Поделиться через


Развертывание целевых кластеров AKS в разных виртуальных сетях SDN

Область применения: AKS в Azure Local 22H2, AKS на Windows Server

Развертывание AKS, включаемых целевыми кластерами Azure Arc, в разных виртуальных сетей (SDN) виртуальных сетей (виртуальных сетей) может предложить ряд преимуществ, в первую очередь ориентированных на безопасность, масштабируемость и организацию сетей:

  • безопасность и изоляция: Каждая изолированная виртуальная сеть действует как отдельная сущность, что может помочь сдерживать потенциальные угрозы безопасности. Если одна сеть скомпрометирована, угроза реже распространяется на другие виртуальные сети.
  • Масштабируемость: Развертывание целевых кластеров AKS на нескольких сетях может улучшить масштабируемость ваших приложений. По мере роста требований и (или) соответствия требованиям можно добавить дополнительные целевые кластеры AKS в новые виртуальные сети SDN.
  • сегментация служб: изолированные сети позволяют логически разделять сервисы или приложения по их функциям или обслуживаемым бизнесам, особенно O/T сети с высоким уровнем соответствия нормативным требованиям. Эта сегментация упрощает управление, мониторинг и устранение неполадок.
  • соответствие нормативным требованиям. Для организаций, работающих согласно строгим правилам, таким как производство, здравоохранение и финансы, изолированные сети могут помочь обеспечить соблюдение нормативных требований с минимальным увеличением физического пространства IP-адресов, таких как VLAN, подсети и т. д.

На следующем рисунке показано развертывание целевых кластеров AKS. На рисунке показано, что кластер управления AKS Arc и целевые кластеры находятся в разных виртуальных сетях SDN:

схема, показывающая архитектуру целевых кластеров AKS в разных виртуальных сетях SDN.

Настройка новой виртуальной сети SDN

Перед развертыванием нового целевого кластера AKS необходимо создать виртуальную сеть. Если имя виртуальной сети SDN уже создано с помощью Windows Admin Center или PowerShell, можно повторно использовать существующую виртуальную сеть (управляемую SDN виртуальную сеть). Если он не был создан, мы создадим виртуальную сеть для вас в сетевом контроллере AKS и SDN (Управляемая виртуальная сеть MOC):

New-AksHciClusterNetwork -name "SDNVNet1" -vswitchName "ConvergedSwitch(hci)" ` 
-ipAddressPrefix "13.20.0.0/8" -gateway "13.20.0.1" -dnsServers "10.195.95.223"  ` 
-k8sNodeIpPoolStart "13.20.0.2" -k8sNodeIpPoolEnd "13.20.100.255"
Параметр Описание
name Имя виртуальной сети по умолчанию. Повторно использует существующую управляемую сеть SDN, если она существует, или создает новую управляемую сеть MOC.
vswitchName Имя vSwitch, настроенного для SDN. Этот vSwitch включает расширение VFP; В системе можно включить только один vSwitch с VFP.
ipAddressPrefix Префикс подсети для создания виртуальной сети в сетевом контроллере. Этот префикс — это префикс подсети, а не префикс виртуальной сети. В настоящее время MOC поддерживает только одну подсеть.
gateway Шлюз по умолчанию для подсети. Должен быть первым IP-адресом подсети. SDN не поддерживает пользовательские шлюзы по умолчанию для виртуальных сетей.
dnsServers DNS-серверы, доступные из общедоступного IP-адреса SDN-ВМ или другого источника (например, L3-соединения) для разрешения имен.
K8sNodeIpPoolStart, K8sNodeIpPoolEnd Подмножество или полный диапазон IP-адресов из ipAddressPrefix. Используется MOC IPAM для выделения IP-адресов для узлов. Полезно при развертывании приложений не на AKS на локальных виртуальных машинах Azure в той же подсети, но не рекомендуется из-за возможных ошибок конфигурации.

Создание кластера Kubernetes в виртуальной сети SDN

После создания изолированной виртуальной сети SDN можно создать новый кластер Kubernetes. Сначала получите созданную виртуальную сеть SDN и сохраните это значение в переменной:

$vnet = New-AksHciClusterNetwork -name "SDNVNet1" -vSwitchName $vSwitchName -ipAddressPrefix $ipAddressPrefix -gateway $gateway -dnsServers "192.168.60.10" -k8sNodeIpPoolStart $k8sNodeIpPoolStart -k8sNodeIpPoolEnd $k8sNodeIpPoolEnd 

Эту переменную можно использовать для передачи в командлет New-AksHciCluster. Необходимо указать по крайней мере имя и виртуальную сеть:

New-AksHciCluster -name "OTCluster1" -vnet "$SDNVNet1"

Дальнейшие действия

Разверните Microsoft Software Defined Networking (SDN) с помощью AKS