Az Azure Arc hálózati követelményei által engedélyezett AKS
A következőkre vonatkozik: Azure Stack HCI, 23H2-es verzió
Ez a cikk az Azure Arc által engedélyezett AKS-ben lévő virtuális gépek és alkalmazások alapvető hálózatkezelési fogalmait ismerteti. A cikk a Kubernetes-fürtök létrehozásához szükséges hálózati előfeltételeket is ismerteti. Javasoljuk, hogy egy hálózati rendszergazdával együttműködve adja meg és állítsa be az Arc által engedélyezett AKS üzembe helyezéséhez szükséges hálózati paramétereket.
Ebben a fogalmi cikkben a következő fő összetevőket mutatjuk be. Ezeknek az összetevőknek statikus IP-címre van szükségük ahhoz, hogy az AKS Arc-fürt és az alkalmazások sikeresen létrehozhassanak és működjenek:
- AKS-fürt virtuális gépei
- AKS vezérlősík IP-címe
- Terheléselosztó tárolóalapú alkalmazásokhoz
Hálózatkezelés AKS-fürt virtuális gépeihez
A Kubernetes-csomópontok speciális virtuális gépekként vannak üzembe helyezve az Arc által engedélyezett AKS-ben. Ezek a virtuális gépek IP-címek vannak lefoglalva a Kubernetes-csomópontok közötti kommunikáció engedélyezéséhez. Az AKS Arc az Azure Stack HCI logikai hálózatokat használja a Kubernetes-fürtök mögöttes virtuális gépeinek IP-címeinek és hálózatkezelésének biztosítására. A logikai hálózatokkal kapcsolatos további információkért lásd: Logikai hálózatok az Azure Stack HCI-hez. Az Azure Stack HCI-környezetben egy IP-címet kell lefoglalnia AKS-fürtcsomópont virtuális gépenként.
Megjegyzés
A statikus IP-cím az egyetlen támogatott mód az IP-címek AKS Arc virtuális gépekhez való hozzárendeléséhez. Ennek az az oka, hogy a Kubernetes megköveteli, hogy a Kubernetes-csomóponthoz rendelt IP-cím állandó legyen a Kubernetes-fürt életciklusa során.
Az AKS Arc-fürtlétrehozási művelet logikai hálózatának használatához a következő paraméterek szükségesek:
| Logikai hálózati paraméter | Description | Az AKS Arc-fürt kötelező paramétere |
|---|---|---|
--address-prefixes |
AddressPrefix a hálózathoz. Jelenleg csak 1 címelőtag támogatott. Használat: --address-prefixes "10.220.32.16/24". |
 |
--dns-servers |
A DNS-kiszolgáló IP-címeinek szóközzel elválasztott listája. Használat: --dns-servers 10.220.32.16 10.220.32.17. |
|
--gateway |
Átjáró. Az átjáró IP-címének a címelőtag hatókörén belül kell lennie. Használat: --gateway 10.220.32.16. |
|
--ip-allocation-method |
Az IP-címkiosztási módszer. A támogatott értékek a "Static" (statikus) értékek. Használat: --ip-allocation-method "Static". |
|
--ip-pool-start |
Az IP-készlet kezdő IP-címe. A címnek a címelőtag tartományában kell lennie. Használat: --ip-pool-start "10.220.32.18". |
|
--ip-pool-end |
Az IP-készlet záró IP-címe. A címnek a címelőtag tartományában kell lennie. Használat: --ip-pool-end "10.220.32.38". |
|
--vm-switch-name |
A virtuálisgép-kapcsoló neve. Használat: --vm-switch-name "vm-switch-01". |
|
Vezérlősík IP-címe
A Kubernetes vezérlősíkot használ annak biztosítására, hogy a Kubernetes-fürt minden összetevője a kívánt állapotban legyen. A vezérlősík a tárolóalapú alkalmazásokat tartalmazó munkavégző csomópontokat is kezeli és tartja karban. Az Arc által engedélyezett AKS üzembe helyezi a KubeVIP terheléselosztót annak biztosítása érdekében, hogy a Kubernetes-vezérlősík API-kiszolgálójának IP-címe mindig elérhető legyen. Ehhez a KubeVIP-példányhoz egyetlen nem módosítható "vezérlősík IP-címe" szükséges a megfelelő működéshez.
Megjegyzés
A vezérlősík IP-címe a Kubernetes-fürt létrehozásához szükséges paraméter. Gondoskodnia kell arról, hogy a Kubernetes-fürt vezérlősíkjának IP-címe ne legyen átfedésben semmivel, beleértve az Arc virtuális gép logikai hálózatait, az infrastruktúra hálózati IP-címeit, a terheléselosztókat stb. A vezérlősík IP-címének a logikai hálózat címelőtagjának hatókörén belül, de az IP-készleten kívül kell lennie. Ennek az az oka, hogy az IP-címkészletet csak virtuális gépekhez használja, és ha a vezérlősík IP-címkészletéből választ IP-címet, IP-címütközés következhet be. Az egymást átfedő IP-címek váratlan meghibásodásokhoz vezethetnek az AKS-fürt és bármely más olyan hely esetében, ahol az IP-címet használják. Tervezze meg, hogy kubernetes-fürtönként egy IP-címet foglal le a környezetben.
Terheléselosztó IP-címei tárolóalapú alkalmazásokhoz
A terheléselosztó fő célja a forgalom elosztása egy Kubernetes-fürt több csomópontja között. Ez a terheléselosztás segíthet megelőzni az állásidőt és javítani az alkalmazások általános teljesítményét. Az AKS a következő lehetőségeket támogatja a terheléselosztó Kubernetes-fürthöz való üzembe helyezéséhez:
- A MetalLB terheléselosztó üzembe helyezése az Azure Arc-bővítménnyel.
- Saját, külső terheléselosztó használata.
Akár a MetalLB Arc bővítményt választja, akár saját terheléselosztót hoz, meg kell adnia egy IP-címkészletet a terheléselosztó szolgáltatásnak. Az alábbi lehetőségek állnak rendelkezésére:
- Adja meg a szolgáltatások IP-címeit az AKS Arc virtuális gépekkel azonos alhálózatról.
- Használjon másik hálózatot és IP-címek listáját, ha az alkalmazásnak külső terheléselosztásra van szüksége.
A választott beállítástól függetlenül meg kell győződnie arról, hogy a terheléselosztó számára lefoglalt IP-címek nem ütköznek a Kubernetes-fürtök logikai hálózatának vagy vezérlősíkjának IP-címeivel. Az ütköző IP-címek előre nem látható hibákhoz vezethetnek az AKS üzemelő példányaiban és alkalmazásaiban.
Egyszerű IP-címtervezés Kubernetes-fürtökhöz és -alkalmazásokhoz
A következő forgatókönyvben egyetlen hálózat ip-címeit foglalja le a Kubernetes-fürtök és -szolgáltatások számára. Ez az IP-címek hozzárendelésének legegyszerűbb és legegyszerűbb forgatókönyve.
| IP-címre vonatkozó követelmény | IP-címek minimális száma | A foglalás létrehozásának menete és helye |
|---|---|---|
| AKS Arc virtuálisgép-IP-címek | Foglaljon le egy IP-címet a Kubernetes-fürt minden munkavégző csomópontjához. Ha például 3 csomópontkészletet szeretne létrehozni 3 csomóponttal az egyes csomópontkészletekben, 9 IP-címmel kell rendelkeznie az IP-készletben. | Az AKS Arc virtuális gépek IP-címeinek lefoglalása az Arc virtuális gép logikai hálózatában található IP-készleteken keresztül. |
| Az AKS Arc K8s verziófrissítési IP-címei | Mivel az AKS Arc működés közbeni frissítéseket hajt végre, a Kubernetes verziófrissítési műveleteihez minden AKS Arc-fürtnek egy IP-címet kell lefoglalni. | IP-címeket foglaljon le a K8s-verziófrissítési művelethez az Arc virtuális gép logikai hálózatában található IP-készleteken keresztül. |
| Vezérlősík IP-címe | Foglaljon le egy IP-címet a környezet minden Kubernetes-fürtjéhez. Ha például összesen 5 fürtöt szeretne létrehozni, foglaljon le 5 IP-címet, egyet minden Kubernetes-fürthöz. | A vezérlősík IP-címeinek lefoglalása az Arc virtuális gép logikai hálózatával azonos alhálózatban, de a megadott IP-címkészleten kívül. |
| Terheléselosztó IP-címei | A fenntartott IP-címek száma az alkalmazás üzembehelyezési modelljétől függ. Kiindulási pontként minden Kubernetes-szolgáltatáshoz lefoglalhat egy IP-címet. | A vezérlősík IP-címeinek lefoglalása az Arc virtuális gép logikai hálózatával azonos alhálózatban, de a megadott IP-címkészleten kívül. |
Példaútmutató a Kubernetes-fürtök és -alkalmazások IP-címfoglalásához
Jane egy informatikai rendszergazda, aki most kezdi az Azure Arc által engedélyezett AKS-t. Két Kubernetes-fürtöt szeretne üzembe helyezni: az A Kubernetes-fürtöt és a B Kubernetes-fürtöt az Azure Stack HCI-fürtön. Emellett egy szavazóalkalmazást is futtatni szeretne az A fürt tetején. Ez az alkalmazás az előtérbeli felhasználói felület három példányával rendelkezik, amelyek a két fürtön és a háttéradatbázis egy példányán futnak. Az összes AKS-fürtje és szolgáltatása egyetlen hálózaton fut, egyetlen alhálózattal.
- Az A Kubernetes-fürt 3 vezérlősík-csomóponttal és 5 munkavégző csomóponttal rendelkezik.
- A B Kubernetes-fürt 1 vezérlősík-csomóponttal és 3 munkavégző csomóponttal rendelkezik.
- Az előtérbeli felhasználói felület 3 példánya (443-es port).
- A háttéradatbázis 1 példánya (80-ás port).
Az előző táblázat alapján összesen 19 IP-címet kell lefoglalnia az alhálózatában:
- 8 IP-cím az A fürt AKS Arc-csomópontjának virtuális gépeihez (K8s csomópontonként egy IP-cím).
- 4 IP-cím a B fürtben található AKS Arc-csomópont virtuális gépeihez (egy IP-cím k8s csomópontonkénti virtuális gépenként).
- 2 IP-cím az AKS Arc frissítési művelet futtatásához (AKS Arc-fürtönként egy IP-cím).
- 2 IP-cím az AKS Arc vezérlősíkhoz (egy IP-cím AKS Arc-fürtönként)
- 3 IP-cím a Kubernetes szolgáltatáshoz (az előtérbeli felhasználói felület példányonként egy IP-címe, mivel mindegyik ugyanazt a portot használja). A háttéradatbázis a három IP-cím bármelyikét használhatja, ha másik portot használ).
Ha folytatja ezt a példát, és hozzáadja a következő táblázathoz, a következőt kapja:
| Paraméter | IP-címek száma | A foglalás létrehozásának menete és helye |
|---|---|---|
| AKS Arc virtuális gépek és K8s verziófrissítés | 14 IP-cím lefoglalása | Ezt a foglalást az Azure Stack HCI logikai hálózatának IP-készleteiben teheti meg. |
| Vezérlősík IP-címe | Foglaljon le 2 IP-címet, egyet az AKS Arc-fürthöz | A paraméter használatával controlPlaneIP adja át a vezérlősík IP-címét. Győződjön meg arról, hogy ez az IP-cím ugyanabban az alhálózatban található, mint az Arc logikai hálózata, de kívül esik az Arc logikai hálózatban meghatározott IP-készleten. |
| Terheléselosztó IP-címei | 3 IP-cím a Kubernetes-szolgáltatásokhoz Jane szavazóalkalmazásához. | Ezek az IP-címek akkor használatosak, amikor terheléselosztót telepít az A fürtre. Használhatja a MetalLB Arc bővítményt, vagy használhatja saját külső terheléselosztóját. Győződjön meg arról, hogy ez az IP-cím ugyanabban az alhálózatban található, mint az Arc logikai hálózata, de kívül esik az Arc virtuális gép logikai hálózatában meghatározott IP-készleten. |
Proxybeállítások
Az AKS proxybeállításai a mögöttes infrastruktúrarendszertől öröklődnek. A Kubernetes-fürtök egyéni proxybeállításainak beállítására és a proxybeállítások módosítására szolgáló funkciók egyelőre nem támogatottak.
Hálózati port & VLAN-ra vonatkozó követelmények
Az Azure Stack HCI üzembe helyezésekor legalább hat statikus IP-címből álló összefüggő blokkot foglal le a felügyeleti hálózat alhálózatán, kihagyva a fizikai kiszolgálók által már használt címeket. Ezeket az IP-címeket az Azure Stack HCI és a belső infrastruktúra (Arc-erőforráshíd) használja az Arc virtuális gépek kezeléséhez és az AKS Archoz. Ha az Arc-erőforráshídhoz kapcsolódó Azure Stack HCI-szolgáltatásokHOZ IP-címeket biztosító felügyeleti hálózat más VLAN-on található, mint az AKS-fürtök létrehozásához használt logikai hálózat, meg kell győződnie arról, hogy a következő portok meg vannak nyitva az AKS-fürt sikeres létrehozásához és üzemeltetéséhez.
| Célport | Cél | Forrás | Leírás | VLAN-hálózatok közötti megjegyzések |
|---|---|---|---|---|
| 22 | Az AKS Arc virtuális gépekhez használt logikai hálózat | IP-címek a felügyeleti hálózaton | A hibaelhárítási naplók gyűjtéséhez szükséges. | Ha különálló VLAN-okat használ, az Azure Stack HCI-hez és az Arc-erőforráshídhoz használt felügyeleti hálózat IP-címeinek hozzá kell férnie az AKS Arc-fürt virtuális gépeihez ezen a porton. |
| 6443 | Az AKS Arc virtuális gépekhez használt logikai hálózat | IP-címek a felügyeleti hálózaton | A Kubernetes API-kkal való kommunikációhoz szükséges. | Ha különálló VLAN-okat használ, az Azure Stack HCI-hez és az Arc-erőforráshídhoz használt felügyeleti hálózat IP-címeinek hozzá kell férnie az AKS Arc-fürt virtuális gépeihez ezen a porton. |
| 55000 | IP-címek a felügyeleti hálózaton | Az AKS Arc virtuális gépekhez használt logikai hálózat | Felhőügynök gRPC-kiszolgálója | Ha különálló VLAN-okat használ, az AKS Arc virtuális gépeknek hozzá kell férni a felhőügynök IP-címéhez és a fürt IP-címéhez használt felügyeleti hálózat IP-címéhez ezen a porton. |
| 65000 | IP-címek a felügyeleti hálózaton | Az AKS Arc virtuális gépekhez használt logikai hálózat | Felhőügynök gRPC-hitelesítése | Ha különálló VLAN-okat használ, az AKS Arc virtuális gépeknek hozzá kell férni a felhőügynök IP-címéhez és a fürt IP-címéhez használt felügyeleti hálózat IP-címéhez ezen a porton. |
Tűzfal URL-kivételei
Az Azure Arc-tűzfal/proxy URL-engedélyezési listájáról az Azure Arc-erőforráshíd hálózati követelményeit és az Azure Stack HCI 23H2 hálózati követelményeit ismertető cikkben talál további információt.
A Kubernetes-fürtök üzembe helyezéséhez és működtetéséhez a következő URL-címeknek elérhetőnek kell lenniük az üzemelő példányban lévő összes fizikai csomópontról és AKS Arc virtuális gépről. Győződjön meg arról, hogy ezek az URL-címek engedélyezve vannak a tűzfal konfigurációjában:
| URL-cím | Port | Szolgáltatás | Jegyzetek |
|---|---|---|---|
https://mcr.microsoft.com |
443 | Microsoft Container Registry | Hivatalos Microsoft-összetevőkhöz, például tárolórendszerképekhez használatos. |
https://*.his.arc.azure.com |
443 | Azure Arc-identitásszolgáltatás | Identitás- és hozzáférés-vezérléshez használatos. |
https://*.dp.kubernetesconfiguration.azure.com |
443 | Kubernetes | Az Azure Arc-konfigurációhoz használatos. |
https://*.servicebus.windows.net |
443 | Fürtcsatlakozás | Az Azure Arc-kompatibilis Kubernetes-fürtökhöz való biztonságos csatlakozáshoz használható anélkül, hogy a tűzfalon engedélyezni kellene a bejövő portokat. |
https://guestnotificationservice.azure.com |
443 | Értesítési szolgáltatás | Vendégértesítési műveletekhez használatos. |
https://*.dp.prod.appliances.azure.com |
443 | Adatsík-szolgáltatás | Erőforráshíd (berendezés) adatsík-műveleteihez használatos. |
*.data.mcr.microsoft.comazurearcfork8s.azurecr.iolinuxgeneva-microsoft.azurecr.iopipelineagent.azurecr.ioecpacr.azurecr.io |
443 | Ügynök letöltése | Képek és ügynökök letöltésére szolgál. |
*.prod.microsoftmetrics.com*.prod.hot.ingestion.msftcloudes.comdc.services.visualstudio.com*.prod.warm.ingest.monitor.core.windows.netgcs.prod.monitoring.core.windows.net |
443 | Metrikák és állapotmonitorozás | Metrikákhoz és a telemetriai forgalom monitorozásához használatos. |
*.blob.core.windows.net*.dl.delivery.mp.microsoft.com *.do.dsp.mp.microsoft.com |
443 | TCP | Erőforráshíd (berendezés) lemezképének letöltésére szolgál. |
https://azurearcfork8sdev.azurecr.io |
443 | Kubernetes | Az Azure Arc for Kubernetes-tárolórendszerképek letöltésére szolgál. |
https://adhs.events.data.microsoft.com |
443 | Telemetria | Az ADHS egy telemetriai szolgáltatás, amely a berendezésen/tengerész operációs rendszeren belül fut. Rendszeres időközönként a szükséges diagnosztikai adatok microsoftos küldésére szolgál a vezérlősík csomópontjairól. Akkor használatos, ha a telemetriai adatok a Marinerről érkeznek, ami azt jelenti, hogy bármely Kubernetes vezérlősík. |
https://v20.events.data.microsoft.com |
443 | Telemetria | Rendszeres időközönként használatos a szükséges diagnosztikai adatok a Microsoftnak való elküldéséhez a Windows Server-gazdagépről. |
gcr.io |
443 | Google tárolóregisztrációs adatbázis | A Kubernetes hivatalos összetevőihez, például a tároló alaprendszerképeihez használatos. |
pypi.org |
443 | Python-csomag | Kubernetes- és Python-verziók ellenőrzése. |
*.pypi.org |
443 | Python-csomag | Kubernetes- és Python-verziók ellenőrzése. |
https://hybridaks.azurecr.io |
443 | Tárolólemezkép | A HybridAKS operátor lemezképének eléréséhez szükséges. |
aka.ms |
443 | az extensions | Az Azure CLI-bővítmények, például az aksarc és a connectedk8s letöltéséhez szükséges. |
*.login.microsoft.com |
443 | Azure | Az Azure Resource Manager-tokenek beolvasásához és frissítéséhez szükséges. |
sts.windows.net |
443 | Azure Arc | Fürtcsatlakozás és egyéni helyalapú forgatókönyv esetén. |
hybridaksstorage.z13.web.core.windows.net |
443 | Azure Stack HCI | Az Azure Storage-ban üzemeltetett statikus AKSHCI-webhely. |
raw.githubusercontent.com |
443 | GitHub | A GitHubhoz használatos. |
www.microsoft.com |
80 | A Microsoft hivatalos webhelye. | A Microsoft hivatalos webhelye. |
*.prod.do.dsp.mp.microsoft.com |
443 | Microsoft Update | Erőforráshíd (berendezés) rendszerképének letöltése. |
files.pythonhosted.org |
443 | Python-csomag | Python-csomag. |
Következő lépések
logikai hálózatok Létrehozás Kubernetes-fürtökhöz az Azure Stack HCI 23H2-n
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: