مشاركة عبر

شبكة تراكب واجهة شبكة حاويات Azure (CNI)

  • مقالة

مع تراكب Azure CNI، يتم نشر عقد نظام المجموعة في شبكة فرعية لشبكة Azure الظاهرية (VNet). يتم تعيين عناوين IP ل Pods من CIDR خاص يختلف منطقيا عن VNet الذي يستضيف العقد. تستخدم حركة مرور الجراب والعقدة داخل نظام المجموعة شبكة تراكب. تستخدم ترجمة عناوين الشبكة (NAT) عنوان IP الخاص بالعقدة للوصول إلى الموارد خارج نظام المجموعة. يحفظ هذا الحل كمية كبيرة من عناوين IP للشبكة الظاهرية ويتيح لك توسيع نطاق نظام المجموعة إلى أحجام كبيرة. ميزة إضافية هي أنه يمكنك إعادة استخدام CIDR الخاص في مجموعات AKS مختلفة، ما يوسع مساحة IP المتاحة للتطبيقات الحاوية في خدمة Azure Kubernetes (AKS).

نظرة عامة على تراكب الشبكات

في الشبكات التراكبية، يتم تعيين عناوين IP فقط لعقد نظام مجموعة Kubernetes من الشبكات الفرعية. تتلقى وحدات الجراب عناوين IP من CIDR خاص يتم توفيره في وقت إنشاء نظام المجموعة. يتم تعيين مساحة عنوان /24 لكل عقدة منحوتة من نفس CIDR. تتلقى /24 العقد الإضافية التي تم إنشاؤها عند توسيع نطاق مجموعة تلقائيا مسافات العناوين من نفس CIDR. يقوم Azure CNI بتعيين عناوين IP إلى pods من مساحة /24 هذه.

يتم إنشاء مجال توجيه منفصل في مكدس شبكة Azure لمساحة CIDR الخاصة بالجراب، مما ينشئ شبكة تراكب للاتصال المباشر بين القرون. ليست هناك حاجة لتوفير مسارات مخصصة على الشبكة الفرعية لنظام المجموعة أو استخدام أسلوب تغليف لنسبة استخدام الشبكة بين القرون، والتي توفر أداء الاتصال بين pods على قدم المساواة مع الأجهزة الظاهرية في VNet. لا تدرك أحمال العمل التي تعمل داخل pods حتى أن معالجة عنوان الشبكة تحدث.

رسم تخطيطي يوضح عقدتين مع ثلاث جرابات تعمل كل منهما في شبكة تراكب. يتم توجيه حركة مرور الجراب إلى نقاط النهاية خارج نظام المجموعة عبر NAT.

يحدث الاتصال بنقاط النهاية خارج نظام المجموعة، مثل الشبكات الظاهرية المحلية والشبكة الظاهرية النظيرة، باستخدام عنوان IP للعقدة من خلال NAT. يترجم Azure CNI عنوان IP المصدر (تراكب IP الخاص بالجراب) لنسبة استخدام الشبكة إلى عنوان IP الأساسي للجهاز الظاهري، والذي يمكن مكدس شبكة Azure من توجيه نسبة استخدام الشبكة إلى الوجهة. لا يمكن لنقاط النهاية خارج نظام المجموعة الاتصال بجراب مباشرة. يجب عليك نشر تطبيق pod كخدمة Kubernetes Load Balancer لجعله قابلا للوصول على VNet.

يمكنك توفير اتصال صادر (خروج) بالإنترنت لوحدات الجراب التراكبية باستخدام موازن تحميل SKU القياسي أو بوابة NAT المدارة. يمكنك أيضًا التحكم في حركة الخروج عن طريق توجيهها إلى جدار حماية باستخدام التوجيهات المعرفة من قبل المستخدم على الشبكة الفرعية لنظام المجموعة.

يمكنك تكوين اتصال الدخول إلى نظام المجموعة باستخدام وحدة تحكم الدخول، مثل Nginx أو توجيه تطبيق HTTP. لا يمكنك تكوين اتصال الدخول باستخدام Azure App Gateway. للحصول على التفاصيل، راجع القيود مع تراكب Azure CNI.

الاختلافات بين kubenet وتراكب Azure CNI

يوفر الجدول التالي مقارنة مفصلة بين kubenet وAzure CNI Overlay:

المنطقة تراكب Azure CNI kubenet
مقياس نظام المجموعة 5000 عقدة و250 pods/node 400 عقدة و250 جراب لكل عقدة
تكوين الشبكة بسيط - لا توجد تكوينات إضافية مطلوبة لشبكة الجراب معقد - يتطلب جداول التوجيه وUDRs على الشبكة الفرعية لنظام المجموعة لشبكة الجراب
أداء اتصال الجراب الأداء على قدم المساواة مع الأجهزة الظاهرية في VNet تضيف الوثبة الإضافية زمن انتقال بسيط
نُهج شبكة Kubernetes نهج شبكة Azure، Calico، Cilium Calico
الأنظمة الأساسية لنظام التشغيل المدعومة Linux وWindows Server 2022، 2019 Linux فقط

تخطيط عنوان IP

عقد المجموعة

عند إعداد نظام مجموعة AKS، تأكد من أن الشبكات الفرعية للشبكة الظاهرية لديك لديها مساحة كافية للنمو من أجل التحجيم المستقبلي. يمكنك تعيين كل تجمع عقدة إلى شبكة فرعية مخصصة.

/24 يمكن أن تتناسب الشبكة الفرعية مع ما يصل إلى 251 عقدة نظرا لأن عناوين IP الثلاثة الأولى محجوزة لمهام الإدارة.

Pods

يعين /24 حل التراكب مساحة عنوان للقرون على كل عقدة من CIDR الخاص الذي تحدده أثناء إنشاء نظام المجموعة. حجم /24 ثابت ولا يمكن زيادته أو تصغيره. يمكنك تشغيل ما يصل إلى 250 حاوية على عقدة.

عند التخطيط لمساحة عنوان IP للجرابات، ضع في اعتبارك العوامل التالية:

  • تأكد من أن CIDR الخاص كبير بما يكفي لتوفير /24 مساحات عناوين للعقد الجديدة لدعم توسيع نظام المجموعة في المستقبل.
  • يمكن استخدام نفس مساحة جراب CIDR على مجموعات AKS مستقلة متعددة في نفس الشبكة الظاهرية.
  • يجب ألا تتداخل مساحة جراب CIDR مع نطاق الشبكة الفرعية لنظام المجموعة.
  • يجب ألا تتداخل مساحة Pod CIDR مع الشبكات المتصلة مباشرة (مثل تناظر VNet أو ExpressRoute أو VPN). إذا كانت نسبة استخدام الشبكة الخارجية تحتوي على عناوين IP المصدر في نطاق podCIDR، فإنها تحتاج إلى ترجمة إلى عنوان IP غير متداخل عبر SNAT للاتصال بالمجموعة.

نطاق عناوين خدمة Kubernetes

يعتمد حجم عنوان الخدمة CIDR على عدد خدمات نظام المجموعة التي تخطط لإنشائها. يجب أن يكون أصغر من /12. يجب ألا يتداخل هذا النطاق مع نطاق pod CIDR ونطاق الشبكة الفرعية للمجموعة ونطاق IP المستخدم في الشبكات الظاهرية المتناظرة والشبكات المحلية.

عنوان IP لخدمة Kubernetes DNS

يقع عنوان IP هذا ضمن نطاق عنوان خدمة Kubernetes المستخدم من قبل اكتشاف خدمة نظام المجموعة. لا تستخدم عنوان IP الأول في نطاق العناوين، حيث يتم استخدام هذا العنوان للعنوان kubernetes.default.svc.cluster.local .

مجموعات أمان الشبكة

لا يتم تغليف حركة مرور Pod to pod مع تراكب Azure CNI، ويتم تطبيق قواعد مجموعة أمان الشبكة الفرعية. إذا كانت الشبكة الفرعية NSG تحتوي على قواعد رفض من شأنها أن تؤثر على حركة مرور pod CIDR، فتأكد من وجود القواعد التالية لضمان وظائف نظام المجموعة المناسبة (بالإضافة إلى جميع متطلبات خروج AKS):

  • نسبة استخدام الشبكة من العقدة CIDR إلى العقدة CIDR على جميع المنافذ والبروتوكولات
  • نسبة استخدام الشبكة من العقدة CIDR إلى pod CIDR على جميع المنافذ والبروتوكولات (مطلوب لتوجيه نسبة استخدام الشبكة للخدمة)
  • نسبة استخدام الشبكة من pod CIDR إلى pod CIDR على جميع المنافذ والبروتوكولات (مطلوب ل pod إلى pod وpod لخدمة نسبة استخدام الشبكة، بما في ذلك DNS)

تستخدم نسبة استخدام الشبكة من جراب إلى أي وجهة خارج كتلة pod CIDR SNAT لتعيين عنوان IP المصدر إلى IP للعقدة حيث يتم تشغيل الجراب.

إذا كنت ترغب في تقييد حركة المرور بين أحمال العمل في نظام المجموعة، نوصي باستخدام نهج الشبكة.

الحد الأقصى لوحدات الجراب لكل عقدة

يمكنك تكوين الحد الأقصى لعدد القرون لكل عقدة في وقت إنشاء نظام المجموعة أو عند إضافة تجمع عقدة جديد. القيمة الافتراضية والحد الأقصى لتراكب Azure CNI هي 250.، والحد الأدنى للقيمة هو 10. ينطبق الحد الأقصى لوحدات الجراب لكل قيمة عقدة تم تكوينها في أثناء إنشاء تجمع عقدة على العقد في تجمع العقدة هذا فقط.

اختيار نموذج شبكة المطلوب استخدامه

يقدم Azure CNI خيارين لعنوان IP للحجيرات: التكوين التقليدي الذي يعين عناوين IP للشبكة الظاهرية إلى pods والشبكات التراكبية. اختيار أي خيار لاستخدامه في الكتلة AKS الخاص بك عادة ما يكون التوازن بين المرونة واحتياجات التكوين المتقدمة. تساعد الاعتبارات التالية في تحديد متى قد يكون كل نموذج شبكة هو الأنسب.

استخدم الشبكات التراكبية عندما:

  • ترغب في التوسع إلى عدد كبير من القرون، ولكن لديك مساحة عنوان IP محدودة في الشبكة الظاهرية الخاصة بك.
  • معظم اتصالات الأفرع تكون داخل الكتلة.
  • عدم الحاجة إلى ميزات AKS متقدمة مثل العقد الظاهرية.

استخدم خيار VNet التقليدي عندما:

  • توفر مساحة عنوان IP.
  • معظم اتصالات الأفرع تكون للموارد خارج الكتلة.
  • تحتاج الموارد خارج نظام المجموعة إلى الوصول إلى جرابات مباشرة.
  • تحتاج إلى ميزات AKS المتقدمة مثل العقد الظاهرية.

القيود مع تراكب Azure CNI

يحتوي تراكب Azure CNI على القيود التالية:

  • لا يمكنك استخدام Application Gateway كوحدة تحكم دخول (AGIC).
  • مجموعات توفر الجهاز الظاهري (VMAS) غير مدعومة.
  • لا يمكنك استخدام الأجهزة الظاهرية من سلسلة DCsv2 في تجمعات العقد. لتلبية متطلبات الحوسبة السرية، ضع في اعتبارك استخدام الأجهزة الظاهرية السرية من سلسلة DCasv5 أو DCadsv5 بدلا من ذلك.
  • إذا كنت تستخدم الشبكة الفرعية الخاصة بك لنشر نظام المجموعة، يجب أن تكون أسماء الشبكة الفرعية والشبكة الظاهرية ومجموعة الموارد التي تحتوي على الشبكة الظاهرية 63 حرفا أو أقل. سيتم استخدام هذه الأسماء كتسميات في عقد عامل AKS وتخضع لقواعد بناء جملة تسمية Kubernetes.