Connettività di rete per Kubernetes abilitata per Azure Arc

Kubernetes abilitato per Arc supporta modalità completamente connesse e semi connesse per l'onboarding e la gestione dei cluster Kubernetes con il piano di controllo di Azure Arc. Gli agenti Kubernetes abilitati per Azure Arc comunicano con gli endpoint di Azure Arc per scambiare diversi tipi di informazioni di metadati usando metodi pull e push dai cluster Kubernetes.

Questo documento illustra l'architettura di rete, le considerazioni di progettazione e le raccomandazioni sulla progettazione che consentono di abilitare la connettività al piano di controllo di Azure in modo da poter gestire e gestire i cluster Kubernetes abilitati per Arc in esecuzione in locale e in altri ambienti cloud.

Architettura

Il diagramma seguente mostra un'architettura di rete Kubernetes abilitata per Azure Arc che supporta le modalità di connettività di rete completamente connesse e semi connesse.

Il diagramma seguente mostra un'architettura di rete che consente l'accesso al cluster da qualsiasi posizione di rete usando la funzionalità Kubernetes abilitata per Kubernetes Cluster Connect .

Considerazioni relative alla progettazione

• Esaminare l'area di progettazione della topologia di rete e della connettività delle zone di destinazione di Azure per valutare l'effetto di Kubernetes abilitato per Azure Arc nel modello di connettività.
• Esaminare i requisiti di rete per Kubernetes abilitati per Azure Arc per comprendere in che modo i cluster comunicano con Azure dalla rete locale o da altri provider di servizi cloud.
• Prendere in considerazione i compromessi tra i requisiti di sicurezza e conformità dell'organizzazione e i vantaggi offerti da Kubernetes abilitati per Azure Arc. Decidere tra la modalità completamente connessa e la modalità semi-connessa per l'implementazione.
• Decidere se usare endpoint pubblici o privati durante la connessione alle aree di lavoro di Azure Log Analytics tramite ExpressRoute o VPN rispetto alla connettività Internet.
• Decidere se usare endpoint pubblici o privati durante la connessione ad Azure Key Vault tramite ExpressRoute o VPN rispetto alla connettività Internet.
• Scegliere le opzioni di connettività di rete per la gestione del cluster Kubernetes abilitata per Azure Arc, poiché i cluster Kubernetes abilitati per Azure Arc supportano la gestione dei cluster da qualsiasi rete. Per considerazioni e raccomandazioni sulla progettazione quando si decide la gestione di cluster indipendenti dalla rete, vedere Gestione delle identità e degli accessi.
• È consigliabile gestire in modo sicuro il cluster Kubernetes abilitato per Azure Arc tramite la funzionalità Cluster Connect per accedere ovunque, eliminando l'apertura della porta di rete in ingresso e consentendo solo la comunicazione in uscita ai servizi Azure Arc in Azure.
• Quando si usano firewall locali o multicloud o server proxy per l'ispezione TLS del traffico in uscita e del sistema di prevenzione e rilevamento delle intrusioni di rete, decidere se evitare gli endpoint Kubernetes abilitati per Azure Arc, poiché alcuni certificati del server non sono attendibili da questi firewall o server proxy.

Suggerimenti per la progettazione

• L'uso della modalità completamente connessa per i cluster Kubernetes di onboarding consente di rimanere aggiornati con le versioni più recenti del prodotto, gli aggiornamenti della sicurezza, i criteri e le estensioni installate per portare i servizi cloud di Azure agli ambienti locali o multicloud.
• Assicurarsi di soddisfare i requisiti di rete kubernetes abilitati per Azure Arc in base al modello di connettività scelto.
• Abilitare collegamento privato di Azure per accedere alle risorse di Azure, ad esempio Key Vault, account di archiviazione, Registro Contenitori Microsoft e Log Analytics dai cluster Kubernetes in esecuzione in locale o in altri ambienti cloud tramite connessioni VPN o Azure Express Route.
  • Configurare un server di inoltro DNS per risolvere la zona DNS pubblica del servizio di Azure in Azure.
• Per gli agenti Kubernetes abilitati per Azure Arc che passano attraverso i firewall o i server proxy, creare un'origine e alcuni gruppi di oggetti di destinazione e/o tag per semplificare le regole di traffico Internet in uscita e supportare altri URL consentiti per le estensioni di Azure Arc.
• Usare Monitoraggio di Azure tenere traccia dello stato di connettività del cluster Kubernetes abilitato per Azure Arc e generare avvisi che avvisano gli amministratori quando cambiano gli stati di connettività. Prendere in considerazione l'uso di query di Azure Resource Graph insieme a Monitoraggio di Azure.
• Quando si usa la modalità di connettività di rete semi-connessa, connettere il cluster ad Azure Arc almeno una volta ogni 30 giorni per esportare i dati di fatturazione e almeno una volta ogni 90 giorni per rinnovare i certificati di identità gestiti e aggiornare le risorse e gli agenti kubernetes abilitati per Azure Arc.

Passaggi successivi

Per altre informazioni sul percorso cloud ibrido e multicloud, vedere gli articoli seguenti:

• Esaminare i prerequisiti per Kubernetes abilitato per Azure Arc.
• Esaminare le distribuzioni kubernetes convalidate per Kubernetes abilitate per Azure Arc.
• Vedere Gestire ambienti ibridi e multicloud.
• Informazioni su come connettere un cluster Kubernetes esistente ad Azure Arc.
• Informazioni sulle modalità di connettività kubernetes abilitate per Azure Arc.
• Informazioni sui dati scambiati tra cluster Kubernetes abilitati per Azure Arc e Azure.
• Informazioni su come applicare configurazioni su larga scala usando Criteri di Azure.
• Esaminare le query di esempio di Azure Resource Graph per Kubernetes abilitate per Azure Arc.
• Informazioni su Open Service Mesh abilitato per Azure Arc per proteggere le comunicazioni del cluster Kubernetes abilitate per Azure Arc e l'area di progettazione critica osservabilità dei servizi .
• Informazioni su come accedere ai cluster Kubernetes abilitati per Azure Arc da qualsiasi posizione usando Cluster Connect.
• Esperienza degli scenari automatizzati di Kubernetes abilitati per Azure Arc con Azure Arc Jumpstart.
• Altre informazioni su Azure Arc tramite il percorso di apprendimento di Azure Arc.
• Per le risposte alle domande più comuni, vedere Domande frequenti: Azure Arc abilitato per le risposte alle domande più comuni.