Развертывание целевых кластеров AKS в разных виртуальных сетях SDN
Область применения: AKS в Azure Local 22H2, AKS на Windows Server
Развертывание AKS, включаемых целевыми кластерами Azure Arc, в разных виртуальных сетей (SDN) виртуальных сетей (виртуальных сетей) может предложить ряд преимуществ, в первую очередь ориентированных на безопасность, масштабируемость и организацию сетей:
- безопасность и изоляция: Каждая изолированная виртуальная сеть действует как отдельная сущность, что может помочь сдерживать потенциальные угрозы безопасности. Если одна сеть скомпрометирована, угроза реже распространяется на другие виртуальные сети.
- Масштабируемость: Развертывание целевых кластеров AKS на нескольких сетях может улучшить масштабируемость ваших приложений. По мере роста требований и (или) соответствия требованиям можно добавить дополнительные целевые кластеры AKS в новые виртуальные сети SDN.
- сегментация служб: изолированные сети позволяют логически разделять сервисы или приложения по их функциям или обслуживаемым бизнесам, особенно O/T сети с высоким уровнем соответствия нормативным требованиям. Эта сегментация упрощает управление, мониторинг и устранение неполадок.
- соответствие нормативным требованиям. Для организаций, работающих согласно строгим правилам, таким как производство, здравоохранение и финансы, изолированные сети могут помочь обеспечить соблюдение нормативных требований с минимальным увеличением физического пространства IP-адресов, таких как VLAN, подсети и т. д.
На следующем рисунке показано развертывание целевых кластеров AKS. На рисунке показано, что кластер управления AKS Arc и целевые кластеры находятся в разных виртуальных сетях SDN:
Настройка новой виртуальной сети SDN
Перед развертыванием нового целевого кластера AKS необходимо создать виртуальную сеть. Если имя виртуальной сети SDN уже создано с помощью Windows Admin Center или PowerShell, можно повторно использовать существующую виртуальную сеть (управляемую SDN виртуальную сеть). Если он не был создан, мы создадим виртуальную сеть для вас в сетевом контроллере AKS и SDN (Управляемая виртуальная сеть MOC):
New-AksHciClusterNetwork -name "SDNVNet1" -vswitchName "ConvergedSwitch(hci)" `
-ipAddressPrefix "13.20.0.0/8" -gateway "13.20.0.1" -dnsServers "10.195.95.223" `
-k8sNodeIpPoolStart "13.20.0.2" -k8sNodeIpPoolEnd "13.20.100.255"
Параметр | Описание |
---|---|
name |
Имя виртуальной сети по умолчанию. Повторно использует существующую управляемую сеть SDN, если она существует, или создает новую управляемую сеть MOC. |
vswitchName |
Имя vSwitch, настроенного для SDN. Этот vSwitch включает расширение VFP; В системе можно включить только один vSwitch с VFP. |
ipAddressPrefix |
Префикс подсети для создания виртуальной сети в сетевом контроллере. Этот префикс — это префикс подсети, а не префикс виртуальной сети. В настоящее время MOC поддерживает только одну подсеть. |
gateway |
Шлюз по умолчанию для подсети. Должен быть первым IP-адресом подсети. SDN не поддерживает пользовательские шлюзы по умолчанию для виртуальных сетей. |
dnsServers |
DNS-серверы, доступные из общедоступного IP-адреса SDN-ВМ или другого источника (например, L3-соединения) для разрешения имен. |
K8sNodeIpPoolStart , K8sNodeIpPoolEnd |
Подмножество или полный диапазон IP-адресов из ipAddressPrefix . Используется MOC IPAM для выделения IP-адресов для узлов. Полезно при развертывании приложений не на AKS на локальных виртуальных машинах Azure в той же подсети, но не рекомендуется из-за возможных ошибок конфигурации. |
Создание кластера Kubernetes в виртуальной сети SDN
После создания изолированной виртуальной сети SDN можно создать новый кластер Kubernetes. Сначала получите созданную виртуальную сеть SDN и сохраните это значение в переменной:
$vnet = New-AksHciClusterNetwork -name "SDNVNet1" -vSwitchName $vSwitchName -ipAddressPrefix $ipAddressPrefix -gateway $gateway -dnsServers "192.168.60.10" -k8sNodeIpPoolStart $k8sNodeIpPoolStart -k8sNodeIpPoolEnd $k8sNodeIpPoolEnd
Эту переменную можно использовать для передачи в командлет New-AksHciCluster. Необходимо указать по крайней мере имя и виртуальную сеть:
New-AksHciCluster -name "OTCluster1" -vnet "$SDNVNet1"
Дальнейшие действия
Разверните Microsoft Software Defined Networking (SDN) с помощью AKS