Azure Arc on VMware ネットワーク要件によって有効になっている AKS (プレビュー)
適用対象: VMware 上の Azure Arc で有効になっている AKS (プレビュー)
この記事では、Azure Arc on VMware で有効になっている Azure Kubernetes Service (AKS) の VM とアプリケーションにネットワークを提供する主要な概念について説明します。
- Arc VM で有効になっている AKS の論理ネットワーク
- コントロール プレーン IP
- Kubernetes ロード バランサー
この記事では、Kubernetes クラスターを作成するために必要なネットワークの前提条件についても説明します。 ネットワーク管理者と協力して、AKS のデプロイに必要なネットワーク パラメーターを指定して設定することをお勧めします。
AKS クラスターのネットワークの概念
Kubernetes クラスター内の次のコンポーネントに対してネットワークを正しく設定していることを確認します。
- AKS クラスター VM
- AKS コントロール プレーン IP
- コンテナー化されたアプリケーションのロード バランサー
AKS クラスター VM のネットワーク
Kubernetes ノードは、AKS に特殊な仮想マシンとしてデプロイされます。 これらの VM には、Kubernetes ノード間の通信を可能にするために IP アドレスが割り当てられます。 AKS では、VMware 論理ネットワーク セグメントを使用して、Kubernetes クラスターの基になる VM の IP アドレスとネットワークを提供します。 このプレビューでは、DHCP ベースの VMware 論理ネットワーク セグメントのみがサポートされます。 AKS Arc クラスターの作成時に VMware ネットワーク セグメントが提供されると、IP アドレスは Kubernetes クラスターの基になる VM に動的に割り当てられます。
コントロール プレーン IP
Kubernetes はコントロール プレーンを使用して、Kubernetes クラスター内のすべてのコンポーネントが目的の状態に保たれるようにします。 コントロール プレーンでは、コンテナー化されたアプリケーションを保持するワーカー ノードも管理および維持されます。 AKS は KubeVIP ロード バランサーをデプロイして、Kubernetes コントロール プレーンの API サーバー IP アドレスが常に使用可能であることを確認します。 正しく機能するには、この KubeVIP インスタンスに 1 つの変更できない "コントロール プレーン IP アドレス" が必要です。コントロール プレーン IP は、Kubernetes クラスターを作成するために必要なパラメーターです。 Kubernetes クラスターのコントロール プレーン IP アドレスが他の IP アドレスと重複しないようにする必要があります。 IP アドレスが重複すると、AKS クラスターとその他の IP アドレスが使用されている場所の両方で予期しないエラーが発生する可能性があります。 環境内の Kubernetes クラスターごとに 1 つの IP アドレスを予約する必要があります。 コントロール プレーンの IP アドレスが DHCP サーバーのスコープから除外されていることを確認します。
コンテナー化されたアプリケーション用のロード バランサー IP
ロード バランサーのメインの目的は、Kubernetes クラスター内の複数のノードにトラフィックを分散することです。 この負荷分散は、ダウンタイムを防ぎ、アプリケーションの全体的なパフォーマンスを向上させるのに役立ちます。 このプレビューでは、独自のサードパーティロードバランサーを持ち込む必要があります。たとえば、 MetalLB です。 また、ロード バランサーに割り当てられた IP アドレスが、他の場所で使用されている IP アドレスと競合しないようにする必要もあります。 IP アドレスが競合すると、AKS のデプロイとアプリケーションで予期しないエラーが発生する可能性があります。
Kubernetes クラスターとアプリケーションの IP アドレス計画
少なくとも、Kubernetes クラスターごとに次の数の IP アドレスを使用できる必要があります。 実際の IP アドレス数は、Kubernetes クラスターの数、各クラスター内のノードの数、および Kubernetes クラスターで実行するサービスとアプリケーションの数によって異なります。
| パラメーター | IP アドレスの最小数 |
|---|---|
| VMware 論理ネットワーク セグメント | Kubernetes クラスター内のすべてのワーカー ノードに対して 1 つの IP アドレス。 たとえば、各ノード プールに 3 つのノードを含む 3 つのノード プールを作成する場合は、DHCP サーバーから 9 つの使用可能な IP アドレスが必要です。 |
| コントロール プレーン IP | 環境内のすべての Kubernetes クラスターに 1 つの IP アドレスを予約します。 たとえば、合計で 5 つのクラスターを作成する必要がある場合は、5 つの IP アドレス (Kubernetes クラスターごとに 1 つ) を予約する必要があります。 これらの 5 つの IP アドレスは、DHCP サーバーの範囲外である必要があります。 |
| ロード バランサー IP | 予約されている IP アドレスの数は、アプリケーションのデプロイ モデルによって異なります。 開始点として、Kubernetes サービスごとに 1 つの IP アドレスを予約できます。 |
プロキシの設定
このプレビューでは、プロキシが有効な VMware 環境での AKS Arc クラスターの作成はサポートされていません。
ファイアウォール URL の例外
Azure Arc ファイアウォール/プロキシ URL 許可リストの詳細については、 Azure Arc リソース ブリッジのネットワーク要件に関するページを参照してください。
Kubernetes クラスターのデプロイと操作を行うには、デプロイ内のすべての物理ノードと仮想マシンから次の URL に到達できる必要があります。 ファイアウォール構成でこれらの URL が許可されていることを確認します。
| URL | Port |
|---|---|
| .dp.prod.appliances.azure.com | HTTPS/443 |
| .eus.his.arc.azure.com | HTTPS/443 |
| guestnotificationservice.azure.com | HTTPS/443 |
| .dp.kubernetesconfiguration.azure.com | HTTPS/443 |
| management.azure.com | HTTPS/443 |
| raw.githubusercontent.com | HTTPS/443 |
| storage.googleapis.com | HTTPS/443 |
| msk8s.api.cdp.microsoft.com | HTTPS/443 |
| adhs.events.data.microsoft.com | HTTPS/443 |
| .events.data.microsoft.com | HTTPS/443 |
| graph.microsoft.com | HTTPS/443 |
| .login.microsoft.com | HTTPS/443 |
| mcr.microsoft.com | HTTPS/443 |
| .data.mcr.microsoft.com | HTTPS/443 |
| msk8s.sb.tlu.dl.delivery.mp.microsoft.com | HTTPS/443 |
| .prod.microsoftmetrics.com | HTTPS/443 |
| login.microsoftonline.com | HTTPS/443 |
| dc.services.visualstudio.com | HTTPS/443 |
| ctldl.windowsupdate.com | HTTP/80 |
| azurearcfork8s.azurecr.io | HTTPS/443 |
| ecpacr.azurecr.io | HTTPS/443 |
| hybridaks.azurecr.io | HTTPS/443 |
| kvamanagementoperator.azurecr.io | HTTPS/443 |
| linuxgeneva-microsoft.azurecr.io | HTTPS/443 |
| gcr.io | HTTPS/443 |
| aka.ms | HTTPS/443 |
| k8connecthelm.azureedge.net | HTTPS/443 |
| k8sconnectcsp.azureedge.net | HTTPS/443 |
| .blob.core.windows.net | HTTPS/443 |