Gambaran umum jaringan CNI Azure Kubernetes Service (AKS)
Kubernetes menggunakan plugin Container Networking Interface (CNI) untuk mengelola jaringan di kluster Kubernetes. CNI bertanggung jawab untuk menetapkan alamat IP ke pod, perutean jaringan antara pod, perutean Layanan Kubernetes, dan banyak lagi.
AKS menyediakan beberapa plugin CNI yang dapat Anda gunakan di kluster Anda tergantung pada persyaratan jaringan Anda.
Model jaringan di AKS
Memilih plugin CNI untuk kluster AKS Anda sangat tergantung pada model jaringan mana yang paling sesuai dengan kebutuhan Anda. Setiap model memiliki kelebihan dan kekurangannya sendiri yang harus Anda pertimbangkan saat merencanakan kluster AKS Anda.
AKS menggunakan dua model jaringan utama: jaringan overlay dan jaringan datar.
Kedua model jaringan memiliki beberapa opsi plugin CNI yang didukung. Perbedaan utama antara model adalah bagaimana alamat IP Pod ditetapkan dan bagaimana lalu lintas meninggalkan kluster.
Jaringan overlay
Jaringan overlay adalah model jaringan yang paling umum digunakan di Kubernetes. Dalam jaringan overlay, pod diberi alamat IP dari CIDR privat yang terpisah secara logis dari subnet Azure VNet tempat simpul AKS disebarkan. Ini memungkinkan skalabilitas yang lebih sederhana dan sering lebih baik daripada model jaringan datar.
Dalam jaringan overlay, pod dapat berkomunikasi satu sama lain secara langsung. Lalu lintas yang meninggalkan kluster adalah Alamat Jaringan Sumber Diterjemahkan (SNAT'd) ke alamat IP simpul, dan lalu lintas IP Pod masuk dirutekan melalui beberapa layanan, seperti load balancer. Ini berarti bahwa alamat IP pod "tersembunyi" di belakang alamat IP simpul. Pendekatan ini mengurangi jumlah alamat IP VNet yang diperlukan untuk kluster Anda.
Azure Kubernetes Service menyediakan plugin CNI berikut untuk jaringan overlay:
- Azure CNI Overlay, plugin CNI yang direkomendasikan untuk sebagian besar skenario.
- kubenet, model overlay warisan CNI.
Jaringan datar
Tidak seperti jaringan overlay, model jaringan datar di AKS menetapkan alamat IP ke pod dari subnet dari Azure VNet yang sama dengan node AKS. Ini berarti bahwa lalu lintas yang meninggalkan kluster Anda tidak SNAT'd, dan alamat IP pod langsung terekspos ke tujuan. Ini dapat berguna untuk beberapa skenario, seperti ketika Anda perlu mengekspos alamat IP pod ke layanan eksternal.
Azure Kubernetes Service menyediakan dua plugin CNI untuk jaringan datar. Artikel ini tidak masuk ke kedalaman untuk setiap opsi plugin. Untuk informasi selengkapnya, lihat dokumentasi tertaut:
- Azure CNI Pod Subnet, plugin CNI yang direkomendasikan untuk skenario jaringan datar.
- Azure CNI Node Subnet, model jaringan datar warisan CNI umumnya hanya merekomendasikan Anda menggunakan jika Anda memerlukan VNet terkelola untuk kluster Anda.
Memilih CNI
Saat memilih CNI, ada beberapa faktor yang perlu dipertimbangkan. Setiap model jaringan memiliki kelebihan dan kekurangannya sendiri, dan pilihan terbaik untuk kluster Anda akan bergantung pada persyaratan spesifik Anda.
Memilih model jaringan
Dua model jaringan utama di AKS adalah overlay dan jaringan datar.
Jaringan overlay:
- Menghemat ruang alamat IP VNet dengan menggunakan rentang CIDR yang terpisah secara logis untuk pod.
- Dukungan skala kluster maksimum.
- Manajemen alamat IP sederhana.
Jaringan datar:
- Pod mendapatkan konektivitas VNet penuh dan dapat langsung dicapai melalui alamat IP privat mereka dari jaringan yang terhubung.
- Memerlukan ruang alamat IP VNet yang besar dan tidak terfragmentasi.
Perbandingan kasus penggunaan
Saat memilih model jaringan, pertimbangkan kasus penggunaan untuk setiap plugin CNI dan jenis model jaringan yang digunakannya:
| Plugin CNI | Model jaringan | Gunakan sorotan kasus |
|---|---|---|
| Overlay Azure CNI | Overlay | - Terbaik untuk konservasi IP VNET - Jumlah simpul maks yang didukung oleh API Server + 250 pod per simpul - Konfigurasi yang lebih sederhana -Tidak ada akses IP pod eksternal langsung |
| Subnet Pod Azure CNI (Pratinjau) | Datar | - Akses pod eksternal langsung - Mode untuk penggunaan IP VNet yang efisien atau dukungan skala kluster besar |
| Kubenet (Warisan) | Overlay | - Memprioritaskan konservasi IP - Skala terbatas - Manajemen rute manual |
| Subnet Simpul Azure CNI (Warisan) | Datar | - Akses pod eksternal langsung - Konfigurasi yang lebih sederhana - Skala terbatas - Penggunaan IP VNet yang tidak efisien |
Perbandingan fitur
Anda mungkin juga ingin membandingkan fitur setiap plugin CNI. Tabel berikut ini menyediakan perbandingan tingkat tinggi dari fitur yang didukung oleh setiap plugin CNI:
| Fitur | Overlay Azure CNI | Azure CNI Pod Subnet | Subnet Simpul Azure CNI (Warisan) | Kubenet |
|---|---|---|---|---|
| Menyebarkan kluster di VNet yang sudah ada atau baru | Didukung | Didukung | Didukung | Didukung - UDR manual |
| Konektivitas Pod-VM dengan VM di VNet yang sama atau di-peering | Pod dimulai | Kedua cara | Kedua cara | Pod dimulai |
| Akses lokal melalui VPN/Rute Ekspres | Pod dimulai | Kedua cara | Kedua cara | Pod dimulai |
| Akses ke titik akhir layanan | Didukung | Didukung | Didukung | Didukung |
| Mengekspos layanan menggunakan load balancer | Didukung | Didukung | Didukung | Didukung |
| Mengekspos layanan menggunakan App Gateway | Saat ini tidak didukung | Didukung | Didukung | Didukung |
| Mengekspos layanan menggunakan pengontrol ingress | Didukung | Didukung | Didukung | Didukung |
| Kumpulan simpul Windows | Didukung | Didukung | Didukung | Tidak didukung |
| Azure DNS Default dan Zona Privat | Didukung | Didukung | Didukung | Didukung |
| Berbagi Subnet VNet di beberapa kluster | Didukung | Didukung | Didukung | Tidak didukung |
Lingkup dukungan antara model jaringan
Bergantung pada CNI yang Anda gunakan, sumber daya jaringan virtual kluster Anda dapat disebarkan dengan salah satu cara berikut:
- Platform Azure dapat secara otomatis membuat dan mengonfigurasi sumber daya jaringan virtual saat Anda membuat klaster AKS. seperti di Azure CNI Overlay, subnet Azure CNI Node, dan Kubenet.
- Anda dapat membuat dan mengonfigurasi sumber daya jaringan virtual secara manual dan melampirkan ke sumber daya tersebut saat membuat klaster AKS.
Meskipun kemampuan seperti titik akhir layanan atau UDR didukung, kebijakan dukungan untuk AKS menentukan perubahan apa yang dapat Anda buat. Contohnya:
- Jika Anda membuat sumber daya jaringan virtual secara manual untuk klaster AKS, Anda didukung saat mengonfigurasi UDR atau titik akhir layanan Anda sendiri.
- Jika platform Azure secara otomatis membuat sumber daya jaringan virtual untuk klaster AKS Anda, Anda tidak dapat mengubah sumber daya yang dikelola AKS tersebut secara manual untuk mengonfigurasi UDR atau titik akhir layanan Anda sendiri.
Prasyarat
Ada beberapa persyaratan dan pertimbangan yang perlu diingat saat merencanakan konfigurasi jaringan Anda untuk AKS:
- Jaringan virtual untuk kluster AKS harus memungkinkan konektivitas internet keluar.
- Kluster AKS tidak dapat menggunakan
169.254.0.0/16, ,172.31.0.0/16172.30.0.0/16, atau192.0.2.0/24untuk rentang alamat layanan Kubernetes, rentang alamat pod, atau rentang alamat jaringan virtual kluster. - Dalam skenario BYO CNI, identitas kluster yang digunakan oleh kluster AKS harus memiliki setidaknya izin Kontributor Jaringan pada subnet dalam jaringan virtual Anda. Jika Anda ingin menentukan peran kustom alih-alih menggunakan peran Kontributor Jaringan bawaan, izin berikut diperlukan:
Microsoft.Network/virtualNetworks/subnets/join/actionMicrosoft.Network/virtualNetworks/subnets/readMicrosoft.Authorization/roleAssignments/write
- Subnet yang ditetapkan ke kumpulan simpul AKS tidak dapat menjadi subnet yang didelegasikan.
- AKS tidak menerapkan Kelompok Keamanan Jaringan (NSG) ke subnetnya dan tidak mengubah NSG apa pun yang terkait dengan subnet tersebut. Jika Anda menyediakan subnet Anda sendiri dan menambahkan NSG yang terkait dengan subnet tersebut, Anda harus memastikan aturan keamanan di NSG mengizinkan lalu lintas dalam rentang CIDR node. Untuk informasi selengkapnya, lihat Kelompok keamanan jaringan.
Langkah berikutnya
Azure Kubernetes Service
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk