Implantar clusters de destino do AKS em redes virtuais de SDN diferentes
Aplica-se a: AKS no Azure Stack HCI 22H2, AKS no Windows Server
A implantação do AKS habilitado por clusters de destino do Azure Arc em diferentes VNets (redes virtuais) de rede definida por software (SDN) pode oferecer uma variedade de benefícios, principalmente focados em segurança, escalabilidade e organização de redes:
- Segurança e isolamento: cada VNet isolada atua como uma entidade separada, o que pode ajudar a conter possíveis ameaças à segurança. Se uma rede for comprometida, é menos provável que a ameaça se espalhe para outras VNets.
- Escalabilidade: implantar clusters de destino do AKS em várias redes pode melhorar a escalabilidade de seus aplicativos. À medida que seus requisitos e/ou conformidade aumentam, você pode adicionar mais clusters de destino do AKS a novas VNets de SDN.
- Segmentação de serviço: redes isoladas permitem separar logicamente serviços ou aplicativos com base em sua função ou nos negócios que atendem, especialmente redes O/T com alta conformidade e requisitos regulatórios. Essa segmentação simplifica o gerenciamento, o monitoramento e a solução de problemas.
- Conformidade regulatória: para organizações que operam sob diretrizes estritas, como manufatura, saúde e finanças, redes isoladas podem ajudar a alcançar a conformidade com pouco aumento no espaço de endereço IP físico, como VLANs, sub-redes e assim por diante.
A imagem a seguir mostra a implantação de clusters de destino do AKS. A imagem mostra que o cluster de gerenciamento do AKS Arc e os clusters de destino estão em VNets de SDN diferentes:
Configurar uma nova rede virtual SDN
Antes de implantar um novo cluster de destino do AKS, você deve criar uma nova rede virtual. Se o nome da VNet do SDN já tiver sido criado usando o Windows Admin Center ou o PowerShell, você poderá reutilizar a VNet existente (VNet gerenciada por SDN). Se ela não tiver sido criada, criaremos a VNet para você no AKS e no CONTROLADOR de Rede SDN (MOC Managed Rede Virtual):
New-AksHciClusterNetwork -name "SDNVNet1" -vswitchName "ConvergedSwitch(hci)" `
-ipAddressPrefix "13.20.0.0/8" -gateway "13.20.0.1" -dnsServers "10.195.95.223" `
-k8sNodeIpPoolStart "13.20.0.2" -k8sNodeIpPoolEnd "13.20.100.255"
Parâmetro | Descrição |
---|---|
name |
Nome da rede virtual padrão. Reutiliza a rede gerenciada de SDN existente se ela existir ou cria uma nova rede gerenciada por MOC. |
vswitchName |
Nome do vSwitch configurado para SDN. Esse vSwitch tem a extensão VFP habilitada; somente um vSwitch com VFP pode ser habilitado no sistema. |
ipAddressPrefix |
Prefixo de sub-rede para criar a rede virtual no controlador de rede. Esse prefixo é um prefixo de sub-rede, não um prefixo de rede virtual. Atualmente, o MOC dá suporte apenas a uma única sub-rede. |
gateway |
Gateway padrão para a sub-rede. Deve ser o primeiro IP da sub-rede. O SDN não dá suporte a gateways padrão personalizados para redes virtuais. |
dnsServers |
Servidores DNS acessíveis de IP público de VMs SDN ou outros (por exemplo, uma conexão L3), usados para resoluções de nomes. |
K8sNodeIpPoolStart , K8sNodeIpPoolEnd |
Um subconjunto ou intervalo de IP completo do ipAddressPrefix . Usado pelo IPAM moc para alocar endereços IP para nós. Útil se estiver implantando VMs não AKS-HCI na mesma sub-rede, mas não recomendada devido a possíveis configurações incorretas. |
Criar um cluster do Kubernetes em sua rede virtual SDN
Depois de criar uma VNet SDN isolada, você pode criar um novo cluster do Kubernetes. Primeiro, recupere a VNet do SDN que você criou e salve esse valor em uma variável:
$vnet = New-AksHciClusterNetwork -name "SDNVNet1" -vSwitchName $vSwitchName -ipAddressPrefix $ipAddressPrefix -gateway $gateway -dnsServers "192.168.60.10" -k8sNodeIpPoolStart $k8sNodeIpPoolStart -k8sNodeIpPoolEnd $k8sNodeIpPoolEnd
Você pode usar essa variável para passar para o cmdlet New-AksHciCluster . Você deve especificar pelo menos o nome e a VNet:
New-AksHciCluster -name "OTCluster1" -vnet "$SDNVNet1"
Próximas etapas
Implantar o SDN (Rede Definida pelo Software) da Microsoft com o AKS