Сетевое подключение для Kubernetes с поддержкой Azure Arc

Kubernetes с поддержкой Arc поддерживает полностью подключенные и частично подключенные режимы для подключения кластеров Kubernetes и управления ими с помощью уровня управления Azure Arc. Агенты Kubernetes с поддержкой Azure Arc взаимодействуют с конечными точками Azure Arc для обмена различными типами метаданных с помощью методов извлечения и отправки из кластеров Kubernetes.

В этом документе объясняется сетевая архитектура, рекомендации по проектированию и проектированию, которые помогут вам подключиться к плоскости управления Azure, чтобы управлять кластерами Kubernetes с поддержкой Arc, работающими в локальных и других облачных средах, и управлять ими.

Архитектура

На следующей схеме показана сетевая архитектура Kubernetes с поддержкой Azure Arc, которая поддерживает режимы полного и частично подключенного сетевого подключения.

На следующей схеме показана сетевая архитектура, которая разрешает доступ к кластеру из любого сетевого расположения с помощью функции Kubernetes Cluster Connect с поддержкой Azure Arc .

Рекомендации по проектированию

• Изучите область проектирования топологии сети и подключения целевых зон Azure, чтобы оценить влияние Kubernetes с поддержкой Azure Arc на модель подключения.
• Ознакомьтесь с требованиями к сети для Kubernetes с поддержкой Azure Arc, чтобы понять, как кластеры взаимодействуют с Azure из локальной сети или других поставщиков облачных служб.
• Рассмотрите компромиссы между требованиями к безопасности и соответствию вашей организации, а также преимуществами Kubernetes с поддержкой Azure Arc, которые предлагает ваша организация. Выберите режим полного и частичного подключения для реализации.
• Решите, следует ли использовать общедоступные или частные конечные точки при подключении к рабочим областям Azure Log Analytics через ExpressRoute или VPN или подключение к Интернету.
• Решите, следует ли использовать общедоступные или частные конечные точки при подключении к Azure Key Vault через ExpressRoute или VPN или подключение к Интернету.
• Выберите варианты сетевого подключения для управления кластерами Kubernetes с поддержкой Azure Arc, так как кластеры Kubernetes с поддержкой Azure Arc поддерживают управление кластерами из любой сети. Рекомендации по проектированию и рекомендации при принятии решения о независимом от сети управлении кластером см. в статье Управление удостоверениями и доступом.
• Рассмотрите возможность безопасного управления кластером Kubernetes с поддержкой Azure Arc с помощью возможности Cluster Connect для доступа в любом месте, что исключает открытие входящего сетевого порта и разрешает только исходящий обмен данными со службами Azure Arc в Azure.
• При использовании локальных или многооблачных брандмауэров или прокси-серверов для проверки tls исходящего трафика и системы обнаружения и предотвращения сетевых вторжений (IDPS) решите, следует ли исключить конечные точки Kubernetes с поддержкой Azure Arc, так как некоторые сертификаты сервера не являются доверенными для этих брандмауэров или прокси-серверов.

Рекомендации по проектированию

• Использование режима полного подключения для подключенных кластеров Kubernetes помогает вам оставаться в курсе последних выпусков продуктов, обновлений для системы безопасности, политик и установленных расширений для развертывания облачных служб Azure в локальных или многооблачных средах.
• Убедитесь, что вы соответствуете требованиям к сети Kubernetes с поддержкой Azure Arc на основе выбранной модели подключения.
• Разрешить Приватный канал Azure доступ к ресурсам Azure, таким как Key Vault, учетные записи хранения, Реестр контейнеров Майкрософт и Log Analytics, из кластеров Kubernetes, работающих в локальной или другой облачной среде, с помощью Azure Express Route или VPN-подключений.
  • Настройте dns-сервер пересылки для разрешения общедоступной зоны DNS службы Azure в Azure.
• Для трафика агентов Kubernetes с поддержкой Azure Arc , проходящих через брандмауэры или прокси-серверы, создайте исходные и некоторые целевые группы объектов и (или) теги, чтобы упростить правила исходящего интернет-трафика и поддерживать другие списки разрешенных URL-адресов для расширений Azure Arc.
• Используйте Azure Monitor для отслеживания состояния подключения кластера Kubernetes с поддержкой Azure Arc и создания оповещений, уведомляющих администраторов об изменении состояний подключения. Рассмотрите возможность использования запросов Azure Resource Graph вместе с Azure Monitor.
• При использовании режима частично подключенного сетевого подключения подключайте кластер к Azure Arc по крайней мере раз в 30 дней для экспорта данных о выставлении счетов, и по крайней мере раз в 90 дней, чтобы обновить сертификаты управляемых удостоверений и обновить ресурс и агенты Kubernetes с поддержкой Azure Arc.

Дальнейшие действия

Дополнительные сведения о гибридном и многооблачном облаке см. в следующих статьях:

• Ознакомьтесь с предварительными условиями для Kubernetes с поддержкой Azure Arc.
• Просмотрите проверенные дистрибутивы Kubernetes для Kubernetes с поддержкой Azure Arc.
• См. раздел Управление гибридными и многооблачными средами.
• Узнайте, как подключить существующий кластер Kubernetes к Azure Arc.
• Сведения о режимах подключения Kubernetes с поддержкой Azure Arc.
• Сведения об обмене данными между кластерами Kubernetes с поддержкой Azure Arc и Azure.
• Узнайте, как применять конфигурации в большом масштабе с помощью Политика Azure.
• Ознакомьтесь с примерами запросов Azure Resource Graph для Kubernetes с поддержкой Azure Arc.
• Общие сведения о открытой сетке служб с поддержкой Azure Arc для защиты связи кластера Kubernetes с поддержкой Azure Arc и критической области проектирования наблюдаемости служб .
• Узнайте, как получить доступ к кластерам Kubernetes с поддержкой Azure Arc из любого места с помощью Cluster Connect.
• Испытайте автоматизированные сценарии Kubernetes с поддержкой Azure Arc с помощью Azure Arc Jumpstart.
• Дополнительные сведения об Azure Arc см. в схеме обучения Azure Arc.
• Ответы на наиболее распространенные вопросы см. в статье Часто задаваемые вопросы о поддержке Azure Arc .