto koncepčním článku jsou představeny následující klíčové komponenty. Tyto komponenty potřebují statickou IP adresu, aby se cluster a aplikace AKS Arc úspěšně vytvořily a fungovaly:
- Virtuální počítače clusteru AKS
- IP adresa řídicí roviny AKS
- Nástroj pro vyrovnávání zatížení pro kontejnerizované aplikace
Sítě pro virtuální počítače clusteru AKS
Uzly Kubernetes se nasazují jako specializované virtuální počítače v AKS, které podporuje Arc. Těmto virtuálním počítačům jsou přiděleny IP adresy, které umožňují komunikaci mezi uzly Kubernetes. AKS Arc používá logické sítě Azure Stack HCI k poskytování IP adres a sítí pro základní virtuální počítače clusterů Kubernetes. Další informace o logických sítích najdete v tématu Logické sítě pro Azure Stack HCI. Musíte naplánovat rezervaci jedné IP adresy na virtuální počítač uzlu clusteru AKS v prostředí Azure Stack HCI.
Poznámka
Statická IP adresa je jediným podporovaným režimem pro přiřazování IP adres virtuálním počítačům AKS Arc. Důvodem je to, že Kubernetes vyžaduje, aby IP adresa přiřazená uzlu Kubernetes byla konstantní po celý životní cyklus clusteru Kubernetes.
K použití logické sítě pro operaci vytvoření clusteru AKS Arc se vyžadují následující parametry:
| Parametr logické sítě | Description | Povinný parametr pro cluster AKS Arc |
|---|---|---|
--address-prefixes |
AddressPrefix pro síť. Aktuálně se podporuje pouze 1 předpona adresy. Použití: --address-prefixes "10.220.32.16/24". |
 |
--dns-servers |
Seznam IP adres serveru DNS oddělených mezerami Použití: --dns-servers 10.220.32.16 10.220.32.17. |
|
--gateway |
Brána. IP adresa brány musí být v rozsahu předpony adresy. Použití: --gateway 10.220.32.16. |
|
--ip-allocation-method |
Metoda přidělování IP adres. Podporované hodnoty jsou "Statické". Použití: --ip-allocation-method "Static". |
|
--ip-pool-start |
Počáteční IP adresa vašeho fondu IP adres. Adresa musí být v rozsahu předpony adresy. Použití: --ip-pool-start "10.220.32.18". |
|
--ip-pool-end |
Koncová IP adresa vašeho fondu IP adres. Adresa musí být v rozsahu předpony adresy. Použití: --ip-pool-end "10.220.32.38". |
|
--vm-switch-name |
Název přepínače virtuálního počítače. Použití: --vm-switch-name "vm-switch-01". |
|
IP adresa řídicí roviny
Kubernetes používá řídicí rovinu k zajištění zachování všech komponent v clusteru Kubernetes v požadovaném stavu. Řídicí rovina také spravuje a udržuje pracovní uzly, které obsahují kontejnerizované aplikace. Služba AKS povolená službou Arc nasadí nástroj pro vyrovnávání zatížení KubeVIP, aby se zajistilo, že IP adresa serveru rozhraní API řídicí roviny Kubernetes bude vždy dostupná. Tato instance KubeVIP vyžaduje ke správnému fungování jednu neměnnou IP adresu řídicí roviny.
Poznámka
IP adresa řídicí roviny je povinný parametr pro vytvoření clusteru Kubernetes. Musíte zajistit, aby se IP adresa řídicí roviny clusteru Kubernetes nepřekrývaly s ničím jiným, včetně logických sítí virtuálních počítačů Arc, IP adres sítí infrastruktury, nástrojů pro vyrovnávání zatížení atd. IP adresa řídicí roviny musí být také v rozsahu předpony adresy logické sítě, ale mimo fond IP adres. Důvodem je to, že fond IP adres se používá jenom pro virtuální počítače, a pokud zvolíte IP adresu z fondu IP adres pro řídicí rovinu, může dojít ke konfliktu IP adres. Překrývající se IP adresy můžou vést k neočekávaným selháním v clusteru AKS i na jakémkoli jiném místě, kde se IP adresa používá. Musíte naplánovat rezervaci jedné IP adresy na každý cluster Kubernetes ve vašem prostředí.
IP adresy nástroje pro vyrovnávání zatížení pro kontejnerizované aplikace
Hlavním účelem nástroje pro vyrovnávání zatížení je distribuce provozu mezi několik uzlů v clusteru Kubernetes. Toto vyrovnávání zatížení může pomoct zabránit výpadkům a zlepšit celkový výkon aplikací. AKS podporuje následující možnosti nasazení nástroje pro vyrovnávání zatížení pro cluster Kubernetes:
- Nasazení nástroje pro vyrovnávání zatížení Nástroje pro vyrovnávání zatížení nástroje MetalLB pomocí rozšíření Azure Arc
- Používání vlastního nástroje pro vyrovnávání zatížení třetí strany
Ať už zvolíte rozšíření MetalLB Arc, nebo si přivezete vlastní nástroj pro vyrovnávání zatížení, musíte službě nástroje pro vyrovnávání zatížení poskytnout sadu IP adres. Máte tyto možnosti:
- Zadejte IP adresy pro služby ze stejné podsítě jako virtuální počítače AKS Arc.
- Pokud vaše aplikace potřebuje externí vyrovnávání zatížení, použijte jinou síť a seznam IP adres.
Bez ohledu na zvolenou možnost musíte zajistit, aby IP adresy přidělené nástroji pro vyrovnávání zatížení nekoidují s IP adresami v logické síti nebo IP adresách řídicí roviny pro vaše clustery Kubernetes. Konfliktní IP adresy můžou vést k nepředvídatelným selháním v nasazení a aplikacích AKS.
Jednoduché plánování IP adres pro clustery a aplikace Kubernetes
V následujícím návodu scénáře si pro clustery a služby Kubernetes rezervujete IP adresy z jedné sítě. Toto je nejjednodušší a nejjednodušší scénář při přiřazování IP adres.
| Požadavek na IP adresu | Minimální počet IP adres | Jak a kde provést tuto rezervaci |
|---|---|---|
| IP adresy virtuálních počítačů AKS Arc | Zarezervujte jednu IP adresu pro každý pracovní uzel v clusteru Kubernetes. Pokud například chcete vytvořit 3 fondy uzlů se 3 uzly v každém fondu uzlů, musíte mít ve fondu IP adres 9 IP adres. | Rezervace IP adres pro virtuální počítače AKS Arc prostřednictvím fondů IP adres v logické síti virtuálních počítačů Arc |
| IP adresy upgradu verze AKS Arc K8s | Vzhledem k tomu, že AKS Arc provádí postupné upgrady, vyhraďte jednu IP adresu pro každý cluster AKS Arc pro operace upgradu verze Kubernetes. | Rezervujte IP adresy pro operaci upgradu verze K8s prostřednictvím fondů IP adres v logické síti virtuálních počítačů Arc. |
| IP adresa řídicí roviny | Zarezervujte jednu IP adresu pro každý cluster Kubernetes ve vašem prostředí. Pokud například chcete vytvořit celkem 5 clusterů, vyhraďte si 5 IP adres, jednu pro každý cluster Kubernetes. | Vyhraďte IP adresy pro IP adresy řídicí roviny ve stejné podsíti jako logická síť virtuálních počítačů Arc, ale mimo zadaný fond IP adres. |
| IP adresy nástroje pro vyrovnávání zatížení | Počet rezervovaných IP adres závisí na modelu nasazení aplikace. Jako výchozí bod si můžete rezervovat jednu IP adresu pro každou službu Kubernetes. | Vyhraďte IP adresy pro IP adresy řídicí roviny ve stejné podsíti jako logická síť virtuálních počítačů Arc, ale mimo zadaný fond IP adres. |
Příklad názorného postupu pro rezervaci IP adres pro clustery a aplikace Kubernetes
Jana je správce IT, která právě začíná s AKS povolenou službou Azure Arc. Chce nasadit dva clustery Kubernetes: cluster Kubernetes A a cluster Kubernetes B na cluster Azure Stack HCI. Chce také spustit hlasovací aplikaci nad clusterem A. Tato aplikace má tři instance uživatelského rozhraní front-endu spuštěné v rámci dvou clusterů a jedné instance back-endové databáze. Všechny její clustery a služby AKS běží v jedné síti s jednou podsítí.
- Cluster Kubernetes A má 3 uzly řídicí roviny a 5 pracovních uzlů.
- Cluster Kubernetes B má 1 uzel řídicí roviny a 3 pracovní uzly.
- 3 instance uživatelského rozhraní front-endu (port 443).
- 1 instance back-end databáze (port 80).
Na základě předchozí tabulky musí ve své podsíti rezervovat celkem 19 IP adres:
- 8 IP adres pro virtuální počítače uzlu AKS Arc v clusteru A (jedna IP adresa na virtuální počítač uzlu K8s).
- 4 IP adresy pro virtuální počítače uzlu AKS Arc v clusteru B (jedna IP adresa na virtuální počítač uzlu K8s).
- 2 IP adresy pro spuštění operace upgradu AKS Arc (jedna IP adresa na cluster AKS Arc).
- 2 IP adresy řídicí roviny AKS Arc (jedna IP adresa na cluster AKS Arc)
- 3 IP adresy pro službu Kubernetes (jedna IP adresa na instanci front-endového uživatelského rozhraní, protože všechny používají stejný port. Back-endová databáze může používat libovolnou ze tří IP adres, pokud používá jiný port).
Když budeme pokračovat v tomto příkladu a přidáte ho do následující tabulky, získáte:
| Parametr | Počet IP adres | Jak a kde provést tuto rezervaci |
|---|---|---|
| Upgrade verze virtuálních počítačů AKS Arc a K8s | Rezervovat 14 IP adres | Proveďte tuto rezervaci prostřednictvím fondů IP adres v logické síti Azure Stack HCI. |
| IP adresa řídicí roviny | Rezervujte 2 IP adresy, jednu pro cluster AKS Arc | Pomocí parametru controlPlaneIP předejte IP adresu řídicí roviny. Ujistěte se, že se tato IP adresa nachází ve stejné podsíti jako logická síť Arc, ale mimo fond IP adres definovaný v logické síti Arc. |
| IP adresy nástroje pro vyrovnávání zatížení | 3 IP adresa pro služby Kubernetes, pro janinou hlasovací aplikaci. | Tyto IP adresy se používají při instalaci nástroje pro vyrovnávání zatížení v clusteru A. Můžete použít rozšíření MetalLB Arc nebo vlastní nástroj pro vyrovnávání zatížení třetí strany. Ujistěte se, že se tato IP adresa nachází ve stejné podsíti jako logická síť Arc, ale mimo fond IP adres definovaný v logické síti virtuálních počítačů Arc. |
Nastavení proxy serveru
Nastavení proxy serveru v AKS se dědí ze základního systému infrastruktury. Funkce nastavení jednotlivých proxy serverů pro clustery Kubernetes a změna nastavení proxy serveru zatím není podporovaná.
Požadavky na síťový port & mezi sítěmi VLAN
Při nasazování Azure Stack HCI přidělíte souvislý blok alespoň šesti statických IP adres v podsíti vaší sítě pro správu a vynecháte adresy, které už fyzické servery používají. Tyto IP adresy používá Azure Stack HCI a interní infrastruktura (Most prostředků Arc) pro správu virtuálních počítačů Arc a AKS Arc. Pokud se vaše síť pro správu, která poskytuje IP adresy službám Azure Stack HCI souvisejícím s mostem prostředků Arc, nachází v jiné síti VLAN než logická síť, kterou jste použili k vytváření clusterů AKS, musíte zajistit, aby byly otevřené následující porty pro úspěšné vytvoření a provoz clusteru AKS.
| Cílový port | Cíl | Zdroj | Popis | Poznámky k sítím mezi sítěmi VLAN |
|---|---|---|---|---|
| 22 | Logická síť používaná pro virtuální počítače AKS Arc | IP adresy v síti pro správu | Vyžaduje se ke shromažďování protokolů pro řešení potíží. | Pokud používáte samostatné sítě VLAN, IP adresy v síti pro správu používané pro Azure Stack HCI a Most prostředků Arc potřebují přístup k virtuálním počítačům clusteru AKS Arc na tomto portu. |
| 6443 | Logická síť používaná pro virtuální počítače AKS Arc | IP adresy v síti pro správu | Vyžaduje se ke komunikaci s rozhraními Kubernetes API. | Pokud používáte samostatné sítě VLAN, IP adresy v síti pro správu používané pro Azure Stack HCI a Most prostředků Arc potřebují přístup k virtuálním počítačům clusteru AKS Arc na tomto portu. |
| 55000 | IP adresy v síti pro správu | Logická síť používaná pro virtuální počítače AKS Arc | Server gRPC cloudového agenta | Pokud používáte samostatné sítě VLAN, virtuální počítače AKS Arc musí mít přístup k IP adresám v síti pro správu, která se používá pro IP adresu cloudového agenta a IP adresu clusteru na tomto portu. |
| 65000 | IP adresy v síti pro správu | Logická síť používaná pro virtuální počítače AKS Arc | Ověřování gRPC cloudového agenta | Pokud používáte samostatné sítě VLAN, virtuální počítače AKS Arc musí mít přístup k IP adresám v síti pro správu, která se používá pro IP adresu cloudového agenta a IP adresu clusteru na tomto portu. |
Výjimky adresy URL brány firewall
Informace o seznamu povolených adres URL nebo brány firewall služby Azure Arc najdete v tématu Požadavky na síť mostu prostředků Azure Arc a Požadavky na síť Azure Stack HCI 23H2.
Pro nasazení a provoz clusterů Kubernetes musí být následující adresy URL dostupné ze všech fyzických uzlů a virtuálních počítačů AKS Arc v nasazení. Ujistěte se, že jsou v konfiguraci brány firewall povolené tyto adresy URL:
| URL | Port | Služba | Poznámky |
|---|---|---|---|
https://mcr.microsoft.com |
443 | Registr kontejneru Microsoft | Používá se pro oficiální artefakty Microsoftu, jako jsou image kontejnerů. |
https://*.his.arc.azure.com |
443 | Služba identit Azure Arc | Používá se pro řízení identit a přístupu. |
https://*.dp.kubernetesconfiguration.azure.com |
443 | Kubernetes | Používá se pro konfiguraci Azure Arc. |
https://*.servicebus.windows.net |
443 | Připojení ke clusteru | Používá se k zabezpečenému připojení ke clusterům Kubernetes s podporou Azure Arc bez nutnosti povolení příchozího portu v bráně firewall. |
https://guestnotificationservice.azure.com |
443 | Služba oznámení | Používá se pro operace oznámení hosta. |
https://*.dp.prod.appliances.azure.com |
443 | Služba roviny dat | Používá se pro operace roviny dat pro most prostředků (zařízení). |
*.data.mcr.microsoft.comazurearcfork8s.azurecr.iolinuxgeneva-microsoft.azurecr.iopipelineagent.azurecr.ioecpacr.azurecr.io |
443 | Stažení agenta | Používá se ke stahování imagí a agentů. |
*.prod.microsoftmetrics.com*.prod.hot.ingestion.msftcloudes.comdc.services.visualstudio.com*.prod.warm.ingest.monitor.core.windows.netgcs.prod.monitoring.core.windows.net |
443 | Metriky a monitorování stavu | Používá se pro metriky a monitorování telemetrických přenosů. |
*.blob.core.windows.net*.dl.delivery.mp.microsoft.com *.do.dsp.mp.microsoft.com |
443 | TCP | Používá se ke stažení imagí mostu prostředků (zařízení). |
https://azurearcfork8sdev.azurecr.io |
443 | Kubernetes | Používá se ke stažení imagí kontejnerů Azure Arc pro Kubernetes. |
https://adhs.events.data.microsoft.com |
443 | Telemetrie | ADHS je telemetrická služba spuštěná uvnitř zařízení nebo operačního systému mariner. Používá se pravidelně k odesílání požadovaných diagnostických dat do Microsoftu z uzlů řídicí roviny. Používá se, když telemetrie přichází z mariner, což znamená libovolnou řídicí rovinu Kubernetes. |
https://v20.events.data.microsoft.com |
443 | Telemetrie | Používá se pravidelně k odesílání požadovaných diagnostických dat společnosti Microsoft z hostitele Systému Windows Server. |
gcr.io |
443 | Registr kontejnerů Google | Používá se pro oficiální artefakty Kubernetes, jako jsou základní image kontejneru. |
pypi.org |
443 | Balíček Pythonu | Ověřte verze Kubernetes a Pythonu. |
*.pypi.org |
443 | Balíček Pythonu | Ověřte verze Kubernetes a Pythonu. |
https://hybridaks.azurecr.io |
443 | Image kontejneru | Vyžaduje se pro přístup k imagi operátoru HybridAKS. |
aka.ms |
443 | az extensions | Vyžaduje se ke stažení rozšíření Azure CLI, jako jsou aksarc a connectedk8s. |
*.login.microsoft.com |
443 | Azure | Vyžaduje se k načtení a aktualizaci tokenů Azure Resource Manageru. |
sts.windows.net |
443 | Azure Arc | Pro scénář připojení ke clusteru a vlastního umístění. |
hybridaksstorage.z13.web.core.windows.net |
443 | Azure Stack HCI | Statický web AKSHCI hostovaný ve službě Azure Storage |
raw.githubusercontent.com |
443 | GitHubu | Používá se pro GitHub. |
www.microsoft.com |
80 | Oficiální web společnosti Microsoft. | Oficiální web společnosti Microsoft. |
*.prod.do.dsp.mp.microsoft.com |
443 | Microsoft Update | Stažení image mostu prostředků (zařízení). |
files.pythonhosted.org |
443 | Balíček Pythonu | Balíček Pythonu. |
Další kroky
Create logických sítí pro clustery Kubernetes ve službě Azure Stack HCI 23H2
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro