Aracılığıyla paylaş


Application Gateway Giriş Denetleyicisi nedir?

Application Gateway Giriş Denetleyicisi (AGIC), Azure Kubernetes Service (AKS) müşterilerinin bulut yazılımını İnternet'te kullanıma sunmak için Azure'ın yerel Application Gateway L7 yük dengeleyiciden yararlanmasını sağlayan bir Kubernetes uygulamasıdır. AGIC, barındırılan Kubernetes kümesini izler ve bir Application Gateway'i sürekli güncelleştirerek seçili hizmetlerin İnternet'e açık olmasını sağlar.

Giriş Denetleyicisi müşterinin AKS'sinde kendi podunda çalışır. AGIC, değişiklikler için Kubernetes Kaynaklarının bir alt kümesini izler. AKS kümesinin durumu Application Gateway'e özgü yapılandırmaya çevrilir ve Azure Resource Manager'a (ARM) uygulanır.

İpucu

Kubernetes giriş çözümünüz için Application Gateway for Containers'ı göz önünde bulundurun. Daha fazla bilgi için bkz Hızlı Başlangıç Kılavuzu: Kapsayıcılar için Application Gateway ALB Denetleyicisini dağıtma.

Application Gateway Giriş Denetleyicisinin Avantajları

AGIC, AKS kümesinin önünde başka bir yük dengeleyici/genel IP adresi olması gereksinimini ortadan kaldırmaya yardımcı olur ve istekler AKS kümesine ulaşmadan önce veri yolunuzda birden çok atlama olmasını önler. Application Gateway, podlarla doğrudan özel IP adreslerini kullanarak konuşur ve NodePort veya KubeProxy hizmetlerini gerektirmez. Bu özellik ayrıca dağıtımlarınıza daha iyi performans getirir.

Giriş Denetleyicisi yalnızca Standard_v2 ve WAF_v2 SKU'lar tarafından desteklenir ve bu da otomatik ölçeklendirme avantajlarını etkinleştirir. Application Gateway, AKS kümenizden herhangi bir kaynak tüketmeden trafik yükündeki artışa veya azalmaya yanıt olarak tepki verebilir ve buna göre ölçeklendirilebilir.

AGIC'e ek olarak Application Gateway kullanmak, TLS ilkesi ve Web Uygulaması Güvenlik Duvarı (WAF) işlevselliği sağlayarak AKS kümenizin korunmasına da yardımcı olur.

Azure Application Gateway + AKS

AGIC, Kubernetes Giriş kaynağı aracılığıyla, Hizmet ve Dağıtımlar/Podlar ile birlikte yapılandırılır. Azure'ın yerel Application Gateway L7 yük dengeleyicisini kullanarak birçok özellik sağlar. Birkaç ad vermek için:

  • URL yönlendirme
  • Tanımlama bilgisi tabanlı yakınlık
  • TLS sonlandırma
  • Uçtan Uca TLS
  • Genel, özel ve karma web siteleri için destek
  • Tümleşik web uygulaması güvenlik duvarı

Helm dağıtımı ile AKS Eklentisi arasındaki fark

AKS kümeniz için AGIC dağıtmanın iki yolu vardır. İlk yol Helm aracılığıyladır; ikincisi ise AKS'nin bir eklenti olarak kullanılmasından geçer. AGIC'yi AKS eklentisi olarak dağıtmanın birincil avantajı, Helm aracılığıyla dağıtmaktan daha basit olmasıdır. Yeni bir kurulum için, Azure CLI'da tek bir satır komutla eklenti olarak etkinleştirilen AGIC (Application Gateway Ingress Controller) ile yeni bir Application Gateway ve yeni bir AKS kümesi dağıtabilirsiniz. Eklenti, otomatik güncelleştirmeler ve daha fazla destek gibi ek avantajlar sağlayan tam olarak yönetilen bir hizmettir. AGIC'i (Helm ve AKS eklentisi) dağıtmanın her iki yolu da Microsoft tarafından tam olarak desteklenir. Ek olarak, eklenti, birinci sınıf bir eklenti olarak AKS ile daha iyi tümleştirme sağlar.

AGIC eklentisi hala müşterinin AKS kümesinde pod olarak dağıtılır, ancak Helm dağıtım sürümü ile AGIC'nin eklenti sürümü arasında birkaç fark vardır. İki sürüm arasındaki farkların listesi aşağıdadır:

  • Helm dağıtım değerleri AKS eklentisinde değiştirilemez:
    • verbosityLevel varsayılan olarak 5 olarak ayarlanır
    • usePrivateIp varsayılan olarak yanlış belirlenmiştir; bu ayar use-private-ip annotation ile değiştirilebilir.
    • shared eklentide desteklenmiyor
    • reconcilePeriodSeconds eklentide desteklenmiyor
    • armAuth.type eklentide desteklenmiyor
  • Helm aracılığıyla dağıtılan AGIC, ProhibitedTargets'i destekler; bu da AGIC'nin Application Gateway'i diğer mevcut arka uçları etkilemeden AKS kümeleri için özel olarak yapılandırabileceği anlamına gelir. AGIC eklentisi şu anda bu özelliği desteklemez.
  • AGIC eklentisi yönetilen bir hizmet olduğundan müşteriler, MÜŞTERININ AGIC'i el ile güncelleştirmesi gereken Helm aracılığıyla dağıtılan AGIC'den farklı olarak AGIC eklentisinin en son sürümüne otomatik olarak güncelleştirilir.

Not

Müşteriler AKS kümesi başına yalnızca bir AGIC eklentisi dağıtabilir ve her AGIC eklentisi şu anda yalnızca bir Application Gateway'i hedefleyebilir. Küme başına birden fazla AGIC veya bir Application Gateway'i hedefleyen birden çok AGIC gerektiren dağıtımlar için lütfen Helm aracılığıyla dağıtılan AGIC'i kullanmaya devam edin.

Kapsayıcı ağı ve AGIC

Application Gateway Giriş Denetleyicisi aşağıdaki AKS ağ tekliflerini destekler:

  • Kubenet
  • CNI
  • CNI Yer Paylaşımı

Application Gateway Giriş Denetleyicisi için önerilen iki seçenek Azure CNI ve Azure CNI Katmandır. Bir ağ modeli seçerken, her CNI eklentisi için kullanım örneklerini ve kullandığı ağ modelinin türünü göz önünde bulundurun:

CNI eklentisi Ağ modeli Kullanım durumu vurguları
Azure CNI Overlay Kaplama - VNET IP koruma için en iyi
- API Server tarafından desteklenen maksimum düğüm sayısı + düğüm başına 250 pod
- Daha basit yapılandırma
-Doğrudan dış pod IP’sine erişim yok
Azure CNI Pod Alt Ağ Daire - Doğrudan dış pod erişimi
- Verimli sanal ağ IP kullanımı veya büyük küme ölçek desteği için modlar (Önizleme)
Azure CNI Düğüm Alt Ağı Daire - Doğrudan dış pod erişimi
- Daha basit yapılandırma
- Sınırlı ölçek
- Sanal ağ IP'lerinin verimsiz kullanımı

Kapsayıcılar için Application Gateway'i CNI Katmanı veya CNI etkinleştirilmiş bir kümeye sağlarken, Kapsayıcılar için Application Gateway hedeflenen ağ yapılandırmasını otomatik olarak algılar. CNI Overlay veya CNI belirtmek için Ağ Geçidi veya Ingress API'si yapılandırmasında değişiklik yapılması gerekmez.

Azure CNI Katmanı ile lütfen aşağıdaki sınırlamaları göz önünde bulundurun:

  • AGIC Denetleyicisi: CNI Katmandan yararlanmak için sürüm 1.8.0 veya üzerini çalıştırıyor olmanız gerekir.
  • Alt Ağ Boyutu: Application Gateway alt ağı en fazla /24 ön eki olmalıdır; Alt ağ başına yalnızca bir dağıtım desteklenir.
  • Sanal Ağlarda Bölgesel Eşleme: A bölgesindeki bir sanal ağda dağıtılan Application Gateway ile aynı bölgede bulunan bir sanal ağdaki AKS kümesi düğümleri desteklenmez.
  • Global VNet Eşlemesi: A bölgesindeki bir sanal ağda dağıtılan Application Gateway ile B bölgesindeki bir sanal ağdaki AKS kümesi düğümleri arasındaki yapılandırma desteklenmez.
  • Application Gateway Giriş Denetleyicisi ile Azure CNI Katmanı, 21Vianet (Çin'de Azure) tarafından sağlanan Azure Kamu bulutunda veya Microsoft Azure'da desteklenmez.

Not

AKS kümesinin Kubnet veya CNI Katmanından CNI Katmanına yükseltilmesi, Application Gateway Giriş Denetleyicisi tarafından otomatik olarak algılanır. Trafik kesintisi yaşanabileceği için yükseltme işleminin bakım penceresi sırasında zamanlanması önerilir. Denetleyicinin CNI Katman desteğini algılaması ve yapılandırması küme yükseltmesi sonrasında birkaç dakika sürebilir.

Uyarı

Yükseltmeden önce Application Gateway alt ağından /24 veya daha küçük bir alt ağ olduğundan emin olun. CNI'den daha büyük bir alt ağa (örn. /23) sahip CNI Katmanı'na yükseltmek bir kesintiye yol açar ve Application Gateway alt yapılandırmasını desteklenen bir alt ağ boyutuyla yeniden oluşturulmasını gerektirir.

Sonraki adımlar