Was ist der Application Gateway-Eingangscontroller?

Der Application Gateway-Eingangscontroller (Application Gateway Ingress Controller, AGIC) ist eine Kubernetes-Anwendung, die es Kunden von Azure Kubernetes Service (AKS) ermöglicht, den nativen L7-Lastenausgleich von Application Gateway zu nutzen, um Cloudsoftware im Internet bereitzustellen. AGIC überwacht den Kubernetes-Cluster, auf dem es gehostet wird, und aktualisiert kontinuierlich ein Anwendungsgateway, sodass ausgewählte Dienste dem Internet ausgesetzt sind.

Der Eingangscontroller wird in einem eigenen Pod im AKS des Kunden ausgeführt. AGIC überwacht eine Teilmenge der Kubernetes-Ressourcen auf Änderungen. Der Status des AKS-Clusters wird in Application Gateway-spezifische Konfiguration übersetzt und auf Azure Resource Manager (ARM) angewendet.

Tipp

Weitere Informationen unter Was ist Anwendungsgateway für Container.

Vorteile des Application Gateway-Eingangscontrollers

AGIC macht einen weiteren Lastenausgleich/öffentliche IP-Adresse vor dem AKS-Cluster überflüssig und vermeidet mehrere Hops in Ihrem Datenpfad, bevor Anforderungen den AKS-Cluster erreichen. Application Gateway kommuniziert direkt mit Pods über deren private IP-Adresse und benötigt keine NodePort- oder KubeProxy-Dienste. Diese Fähigkeit bringt auch eine bessere Leistung für Ihre Bereitstellungen.

Eingangsdatencontroller werden ausschließlich von den Standard_v2- und WAF_v2-SKUs unterstützt, wodurch auch Vorteile der automatischen Skalierung erzielt werden. Application Gateway kann als Reaktion auf eine Erhöhung oder Verringerung der Datenverkehrslast reagieren und eine entsprechende Skalierung ausführen, ohne Ressourcen aus Ihrem AKS-Cluster zu verbrauchen.

Die Verwendung von Application Gateway zusätzlich zu AGIC schützt auch Ihren AKS-Cluster durch die Bereitstellung von TLS-Richtlinien und WAF-Funktionen (Web Application Firewall).

AGIC wird über die Kubernetes-Eingangsressource sowie über Dienste und Bereitstellungen/Pods konfiguriert. Es bietet viele Funktionen, die das systemeigene Anwendungsgateway L7 des Azure-Lastenausgleichs verwenden. Beispiele für solche Features:

• URL-Routing
• Cookiebasierte Affinität
• TLS-Terminierung
• End-to-End-TLS
• Unterstützung für öffentliche, private und hybride Websites
• Integrierte Web Application Firewall

Unterschied zwischen Helm-Bereitstellung und AKS-Add-On

Es gibt zwei Möglichkeiten, AGIC für Ihren AKS-Cluster bereitzustellen. Die erste Möglichkeit ist die Verwendung von Helm, bei der zweiten wird AKS als Add-On verwendet. Der Hauptvorteil der Bereitstellung von AGIC als AKS-Add-On ist, dass dies wesentlich einfacher ist als die Bereitstellung mittels Helm. Bei einer neuen Einrichtung können Sie mit nur einer Zeile in Azure CLI ein neues Application Gateway und einen neuen AKS-Cluster mit als Add-On aktiviertem AGIC bereitstellen. Das Add-On ist außerdem ein vollständig verwalteter Dienst, der zusätzliche Vorteile bietet wie automatische Updates und verbesserten Support. Beide Bereitstellungsmethoden für AGIC (Helm- und AKS-Add-On) werden von Microsoft vollständig unterstützt. Zusätzlich bietet das Add-On als ein erstklassiges Add-On bessere Integrationsmöglichkeiten mit AKS.

Das AGIC-Add-On wird weiterhin als Pod im AKS-Cluster des Kunden bereitgestellt, doch es gibt ein paar Unterschiede zwischen der Helm-Bereitstellungsversion und der Add-On-Version von AGIC. Im Folgenden finden Sie eine Liste der Unterschiede zwischen den beiden Versionen:

• Helm-Bereitstellungswerte können im AKS-Add-On nicht geändert werden:
  • verbosityLevel ist standardmäßig auf 5 eingestellt
  • usePrivateIp ist standardmäßig auf „falsch“ eingestellt. Dies kann mit der „use-private-ip“-Anmerkung überschrieben werden.
  • shared wird für Add-On nicht unterstützt
  • reconcilePeriodSeconds wird für Add-On nicht unterstützt
  • armAuth.type wird für Add-On nicht unterstützt
• Der mittels Helm bereitgestellte AGIC unterstützt ProhibitedTargets, was bedeutet, dass AGIC das Application Gateway speziell für AKS-Cluster konfigurieren kann, ohne dass sich dies auf andere vorhandene Back-Ends auswirkt. Diese Funktion wird vom AGIC-Add-On zurzeit nicht unterstützt.
• Da das AGIC-Add-On ein verwalteter Dienst ist, werden Kunden automatisch auf die neueste Version des AGIC-Add-Ons aktualisiert, anders als beim mittels Helm bereitgestellten AGIC, bei dem der Kunde AGIC manuell aktualisieren muss.

Hinweis

Kunden können nur ein AGIC-Add-On pro AKS-Cluster bereitstellen, und jedes AGIC-Add-On kann aktuell nur ein Anwendungsgateway als Ziel verwenden. Für Bereitstellungen, für die mehr als ein AGIC-Add-On pro Cluster oder mehrere AGIC-Add-Ons für ein Anwendungsgateway erforderlich sind, stellen Sie AGIC weiterhin über Helm bereit.

Nächste Schritte

• AKS-Add-On Greenfield-Bereitstellung: Anweisungen zum Installieren von AGIC-Add-On, AKS und Application Gateway in einer Blank-Slate-Infrastruktur.
• AKS-Add-On Brownfield-Bereitstellung: Installieren Sie AGIC-Add-On auf einem AKS-Cluster mit einem vorhandenen Anwendungsgateway.
• Helm Greenfield-Bereitstellung: Installieren von AGIC mittels Helm, eines neuen AKS-Clusters und eines neuen Application Gateways in einer Blank-Slate-Infrastruktur.
• Helm Brownfield-Bereitstellung: Stellen Sie AGIC über Helm auf einem vorhandenen AKS-Cluster und Application Gateway bereit.