Conectividade de rede para Kubernetes habilitados para Azure Arc
O Kubernetes habilitado para Azure Arc dá suporte a modos totalmente conectados e semi-conectados a fim de integrar e gerenciar clusters do Kubernetes com o painel de controle do Azure Arc. Os agentes do Kubernetes habilitados para Azure Arc se comunicam com pontos de extremidade do Azure Arc para trocar diferentes tipos de informações de metadados usando métodos pull e push de clusters do Kubernetes.
Este documento explica a arquitetura de rede e as considerações e recomendações de design que ajudam você a habilitar a conectividade com o painel de controle do Azure para que você possa gerenciar e operar clusters do Kubernetes habilitados para Azure Arc em execução em ambientes locais e de outras nuvens.
Arquitetura
O diagrama a seguir exibe uma arquitetura de rede do Kubernetes habilitada para Azure Arc que dá suporte a modos de conectividade de rede totalmente conectados e semi-conectados.
O diagrama a seguir exibe uma arquitetura de rede que permite o acesso de cluster de qualquer local de rede usando o recurso da funcionalidade Cluster Connect do Kubernetes habilitado para Azure Arc.
Considerações sobre o design
- Examine a área de design de topologia de rede e conectividade das zonas de destino do Azure para avaliar o efeito do Kubernetes habilitado para Azure Arc em seu modelo de conectividade.
- Examine os requisitos de rede do Kubernetes habilitado para Azure Arc a fim de entender como os clusters se comunicam com o Azure por meio da rede local ou de outros provedores de nuvem.
- Considere as compensações entre os requisitos de segurança e conformidade da sua organização e os benefícios que o Kubernetes habilitado para Azure Arc oferece. Decida entre modo totalmente conectado e modo semi-conectado para sua implementação.
- Decida se deseja usar pontos de extremidade públicos ou privados ao se conectar a workspaces do Azure Log Analytics por meio do ExpressRoute ou da VPN versus conectividade com a Internet.
- Decida se deseja usar pontos de extremidade públicos ou privados ao se conectar com o Azure Key Vault por meio do ExpressRoute ou da VPN versus conectividade com a Internet.
- Escolha as opções de conectividade de rede para o gerenciamento de cluster do Kubernetes habilitado para Azure Arc, já que os clusters do Kubernetes habilitados para Azure Arc dão suporte ao gerenciamento de cluster por meio de qualquer rede. Para obter considerações e recomendações de design ao decidir sobre o gerenciamento de cluster independente de rede, confira Gerenciamento de Identidade e Acesso.
- Considere gerenciar com segurança o cluster do Kubernetes habilitado para Azure Arc por meio da capacidade Cluster Connect para acessar de qualquer lugar, o que elimina a abertura da porta de rede de entrada e permite apenas a comunicação de saída com os serviços do Azure Arc no Azure.
- Ao usar firewalls locais ou de várias nuvens ou servidores proxy para inspeção TLS do seu IDPS (sistema de detecção e prevenção de intrusões de rede e tráfego de saída), decida se isenta ou não os pontos de extremidade do Kubernetes habilitados para Azure Arc, já que alguns dos certificados de servidor não têm a confiança desses firewalls ou servidores proxy.
Recomendações sobre design
- O uso do modo totalmente conectado para clusters kubernetes integrados ajuda você a se manter atualizado com as versões mais recentes do produto, atualizações de segurança, políticas e extensões instaladas para trazer serviços de nuvem do Azure para ambientes locais ou multicloud.
- Verifique se você atende aos requisitos de rede do Kubernetes habilitado para Azure Arc com base no modelo de conectividade escolhido.
- Habilite o Link Privado do Azure para acessar recursos do Azure, como o Key Vault, as contas de armazenamento, os Registro de Contêiner da Microsoft e o Log Analytics de clusters do Kubernetes em execução em ambientes locais ou de outras nuvens por meio do Azure Express Route ou de conexões VPN.
- Configure um encaminhador DNS para resolver a zona DNS pública do serviço Azure no Azure.
- Para o tráfego de agentes do Kubernetes habilitados para Azure Arc que passa por seus firewalls ou servidores proxy, crie uma origem e alguns grupos de objetos de destino e/ou marcas para simplificar as regras de tráfego da Internet de saída e dar suporte a outras listas de permissões de URL para extensões do Azure Arc.
- Use o Azure Monitor para rastrear o status de conectividade de cluster do Kubernetes habilitado para Azure Arc e crie alertas que notificam os administradores quando os estados de conectividade forem alterados. Considere usar consultas do Azure Resource Graph junto com o Azure Monitor.
- Ao usar o modo semi-conectado de conectividade de rede, conecte seu cluster ao Azure Arc pelo menos uma vez a cada 30 dias para exportar dados de cobrança e pelo menos uma vez a cada 90 dias para renovar certificados de identidade gerenciados e atualizar os recursos e agentes do Kubernetes habilitados para Azure Arc.
Próximas etapas
Para obter mais informações sobre seu percurso na nuvem híbrida e multinuvem, confira os seguintes artigos:
- Examine os pré-requisitos do Kubernetes habilitado para Azure Arc.
- Examine as distribuições validadas do Kubernetes para o Kubernetes habilitado para Azure Arc.
- Examine Gerenciar ambientes híbridos e multinuvem.
- Saiba como Conectar um cluster do Kubernetes existente ao Azure Arc.
- Saiba mais sobre os Modos de conectividade do Kubernetes habilitado para Azure Arc.
- Saiba mais sobre os Dados trocados entre o cluster do Kubernetes habilitado para Azure Arc e o Azure.
- Saiba como Aplicar configurações em escala usando o Azure Policy.
- Examine as Consultas de exemplo do Azure Resource Graph para o Kubernetes habilitado para Azure Arc.
- Entenda a Malha de Serviço Aberta habilitada para Azure Arc a fim de proteger a comunicação de cluster do Kubernetes habilitado para Azure Arc e a área de design crítico de observabilidade dos serviços.
- Aprenda a Acessar o cluster de Kubernetes habilitado para o Azure Arc em qualquer lugar usando Cluster Connect.
- Experimente cenários automatizados do Kubernetes habilitado para Azure Arc com o Azure Arc Jumpstart.
- Saiba mais sobre o Azure Arc por meio do roteiro de aprendizagem do Azure Arc.
- Confira Perguntas frequentes – Habilitado para Azure Arc a fim de obter respostas às perguntas mais comuns.