AZ IP-címek tervezési követelményei
A következőkre vonatkozik: Azure Local, 23H2-es verzió
Az Azure Arc által engedélyezett AKS IP-címének tervezése magában foglalja egy olyan hálózat kialakítását, amely támogatja az alkalmazásokat, a csomópontkészleteket, a podhálózatokat, a szolgáltatáskommunikációt és a külső hozzáférést. Ez a cikk bemutatja a hatékony IP-címtervezés néhány fontos szempontját, valamint az AKS éles környezetben való üzembe helyezéséhez szükséges IP-címek minimális számát. A cikk elolvasása előtt tekintse meg az AKS hálózatkezelési alapelveit és követelményeit .
Egyszerű IP-címtervezés Kubernetes-fürtökhöz és -alkalmazásokhoz
A következő forgatókönyvben az IP-címeket egyetlen hálózatból foglalhatja le a Kubernetes-fürtök és -szolgáltatások számára. Ez a példa az IP-címek hozzárendelésének legegyszerűbb és legegyszerűbb forgatókönyve.
| IP-címkövetelmény | Ip-címek minimális száma | A foglalás menete és helye |
|---|---|---|
| AKS Arc virtuálisgép-IP-címek | Foglaljon le egy IP-címet a Kubernetes-fürt minden feldolgozó csomópontjához. Ha például 3 csomópontkészletet szeretne létrehozni, mindegyik csomópontkészletben 3 csomóponttal, akkor 9 IP-címre van szüksége az IP-készletben. | AZ IP-címeket az Arc virtuális gép logikai hálózatában lévő IP-készleteken keresztül lefoglalja. |
| AKS Arc K8s verziófrissítési IP-címek | Mivel az AKS Arc működés közbeni frissítéseket hajt végre, a Kubernetes verziófrissítési műveleteihez foglaljon le egy IP-címet minden AKS Arc-fürthöz. | AZ IP-címeket az Arc virtuális gép logikai hálózatában lévő IP-készleteken keresztül lefoglalja. |
| Vezérlősík IP-címe | Foglaljon le egy IP-címet a környezet minden Kubernetes-fürtjéhez. Ha például összesen 5 fürtöt szeretne létrehozni, foglaljon le 5 IP-címet, egyet minden Kubernetes-fürthöz. | AZ IP-címeket az Arc virtuális gép logikai hálózatában lévő IP-készleteken keresztül lefoglalja. |
| Terheléselosztó IP-cím | A fenntartott IP-címek száma az alkalmazás üzembehelyezési modelljétől függ. Kiindulópontként minden Kubernetes-szolgáltatáshoz lefoglalhat egy IP-címet. | Az IP-címeket az Arc virtuális gép logikai hálózatával megegyező alhálózatban, de az IP-készleten kívül kell lefoglalni. |
Példaútmutató a Kubernetes-fürtök és -alkalmazások IP-címfoglalásához
Jane egy informatikai rendszergazda, aki most kezdi az Azure Arc által engedélyezett AKS-t. Jane két Kubernetes-fürtöt szeretne üzembe helyezni: az A Kubernetes-fürtöt és a B Kubernetes-fürtöt az Azure Local fürtben. Jane egy szavazóalkalmazást is szeretne futtatni az A fürt tetején. Ez az alkalmazás három előtér-felhasználói felülettel rendelkezik, amely a két fürtön és a háttéradatbázis egy példányán fut. Az AKS-fürtök és -szolgáltatások egyetlen hálózaton futnak, egyetlen alhálózattal.
- Az A Kubernetes-fürt 3 vezérlősík-csomóponttal és 5 feldolgozó csomóponttal rendelkezik.
- A B kubernetes-fürt 1 vezérlősík-csomóponttal és 3 feldolgozó csomóponttal rendelkezik.
- Az előtérbeli felhasználói felület 3 példánya (443-as port).
- A háttéradatbázis 1 példánya (80-os port).
Az előző táblázat alapján Jane-nek összesen 19 IP-címet kell lefoglalnia Jane alhálózatában:
- 8 IP-cím az A fürt AKS Arc-csomópont virtuális gépeihez (K8s-csomópontonként egy IP-cím).
- 4 IP-cím a B fürt AKS Arc-csomópont virtuális gépeihez (k8s csomópontonként egy IP-cím).
- 2 IP-cím az AKS Arc frissítési művelet futtatásához (AKS Arc-fürtönként egy IP-cím).
- 2 IP-cím az AKS Arc vezérlősíkhoz (AKS Arc-fürtönként egy IP-cím)
- A Kubernetes szolgáltatás 3 IP-címe (az előtér felhasználói felületének példányonként egy IP-címe, mivel mindegyik ugyanazt a portot használja). A háttéradatbázis a három IP-cím bármelyikét használhatja, ha másik portot használ.
Ha folytatja ezt a példát, és hozzáadja a következő táblához, a következőt kapja:
| Paraméter | IP-címek száma | A foglalás menete és helye |
|---|---|---|
| AKS Arc virtuális gépek, K8s verziófrissítés és vezérlősík IP-címe | 16 IP-cím lefoglalása | Ezt a foglalást az Azure Local logikai hálózat IP-készleteiben végezheti el. |
| Terheléselosztó IP-cím | 3 IP-cím a Kubernetes-szolgáltatásokhoz, Jane szavazóalkalmazásához. | Ezek az IP-címek akkor használatosak, ha terheléselosztót telepít az A fürtre. Használhatja a MetalLB Arc bővítményt, vagy saját külső terheléselosztót is használhat. Győződjön meg arról, hogy ez az IP-cím ugyanabban az alhálózatban található, mint az Arc logikai hálózat, de az Arc virtuális gép logikai hálózatában definiált IP-készleten kívül. |
Példa CLI-parancsok a Kubernetes-fürtök és -alkalmazások IP-címfoglalásához
Ez a szakasz azt ismerteti, hogy Jane milyen parancsokat futtat a forgatókönyvéhez. Először hozzon létre egy logikai hálózatot legalább 16 IP-címmel rendelkező IP-készlettel. Az IP-készletet 20 IP-címmel hoztuk létre, hogy lehetőséget biztosítsunk az N napon történő skálázásra. A logikai hálózatok paraméterbeállításairól a következő témakörben talál az stack-hci-vm network lnet createrészletes információt:
$ipPoolStart = "10.220.32.18"
$ipPoolEnd = "10.220.32.37"
az stack-hci-vm network lnet create --subscription $subscription --resource-group $resource_group --custom-location $customLocationID --name $lnetName --vm-switch-name $vmSwitchName --ip-allocation-method "Static" --address-prefixes $addressPrefixes --gateway $gateway --dns-servers $dnsServers --ip-pool-start $ipPoolStart --ip-pool-end $ipPoolEnd
Ezután hozzon létre egy AKS Arc-fürtöt az előző logikai hálózattal:
az aksarc create -n $aksclustername -g $resource_group --custom-location $customlocationID --vnet-ids $lnetName --aad-admin-group-object-ids $aadgroupID --generate-ssh-keys
Mostantól engedélyezheti a MetalLB terheléselosztót egy 3 IP-címből álló IP-címkészlettel, ugyanabban az alhálózatban, mint az Arc virtuális gép logikai hálózata. Később további IP-készleteket is hozzáadhat, ha az alkalmazásnak növelnie kell a műveletet. Részletes követelményekért tekintse meg a MetalLB Arc bővítmény áttekintését.
az k8s-runtime load-balancer create --load-balancer-name $lbName --resource-uri subscriptions/$subscription/resourceGroups/$resource_group/providers/Microsoft.Kubernetes/connectedClusters/metallb-demo --addresses 10.220.32.47-10.220.32.49 --advertise-mode ARP
LNETs-szempontok az AKS-fürtök és arc virtuális gépek esetében
Az Azure Local logikai hálózatait az AKS-fürtök és az Arc virtuális gépek egyaránt használják. A logikai hálózatokat az alábbi két módon konfigurálhatja:
- Logikai hálózat megosztása az AKS és az Arc virtuális gépek között.
- Definiáljon külön logikai hálózatokat az AKS-fürtökhöz és az Arc-alapú virtuális gépekhez.
A logikai hálózat megosztása az AKS és az Arc virtuális gépek között az Azure Local-on az egyszerűsített kommunikáció, a költségmegtakarítás és az egyszerűsített hálózatkezelés előnyeit kínálja. Ez a megközelítés azonban olyan potenciális kihívásokat is bevezet, mint az erőforrás-versengés, a biztonsági kockázatok és a hibaelhárítás összetettsége.
| Feltételek | Logikai hálózat megosztása | Különálló logikai hálózatok definiálása |
|---|---|---|
| Konfiguráció összetettsége | Egyszerűbb konfiguráció egyetlen hálózattal, ami csökkenti a beállítás összetettségét. | Összetettebb beállítás, mivel több logikai hálózatot kell konfigurálnia virtuális gépekhez és AKS-fürtökhöz. |
| Méretezhetőség | Lehetséges méretezhetőségi korlátozások, mivel az Arc virtuális gépek és az AKS-fürtök is megosztják a hálózati erőforrásokat. | Skálázhatóbb, mivel a hálózati erőforrások külön vannak elválasztva, és egymástól függetlenül skálázhatók. |
| Hálózati házirendek kezelése | Egyszerűbben kezelhető egy hálózati szabályzatkészlettel, de nehezebb elkülöníteni a számítási feladatokat. | Egyszerűbb elkülöníteni a számítási feladatokat, mivel logikai hálózatonként külön szabályzatok alkalmazhatók. |
| Biztonsági szempontok | Nagyobb a keresztkommunikációs biztonsági rések kockázata, ha nem szegmentáltak megfelelően. | Nagyobb biztonság, mivel az egyes hálózatok jobban szegmentáltak és elkülöníthetők. |
| A hálózati hibák hatása | A megosztott hálózat meghibásodása egyszerre befolyásolhatja az AKS és az Arc virtuális gépeket is. | Egy hálózat meghibásodása csak az adott hálózaton belüli számítási feladatokat érinti, így csökkenti az általános kockázatot. |
IP-címtartomány lefoglalása a pod CIDR-hez és a szolgáltatás CIDR-éhez
Ez a szakasz a Kubernetes által a fürtön belüli pod- és szolgáltatáskommunikációhoz használt IP-címtartományokat ismerteti. Ezek az IP-címtartományok az AKS-fürtlétrehozási folyamat során vannak definiálva, és egyedi IP-címek hozzárendelésére szolgálnak a fürt podjaihoz és szolgáltatásaihoz.
Podhálózati CIDR
A podhálózati CIDR a Kubernetes által használt IP-címek tartománya, amellyel egyedi IP-címeket rendelhet a Kubernetes-fürtön futó egyes podokhoz. Minden pod saját IP-címet kap ezen a tartományon belül, így a podok kommunikálhatnak egymással és a fürt szolgáltatásaival. Az AKS-ben a pod IP-címei a Calico CNI-n keresztül vannak hozzárendelve VXLAN módban. A Calico VXLAN segít átfedő hálózatok létrehozásában, ahol a podok IP-címei (a POD-hálózat CIDR-ből) virtualizálva és bújtatva vannak a fizikai hálózaton keresztül. Ebben a módban minden podhoz ip-cím van rendelve a podhálózat CIDR-éből, de ez az IP-cím közvetlenül nem irányítható a fizikai hálózaton. Ehelyett a rendszer beágyazza a hálózati csomagokba, és a mögöttes fizikai hálózaton keresztül küldi el, hogy elérje a cél podot egy másik csomóponton.
Az AKS alapértelmezett értéke 10.244.0.0/16 a podhálózat CIDR-jének. Az AKS támogatja a podhálózat CIDR-jének testreszabását. Az AKS-fürt létrehozásakor saját értéket állíthat be a --pod-cidr paraméterrel. Győződjön meg arról, hogy a CIDR IP-tartománya elég nagy ahhoz, hogy a csomópontonként és a Kubernetes-fürtön belüli podok maximális számát elférje.
Szolgáltatáshálózati CIDR
A szolgáltatáshálózati CIDR a Kubernetes-szolgáltatások, például a LoadBalancers, a ClusterIP és a NodePort számára fenntartott IP-címek tartománya egy fürtben. A Kubernetes a következő szolgáltatástípusokat támogatja:
- ClusterIP: Az alapértelmezett szolgáltatástípus, amely a fürtön belül teszi elérhetővé a szolgáltatást. A CIDR szolgáltatáshálózatból hozzárendelt IP-cím csak a Kubernetes-fürtön belül érhető el.
- NodePort: Egy adott porton teszi elérhetővé a szolgáltatást az egyes csomópontok IP-címén. A ClusterIP továbbra is belsőleg van használatban, de a külső hozzáférés a csomópont IP-címén és egy adott porton keresztül történik.
- LoadBalancer: Ez a típus létrehoz egy felhőszolgáltató által felügyelt terheléselosztót, és külsőleg teszi elérhetővé a szolgáltatást. A felhőszolgáltató általában a külső IP-hozzárendelést kezeli, míg a belső ClusterIP a CIDR szolgáltatáshálózaton belül marad.
Az AKS alapértelmezett értéke 10.96.0.0/12 a CIDR szolgáltatáshálózathoz. Az AKS jelenleg nem támogatja a CIDR szolgáltatáshálózat testreszabását.
Következő lépések
Logikai hálózatok létrehozása Kubernetes-fürtökhöz az Azure Local 23H2-es verziójában