Az Azure Arc által engedélyezett AKS a VMware hálózati követelményein (előzetes verzió)
A következőkre vonatkozik: Az Azure Arc által a VMware-en engedélyezett AKS (előzetes verzió)
Ez a cikk bemutatja azokat az alapvető fogalmakat, amelyek az Azure Arc által a VMware-en engedélyezett Azure Kubernetes Service (AKS) virtuális gépeihez és alkalmazásaihoz nyújtanak hálózatkezelést:
- Az Arc virtuális gépek által engedélyezett AKS logikai hálózatai
- Vezérlősík IP-címe
- Kubernetes-terheléselosztók
Ez a cikk a Kubernetes-fürtök létrehozásához szükséges hálózati előfeltételeket is ismerteti. Javasoljuk, hogy egy hálózati rendszergazdával együttműködve adja meg és állítsa be az AKS telepítéséhez szükséges hálózati paramétereket.
Hálózati fogalmak AKS-fürtökhöz
Győződjön meg arról, hogy helyesen állította be a hálózatkezelést a Kubernetes-fürtök következő összetevőihez:
- AKS-fürt virtuális gépei
- AKS vezérlősík IP-címe
- Terheléselosztó tárolóalapú alkalmazásokhoz
AKS-fürt virtuális gépeinek hálózata
A Kubernetes-csomópontok speciális virtuális gépekként vannak üzembe helyezve az AKS-ben. Ezek a virtuális gépek ip-címeket kapnak a Kubernetes-csomópontok közötti kommunikáció engedélyezéséhez. Az AKS VMware logikai hálózati szegmenseket használ a Kubernetes-fürtök mögöttes virtuális gépeinek IP-címeinek és hálózatkezelésének biztosítására. Ebben az előzetes verzióban csak a DHCP-alapú VMware logikai hálózati szegmensek támogatottak. Miután az AKS Arc-fürt létrehozása során megadták a VMware hálózati szegmenst, a rendszer dinamikusan lefoglalja az IP-címeket a Kubernetes-fürtök mögöttes virtuális gépeihez.
Vezérlősík IP-címe
A Kubernetes vezérlősíkot használ annak biztosítására, hogy a Kubernetes-fürt minden összetevője a kívánt állapotban maradjon. A vezérlősík a tárolóalapú alkalmazásokat tartalmazó munkavégző csomópontokat is kezeli és tartja karban. Az AKS üzembe helyezi a KubeVIP terheléselosztót annak biztosítása érdekében, hogy a Kubernetes vezérlősík API-kiszolgálói IP-címe mindig elérhető legyen. A helyes működéshez ehhez a KubeVIP-példányhoz egyetlen nem módosítható "vezérlősík IP-címe" szükséges. A vezérlősík IP-címe egy Kubernetes-fürt létrehozásához szükséges paraméter. Győződjön meg arról, hogy a Kubernetes-fürt vezérlősíkjának IP-címe nem fedi át a többi IP-címet. Az átfedésben lévő IP-címek váratlan hibákat okozhatnak mind az AKS-fürt, mind az IP-cím bármely más helyén. Kubernetes-fürtönként egy IP-címet kell lefoglalnia a környezetben. Győződjön meg arról, hogy a vezérlősík IP-címe ki van zárva a DHCP-kiszolgáló hatóköréből.
Terheléselosztó IP-címei tárolóalapú alkalmazásokhoz
A terheléselosztó fő célja a forgalom elosztása több csomópont között egy Kubernetes-fürtben. Ez a terheléselosztás segíthet megelőzni az állásidőt, és javíthatja az alkalmazások általános teljesítményét. Ehhez az előzetes verzióhoz saját külső terheléselosztót kell hoznia; például a MetalLB. Azt is meg kell győződnie, hogy a terheléselosztóhoz lefoglalt IP-címek nem ütköznek máshol használt IP-címekkel. Az ütköző IP-címek előre nem látható hibákhoz vezethetnek az AKS üzemelő példányaiban és alkalmazásaiban.
Ip-cím tervezése Kubernetes-fürtökhöz és -alkalmazásokhoz
Kubernetes-fürtönként legalább a következő számú IP-címnek kell rendelkezésre állnia. Az IP-címek tényleges száma a Kubernetes-fürtök számától, az egyes fürtök csomópontjainak számától, valamint a Kubernetes-fürtön futtatni kívánt szolgáltatások és alkalmazások számától függ:
| Paraméter | IP-címek minimális száma |
|---|---|
| VMware logikai hálózati szegmens | Egy IP-cím a Kubernetes-fürt minden munkavégző csomópontjához. Ha például 3 csomópontkészletet szeretne létrehozni minden csomópontkészletben 3 csomóponttal, akkor 9 elérhető IP-címre van szüksége a DHCP-kiszolgálóról. |
| Vezérlősík IP-címe | Foglaljon le egy IP-címet a környezet minden Kubernetes-fürtjéhez. Ha például összesen 5 fürtöt kell létrehoznia, 5 IP-címet kell lefoglalnia, egyet minden Kubernetes-fürthöz. Ennek az 5 IP-címnek a DHCP-kiszolgáló hatókörén kívül kell lennie. |
| Terheléselosztó IP-címei | A fenntartott IP-címek száma az alkalmazás üzembehelyezési modelljétől függ. Kiindulási pontként minden Kubernetes-szolgáltatáshoz lefoglalhat egy IP-címet. |
Proxybeállítások
Ebben az előzetes verzióban nem támogatott AKS Arc-fürtök létrehozása proxybarát VMware-környezetben.
Tűzfal URL-kivételei
Az Azure Arc tűzfal-/proxy URL-engedélyezési listájáról az Azure Arc-erőforráshíd hálózati követelményeit ismertető cikkben talál további információt.
A Kubernetes-fürtök üzembe helyezéséhez és üzemeltetéséhez a következő URL-címeknek elérhetőnek kell lenniük az üzembe helyezésben lévő összes fizikai csomópontról és virtuális gépről. Győződjön meg arról, hogy ezek az URL-címek engedélyezve vannak a tűzfal konfigurációjában:
| URL-cím | Port |
|---|---|
| .dp.prod.appliances.azure.com | HTTPS/443 |
| .eus.his.arc.azure.com | HTTPS/443 |
| guestnotificationservice.azure.com | HTTPS/443 |
| .dp.kubernetesconfiguration.azure.com | HTTPS/443 |
| management.azure.com | HTTPS/443 |
| raw.githubusercontent.com | HTTPS/443 |
| storage.googleapis.com | HTTPS/443 |
| msk8s.api.cdp.microsoft.com | HTTPS/443 |
| adhs.events.data.microsoft.com | HTTPS/443 |
| .events.data.microsoft.com | HTTPS/443 |
| graph.microsoft.com | HTTPS/443 |
| .login.microsoft.com | HTTPS/443 |
| mcr.microsoft.com | HTTPS/443 |
| .data.mcr.microsoft.com | HTTPS/443 |
| msk8s.sb.tlu.dl.delivery.mp.microsoft.com | HTTPS/443 |
| .prod.microsoftmetrics.com | HTTPS/443 |
| login.microsoftonline.com | HTTPS/443 |
| dc.services.visualstudio.com | HTTPS/443 |
| ctldl.windowsupdate.com | HTTP/80 |
| azurearcfork8s.azurecr.io | HTTPS/443 |
| ecpacr.azurecr.io | HTTPS/443 |
| hybridaks.azurecr.io | HTTPS/443 |
| kvamanagementoperator.azurecr.io | HTTPS/443 |
| linuxgeneva-microsoft.azurecr.io | HTTPS/443 |
| gcr.io | HTTPS/443 |
| aka.ms | HTTPS/443 |
| k8connecthelm.azureedge.net | HTTPS/443 |
| k8sconnectcsp.azureedge.net | HTTPS/443 |
| .blob.core.windows.net | HTTPS/443 |