Az Azure Arc hálózati követelményei által engedélyezett AKS
A következőkre vonatkozik: Azure Stack HCI, 23H2-es verzió
Ez a cikk az Azure Arc által engedélyezett AKS-beli virtuális gépek és alkalmazások alapvető hálózatkezelési fogalmait ismerteti. A cikk a Kubernetes-fürtök létrehozásához szükséges hálózati előfeltételeket is ismerteti. Javasoljuk, hogy egy hálózati rendszergazdával együttműködve adja meg és állítsa be az Arc által engedélyezett AKS üzembe helyezéséhez szükséges hálózati paramétereket.
Ebben a fogalmi cikkben a következő fő összetevőket vezetjük be. Ezeknek az összetevőknek statikus IP-címre van szükségük ahhoz, hogy az AKS Arc-fürt és az alkalmazások sikeresen létrehozhassák és működjenek:
- AKS-fürt virtuális gépei
- AKS vezérlősík IP-címe
- Terheléselosztó tárolóalapú alkalmazásokhoz
Hálózatkezelés AKS-fürt virtuális gépeihez
A Kubernetes-csomópontok speciális virtuális gépekként vannak üzembe helyezve az Arc által engedélyezett AKS-ben. Ezek a virtuális gépek ip-címeket kapnak a Kubernetes-csomópontok közötti kommunikáció engedélyezéséhez. Az AKS Arc azure Stack HCI logikai hálózatokat használ a Kubernetes-fürtök mögöttes virtuális gépeinek IP-címeinek és hálózatkezelésének biztosítására. A logikai hálózatokkal kapcsolatos további információkért tekintse meg az Azure Stack HCI logikai hálózatai című témakört. Az Azure Stack HCI-környezetben AKS-fürtcsomópont virtuális gépenként egy IP-címet kell lefoglalnia.
Feljegyzés
A statikus IP-cím az egyetlen támogatott mód az IP-címek AKS Arc virtuális gépekhez való hozzárendeléséhez. Ennek az az oka, hogy a Kubernetes megköveteli, hogy a Kubernetes-csomóponthoz rendelt IP-cím állandó legyen a Kubernetes-fürt teljes életciklusa során. A szoftveralapú virtuális hálózatok és az SDN-hez kapcsolódó funkciók jelenleg nem támogatottak az Azure Stack HCI 23H2 AKS-ben.
Az AKS Arc-fürt létrehozási műveletéhez a következő paraméterek szükségesek a logikai hálózat használatához:
| Logikai hálózati paraméter | Leírás | Az AKS Arc-fürt kötelező paramétere |
|---|---|---|
--address-prefixes |
AddressPrefix a hálózathoz. Jelenleg csak 1 címelőtag támogatott. Használat: --address-prefixes "10.220.32.16/24". |
 |
--dns-servers |
A DNS-kiszolgáló IP-címeinek szóközzel elválasztott listája. Használat: --dns-servers 10.220.32.16 10.220.32.17. |
|
--gateway |
Átjáró. Az átjáró IP-címének a címelőtag hatókörén belül kell lennie. Használat: --gateway 10.220.32.16. |
|
--ip-allocation-method |
Az IP-címfoglalási módszer. A támogatott értékek "Statikusak". Használat: --ip-allocation-method "Static". |
|
--ip-pool-start |
Az IP-készlet kezdő IP-címe. A címnek a címelőtag tartományában kell lennie. Használat: --ip-pool-start "10.220.32.18". |
|
--ip-pool-end |
Az IP-készlet záró IP-címe. A címnek a címelőtag tartományában kell lennie. Használat: --ip-pool-end "10.220.32.38". |
|
--vm-switch-name |
A virtuálisgép-kapcsoló neve. Használat: --vm-switch-name "vm-switch-01". |
|
Vezérlősík IP-címe
A Kubernetes egy vezérlősík használatával biztosítja, hogy a Kubernetes-fürt minden összetevője a kívánt állapotban legyen. A vezérlősík a tárolóalapú alkalmazásokat tartalmazó feldolgozó csomópontokat is kezeli és tartja karban. Az Arc által engedélyezett AKS üzembe helyezi a KubeVIP terheléselosztót, hogy a Kubernetes vezérlősík API-kiszolgálójának IP-címe mindig elérhető legyen. Ehhez a KubeVIP-példányhoz egyetlen nem módosítható "vezérlősík IP-címe" szükséges a megfelelő működéshez.
Feljegyzés
A vezérlősík IP-címe egy Kubernetes-fürt létrehozásához szükséges paraméter. Gondoskodnia kell arról, hogy a Kubernetes-fürt vezérlősíkjának IP-címe ne legyen átfedésben másokkal, beleértve az Arc virtuális gépek logikai hálózatait, az infrastruktúra hálózati IP-címeit, a terheléselosztókat stb. A vezérlősík IP-címének a logikai hálózat címelőtagjának hatókörén belül, de az IP-készleten kívül kell lennie. Ennek az az oka, hogy az IP-készletet csak virtuális gépekhez használják, és ha a vezérlősík IP-címkészletéből választ ip-címet, ip-címütközés következhet be. Az átfedésben lévő IP-címek váratlan meghibásodásokhoz vezethetnek mind az AKS-fürtön, mind bármely más helyen, ahol az IP-címet használják. Kubernetes-fürtönként egy IP-címet kell lefoglalnia a környezetben.
Terheléselosztó IP-címek tárolóalapú alkalmazásokhoz
A terheléselosztó fő célja a forgalom elosztása egy Kubernetes-fürt több csomópontja között. Ez a terheléselosztás segíthet megelőzni az állásidőt és javítani az alkalmazások általános teljesítményét. Az AKS a következő lehetőségeket támogatja a terheléselosztó Kubernetes-fürthöz való üzembe helyezéséhez:
- A MetalLB terheléselosztó üzembe helyezése az Azure Arc-bővítmény használatával.
- Hozzon magával egy saját, külső terheléselosztót.
Akár a MetalLB Arc bővítményt választja, akár saját terheléselosztót hoz, ip-címeket kell megadnia a terheléselosztó szolgáltatásnak. Az alábbi lehetőségek állnak rendelkezésére:
- Adja meg a szolgáltatások IP-címeit az AKS Arc virtuális gépekkel azonos alhálózatról.
- Ha az alkalmazás külső terheléselosztást igényel, használjon másik hálózatot és IP-címlistát.
A választott beállítástól függetlenül meg kell győződnie arról, hogy a terheléselosztó számára lefoglalt IP-címek nem ütköznek a Logikai hálózat vagy a Kubernetes-fürtök vezérlősíkjának IP-címeivel. Az ütköző IP-címek előre nem látható hibákhoz vezethetnek az AKS üzembe helyezésében és az alkalmazásokban.
Egyszerű IP-címtervezés Kubernetes-fürtökhöz és -alkalmazásokhoz
A következő forgatókönyvben az IP-címeket egyetlen hálózatból foglalhatja le a Kubernetes-fürtök és -szolgáltatások számára. Ez az IP-címek hozzárendelésének legegyszerűbb és legegyszerűbb forgatókönyve.
| IP-címkövetelmény | Ip-címek minimális száma | A foglalás menete és helye |
|---|---|---|
| AKS Arc virtuálisgép-IP-címek | Foglaljon le egy IP-címet a Kubernetes-fürt minden feldolgozó csomópontjához. Ha például 3 csomópontkészletet szeretne létrehozni, mindegyik csomópontkészletben 3 csomóponttal, akkor 9 IP-címmel kell rendelkeznie az IP-készletben. | Az AKS Arc virtuális gépek IP-címeinek lefoglalása az Arc virtuális gép logikai hálózatában lévő IP-készleteken keresztül. |
| AKS Arc K8s verziófrissítési IP-címek | Mivel az AKS Arc működés közbeni frissítéseket hajt végre, a Kubernetes verziófrissítési műveleteihez foglaljon le egy IP-címet minden AKS Arc-fürthöz. | A K8s-verziófrissítési művelet IP-címeinek lefoglalása az Arc virtuális gép logikai hálózatában lévő IP-készleteken keresztül. |
| Vezérlősík IP-címe | Foglaljon le egy IP-címet a környezet minden Kubernetes-fürtjéhez. Ha például összesen 5 fürtöt szeretne létrehozni, foglaljon le 5 IP-címet, egyet minden Kubernetes-fürthöz. | A vezérlősík IP-címeinek lefoglalása az Arc virtuális gép logikai hálózatával azonos alhálózatban, de a megadott IP-készleten kívül. |
| Terheléselosztó IP-cím | A fenntartott IP-címek száma az alkalmazás üzembehelyezési modelljétől függ. Kiindulópontként minden Kubernetes-szolgáltatáshoz lefoglalhat egy IP-címet. | A vezérlősík IP-címeinek lefoglalása az Arc virtuális gép logikai hálózatával azonos alhálózatban, de a megadott IP-készleten kívül. |
Példaútmutató a Kubernetes-fürtök és -alkalmazások IP-címfoglalásához
Jane egy informatikai rendszergazda, aki most kezdi az Azure Arc által engedélyezett AKS-t. Két Kubernetes-fürtöt szeretne üzembe helyezni: az A Kubernetes-fürtöt és a B Kubernetes-fürtöt az Azure Stack HCI-fürtjén. Emellett egy szavazóalkalmazást szeretne futtatni az A fürt tetején. Ez az alkalmazás három előtér-felhasználói felülettel rendelkezik, amely a két fürtön és a háttéradatbázis egy példányán fut. Az összes AKS-fürtje és szolgáltatása egyetlen hálózaton fut, egyetlen alhálózattal.
- Az A Kubernetes-fürt 3 vezérlősík-csomóponttal és 5 feldolgozó csomóponttal rendelkezik.
- A B kubernetes-fürt 1 vezérlősík-csomóponttal és 3 feldolgozó csomóponttal rendelkezik.
- Az előtérbeli felhasználói felület 3 példánya (443-as port).
- A háttéradatbázis 1 példánya (80-os port).
Az előző táblázat alapján összesen 19 IP-címet kell lefoglalnia az alhálózatában:
- 8 IP-cím az A fürt AKS Arc-csomópont virtuális gépeihez (K8s-csomópontonként egy IP-cím).
- 4 IP-cím a B fürt AKS Arc-csomópont virtuális gépeihez (k8s csomópontonként egy IP-cím).
- 2 IP-cím az AKS Arc frissítési művelet futtatásához (AKS Arc-fürtönként egy IP-cím).
- 2 IP-cím az AKS Arc vezérlősíkhoz (AKS Arc-fürtönként egy IP-cím)
- A Kubernetes szolgáltatás 3 IP-címe (az előtér felhasználói felületének példányonként egy IP-címe, mivel mindegyik ugyanazt a portot használja). A háttéradatbázis a három IP-cím bármelyikét használhatja, ha másik portot használ.
Ha folytatja ezt a példát, és hozzáadja a következő táblához, a következőt kapja:
| Paraméter | IP-címek száma | A foglalás menete és helye |
|---|---|---|
| AKS Arc virtuális gépek és K8s verziófrissítés | 14 IP-cím lefoglalása | Ezt a foglalást az Azure Stack HCI logikai hálózatának IP-készleteiben végezheti el. |
| Vezérlősík IP-címe | 2 IP-cím lefoglalása, egyet az AKS Arc-fürthöz | A paraméter használatával controlPlaneIP adja át a vezérlősík IP-címét. Győződjön meg arról, hogy ez az IP-cím ugyanabban az alhálózatban található, mint az Arc logikai hálózat, de az Arc logikai hálózatban definiált IP-készleten kívül. |
| Terheléselosztó IP-cím | 3 IP-cím a Kubernetes-szolgáltatásokhoz, Jane szavazóalkalmazásához. | Ezek az IP-címek akkor használatosak, ha terheléselosztót telepít az A fürtre. Használhatja a MetalLB Arc bővítményt, vagy saját külső terheléselosztót is használhat. Győződjön meg arról, hogy ez az IP-cím ugyanabban az alhálózatban található, mint az Arc logikai hálózat, de az Arc virtuális gép logikai hálózatában definiált IP-készleten kívül. |
Proxybeállítások
Az AKS proxybeállításai a mögöttes infrastruktúrarendszertől öröklődnek. A Kubernetes-fürtök egyéni proxybeállításainak beállítására és a proxybeállítások módosítására vonatkozó funkciók egyelőre nem támogatottak.
Hálózati portra és VLAN-ra vonatkozó követelmények
Az Azure Stack HCI üzembe helyezésekor legalább hat statikus IP-címből álló összefüggő blokkot foglal le a felügyeleti hálózat alhálózatán, és kihagyja a fizikai kiszolgálók által már használt címeket. Ezeket az IP-címeket az Azure Stack HCI és a belső infrastruktúra (Arc Resource Bridge) használja az Arc virtuális gépek kezeléséhez és az AKS Archoz. Ha az Arc Resource Bridge-hez kapcsolódó Azure Stack HCI-szolgáltatásokHOZ IP-címeket biztosító felügyeleti hálózata más VLAN-on található, mint az AKS-fürtök létrehozásához használt logikai hálózat, meg kell győződnie arról, hogy a következő portok meg vannak nyitva az AKS-fürtök sikeres létrehozásához és üzemeltetéséhez.
| Célport | Cél | Forrás | Leírás | VLAN-hálózatok közötti hálózati megjegyzések |
|---|---|---|---|---|
| 22 | Az AKS Arc virtuális gépekhez használt logikai hálózat | IP-címek a felügyeleti hálózaton | A hibaelhárítási naplók gyűjtéséhez szükséges. | Ha különálló VLAN-okat használ, az Azure Stack HCI-hez és az Arc Resource Bridge-hez használt felügyeleti hálózat IP-címeinek hozzá kell férnie az AKS Arc-fürt virtuális gépeihez ezen a porton. |
| 6443 | Az AKS Arc virtuális gépekhez használt logikai hálózat | IP-címek a felügyeleti hálózaton | A Kubernetes API-kkal való kommunikációhoz szükséges. | Ha különálló VLAN-okat használ, az Azure Stack HCI-hez és az Arc Resource Bridge-hez használt felügyeleti hálózat IP-címeinek hozzá kell férnie az AKS Arc-fürt virtuális gépeihez ezen a porton. |
| 55000 | IP-címek a felügyeleti hálózaton | Az AKS Arc virtuális gépekhez használt logikai hálózat | Felhőügynök gRPC-kiszolgálója | Ha külön VLAN-t használ, az AKS Arc virtuális gépeknek hozzá kell férnie a felhőügynök IP-címéhez és a fürt IP-címéhez használt felügyeleti hálózat IP-címéhez ezen a porton. |
| 65000 | IP-címek a felügyeleti hálózaton | Az AKS Arc virtuális gépekhez használt logikai hálózat | Felhőügynök gRPC-hitelesítése | Ha külön VLAN-t használ, az AKS Arc virtuális gépeknek hozzá kell férnie a felhőügynök IP-címéhez és a fürt IP-címéhez használt felügyeleti hálózat IP-címéhez ezen a porton. |
Tűzfal URL-kivételei
Az Azure Arc tűzfal-/proxy URL-engedélyezési listájáról az Azure Arc erőforráshíd hálózati követelményeit és az Azure Stack HCI 23H2 hálózati követelményeit tekintheti meg.
Feljegyzés
Ha egy régebbi, például 2402-es vagy korábbi Azure Stack HCI-kiadást helyez üzembe, engedélyeznie kell a gcr.io és storage.googleapis.com URL-címeket is. Ezek az URL-címek el lettek távolítva a legújabb AKS Arc-kiadásból.
| URL-cím | Kikötő | Szolgáltatás | Jegyzetek |
|---|---|---|---|
https://mcr.microsoft.com *.data.mcr.microsoft.comazurearcfork8s.azurecr.iolinuxgeneva-microsoft.azurecr.iopipelineagent.azurecr.ioecpacr.azurecr.io https://azurearcfork8sdev.azurecr.io https://hybridaks.azurecr.io aszk8snetworking.azurecr.io |
443 | AKS Arc | Hivatalos Microsoft-összetevőkhöz, például tárolólemezképekhez használható. |
docker.io |
443 | AKS Arc | A Kubernetes hivatalos összetevőihez, például a tároló alaprendszerképeihez használatos. |
hybridaksstorage.z13.web.core.windows.net |
443 | AKS Arc | Az Azure Storage-ban üzemeltetett AKSHCI statikus webhely. |
*.blob.core.windows.net*.dl.delivery.mp.microsoft.com *.do.dsp.mp.microsoft.com |
443 | AKS Arc | Az AKS Arc VHD-rendszerkép letöltéséhez és frissítéséhez használatos. |
*.prod.do.dsp.mp.microsoft.com |
443 | AKS Arc | Az AKS Arc VHD-rendszerkép letöltéséhez és frissítéséhez használatos. |
*.login.microsoft.com |
443 | Azure | Az Azure Resource Manager-jogkivonatok lekéréséhez és frissítéséhez szükséges az Azure-ba való bejelentkezéshez. |
https://*.his.arc.azure.com |
443 | Azure Arc-kompatibilis K8-k | Arc-ügynökök identitásához és hozzáférés-vezérléséhez használatos. |
https://*.dp.kubernetesconfiguration.azure.com |
443 | Azure Arc-kompatibilis K8-k | Azure Arc-konfigurációhoz használatos. |
https://*.servicebus.windows.net |
443 | Azure Arc-kompatibilis K8-k | Az Azure Arc-kompatibilis Kubernetes-fürtökhöz való biztonságos csatlakozáshoz használható anélkül, hogy a tűzfalon engedélyezni kellene a bejövő portokat. |
https://guestnotificationservice.azure.com |
443 | Azure Arc-kompatibilis K8-k | Vendégértesítési műveletekhez használatos. |
sts.windows.net |
443 | Azure Arc-kompatibilis K8-k | Fürtcsatlakozás és egyéni helyalapú forgatókönyv esetén. |
https://*.dp.prod.appliances.azure.com |
443 | Arc erőforráshíd | Erőforráshíd (berendezés) adatsík-műveleteihez használatos. |
*.prod.microsoftmetrics.com*.prod.hot.ingestion.msftcloudes.comdc.services.visualstudio.com*.prod.warm.ingest.monitor.core.windows.netgcs.prod.monitoring.core.windows.net https://adhs.events.data.microsoft.com https://v20.events.data.microsoft.com |
443 | Metrikák és állapotfigyelés | Metrikákhoz és telemetriai forgalom figyeléséhez használatos. |
pypi.org *.pypi.org files.pythonhosted.org |
443 | Az CLI | Az CLI- és Az CLI-bővítmények letöltésére szolgál. |
aka.ms |
443 | Azure Stack HCI | Az Azure Stack HCI-hez kapcsolódó letöltésekhez szükséges. |
raw.githubusercontent.com |
443 | GitHub | A GitHubhoz használatos. |
www.microsoft.com |
80 | A Microsoft hivatalos webhelye. | A Microsoft hivatalos webhelye. |
Következő lépések
Logikai hálózatok létrehozása Kubernetes-fürtökhöz az Azure Stack HCI 23H2-ben