Azure Arc ağ gereksinimleri tarafından etkinleştirilen AKS
Şunlar için geçerlidir: Azure Stack HCI, sürüm 23H2
Bu makalede, AZURE Arc tarafından etkinleştirilen AKS'deki VM'leriniz ve uygulamalarınız için temel ağ kavramları açıklanır. Makalede, Kubernetes kümeleri oluşturmak için gerekli ağ önkoşulları da açıklanır. Arc tarafından etkinleştirilen AKS'yi dağıtmak için gereken ağ parametrelerini sağlamak ve ayarlamak için bir ağ yöneticisiyle birlikte çalışmanızı öneririz.
Bu kavramsal makalede aşağıdaki temel bileşenler tanıtılır. AKS Arc kümesinin ve uygulamalarının başarıyla oluşturulup çalışması için bu bileşenlerin statik bir IP adresine ihtiyacı vardır:
- AKS kümesi VM'leri
- AKS denetim düzlemi IP'si
- Kapsayıcılı uygulamalar için yük dengeleyici
AKS kümesi VM'leri için ağ
Kubernetes düğümleri, ARC tarafından etkinleştirilen AKS'de özelleştirilmiş sanal makineler olarak dağıtılır. Bu VM'ler, Kubernetes düğümleri arasında iletişimi etkinleştirmek için ayrılmış IP adresleridir. AKS Arc, Kubernetes kümelerinin temel vm'leri için IP adresleri ve ağ sağlamak için Azure Stack HCI mantıksal ağlarını kullanır. Mantıksal ağlar hakkında daha fazla bilgi için bkz. Azure Stack HCI için mantıksal ağlar. Azure Stack HCI ortamınızda AKS küme düğümü VM'leri başına bir IP adresi ayırmayı planlamanız gerekir.
Not
Statik IP, AKS Arc VM'lerine IP adresi atamak için desteklenen tek moddur. Bunun nedeni Kubernetes'in Kubernetes kümesinin yaşam döngüsü boyunca sabit olması için kubernetes düğümüne atanmış IP adresini gerektirmesidir.
AKS Arc kümesi oluşturma işlemi için mantıksal ağ kullanmak için aşağıdaki parametreler gereklidir:
| Mantıksal ağ parametresi | Description | AKS Arc kümesi için gerekli parametre |
|---|---|---|
--address-prefixes |
Ağ için AddressPrefix. Şu anda yalnızca 1 adres ön eki desteklenmektedir. Kullanım: --address-prefixes "10.220.32.16/24". |
 |
--dns-servers |
DNS sunucusu IP adreslerinin boşlukla ayrılmış listesi. Kullanım: --dns-servers 10.220.32.16 10.220.32.17. |
|
--gateway |
Ağ geçidi. Ağ geçidi IP adresi, adres ön eki kapsamında olmalıdır. Kullanım: --gateway 10.220.32.16. |
|
--ip-allocation-method |
IP adresi ayırma yöntemi. Desteklenen değerler "Statik"tir. Kullanım: --ip-allocation-method "Static". |
|
--ip-pool-start |
IP havuzunuzun başlangıç IP adresi. Adres, adres ön ekinin aralığında olmalıdır. Kullanım: --ip-pool-start "10.220.32.18". |
|
--ip-pool-end |
IP havuzunuzun bitiş IP adresi. Adres, adres ön ekinin aralığında olmalıdır. Kullanım: --ip-pool-end "10.220.32.38". |
|
--vm-switch-name |
VM anahtarının adı. Kullanım: --vm-switch-name "vm-switch-01". |
|
Kontrol düzlemi IP'si
Kubernetes, Kubernetes kümesindeki her bileşenin istenen durumda tutulduğundan emin olmak için bir denetim düzlemi kullanır. Denetim düzlemi ayrıca kapsayıcılı uygulamaları barındıran çalışan düğümlerini yönetir ve korur. Arc tarafından etkinleştirilen AKS, Kubernetes denetim düzleminin API sunucusu IP adresinin her zaman kullanılabilir olduğundan emin olmak için KubeVIP yük dengeleyiciyi dağıtır. Bu KubeVIP örneğinin düzgün çalışması için tek bir sabit "kontrol düzlemi IP adresi" gerekir.
Not
Kontrol düzlemi IP'si bir Kubernetes kümesi oluşturmak için gerekli bir parametredir. Kubernetes kümesinin denetim düzlemi IP adresinin Arc VM mantıksal ağları, altyapı ağ IP'leri, yük dengeleyiciler gibi başka hiçbir şeyle çakışmadığından emin olmanız gerekir. Denetim düzlemi IP'sinin de mantıksal ağın adres ön eki kapsamında, ancak IP havuzunun dışında olması gerekir. Bunun nedeni, IP havuzunun yalnızca VM'ler için kullanılmasıdır ve denetim düzlemi için IP havuzundan bir IP adresi seçerseniz IP adresi çakışması oluşabilir. Çakışan IP adresleri hem AKS kümesinde hem de IP adresinin kullanıldığı diğer herhangi bir yerde beklenmeyen hatalara yol açabilir. Ortamınızdaki Kubernetes kümesi başına bir IP adresi ayırmayı planlamanız gerekir.
Kapsayıcılı uygulamalar için yük dengeleyici IP'leri
Yük dengeleyicinin temel amacı, trafiği Kubernetes kümesindeki birden çok düğüm arasında dağıtmaktır. Bu yük dengeleme, kapalı kalma süresini önlemeye ve uygulamaların genel performansını iyileştirmeye yardımcı olabilir. AKS, Kubernetes kümeniz için yük dengeleyici dağıtmak için aşağıdaki seçenekleri destekler:
- Azure Arc uzantısını kullanarak MetalLB yük dengeleyici dağıtın.
- Kendi üçüncü taraf yük dengeleyicinizi getirin.
İster MetalLB Arc uzantısını seçin ister kendi yük dengeleyicinizi getirin, yük dengeleyici hizmetine bir ip adresleri kümesi sağlamanız gerekir. Aşağıdaki seçenekler mevcuttur:
- AKS Arc VM'leriyle aynı alt ağdan hizmetleriniz için IP adresleri sağlayın.
- Uygulamanızın dış yük dengelemeye ihtiyacı varsa farklı bir ağ ve IP adresleri listesi kullanın.
Seçtiğiniz seçenekten bağımsız olarak, yük dengeleyiciye ayrılan IP adreslerinin Kubernetes kümeleriniz için mantıksal ağdaki IP adresleri veya denetim düzlemi IP'leriyle çakışmadığından emin olmanız gerekir. Çakışan IP adresleri AKS dağıtımınızda ve uygulamalarınızda öngörülemeyen hatalara yol açabilir.
Kubernetes kümeleri ve uygulamaları için basit IP adresi planlaması
Aşağıdaki senaryoda, Kubernetes kümeleriniz ve hizmetleriniz için ip adreslerini tek bir ağdan ayıracaksınız. Bu, IP adresi ataması için en basit ve basit senaryodur.
| IP adresi gereksinimi | En az IP adresi sayısı | Bu rezervasyonun nasıl ve nerede yapılacağı |
|---|---|---|
| AKS Arc VM IP'leri | Kubernetes kümenizdeki her çalışan düğümü için bir IP adresi ayırın. Örneğin, her düğüm havuzunda 3 düğüm içeren 3 düğüm havuzu oluşturmak istiyorsanız, IP havuzunuzda 9 IP adresi olması gerekir. | ARC VM mantıksal ağındaki IP havuzları aracılığıyla AKS Arc VM'leri için IP adreslerini ayırın. |
| AKS Arc K8s sürüm yükseltme IP'leri | AKS Arc sıralı yükseltmeler gerçekleştirdiğinden Kubernetes sürüm yükseltme işlemleri için her AKS Arc kümesi için bir IP adresi ayırın. | Arc VM mantıksal ağındaki IP havuzları aracılığıyla K8s sürüm yükseltme işlemi için IP adreslerini ayırın. |
| Kontrol düzlemi IP'si | Ortamınızdaki her Kubernetes kümesi için bir IP adresi ayırın. Örneğin, toplamda 5 küme oluşturmak istiyorsanız, her Kubernetes kümesi için bir tane olmak üzere 5 IP adresi ayırın. | Arc VM mantıksal ağıyla aynı alt ağda, ancak belirtilen IP havuzunun dışında bulunan denetim düzlemi IP'leri için IP adreslerini ayırın. |
| Yük dengeleyici IP'leri | Ayrılmış IP adreslerinin sayısı, uygulama dağıtım modelinize bağlıdır. Başlangıç noktası olarak, her Kubernetes hizmeti için bir IP adresi ayırabilirsiniz. | Arc VM mantıksal ağıyla aynı alt ağda, ancak belirtilen IP havuzunun dışında bulunan denetim düzlemi IP'leri için IP adreslerini ayırın. |
Kubernetes kümeleri ve uygulamaları için IP adresi rezervasyonu için örnek izlenecek yol
Jane, Azure Arc tarafından etkinleştirilen AKS'den yeni başlayan bir BT yöneticisidir. İki Kubernetes kümesi dağıtmak istiyor: Azure Stack HCI kümesinde Kubernetes kümesi A ve Kubernetes kümesi B. Ayrıca A kümesinin üzerinde bir oylama uygulaması çalıştırmak istiyor. Bu uygulama, iki kümede çalışan ön uç kullanıcı arabiriminin üç örneğine ve arka uç veritabanının bir örneğine sahiptir. Tüm AKS kümeleri ve hizmetleri tek bir alt ağ ile tek bir ağda çalışıyor.
- Kubernetes kümesi A'da 3 denetim düzlemi düğümü ve 5 çalışan düğümü vardır.
- Kubernetes kümesi B'de 1 denetim düzlemi düğümü ve 3 çalışan düğümü vardır.
- Ön uç kullanıcı arabiriminin 3 örneği (bağlantı noktası 443).
- Arka uç veritabanının 1 örneği (bağlantı noktası 80).
Önceki tabloya göre alt aya toplam 19 IP adresi ayırması gerekir:
- A kümesindeki AKS Arc düğümü VM'leri için 8 IP adresi (K8s düğümü VM başına bir IP).
- B kümesindeki AKS Arc düğümü VM'leri için 4 IP adresi (K8s düğümü VM başına bir IP).
- AKS Arc yükseltme işlemini çalıştırmak için 2 IP adresi (AKS Arc kümesi başına bir IP adresi).
- AKS Arc kontrol düzlemi için 2 IP adresi (AKS Arc kümesi başına bir IP adresi)
- Kubernetes hizmeti için 3 IP adresi (hepsi aynı bağlantı noktasını kullandığından ön uç kullanıcı arabirimi örneği başına bir IP adresi). Arka uç veritabanı, farklı bir bağlantı noktası kullandığı sürece üç IP adreslerinden herhangi birini kullanabilir.
Bu örnekten devam edip aşağıdaki tabloya ekleyerek şunları elde edersiniz:
| Parametre | IP adresi sayısı | Bu rezervasyonun nasıl ve nerede yapılacağı |
|---|---|---|
| AKS Arc VM'leri ve K8s sürüm yükseltmesi | 14 IP adresi ayırma | Bu rezervasyonu Azure Stack HCI mantıksal ağındaki IP havuzları aracılığıyla yapın. |
| Kontrol düzlemi IP'si | Biri AKS Arc kümesi için 2 IP adresi ayırın | Denetim düzlemi controlPlaneIP IP'sinin IP adresini geçirmek için parametresini kullanın. Bu IP'nin Arc mantıksal ağıyla aynı alt ağda, ancak Arc mantıksal ağında tanımlanan IP havuzunun dışında olduğundan emin olun. |
| Yük dengeleyici IP'leri | Jane'in oylama uygulaması için Kubernetes hizmetleri için 3 IP adresi. | Bu IP adresleri, A kümesine yük dengeleyici yüklediğinizde kullanılır. MetalLB Arc uzantısını kullanabilir veya kendi üçüncü taraf yük dengeleyicinizi getirebilirsiniz. Bu IP'nin Arc mantıksal ağıyla aynı alt ağda, ancak Arc VM mantıksal ağında tanımlanan IP havuzunun dışında olduğundan emin olun. |
Proxy ayarları
AKS'deki ara sunucu ayarları, temel alınan altyapı sisteminden devralınır. Kubernetes kümeleri için tek tek ara sunucu ayarlarını ayarlama ve ara sunucu ayarlarını değiştirme işlevselliği henüz desteklenmemektedir.
Çapraz VLAN gereksinimleri & ağ bağlantı noktası
Azure Stack HCI'yi dağıttığınızda, yönetim ağınızın alt ağında en az altı statik IP adresinden oluşan bitişik bir blok ayırırsınız ve fiziksel sunucular tarafından zaten kullanılan adresleri atlarsınız. Bu IP'ler, Arc VM yönetimi ve AKS Arc için Azure Stack HCI ve iç altyapı (Arc Resource Bridge) tarafından kullanılır. Arc Kaynak Köprüsü ile ilgili Azure Stack HCI hizmetlerine IP adresleri sağlayan yönetim ağınız AKS kümeleri oluşturmak için kullandığınız mantıksal ağdan farklı bir VLAN üzerindeyse, AKS kümesini başarıyla oluşturmak ve çalıştırmak için aşağıdaki bağlantı noktalarının açıldığından emin olmanız gerekir.
| Hedef Bağlantı Noktası | Hedef | Kaynak | Açıklama | Çapraz VLAN ağ notları |
|---|---|---|---|---|
| 22 | AKS Arc VM'leri için kullanılan mantıksal ağ | Yönetim ağındaki IP adresleri | Sorun giderme için günlükleri toplamak için gereklidir. | Ayrı VLAN'lar kullanıyorsanız, Azure Stack HCI ve Arc Kaynak Köprüsü için kullanılan yönetim ağındaki IP adreslerinin bu bağlantı noktasındaki AKS Arc kümesi VM'lerine erişmesi gerekir. |
| 6443 | AKS Arc VM'leri için kullanılan mantıksal ağ | Yönetim ağındaki IP adresleri | Kubernetes API'leriyle iletişim kurmak için gereklidir. | Ayrı VLAN'lar kullanıyorsanız, Azure Stack HCI ve Arc Kaynak Köprüsü için kullanılan yönetim ağındaki IP adreslerinin bu bağlantı noktasındaki AKS Arc kümesi VM'lerine erişmesi gerekir. |
| 55000 | Yönetim ağındaki IP adresleri | AKS Arc VM'leri için kullanılan mantıksal ağ | Bulut Aracısı gRPC sunucusu | Ayrı VLAN'lar kullanıyorsanız AKS Arc VM'lerinin bu bağlantı noktasında bulut aracısı IP'leri ve küme IP'leri için kullanılan yönetim ağındaki IP adreslerine erişmesi gerekir. |
| 65000 | Yönetim ağındaki IP adresleri | AKS Arc VM'leri için kullanılan mantıksal ağ | Cloud Agent gRPC kimlik doğrulaması | Ayrı VLAN'lar kullanıyorsanız AKS Arc VM'lerinin bu bağlantı noktasında bulut aracısı IP'leri ve küme IP'leri için kullanılan yönetim ağındaki IP adreslerine erişmesi gerekir. |
Güvenlik duvarı URL'si özel durumları
Azure Arc güvenlik duvarı/ara sunucu URL'si izin listesi hakkında bilgi için bkz. Azure Arc kaynak köprüsü ağ gereksinimleri ve Azure Stack HCI 23H2 ağ gereksinimleri.
Kubernetes kümelerinin dağıtımı ve çalışması için aşağıdaki URL'lere dağıtımdaki tüm fiziksel düğümlerden ve AKS Arc VM'lerinden erişilebilir olmalıdır. Güvenlik duvarı yapılandırmanızda bu URL'lere izin verildiğinden emin olun:
| URL | Bağlantı noktası | Hizmet | Notlar |
|---|---|---|---|
https://mcr.microsoft.com |
443 | Microsoft kapsayıcı kayıt defteri | Kapsayıcı görüntüleri gibi resmi Microsoft yapıtları için kullanılır. |
https://*.his.arc.azure.com |
443 | Azure Arc kimlik hizmeti | Kimlik ve erişim denetimi için kullanılır. |
https://*.dp.kubernetesconfiguration.azure.com |
443 | Kubernetes | Azure Arc yapılandırması için kullanılır. |
https://*.servicebus.windows.net |
443 | Küme bağlantısı | Güvenlik duvarında herhangi bir gelen bağlantı noktasının etkinleştirilmesine gerek kalmadan Azure Arc özellikli Kubernetes kümelerine güvenli bir şekilde bağlanmak için kullanılır. |
https://guestnotificationservice.azure.com |
443 | Bildirim hizmeti | Konuk bildirim işlemleri için kullanılır. |
https://*.dp.prod.appliances.azure.com |
443 | Veri düzlemi hizmeti | Kaynak köprüsü (alet) için veri düzlemi işlemleri için kullanılır. |
*.data.mcr.microsoft.comazurearcfork8s.azurecr.iolinuxgeneva-microsoft.azurecr.iopipelineagent.azurecr.ioecpacr.azurecr.io |
443 | Aracıyı indirme | Görüntüleri ve aracıları indirmek için kullanılır. |
*.prod.microsoftmetrics.com*.prod.hot.ingestion.msftcloudes.comdc.services.visualstudio.com*.prod.warm.ingest.monitor.core.windows.netgcs.prod.monitoring.core.windows.net |
443 | Ölçümler ve sistem durumu izleme | Ölçümler ve telemetri trafiğini izlemek için kullanılır. |
*.blob.core.windows.net*.dl.delivery.mp.microsoft.com *.do.dsp.mp.microsoft.com |
443 | TCP | Kaynak köprüsü (alet) görüntülerini indirmek için kullanılır. |
https://azurearcfork8sdev.azurecr.io |
443 | Kubernetes | Kubernetes için Azure Arc kapsayıcı görüntülerini indirmek için kullanılır. |
https://adhs.events.data.microsoft.com |
443 | Telemetri | ADHS, alet/denizci işletim sistemi içinde çalışan bir telemetri hizmetidir. Denetim düzlemi düğümlerinden gerekli tanılama verilerini Microsoft'a göndermek için düzenli aralıklarla kullanılır. Telemetri mariner'den çıkarken kullanılır, yani herhangi bir Kubernetes kontrol düzlemi. |
https://v20.events.data.microsoft.com |
443 | Telemetri | Gerekli tanılama verilerini Windows Server konağından Microsoft'a göndermek için düzenli aralıklarla kullanılır. |
gcr.io |
443 | Google kapsayıcı kayıt defteri | Kapsayıcı temel görüntüleri gibi Kubernetes resmi yapıtları için kullanılır. |
pypi.org |
443 | Python paketi | Kubernetes ve Python sürümlerini doğrulayın. |
*.pypi.org |
443 | Python paketi | Kubernetes ve Python sürümlerini doğrulayın. |
https://hybridaks.azurecr.io |
443 | Kapsayıcı görüntüsü | HybridAKS işleci görüntüsüne erişmek için gereklidir. |
aka.ms |
443 | az extensions | aksarc ve connectedk8s gibi Azure CLI uzantılarını indirmek için gereklidir. |
*.login.microsoft.com |
443 | Azure | Azure Resource Manager belirteçlerini getirmek ve güncelleştirmek için gereklidir. |
sts.windows.net |
443 | Azure Arc | Küme Bağlantısı ve Özel Konum tabanlı senaryo için. |
hybridaksstorage.z13.web.core.windows.net |
443 | Azure Stack HCI | Azure Depolama'da barındırılan AKSHCI statik web sitesi. |
raw.githubusercontent.com |
443 | GitHub | GitHub için kullanılır. |
www.microsoft.com |
80 | Microsoft resmi web sitesi. | Microsoft resmi web sitesi. |
*.prod.do.dsp.mp.microsoft.com |
443 | Microsoft Update | Kaynak köprüsü (gereç) görüntüsü indirme. |
files.pythonhosted.org |
443 | Python paketi | Python paketi. |
Sonraki adımlar
Azure Stack HCI 23H2'de Kubernetes kümeleri için mantıksal ağlar oluşturma
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin