AKS povolené požadavky na síť Azure Arc
Platí pro: Azure Stack HCI verze 23H2
Tento článek představuje základní koncepty sítí pro vaše virtuální počítače a aplikace v AKS povolené službou Azure Arc. Tento článek také popisuje požadované požadavky na síť pro vytváření clusterů Kubernetes. Doporučujeme, abyste ve spolupráci se správcem sítě zadali a nastavili síťové parametry potřebné k nasazení AKS povolené službou Arc.
V tomto koncepčním článku jsou zavedeny následující klíčové komponenty. Tyto komponenty potřebují statickou IP adresu, aby cluster a aplikace AKS Arc mohly úspěšně vytvářet a fungovat:
- Virtuální počítače clusteru AKS
- IP adresa řídicí roviny AKS
- Nástroj pro vyrovnávání zatížení pro kontejnerizované aplikace
Sítě pro virtuální počítače clusteru AKS
Uzly Kubernetes se nasazují jako specializované virtuální počítače v AKS povolené službou Arc. Tyto virtuální počítače jsou přidělené IP adresy, které umožňují komunikaci mezi uzly Kubernetes. AKS Arc používá logické sítě Azure Stack HCI k poskytování IP adres a sítí pro základní virtuální počítače clusterů Kubernetes. Další informace o logických sítích najdete v tématu Logické sítě pro Azure Stack HCI. V prostředí Azure Stack HCI musíte naplánovat rezervaci jedné IP adresy na virtuální počítač uzlu clusteru AKS.
Poznámka:
Statická IP adresa je jediný podporovaný režim pro přiřazení IP adresy k virtuálním počítačům AKS Arc. Důvodem je to, že Kubernetes vyžaduje, aby IP adresa přiřazená k uzlu Kubernetes byla v průběhu životního cyklu clusteru Kubernetes konstantní. Softwarově definované virtuální sítě a funkce související s SDN se v současné době nepodporují v AKS ve službě Azure Stack HCI 23H2.
K použití logické sítě pro operaci vytvoření clusteru AKS Arc se vyžadují následující parametry:
| Parametr logické sítě | Popis | Požadovaný parametr pro cluster AKS Arc |
|---|---|---|
--address-prefixes |
AddressPrefix pro síť. V současné době se podporuje pouze 1 předpona adresy. Využití: --address-prefixes "10.220.32.16/24". |
 |
--dns-servers |
Seznam IP adres serveru DNS oddělených mezerami Využití: --dns-servers 10.220.32.16 10.220.32.17. |
|
--gateway |
Brána. IP adresa brány musí být v rozsahu předpony adresy. Využití: --gateway 10.220.32.16. |
|
--ip-allocation-method |
Metoda přidělování IP adres. Podporované hodnoty jsou Statické. Využití: --ip-allocation-method "Static". |
|
--ip-pool-start |
Počáteční IP adresa vašeho fondu IP adres. Adresa musí být v rozsahu předpony adresy. Využití: --ip-pool-start "10.220.32.18". |
|
--ip-pool-end |
Koncová IP adresa vašeho fondu IP adres. Adresa musí být v rozsahu předpony adresy. Využití: --ip-pool-end "10.220.32.38". |
|
--vm-switch-name |
Název přepínače virtuálního počítače. Využití: --vm-switch-name "vm-switch-01". |
|
IP adresa řídicí roviny
Kubernetes používá řídicí rovinu k zajištění, že každá komponenta v clusteru Kubernetes zůstane v požadovaném stavu. Řídicí rovina také spravuje a udržuje pracovní uzly, které obsahují kontejnerizované aplikace. Služba AKS povolená službou Arc nasadí nástroj pro vyrovnávání zatížení KubeVIP, aby se zajistilo, že IP adresa serveru rozhraní API řídicí roviny Kubernetes je vždy dostupná. Tato instance KubeVIP vyžaduje, aby správně fungovala jedna neměnná IP adresa řídicí roviny.
Poznámka:
IP adresa řídicí roviny je povinný parametr pro vytvoření clusteru Kubernetes. Musíte zajistit, aby se IP adresa řídicí roviny clusteru Kubernetes nepřekrývaly s ničím jiným, včetně logických sítí virtuálních počítačů Arc, IP adres sítě infrastruktury, nástrojů pro vyrovnávání zatížení atd. IP adresa řídicí roviny musí být také v rozsahu předpony adresy logické sítě, ale mimo fond IP adres. Důvodem je to, že fond IP adres se používá jenom pro virtuální počítače a pokud pro řídicí rovinu zvolíte IP adresu z fondu IP adres, může dojít ke konfliktu IP adres. Překrývající se IP adresy můžou vést k neočekávaným selháním clusteru AKS i k jakémukoli jinému místu, kde se IP adresa používá. Musíte naplánovat rezervaci jedné IP adresy na cluster Kubernetes ve vašem prostředí.
IP adresy nástroje pro vyrovnávání zatížení pro kontejnerizované aplikace
Hlavním účelem nástroje pro vyrovnávání zatížení je distribuce provozu mezi více uzlů v clusteru Kubernetes. Toto vyrovnávání zatížení může pomoct zabránit výpadkům a zlepšit celkový výkon aplikací. AKS podporuje následující možnosti nasazení nástroje pro vyrovnávání zatížení pro cluster Kubernetes:
- Nasaďte nástroj pro vyrovnávání zatížení Nástroje pro vyrovnávání zatížení nástroje MetalLB pomocí rozšíření Azure Arc.
- Přineste si vlastní nástroj pro vyrovnávání zatížení třetí strany.
Bez ohledu na to, jestli zvolíte rozšíření MetalLB Arc nebo vlastní nástroj pro vyrovnávání zatížení, musíte službě nástroje pro vyrovnávání zatížení poskytnout sadu IP adres. Máte tyto možnosti:
- Zadejte IP adresy pro vaše služby ze stejné podsítě jako virtuální počítače AKS Arc.
- Pokud vaše aplikace potřebuje externí vyrovnávání zatížení, použijte jinou síť a seznam IP adres.
Bez ohledu na zvolenou možnost musíte zajistit, aby IP adresy přidělené nástroji pro vyrovnávání zatížení kolidují s IP adresami v logické síti nebo IP rovině řízení pro vaše clustery Kubernetes. Konfliktní IP adresy můžou vést k nepředvídatelným chybám v nasazení a aplikacích AKS.
Jednoduché plánování IP adres pro clustery a aplikace Kubernetes
V následujícím scénáři si rezervujete IP adresy z jedné sítě pro clustery a služby Kubernetes. Jedná se o nejjednodušší a nejjednodušší scénář přiřazení IP adres.
| Požadavek na IP adresu | Minimální počet IP adres | Jak a kde tuto rezervaci provést |
|---|---|---|
| IP adresy virtuálních počítačů AKS Arc | Vyhraďte si jednu IP adresu pro každý pracovní uzel v clusteru Kubernetes. Pokud například chcete vytvořit 3 fondy uzlů se 3 uzly v každém fondu uzlů, musíte mít ve fondu IP adres 9 IP adres. | Vyhraďte SI IP adresy pro virtuální počítače AKS Arc prostřednictvím fondů IP adres v logické síti virtuálních počítačů Arc. |
| IP adresy upgradu verze AKS Arc K8s | Vzhledem k tomu, že AKS Arc provádí postupné upgrady, vyhraďte jednu IP adresu pro každý cluster AKS Arc pro operace upgradu verzí Kubernetes. | Rezervace IP adres pro operaci upgradu verze K8s prostřednictvím fondů IP adres v logické síti virtuálních počítačů Arc |
| IP adresa řídicí roviny | Vyhraďte si jednu IP adresu pro každý cluster Kubernetes ve vašem prostředí. Pokud například chcete vytvořit celkem 5 clusterů, vyhraďte si 5 IP adres, jednu pro každý cluster Kubernetes. | Vyhraďte SI IP adresy pro IP adresy řídicí roviny ve stejné podsíti jako logická síť virtuálního počítače Arc, ale mimo zadaný fond IP adres. |
| IP adresy nástroje pro vyrovnávání zatížení | Počet rezervovaných IP adres závisí na vašem modelu nasazení aplikace. Jako výchozí bod si můžete rezervovat jednu IP adresu pro každou službu Kubernetes. | Vyhraďte SI IP adresy pro IP adresy řídicí roviny ve stejné podsíti jako logická síť virtuálního počítače Arc, ale mimo zadaný fond IP adres. |
Příklad rezervace IP adres pro clustery a aplikace Kubernetes
Jane je správce IT, který právě začíná službou AKS povolenou službou Azure Arc. Chce nasadit dva clustery Kubernetes: cluster Kubernetes A a cluster Kubernetes B ve svém clusteru Azure Stack HCI. Chce také spustit hlasovací aplikaci nad clusterem A. Tato aplikace má tři instance front-endového uživatelského rozhraní spuštěného ve dvou clusterech a jednu instanci back-endové databáze. Všechny clustery a služby AKS běží v jedné síti s jednou podsítí.
- Cluster Kubernetes A má 3 uzly řídicí roviny a 5 pracovních uzlů.
- Cluster Kubernetes B má 1 uzel řídicí roviny a 3 pracovní uzly.
- 3 instance front-endového uživatelského rozhraní (port 443).
- 1 instance back-endové databáze (port 80).
Na základě předchozí tabulky musí v podsíti rezervovat celkem 19 IP adres:
- 8 IP adres pro virtuální počítače uzlů AKS Arc v clusteru A (jedna IP adresa na virtuální počítač uzlu K8s).
- 4 IP adresy pro virtuální počítače uzlů AKS Arc v clusteru B (jedna IP adresa na virtuální počítač uzlu K8s).
- 2 IP adresy pro spuštění operace upgradu služby AKS Arc (jedna IP adresa na cluster AKS Arc).
- 2 IP adresy řídicí roviny AKS Arc (jedna IP adresa na cluster AKS Arc)
- 3 IP adresy pro službu Kubernetes (jedna IP adresa na instanci front-endového uživatelského rozhraní, protože všechny používají stejný port. Back-endová databáze může používat libovolnou ze tří IP adres, pokud používá jiný port).
Pokračujeme v tomto příkladu a přidáte ho do následující tabulky:
| Parametr | Počet IP adres | Jak a kde tuto rezervaci provést |
|---|---|---|
| Upgrade verzí a virtuálních počítačů AKS Arc a K8s | Rezervace 14 IP adres | Tuto rezervaci proveďte prostřednictvím fondů IP adres v logické síti Azure Stack HCI. |
| IP adresa řídicí roviny | Rezervace 2 IP adres, jedna pro cluster AKS Arc | Pomocí parametru controlPlaneIP předejte IP adresu pro IP adresu řídicí roviny. Zajistěte, aby tato IP adresa byla ve stejné podsíti jako logická síť Arc, ale mimo fond IP definovaný v logické síti Arc. |
| IP adresy nástroje pro vyrovnávání zatížení | 3 IP adresa pro služby Kubernetes, pro hlasovací aplikaci Jane. | Tyto IP adresy se používají při instalaci nástroje pro vyrovnávání zatížení v clusteru A. Můžete použít rozšíření MetalLB Arc nebo použít vlastní nástroj pro vyrovnávání zatížení třetích stran. Ujistěte se, že je tato IP adresa ve stejné podsíti jako logická síť Arc, ale mimo fond IP definovaný v logické síti virtuálních počítačů Arc. |
Nastavení proxy serveru
Nastavení proxy serveru v AKS se dědí ze základního systému infrastruktury. Funkce nastavení jednotlivých proxy serverů pro clustery Kubernetes a změna nastavení proxy serveru se zatím nepodporuje.
Požadavky na síťový port a síť VLAN
Když nasadíte Azure Stack HCI, přidělíte souvislý blok nejméně šesti statických IP adres v podsíti vaší sítě pro správu a vynecháte adresy, které už fyzické servery používají. Tyto IP adresy používají Azure Stack HCI a interní infrastrukturu (Most prostředků Arc) pro správu virtuálních počítačů Arc a AKS Arc. Pokud je vaše síť pro správu, která poskytuje IP adresy ke službám Azure Stack HCI souvisejícím s mostem prostředků Arc, nacházejí se v jiné síti VLAN než logická síť, kterou jste použili k vytvoření clusterů AKS, musíte zajistit, aby se úspěšně vytvořily a provoz clusteru AKS otevřely následující porty.
| Cílový port | Cíl | Source | Popis | Poznámky k sítím napříč sítěmi VLAN |
|---|---|---|---|---|
| 22 | Logická síť používaná pro virtuální počítače AKS Arc | IP adresy v síti pro správu | Vyžaduje se ke shromažďování protokolů pro řešení potíží. | Pokud používáte samostatné sítě VLAN, musí IP adresy v síti pro správu používané pro Azure Stack HCI a Most prostředků Arc přistupovat k virtuálním počítačům clusteru AKS Arc na tomto portu. |
| 6443 | Logická síť používaná pro virtuální počítače AKS Arc | IP adresy v síti pro správu | Vyžaduje se ke komunikaci s rozhraními API Kubernetes. | Pokud používáte samostatné sítě VLAN, musí IP adresy v síti pro správu používané pro Azure Stack HCI a Most prostředků Arc přistupovat k virtuálním počítačům clusteru AKS Arc na tomto portu. |
| 55000 | IP adresy v síti pro správu | Logická síť používaná pro virtuální počítače AKS Arc | Server gRPC cloudového agenta | Pokud používáte samostatné sítě VLAN, musí virtuální počítače AKS Arc přistupovat k IP adresám v síti pro správu používané pro IP adresy cloudového agenta a IP adresy clusteru na tomto portu. |
| 65000 | IP adresy v síti pro správu | Logická síť používaná pro virtuální počítače AKS Arc | Ověřování gRPC cloudového agenta | Pokud používáte samostatné sítě VLAN, musí virtuální počítače AKS Arc přistupovat k IP adresám v síti pro správu používané pro IP adresy cloudového agenta a IP adresy clusteru na tomto portu. |
Výjimky adresy URL brány firewall
Informace o seznamu povolených adres URL brány firewall nebo proxy serveru Azure Arc najdete v požadavcích na síť mostu prostředků Azure Arc a požadavcích na síť Azure Stack HCI 23H2.
Poznámka:
Pokud nasazujete starší verzi Azure Stack HCI , například 2402 nebo starší, musíte také povolit gcr.io a storage.googleapis.com adres URL. Tyto adresy URL byly odebrány z nejnovější verze AKS Arc.
| Adresa URL | Port | Služba | Notes |
|---|---|---|---|
https://mcr.microsoft.com *.data.mcr.microsoft.comazurearcfork8s.azurecr.iolinuxgeneva-microsoft.azurecr.iopipelineagent.azurecr.ioecpacr.azurecr.io https://azurearcfork8sdev.azurecr.io https://hybridaks.azurecr.io aszk8snetworking.azurecr.io |
443 | AKS Arc | Používá se pro oficiální artefakty Microsoftu, jako jsou image kontejnerů. |
docker.io |
443 | AKS Arc | Používá se pro oficiální artefakty Kubernetes, jako jsou základní image kontejnerů. |
hybridaksstorage.z13.web.core.windows.net |
443 | AKS Arc | Statický web AKSHCI hostovaný ve službě Azure Storage |
*.blob.core.windows.net*.dl.delivery.mp.microsoft.com *.do.dsp.mp.microsoft.com |
443 | AKS Arc | Používá se ke stažení a aktualizaci image AKS Arc VHD. |
*.prod.do.dsp.mp.microsoft.com |
443 | AKS Arc | Používá se ke stažení a aktualizaci image AKS Arc VHD. |
*.login.microsoft.com |
443 | Azure | Vyžaduje se k načtení a aktualizaci tokenů Azure Resource Manageru pro přihlášení k Azure. |
https://*.his.arc.azure.com |
443 | Azure Arc s podporou K8s | Používá se pro identitu agentů Arc a řízení přístupu. |
https://*.dp.kubernetesconfiguration.azure.com |
443 | Azure Arc s podporou K8s | Používá se pro konfiguraci Azure Arc. |
https://*.servicebus.windows.net |
443 | Azure Arc s podporou K8s | Používá se k zabezpečenému připojení ke clusterům Kubernetes s podporou Služby Azure Arc, aniž by bylo nutné povolit příchozí port v bráně firewall. |
https://guestnotificationservice.azure.com |
443 | Azure Arc s podporou K8s | Používá se pro operace oznámení hosta. |
sts.windows.net |
443 | Azure Arc s podporou K8s | Pro scénář připojení ke clusteru a vlastní umístění. |
https://*.dp.prod.appliances.azure.com |
443 | Most prostředků Arc | Používá se pro operace roviny dat pro most prostředků (zařízení). |
*.prod.microsoftmetrics.com*.prod.hot.ingestion.msftcloudes.comdc.services.visualstudio.com*.prod.warm.ingest.monitor.core.windows.netgcs.prod.monitoring.core.windows.net https://adhs.events.data.microsoft.com https://v20.events.data.microsoft.com |
443 | Monitorování metrik a stavu | Používá se pro metriky a monitorování provozu telemetrie. |
pypi.org *.pypi.org files.pythonhosted.org |
443 | Az CLI | Používá se ke stažení rozšíření Az CLI a Az CLI. |
aka.ms |
443 | Azure Stack HCI | Vyžaduje se pro stahování související se službou Azure Stack HCI. |
raw.githubusercontent.com |
443 | GitHub | Používá se pro GitHub. |
www.microsoft.com |
80 | Oficiální web společnosti Microsoft. | Oficiální web společnosti Microsoft. |
Další kroky
Vytváření logických sítí pro clustery Kubernetes ve službě Azure Stack HCI 23H2