Partager via


AKS activé par Azure Arc sur la configuration réseau requise pour VMware (préversion)

S’applique à : AKS activé par Azure Arc sur VMware (préversion)

Cet article présente les concepts de base qui fournissent la mise en réseau de vos machines virtuelles et applications dans Azure Kubernetes Service (AKS) activé par Azure Arc sur VMware :

  • Réseaux logiques pour AKS activés par les machines virtuelles Arc
  • ADRESSE IP du plan de contrôle
  • Équilibreurs de charge Kubernetes

Cet article décrit également les conditions préalables de mise en réseau requises pour la création de clusters Kubernetes. Nous vous recommandons de travailler avec un administrateur réseau pour fournir et configurer les paramètres réseau nécessaires au déploiement d’AKS.

Concepts réseau pour les clusters AKS

Veillez à configurer correctement la mise en réseau pour les composants suivants dans vos clusters Kubernetes :

  • Machines virtuelles de cluster AKS
  • ADRESSE IP du plan de contrôle AKS
  • Équilibreur de charge pour les applications conteneurisées

Réseau pour les machines virtuelles de cluster AKS

Les nœuds Kubernetes sont déployés en tant que machines virtuelles spécialisées dans AKS. Ces machines virtuelles sont allouées à des adresses IP pour permettre la communication entre les nœuds Kubernetes. AKS utilise des segments de réseau logique VMware pour fournir des adresses IP et des réseaux aux machines virtuelles sous-jacentes des clusters Kubernetes. Pour cette préversion, seuls les segments de réseau logique VMware basés sur DHCP sont pris en charge. Une fois le segment réseau VMware fourni lors de la création du cluster AKS Arc, les adresses IP sont allouées dynamiquement aux machines virtuelles sous-jacentes des clusters Kubernetes.

ADRESSE IP du plan de contrôle

Kubernetes utilise un plan de contrôle pour s’assurer que chaque composant du cluster Kubernetes est conservé dans l’état souhaité. Le plan de contrôle gère et gère également les nœuds Worker qui contiennent les applications conteneurisées. AKS déploie l’équilibreur de charge KubeVIP pour s’assurer que l’adresse IP du serveur d’API du plan de contrôle Kubernetes est toujours disponible. Pour fonctionner correctement, cette instance KubeVIP nécessite une seule « adresse IP de plan de contrôle » immuable. L’adresse IP du plan de contrôle est un paramètre obligatoire pour créer un cluster Kubernetes. Vous devez vous assurer que l’adresse IP du plan de contrôle d’un cluster Kubernetes ne chevauche aucune autre adresse IP. Les adresses IP qui se chevauchent peuvent entraîner des échecs inattendus pour le cluster AKS et tout autre endroit où l’adresse IP est utilisée. Vous devez planifier la réservation d’une adresse IP par cluster Kubernetes dans votre environnement. Vérifiez que l’adresse IP du plan de contrôle est exclue de l’étendue de votre serveur DHCP.

Adresses IP de l’équilibreur de charge pour les applications conteneurisées

L’objectif main d’un équilibreur de charge est de distribuer le trafic sur plusieurs nœuds dans un cluster Kubernetes. Cet équilibrage de charge peut aider à éviter les temps d’arrêt et à améliorer les performances globales des applications. Pour cette préversion, vous devez apporter votre propre équilibreur de charge tiers ; par exemple, MetalLB. Vous devez également vous assurer que les adresses IP allouées à l’équilibreur de charge ne sont pas en conflit avec les adresses IP utilisées ailleurs. Les adresses IP conflictuelles peuvent entraîner des échecs imprévus dans votre déploiement et vos applications AKS.

Planification des adresses IP pour les clusters et applications Kubernetes

Au minimum, vous devez disposer du nombre suivant d’adresses IP disponibles par cluster Kubernetes. Le nombre réel d’adresses IP dépend du nombre de clusters Kubernetes, du nombre de nœuds dans chaque cluster et du nombre de services et d’applications que vous souhaitez exécuter sur le cluster Kubernetes :

Paramètre Nombre minimal d’adresses IP
Segment de réseau logique VMware Une adresse IP pour chaque nœud Worker de votre cluster Kubernetes. Par exemple, si vous souhaitez créer 3 pools de nœuds avec 3 nœuds dans chaque pool de nœuds, vous avez besoin de 9 adresses IP disponibles à partir de votre serveur DHCP.
ADRESSE IP du plan de contrôle Réservez une adresse IP pour chaque cluster Kubernetes de votre environnement. Par exemple, si vous devez créer 5 clusters au total, vous devez réserver 5 adresses IP, une pour chaque cluster Kubernetes. Ces 5 adresses IP doivent être en dehors de l’étendue de votre serveur DHCP.
Adresses IP de l’équilibreur de charge Le nombre d’adresses IP réservées dépend du modèle de déploiement de votre application. Comme point de départ, vous pouvez réserver une adresse IP pour chaque service Kubernetes.

Paramètres du proxy

Pour cette préversion, la création de clusters AKS Arc dans un environnement VMware avec proxy n’est pas prise en charge.

Exceptions d’URL de pare-feu

Pour plus d’informations sur la liste d’autorisation de pare-feu/d’URL de proxy Azure Arc, consultez la configuration réseau requise pour le pont de ressources Azure Arc.

Pour le déploiement et le fonctionnement des clusters Kubernetes, les URL suivantes doivent être accessibles à partir de tous les nœuds physiques et machines virtuelles du déploiement. Vérifiez que ces URL sont autorisées dans la configuration de votre pare-feu :

URL Port
.dp.prod.appliances.azure.com HTTPS/443
.eus.his.arc.azure.com HTTPS/443
guestnotificationservice.azure.com HTTPS/443
.dp.kubernetesconfiguration.azure.com HTTPS/443
management.azure.com HTTPS/443
raw.githubusercontent.com HTTPS/443
storage.googleapis.com HTTPS/443
msk8s.api.cdp.microsoft.com HTTPS/443
adhs.events.data.microsoft.com HTTPS/443
.events.data.microsoft.com HTTPS/443
graph.microsoft.com HTTPS/443
.login.microsoft.com HTTPS/443
mcr.microsoft.com HTTPS/443
.data.mcr.microsoft.com HTTPS/443
msk8s.sb.tlu.dl.delivery.mp.microsoft.com HTTPS/443
.prod.microsoftmetrics.com HTTPS/443
login.microsoftonline.com HTTPS/443
dc.services.visualstudio.com HTTPS/443
ctldl.windowsupdate.com HTTP/80
azurearcfork8s.azurecr.io HTTPS/443
ecpacr.azurecr.io HTTPS/443
hybridaks.azurecr.io HTTPS/443
kvamanagementoperator.azurecr.io HTTPS/443
linuxgeneva-microsoft.azurecr.io HTTPS/443
gcr.io HTTPS/443
aka.ms HTTPS/443
k8connecthelm.azureedge.net HTTPS/443
k8sconnectcsp.azureedge.net HTTPS/443
.blob.core.windows.net HTTPS/443

Étapes suivantes