Azure CNI IPAM mód és adatsík-technológia frissítése Azure Kubernetes Service-fürtökhöz

A meglévő Azure Kubernetes Service (AKS) fürtöknek elkerülhetetlenül frissíteni kell az újabb IP-címkezelési (IPAM) módokat és adatsík-technológiákat a legújabb funkciók és támogatottság eléréséhez. Ez a cikk útmutatást nyújt egy meglévő AKS-fürt frissítéséhez az Azure CNI Overlay IPAM módhoz való használatához, az Azure CNI Powered by Cilium pedig adatsíkként.

Támogatott migrálási útvonal

Az AKS egyetlen, előremenő hálózati migrálási útvonalat támogat a meglévő fürtök esetében. A migrálás csak az Azure CNI Overlay szolgáltatásba támogatott.

Csak az alábbi áttelepítések támogatottak:

• Azure CNI (Node subnet) → Azure CNI átfedés
• Kubenet → Azure CNI Overlay

A fürtök Azure CNI Overlayre való frissítése egy egyirányú, visszafordíthatatlan művelet. A fürt frissítése után nem migrálható vissza csomópont-alhálózat-alapú hálózati módba.

Az IPAM mód frissítése Azure CNI-átfedésre

A meglévő fürtök Azure CNI Overlayre való frissítése visszafordíthatatlan folyamat.

Frissítheti a meglévő AKS-fürtöt Azure CNI Overlay-re, ha a fürt:

• A Kubernetes 1.27-es vagy újabb verzióját használja.
• Nem használja a dinamikus IP-foglalási funkciót.
• Nincs engedélyezve hálózati házirend. Ha a fürt frissítése előtt el kell távolítania a hálózati házirendmotort, kövesse az Azure Network Policy Manager vagy a Calico eltávolítása című témakörben leírt lépéseket.
• Nem használ windowsos csomópontkészleteket a Dockerrel tároló-futtatókörnyezetként.

A Windows operációs rendszer 20348.1668-os buildje előtt korlátozás állt fenn a Windows átfedési podok körében, amelyek helytelenül irányították a csomagokat a gazdagépen futó hálózati podokból a forráshálózati címfordításon (SNAT) keresztül. Ez a korlátozás káros hatással volt az Azure CNI Overlayre frissített fürtökre. A probléma elkerülése érdekében használja a Windows os build 20348.1668 vagy újabb verzióját.

Figyelmeztetés

• Ha egyéni azure-ip-masq-agent konfigurációt használ olyan további IP-tartományok hozzáadásához, amelyeknek nem kellene SNAT-csomagokat küldeniük a podokról, az Azure CNI Overlayre való frissítés megszakíthatja az ezekhez a tartományokhoz való kapcsolódást. Az átfedési térben lévő pod IP-címek nem érhetők el a klaszteren kívüli elemek számára.

• Régi fürtök esetén előfordulhat, hogy egy ConfigMap a korábbi verzióból marad vissza azure-ip-masq-agent. Ha ez a konfigurációtérkép (neve azure-ip-masq-agent-config) létezik, és nem szándékosan van érvényben, a frissítés előtt törölnie kell.

• Ha nem használ egyéni ip-masq-agent konfigurációt, akkor csak a azure-ip-masq-agent-config-reconciled ConfigMapnek kell léteznie az Azure ip-masq-agent ConfigMap tekintetében. A frissítési folyamat során automatikusan frissül.

A frissítési folyamat indítja a csomópontkészletek egyidejű újraimagekészítését. Az egyes csomópontkészletek külön frissítése az Azure CNI-átfedésre nem támogatott. A fürthálózat megszakadása hasonló a csomópontok rendszerképének frissítéséhez vagy a Kubernetes verziófrissítéséhez, ahol a csomópontkészlet minden csomópontja újra van építve.

Azure CNI

Frissítsen egy meglévő Azure Container Networking Interface-fürtöt (CNI) az Azure CNI-átfedés használatára a az aks update parancs használatával.

az aks update \
  --name $CLUSTER_NAME \
  --resource-group $RESOURCE_GROUP \
  --network-plugin azure \
  --network-plugin-mode overlay \
  --pod-cidr 192.168.0.0/16

A --pod-cidr paraméterre akkor van szükség, ha régi CNI beépülő modulokról frissít, mert a podoknak új átfedési területről kell lekérniük az IP-címeket. Az új átfedési terület nincs átfedésben a meglévő Azure CNI Node-alhálózat beépülő modullal.

A pod osztály nélküli tartományközi útválasztása (CIDR) szintén nem fedheti át a csomópont-készletek virtuális hálózati címeivel. Ha például a virtuális hálózati cím 10.0.0.0/8, és a csomópontok a 10.240.0.0/16 alhálózatban találhatók, a --pod-cidr paraméter nem fedheti át a 10.0.0.0/8-at vagy a fürt meglévő CIDR szolgáltatását.

Kubenet

Fontos

A Kubenetről az Azure CNI Overlayre való frissítéskor tartsa szem előtt az alábbi információkat:

• Olyan fürtökhöz, amelyeknél a Kubenet hálózatkezelés engedélyezve van, a virtuális hálózathoz egy hozzárendelt útvonaltábla van csatolva, amely a virtuális hálózatról a fürtre történő útválasztást kezeli. Ez az útvonaltábla nem szükséges az Azure CNI-átfedéshez, ezért a frissítéshez le kell választani. Az útvonaltábla eltávolításához szüksége van egy felhasználó által hozzárendelt felügyelt identitásra a fürtön. A rendszer által hozzárendelt felügyelt identitások nem támogatottak.
• Ha a fürt az ügyfél által megadott útvonaltáblát használja, az útvonalak, amelyeket a podforgalom helyes csomópontra irányítására használtak, automatikusan törlődnek az áttelepítési művelet során.
• Ha a fürt felügyelt útvonaltáblát használ (az AKS létrehozza az útvonaltáblát a csomópont erőforráscsoportjában), az útvonaltábla az áttelepítés részeként törlődik.

Frissítsen egy meglévő Kubenet-fürtöt az Azure CNI Overlay használatára a az aks update parancs használatával.

az aks update \
  --name $CLUSTER_NAME \
  --resource-group $RESOURCE_GROUP \
  --pod-cidr 192.168.0.0/16 \
  --network-plugin azure \
  --network-plugin-mode overlay

Ha ki szeretné bővíteni a pod CIDR-ét egy nagyobb klaszter befogadásához, adja meg az új tartományt a --pod-cidr használatával. A pod CIDR ugyanaz marad, ha nem használja a paramétert.

Azure CNI-csomópont alhálózata

Egy meglévő Azure CNI Node Subnet fürtöt frissítsen az Azure CNI Overlay használatával a az aks update parancs segítségével.

az aks update \
  --name $CLUSTER_NAME \
  --resource-group $RESOURCE_GROUP \
  --network-plugin azure \
  --network-plugin-mode overlay

Az Azure CNI-csomópont alhálózatának frissítésekor frissítse az IPAM hálózati módot vagy az adatsíkot. Egyszerre mindkét elem frissítése nem támogatott.

Az adatsík frissítése az Azure CNI Powered by Ciliumra

Az Azure CNI Powered by Cilium az AKS ajánlott és támogatott hosszú távú hálózati konfigurációja. Az Azure CNI vezérlősík és a Cilium adatsík kombinálása skálázható hálózatkezelést és fejlett biztonsági képességeket biztosít.

Frissítési szempontok

• Az IPAM mód és az adatsík egyetlen műveletben nem frissíthető.
  • Ha Azure CNI Overlayre és Azure CNI Powered by Ciliumra szeretne migrálni, először az IPAM-módot kell Azure CNI Overlayre frissítenie, majd külön műveletként az adatsíkot kell Azure CNI Powered by Ciliumra frissítenie.
• Ha egy másik hálózati házirendmotort (Azure Network Policy Manager vagy Calico) használó fürtön engedélyezi a Ciliumot, a rendszer eltávolítja és lecseréli a meglévő motort a Ciliumra. Ez hatással lehet a hálózati házirendek működésére. További információ: Migrálás a Network Policy Managerből (NPM) a Cilium hálózati házirendbe
• Az Azure CNI, amely a Ciliumra épül, adatsíkjának frissítése nem támogatott olyan fürtökön, amelyek Windows csomópontkészleteket tartalmaznak.
• Az automatikus csomópontkiépítést (NAP) használó fürtök nem frissíthetők az Azure CNI Powered by Cilium rendszerre. Áthidaló megoldásként tiltsa le a NAP-t a frissítés előtt, majd engedélyezze újra a frissítés befejezése után.

Figyelmeztetés

A frissítési folyamat indítja a csomópontkészletek egyidejű újraimagekészítését. Az egyes csomópontkészletek külön frissítése nem támogatott. A fürthálózat megszakadása hasonló a csomópontok rendszerképének frissítéséhez vagy a Kubernetes verziófrissítéséhez , ahol a csomópontkészlet minden csomópontja újra van építve. A Cilium csak az összes csomópont újragondolása után kezdi meg a hálózati szabályzatok kikényszerítését.

A frissítés végrehajtásához az Azure CLI 2.52.0-s vagy újabb verziójára van szükség. Futtassa a az --version parancsot a jelenleg telepített verzió megtekintéséhez. Ha telepíteni vagy frissíteni szeretne, olvassa el az Azure CLI telepítését ismertető cikket.

Frissítse a meglévő fürtöt az Azure CNI Powered by Ciliumra a az aks update parancs használatával.

az aks update \
  --name $CLUSTER_NAME \
  --resource-group $RESOURCE_GROUP \
  --network-dataplane cilium