Partilhar via

Conectividade de rede do Kubernetes compatível com o Azure Arc

  • Artigo

O Kubernetes compatível com o Arc suporta modos totalmente ligados e semi-ligados para integrar e gerir clusters do Kubernetes com o plano de controlo do Azure Arc. Os agentes do Kubernetes compatíveis com o Azure Arc comunicam com os pontos finais do Azure Arc para trocar diferentes tipos de informações de metadados com métodos pull e push de clusters do Kubernetes.

Este documento explica a arquitetura de rede, considerações de conceção e recomendações de design que o ajudam a ativar a conectividade ao plano de controlo do Azure para que possa gerir e operar clusters do Kubernetes compatíveis com o Arc em execução no local e noutros ambientes na cloud.

Arquitetura

O diagrama seguinte apresenta uma arquitetura de rede do Kubernetes compatível com o Azure Arc que suporta modos de conectividade de rede totalmente ligados e semi-ligados.

Um diagrama que mostra a arquitetura de rede do Kubernetes compatível com o Azure Arc.

O diagrama seguinte apresenta uma arquitetura de rede que permite o acesso de cluster a partir de qualquer localização de rede com a funcionalidade do Kubernetes Cluster Connect compatível com o Azure Arc .

Um diagrama que mostra a arquitetura de rede do Kubernetes Cluster Connect compatível com o Azure Arc.

Considerações de design

  • Reveja a área de design de conectividade e topologia de rede das zonas de destino do Azure para avaliar o efeito do Kubernetes compatível com o Azure Arc no seu modelo de conectividade.
  • Reveja os requisitos de rede do Kubernetes compatível com o Azure Arc para compreender como os clusters comunicam com o Azure a partir da rede no local ou de outros fornecedores de cloud.
  • Considere compromissos entre os requisitos de segurança e conformidade da sua organização e os benefícios que o Kubernetes compatível com o Azure Arc oferece à sua organização. Decida entre o modo totalmente ligado e o modo semi-ligado para a sua implementação.
  • Decida se pretende utilizar pontos finais públicos ou privados ao ligar a áreas de trabalho do Azure Log Analytics através do ExpressRoute ou da VPN versus conectividade à Internet.
  • Decida se pretende utilizar pontos finais públicos ou privados ao ligar aos Cofres de Chaves do Azure através do ExpressRoute ou da VPN versus a conectividade à Internet.
  • Escolha as opções de conectividade de rede para a gestão de clusters do Kubernetes compatível com o Azure Arc, uma vez que os clusters do Kubernetes compatíveis com o Azure Arc suportam a gestão de clusters a partir de qualquer rede. Para obter considerações e recomendações de conceção ao decidir sobre a gestão de clusters independentes de rede, veja Gestão de Identidades e Acessos.
  • Considere gerir de forma segura o cluster do Kubernetes compatível com o Azure Arc através da capacidade do Cluster Connect para aceder a qualquer lugar, o que elimina a abertura da porta de rede de entrada e permite apenas a comunicação de saída para os serviços do Azure Arc no Azure.
  • Ao utilizar firewalls no local ou multicloud ou servidores proxy para a inspeção TLS do tráfego de saída e do sistema de prevenção e deteção de intrusões de rede (IDPS), decida se pretende ou não isentar os pontos finais do Kubernetes compatíveis com o Azure Arc, uma vez que alguns dos certificados de servidor não são considerados fidedignos por estas firewalls ou servidores proxy.

Recomendações de conceção

  • Utilizar o modo totalmente ligado para clusters do Kubernetes integrados ajuda-o a manter-se atualizado com as versões de produtos mais recentes, atualizações de segurança, políticas e extensões instaladas para colocar os serviços cloud do Azure em ambientes no local ou multicloud.
  • Certifique-se de que cumpre os requisitos de rede do Kubernetes compatíveis com o Azure Arc com base no modelo de conectividade escolhido.
  • Ative Azure Private Link para aceder a recursos do Azure, como Key Vault, contas de armazenamento, Microsoft Container Registry e Log Analytics a partir de clusters do Kubernetes em execução no local ou noutros ambientes na cloud através do Azure Express Route ou ligações VPN.
    • Configure um reencaminhador DNS para resolver a zona DNS pública do serviço do Azure no Azure.
  • Para os agentes do Kubernetes compatíveis com o Azure Arc que passam pelas firewalls ou servidores proxy, crie uma origem e alguns grupos de objetos de destino e/ou etiquetas para simplificar as regras de tráfego de internet de saída e suportar outras listas de permissões de URL para extensões do Azure Arc.
  • Utilize o Azure Monitor para monitorizar o estado de conectividade do cluster do Kubernetes compatível com o Azure Arc e emitir alertas que notificam os administradores quando os estados de conectividade mudam. Considere utilizar consultas do Azure Resource Graph juntamente com o Azure Monitor.
  • Ao utilizar o modo de conectividade de rede semiligada, ligue o cluster ao Azure Arc pelo menos uma vez a cada 30 dias para exportar dados de faturação e, pelo menos, uma vez a cada 90 dias para renovar certificados de identidade gerida e atualizar os agentes e recursos do Kubernetes compatíveis com o Azure Arc.

Passos seguintes

Para obter mais informações sobre o seu percurso na cloud híbrida e multicloud, veja os seguintes artigos: