Azure CNI IPAM mód és adatsík-technológia frissítése Azure Kubernetes Service-fürtökhöz

A meglévő Azure Kubernetes Service (AKS) fürtök frissíthetők újabb IP-címkezelési (IPAM) módokra és adatsík-technológiákra a legújabb funkciók és a támogatottság javítása érdekében. Ez a cikk két független frissítést tartalmaz:

• A IPAM mód frissítése Azure CNI-átfedésre. Az IPAM mód szabályozza a pod IP-címeinek hozzárendelését és irányítását (például a csomópont alhálózatáról, egy dedikált podalhálózatról vagy egy átfedési hálózatról).
• Az adatsík frissítése Cilium által támogatott Azure CNI-re. Az adatsík a fürtön belüli összetevő, amely ténylegesen továbbítja a csomagokat, és minden csomóponton kikényszeríti a hálózati házirendet.

Ezek a frissítések különálló műveletek, és nem kell együtt végrehajtani őket. A Cilium adatsíkot minden Azure CNI IPAM-mód támogatja, így nem kell először áttelepülnie Azure CNI-átfedésre a Cilium bevezetéséhez.

Note

Az adatsík frissítése Azure Cilium által üzemeltetett CNI-ra nem módosítja a fürt IPAM-módját. Ez nem Azure CNI-módok közötti migrálás. Ez csak a mögöttes adatsík felcserélése. Például egy Azure CNI-tel (Csomópont-alhálózattal) működő fürt a frissítés után is továbbra is a Csomópont-alhálózatot használja; az egyetlen változás az, hogy mostantól a Cilium működteti az adatsíkot. Ugyanez vonatkozik a dinamikus IP-kiosztással rendelkező Azure CNI-re és az Azure CNI Overlay-fürtökre is.

Támogatott migrálási útvonalak

IPAM mód áttelepítése

Az AKS egyetlen, csak előre irányuló IPAM-áttelepítési útvonalat támogat. Az IPAM mód csak Azure CNI-átfedésre migrálható, és csak a következő módokról:

• Migráljon egy Azure CNI-fürtöt (node subnet) Azure CNI-átfedésbe.
• Kubenet-fürt migrálása Azure CNI Overlayre.

A fürtök Azure CNI Overlayre való frissítése egy egyirányú, visszafordíthatatlan művelet. A fürt frissítése után nem migrálható vissza csomópont-alhálózat-alapú hálózati módba.

Adatsík migrálása Azure Cilium által működtetett CNI-be

A Cilium adatsík migrálása bármely Azure CNI IPAM módból támogatott, beleértve a következőket:

• Migráljon egy Azure CNI (Node Subnet) fürtöt a Cilium által támogatott Azure CNI rendszerre.
• Azure CNI-klaszter migrálása dinamikus IP-kiosztással (Pod-alhálózattal) a Cilium által működtetett Azure CNI-re.
• Migráljon egy Azure CNI átfedési fürtöt Azure Cilium által működtetett CNI-ba.

A Kubenet-fürtök nem migrálhatók közvetlenül a Cilium adatsíkra. Először át kell telepíteniük Azure CNI-átfedésre, majd külön műveletként frissíteniük kell az adatsíkot a Ciliumra.

Az IPAM mód frissítése Azure CNI-átfedésre

A meglévő fürtök Azure CNI Overlayre való frissítése visszafordíthatatlan folyamat.

Frissítheti a meglévő AKS-fürtöt Azure CNI Overlay-re, ha a fürt:

• A Kubernetes 1.27-es vagy újabb verzióját használja.
• Nem használja a dinamikus IP-foglalási funkciót.
• Nincs engedélyezve hálózati házirend. Ha a fürt frissítése előtt el kell távolítania a hálózati házirendmotort, kövesse az Azure Network Policy Manager vagy a Calico eltávolítása című témakörben leírt lépéseket.
• Nem használ windowsos csomópontkészleteket a Dockerrel tároló-futtatókörnyezetként.

A Windows operációs rendszer 20348.1668-os buildje előtt korlátozás állt fenn a Windows átfedési podok körében, amelyek helytelenül irányították a csomagokat a gazdagépen futó hálózati podokból a forráshálózati címfordításon (SNAT) keresztül. Ez a korlátozás káros hatással volt az Azure CNI Overlayre frissített fürtökre. A probléma elkerülése érdekében használja a Windows os build 20348.1668 vagy újabb verzióját.

Figyelmeztetés

• Ha egyéni azure-ip-masq-agent konfigurációt használ olyan további IP-tartományok hozzáadásához, amelyeknek nem kellene SNAT-csomagokat küldeniük a podokról, az Azure CNI Overlayre való frissítés megszakíthatja az ezekhez a tartományokhoz való kapcsolódást. Az átfedési térben lévő pod IP-címek nem érhetők el a klaszteren kívüli elemek számára.

• Régi fürtök esetén előfordulhat, hogy egy ConfigMap a korábbi verzióból marad vissza azure-ip-masq-agent. Ha ez a konfigurációtérkép (neve azure-ip-masq-agent-config) létezik, és nem szándékosan van érvényben, a frissítés előtt törölnie kell.

• Ha nem használ egyéni ip-masq-agent konfigurációt, akkor csak a azure-ip-masq-agent-config-reconciled ConfigMapnek kell léteznie az Azure ip-masq-agent ConfigMap tekintetében. A frissítési folyamat során automatikusan frissül.

A frissítési folyamat indítja a csomópontkészletek egyidejű újraimagekészítését. Az egyes csomópontkészletek külön frissítése az Azure CNI-átfedésre nem támogatott. A fürthálózat megszakadása hasonló a csomópontok rendszerképének frissítéséhez vagy a Kubernetes verziófrissítéséhez, ahol a csomópontkészlet minden csomópontja újra van építve.

Azure CNI

Frissítsen egy meglévő Azure Container Networking Interface-fürtöt (CNI) az Azure CNI-átfedés használatára a az aks update parancs használatával.

az aks update \
  --name $CLUSTER_NAME \
  --resource-group $RESOURCE_GROUP \
  --network-plugin azure \
  --network-plugin-mode overlay \
  --pod-cidr 192.168.0.0/16

A --pod-cidr paraméterre akkor van szükség, ha régi CNI beépülő modulokról frissít, mert a podoknak új átfedési területről kell lekérniük az IP-címeket. Az új átfedési terület nincs átfedésben a meglévő Azure CNI Node-alhálózat beépülő modullal.

A pod osztály nélküli tartományközi útválasztása (CIDR) szintén nem fedheti át a csomópont-készletek virtuális hálózati címeivel. Ha például a virtuális hálózati cím 10.0.0.0/8, és a csomópontok a 10.240.0.0/16 alhálózatban találhatók, a --pod-cidr paraméter nem fedheti át a 10.0.0.0/8-at vagy a fürt meglévő CIDR szolgáltatását.

Kubenet

Fontos

A Kubenetről az Azure CNI Overlayre való frissítéskor tartsa szem előtt az alábbi információkat:

• Olyan fürtökhöz, amelyeknél a Kubenet hálózatkezelés engedélyezve van, a virtuális hálózathoz egy hozzárendelt útvonaltábla van csatolva, amely a virtuális hálózatról a fürtre történő útválasztást kezeli. Ez az útvonaltábla nem szükséges az Azure CNI-átfedéshez, ezért a frissítéshez le kell választani. Az útvonaltábla eltávolításához szüksége van egy felhasználó által hozzárendelt felügyelt identitásra a fürtön. A rendszer által hozzárendelt felügyelt identitások nem támogatottak.
• Ha a fürt az ügyfél által megadott útvonaltáblát használja, az útvonalak, amelyeket a podforgalom helyes csomópontra irányítására használtak, automatikusan törlődnek az áttelepítési művelet során.
• Ha a fürt felügyelt útvonaltáblát használ (az AKS létrehozza az útvonaltáblát a csomópont erőforráscsoportjában), az útvonaltábla az áttelepítés részeként törlődik.

Frissítsen egy meglévő Kubenet-fürtöt az Azure CNI Overlay használatára a az aks update parancs használatával.

az aks update \
  --name $CLUSTER_NAME \
  --resource-group $RESOURCE_GROUP \
  --pod-cidr 192.168.0.0/16 \
  --network-plugin azure \
  --network-plugin-mode overlay

Ha ki szeretné bővíteni a pod CIDR-ét egy nagyobb klaszter befogadásához, adja meg az új tartományt a --pod-cidr használatával. A pod CIDR ugyanaz marad, ha nem használja a paramétert.

Azure CNI-csomópont alhálózata

Egy meglévő Azure CNI Node Subnet fürtöt frissítsen az Azure CNI Overlay használatával a az aks update parancs segítségével.

az aks update \
  --name $CLUSTER_NAME \
  --resource-group $RESOURCE_GROUP \
  --network-plugin azure \
  --network-plugin-mode overlay

Az Azure CNI-csomópont alhálózatának frissítésekor frissítse az IPAM hálózati módot vagy az adatsíkot. Egyszerre mindkét elem frissítése nem támogatott.

Az adatsík frissítése az Azure CNI Powered by Ciliumra

Az Azure CNI Powered by Cilium az AKS ajánlott és támogatott hosszú távú hálózati konfigurációja. Az Azure CNI vezérlősík és a Cilium adatsík kombinálása skálázható hálózatkezelést és fejlett biztonsági képességeket biztosít.

Frissítési szempontok

• Az adatsíkot az Azure CNI IPAM bármely módjáról (Node Subnet, dinamikus IP-címkiosztás vagy Overlay) frissítheti az Azure CNI Powered by Cilium rendszerre. Először nem kell áttelepülnie Azure CNI-átfedésre.
• Az IPAM mód és az adatsík egyetlen műveletben nem frissíthető. Ha azt tervezi, hogy az IPAM módot Azure CNI Overlayre and az adatsíkot Azure CNI Powered by Ciliumra migrálja, ezeket két külön műveletként hajtsa végre, bármely sorrendben.
• A Kubenet-klaszterek nem tudják közvetlenül Ciliumra frissíteni az adatsíkjukat. Először állítsa át az IPAM módot Azure CNI Overlay módra, majd frissítse az adatsíkot.
• Ha egy másik hálózati házirendmotort (Azure Network Policy Manager vagy Calico) használó fürtön engedélyezi a Ciliumot, a rendszer eltávolítja és lecseréli a meglévő motort a Ciliumra. Ez a változás hatással lehet a hálózati házirend működésére. További információ: Migrálás a Network Policy Managerből (NPM) a Cilium hálózati házirendbe.
• A Cilium által működtetett Azure CNI-ra való adatsíkfrissítés nem támogatott az olyan fürtök esetében, amelyek Windows-csomópontkészleteket tartalmaznak.
• Azon fürtök, amelyekben engedélyezve van a csomópontok automatikus kiépítése (NAP), nem frissíthetők a Cilium által támogatott Azure CNI-ra. Áthidaló megoldásként tiltsa le a NAP-t a frissítés előtt, majd engedélyezze újra a frissítés befejezése után.

Figyelmeztetés

A frissítési folyamat indítja a csomópontkészletek egyidejű újraimagekészítését. Az egyes csomópontkészletek külön frissítése nem támogatott. A fürthálózat megszakadása hasonló a csomópontok rendszerképének frissítéséhez vagy a Kubernetes verziófrissítéséhez , ahol a csomópontkészlet minden csomópontja újra van építve. A Cilium csak az összes csomópont újragondolása után kezdi meg a hálózati szabályzatok kikényszerítését.

A frissítés végrehajtásához az Azure CLI 2.52.0-s vagy újabb verziójára van szükség. Futtassa a az --version parancsot a jelenleg telepített verzió megtekintéséhez. Ha telepíteni vagy frissíteni szeretne, olvassa el az Azure CLI telepítését ismertető cikket.

Frissítse a meglévő fürtöt az Azure CNI Powered by Ciliumra a az aks update parancs használatával.

az aks update \
  --name $CLUSTER_NAME \
  --resource-group $RESOURCE_GROUP \
  --network-dataplane cilium