Requisitos de red de AKS habilitados para Azure Arc
Se aplica a: Azure Stack HCI, versión 23H2
En este artículo se presentan los conceptos básicos de redes para las máquinas virtuales y las aplicaciones en AKS habilitados por Azure Arc. En el artículo también se describen los requisitos previos de red necesarios para crear clústeres de Kubernetes. Se recomienda trabajar con un administrador de red para proporcionar y configurar los parámetros de red necesarios para implementar AKS habilitado por Arc.
En este artículo conceptual se presentan los siguientes componentes clave. Estos componentes necesitan una dirección IP estática para que el clúster y las aplicaciones de AKS Arc creen y funcionen correctamente:
- Máquinas virtuales de clúster de AKS
- DIRECCIÓN IP del plano de control de AKS
- Equilibrador de carga para aplicaciones en contenedor
Redes para máquinas virtuales de clúster de AKS
Los nodos de Kubernetes se implementan como máquinas virtuales especializadas en AKS habilitadas por Arc. Estas máquinas virtuales se asignan direcciones IP para habilitar la comunicación entre los nodos de Kubernetes. AKS Arc usa redes lógicas de Azure Stack HCI para proporcionar direcciones IP y redes para las máquinas virtuales subyacentes de los clústeres de Kubernetes. Para más información sobre las redes lógicas, consulte Redes lógicas para Azure Stack HCI. Debe planear reservar una dirección IP por máquina virtual de nodo de clúster de AKS en el entorno de Azure Stack HCI.
Nota:
La dirección IP estática es el único modo admitido para asignar una dirección IP a máquinas virtuales de AKS Arc. Esto se debe a que Kubernetes requiere que la dirección IP asignada a un nodo de Kubernetes sea constante durante todo el ciclo de vida del clúster de Kubernetes. Las redes virtuales definidas por software y las características relacionadas con SDN no se admiten actualmente en AKS en Azure Stack HCI 23H2.
Los parámetros siguientes son necesarios para usar una red lógica para la operación de creación de clústeres de AKS Arc:
| Parámetro de red lógico | Descripción | Parámetro necesario para el clúster de AKS Arc |
|---|---|---|
--address-prefixes |
AddressPrefix para la red. Actualmente solo se admite 1 prefijo de dirección. Uso: --address-prefixes "10.220.32.16/24". |
 |
--dns-servers |
Lista separada por espacios de direcciones IP del servidor DNS. Uso: --dns-servers 10.220.32.16 10.220.32.17. |
|
--gateway |
Puerta de enlace. La dirección IP de la puerta de enlace debe estar dentro del ámbito del prefijo de dirección. Uso: --gateway 10.220.32.16. |
|
--ip-allocation-method |
Método de asignación de direcciones IP. Los valores admitidos son "Static". Uso: --ip-allocation-method "Static". |
|
--ip-pool-start |
La dirección IP inicial del grupo de DIRECCIONES IP. La dirección debe estar en el intervalo del prefijo de dirección. Uso: --ip-pool-start "10.220.32.18". |
|
--ip-pool-end |
Dirección IP final del grupo de DIRECCIONES IP. La dirección debe estar en el intervalo del prefijo de dirección. Uso: --ip-pool-end "10.220.32.38". |
|
--vm-switch-name |
Nombre del conmutador de máquina virtual. Uso: --vm-switch-name "vm-switch-01". |
|
IP del plano de control
Kubernetes usa un plano de control para asegurarse de que todos los componentes del clúster de Kubernetes se mantienen en el estado deseado. El plano de control también administra y mantiene los nodos de trabajo que contienen las aplicaciones en contenedores. AKS habilitado por Arc implementa el equilibrador de carga kubeVIP para asegurarse de que la dirección IP del servidor de API del plano de control de Kubernetes está disponible en todo momento. Esta instancia de KubeVIP requiere que una única "dirección IP del plano de control" inmutable funcione correctamente.
Nota:
La dirección IP del plano de control es un parámetro necesario para crear un clúster de Kubernetes. Debe asegurarse de que la dirección IP del plano de control de un clúster de Kubernetes no se superponga con nada más, incluidas las redes lógicas de máquina virtual de Arc, las direcciones IP de red de infraestructura, los equilibradores de carga etcetera. La dirección IP del plano de control también debe estar dentro del ámbito del prefijo de dirección de la red lógica, pero fuera del grupo de direcciones IP. Esto se debe a que el grupo de DIRECCIONES IP solo se usa para las máquinas virtuales y, si elige una dirección IP del grupo de direcciones IP para el plano de control, puede producirse un conflicto de direcciones IP. La superposición de direcciones IP puede provocar errores inesperados para el clúster de AKS y cualquier otro lugar en el que se use la dirección IP. Debe planear reservar una dirección IP por clúster de Kubernetes en su entorno.
Direcciones IP del equilibrador de carga para aplicaciones en contenedores
El propósito principal de un equilibrador de carga es distribuir el tráfico entre varios nodos de un clúster de Kubernetes. Este equilibrio de carga puede ayudar a evitar el tiempo de inactividad y mejorar el rendimiento general de las aplicaciones. AKS admite las siguientes opciones para implementar un equilibrador de carga para el clúster de Kubernetes:
- Implemente el equilibrador de carga MetalLB mediante la extensión de Azure Arc.
- Traiga su propio equilibrador de carga de terceros.
Tanto si elige la extensión MetalLB Arc como si trae su propio equilibrador de carga, debe proporcionar un conjunto de direcciones IP al servicio del equilibrador de carga. Dispone de las siguientes opciones:
- Proporcione direcciones IP para los servicios desde la misma subred que las máquinas virtuales de AKS Arc.
- Use una red diferente y una lista de direcciones IP si la aplicación necesita equilibrio de carga externo.
Independientemente de la opción que elija, debe asegurarse de que las direcciones IP asignadas al equilibrador de carga no entran en conflicto con las direcciones IP de la red lógica o las direcciones IP del plano de control para los clústeres de Kubernetes. Las direcciones IP en conflicto pueden provocar errores imprevistos en la implementación y las aplicaciones de AKS.
Planeamiento de direcciones IP simples para clústeres y aplicaciones de Kubernetes
En el siguiente escenario, puede reservar direcciones IP de una sola red para los clústeres y servicios de Kubernetes. Este es el escenario más sencillo y sencillo para la asignación de direcciones IP.
| Requisito de dirección IP | Número mínimo de direcciones IP | Cómo y dónde realizar esta reserva |
|---|---|---|
| DIRECCIONES IP de máquina virtual de AKS Arc | Reserve una dirección IP para cada nodo de trabajo del clúster de Kubernetes. Por ejemplo, si desea crear 3 grupos de nodos con 3 nodos en cada grupo de nodos, debe tener 9 direcciones IP en el grupo de DIRECCIONES IP. | Reserve direcciones IP para máquinas virtuales de AKS Arc a través de grupos de DIRECCIONES IP en la red lógica de máquinas virtuales de Arc. |
| Direcciones IP de actualización de la versión de AKS Arc K8s | Dado que AKS Arc realiza actualizaciones graduales, reserve una dirección IP para cada clúster de AKS Arc para las operaciones de actualización de versiones de Kubernetes. | Reserve direcciones IP para la operación de actualización de la versión K8s a través de grupos de DIRECCIONES IP en la red lógica de máquina virtual de Arc. |
| IP del plano de control | Reserve una dirección IP para cada clúster de Kubernetes del entorno. Por ejemplo, si desea crear 5 clústeres en total, reserve 5 direcciones IP, una para cada clúster de Kubernetes. | Reserve direcciones IP para direcciones IP del plano de control en la misma subred que la red lógica de máquina virtual de Arc, pero fuera del grupo de direcciones IP especificado. |
| Direcciones IP del equilibrador de carga | El número de direcciones IP reservadas depende del modelo de implementación de aplicaciones. Como punto de partida, puede reservar una dirección IP para cada servicio de Kubernetes. | Reserve direcciones IP para direcciones IP del plano de control en la misma subred que la red lógica de máquina virtual de Arc, pero fuera del grupo de direcciones IP especificado. |
Tutorial de ejemplo para la reserva de direcciones IP para clústeres y aplicaciones de Kubernetes
Jane es un administrador de TI que acaba de empezar con AKS habilitado por Azure Arc. Quiere implementar dos clústeres de Kubernetes: clúster de Kubernetes A y clúster de Kubernetes B en su clúster de Azure Stack HCI. También quiere ejecutar una aplicación de votación sobre el clúster A. Esta aplicación tiene tres instancias de la interfaz de usuario de front-end que se ejecuta en los dos clústeres y una instancia de la base de datos back-end. Todos sus clústeres y servicios de AKS se ejecutan en una sola red, con una sola subred.
- El clúster de Kubernetes A tiene 3 nodos de plano de control y 5 nodos de trabajo.
- El clúster de Kubernetes B tiene 1 nodo de plano de control y 3 nodos de trabajo.
- 3 instancias de la interfaz de usuario de front-end (puerto 443).
- 1 instancia de la base de datos back-end (puerto 80).
En función de la tabla anterior, debe reservar un total de 19 direcciones IP en su subred:
- 8 direcciones IP para las máquinas virtuales de nodo de AKS Arc en el clúster A (una dirección IP por máquina virtual de nodo K8s).
- 4 direcciones IP para las máquinas virtuales de nodo de AKS Arc en el clúster B (una dirección IP por máquina virtual de nodo K8s).
- 2 direcciones IP para ejecutar la operación de actualización de AKS Arc (una dirección IP por clúster de AKS Arc).
- 2 direcciones IP para el plano de control de AKS Arc (una dirección IP por clúster de AKS Arc)
- 3 direcciones IP para el servicio Kubernetes (una dirección IP por instancia de la interfaz de usuario de front-end, ya que todas usan el mismo puerto. La base de datos back-end puede usar cualquiera de las tres direcciones IP siempre que use un puerto diferente).
Siguiendo con este ejemplo y agregándolo a la tabla siguiente, obtendrá:
| Parámetro | Número de direcciones IP | Cómo y dónde realizar esta reserva |
|---|---|---|
| Actualización de máquinas virtuales de AKS Arc y K8s | Reservar 14 direcciones IP | Realice esta reserva a través de grupos de DIRECCIONES IP en la red lógica de Azure Stack HCI. |
| IP del plano de control | Reserva 2 direcciones IP, una para el clúster de AKS Arc | Use el controlPlaneIP parámetro para pasar la dirección IP del plano de control. Asegúrese de que esta dirección IP está en la misma subred que la red lógica de Arc, pero fuera del grupo de DIRECCIONES IP definido en la red lógica de Arc. |
| Direcciones IP del equilibrador de carga | 3 Dirección IP para los servicios de Kubernetes, para la aplicación de votación de Jane. | Estas direcciones IP se usan al instalar un equilibrador de carga en el clúster A. Puede usar la extensión MetalLB Arc o traer su propio equilibrador de carga de terceros. Asegúrese de que esta dirección IP está en la misma subred que la red lógica de Arc, pero fuera del grupo de DIRECCIONES IP definido en la red lógica de la máquina virtual de Arc. |
Configuración del proxy
La configuración del proxy en AKS se hereda del sistema de infraestructura subyacente. Todavía no se admite la funcionalidad para establecer la configuración de proxy individual para clústeres de Kubernetes y cambiar la configuración del proxy.
Requisitos de puerto de red y de VLAN cruzado
Al implementar Azure Stack HCI, asigna un bloque contiguo de al menos seis direcciones IP estáticas en la subred de la red de administración y omite las direcciones que ya usan los servidores físicos. Estas direcciones IP las usa Azure Stack HCI y la infraestructura interna (Arc Resource Bridge) para la administración de máquinas virtuales de Arc y AKS Arc. Si la red de administración que proporciona direcciones IP a los servicios de Azure Stack HCI relacionados con Arc Resource Bridge se encuentran en una VLAN diferente a la red lógica que usó para crear clústeres de AKS, debe asegurarse de que los siguientes puertos se abren para crear y operar correctamente un clúster de AKS.
| Puerto de destino | Destino | Origen | Descripción | Notas de redes entre VLAN |
|---|---|---|---|---|
| 22 | Red lógica que se usa para máquinas virtuales de AKS Arc | Direcciones IP en la red de administración | Necesario para recopilar registros para solucionar problemas. | Si usa VLAN independientes, las direcciones IP de la red de administración que se usan para Azure Stack HCI y Arc Resource Bridge necesitan acceder a las máquinas virtuales del clúster de AKS Arc en este puerto. |
| 6443 | Red lógica que se usa para máquinas virtuales de AKS Arc | Direcciones IP en la red de administración | Necesario para comunicarse con las API de Kubernetes. | Si usa VLAN independientes, las direcciones IP de la red de administración que se usan para Azure Stack HCI y Arc Resource Bridge necesitan acceder a las máquinas virtuales del clúster de AKS Arc en este puerto. |
| 55000 | Direcciones IP en la red de administración | Red lógica que se usa para máquinas virtuales de AKS Arc | Servidor gRPC del agente en la nube | Si usa VLAN independientes, las máquinas virtuales de AKS Arc deben acceder a las direcciones IP de la red de administración que se usan para la dirección IP del agente en la nube y la dirección IP del clúster en este puerto. |
| 65000 | Direcciones IP en la red de administración | Red lógica que se usa para máquinas virtuales de AKS Arc | Autenticación gRPC del agente en la nube | Si usa VLAN independientes, las máquinas virtuales de AKS Arc deben acceder a las direcciones IP de la red de administración que se usan para la dirección IP del agente en la nube y la dirección IP del clúster en este puerto. |
Excepciones de dirección URL de firewall
Para más información sobre la lista de permitidos de la dirección URL de proxy o firewall de Azure Arc, consulte los requisitos de red del puente de recursos de Azure Arc y los requisitos de red de Azure Stack HCI 23H2.
Nota:
Si va a implementar una versión anterior de Azure Stack HCI , como 2402 y versiones anteriores, también debe permitir las direcciones URL de gcr.io y storage.googleapis.com . Estas direcciones URL se quitaron de la versión más reciente de AKS Arc.
| URL | Port | Servicio | Notas |
|---|---|---|---|
https://mcr.microsoft.com *.data.mcr.microsoft.comazurearcfork8s.azurecr.iolinuxgeneva-microsoft.azurecr.iopipelineagent.azurecr.ioecpacr.azurecr.io https://azurearcfork8sdev.azurecr.io https://hybridaks.azurecr.io aszk8snetworking.azurecr.io |
443 | AKS Arc | Se usa para artefactos oficiales de Microsoft, como imágenes de contenedor. |
docker.io |
443 | AKS Arc | Se usa para artefactos oficiales de Kubernetes, como imágenes base de contenedor. |
hybridaksstorage.z13.web.core.windows.net |
443 | AKS Arc | Sitio web estático de AKSHCI hospedado en Azure Storage. |
*.blob.core.windows.net*.dl.delivery.mp.microsoft.com *.do.dsp.mp.microsoft.com |
443 | AKS Arc | Se usa para la descarga y actualización de imágenes VHD de AKS Arc. |
*.prod.do.dsp.mp.microsoft.com |
443 | AKS Arc | Se usa para la descarga y actualización de imágenes VHD de AKS Arc. |
*.login.microsoft.com |
443 | Azure | Necesario para capturar y actualizar tokens de Azure Resource Manager para iniciar sesión en Azure. |
https://*.his.arc.azure.com |
443 | K8 habilitado para Azure Arc | Se usa para el control de acceso y la identidad de los agentes de Arc. |
https://*.dp.kubernetesconfiguration.azure.com |
443 | K8 habilitado para Azure Arc | Se usa para la configuración de Azure Arc. |
https://*.servicebus.windows.net |
443 | K8 habilitado para Azure Arc | Se usa para conectarse de forma segura a clústeres de Kubernetes habilitados para Azure Arc sin necesidad de habilitar ningún puerto de entrada en el firewall. |
https://guestnotificationservice.azure.com |
443 | K8 habilitado para Azure Arc | Se usa para las operaciones de notificación de invitado. |
sts.windows.net |
443 | K8 habilitado para Azure Arc | Para el escenario basado en conexión de clústeres y ubicación personalizada. |
https://*.dp.prod.appliances.azure.com |
443 | Puente de recursos de Arc | Se usa para las operaciones del plano de datos para el puente de recursos (dispositivo). |
*.prod.microsoftmetrics.com*.prod.hot.ingestion.msftcloudes.comdc.services.visualstudio.com*.prod.warm.ingest.monitor.core.windows.netgcs.prod.monitoring.core.windows.net https://adhs.events.data.microsoft.com https://v20.events.data.microsoft.com |
443 | Supervisión de métricas y estado | Se usa para métricas y supervisar el tráfico de telemetría. |
pypi.org *.pypi.org files.pythonhosted.org |
443 | Az CLI | Se usa para descargar la CLI de Az y las extensiones de la CLI de Az. |
aka.ms |
443 | Azure Stack HCI | Se requiere para las descargas relacionadas con Azure Stack HCI. |
raw.githubusercontent.com |
443 | GitHub | Se usa para GitHub. |
www.microsoft.com |
80 | Sitio web oficial de Microsoft. | Sitio web oficial de Microsoft. |
Pasos siguientes
Creación de redes lógicas para clústeres de Kubernetes en Azure Stack HCI 23H2