Azure Arc 対応 Kubernetes のネットワーク接続

  • [アーティクル]

Arc 対応 Kubernetes では、Azure Arc のコントロール プレーンを使用して Kubernetes クラスターをオンボードおよび管理するための完全接続モードと半接続モードがサポートされています。 Azure Arc 対応 Kubernetes エージェントは、Azure Arc エンドポイントと通信して、Kubernetes クラスターからのプルおよびプッシュ メソッドを使用してさまざまな種類のメタデータ情報を交換します。

このドキュメントでは、オンプレミスやその他のクラウド環境で実行されている Arc 対応 Kubernetes クラスターを管理および運用できるように、Azure コントロール プレーンへの接続を有効にするのに役立つネットワーク アーキテクチャ、設計上の考慮事項、および設計に関する推奨事項について説明します。

アーキテクチャ

次の図は、完全接続と半接続のネットワーク接続モードをサポートする Azure Arc 対応 Kubernetes ネットワーク アーキテクチャを示しています。

Azure Arc 対応 Kubernetes ネットワーク アーキテクチャを示す図。

次の図は、Azure Arc 対応 Kubernetes クラスター接続機能を使用して、任意のネットワークの場所からのクラスター アクセスを可能にするネットワーク アーキテクチャを示しています。

Azure Arc 対応 Kubernetes クラスター接続ネットワーク アーキテクチャを示す図。

設計上の考慮事項

  • 接続モデルに対して Azure Arc 対応 Kubernetes が与える影響を評価するために、Azure ランディング ゾーンのネットワーク トポロジと接続の設計領域を検討します。
  • Azure Arc 対応 Kubernetes のネットワーク要件を確認して、クラスターがオンプレミス ネットワークまたは他のクラウド プロバイダーから Azure と通信する方法を理解します。
  • 組織のセキュリティとコンプライアンスの要件と、Azure Arc 対応 Kubernetes が組織に提供する利点とのトレードオフを検討します。 実装環境に対して完全接続モードと半接続モードのどちらを選ぶかを決定します。
  • ExpressRoute または VPN 経由とインターネット接続経由を比較して Azure Log Analytics ワークスペースに接続するとき、パブリック エンドポイントを使用するか、プライベート エンドポイントを使用するかを決定します。
  • ExpressRoute または VPN 経由とインターネット接続経由を比較して Azure Key Vaults に接続するとき、パブリック エンドポイントを使用するか、プライベート エンドポイントを使用するかを決定します。
  • Azure Arc 対応 Kubernetes クラスターでは任意のネットワークからのクラスター管理がサポートされているため、Azure Arc 対応 Kubernetes クラスター管理のネットワーク接続オプションを選択します。 ネットワークに依存しないクラスター管理を決定する際の設計上の考慮事項と推奨事項については、「ID 管理とアクセス管理」を参照してください。
  • 任意の場所にアクセスするクラスター接続機能を使用して Azure Arc 対応 Kubernetes クラスターを安全に管理することを検討します。これにより、受信ネットワーク ポートのオープンが不要になり、Azure で Azure Arc サービスへの送信通信のみが可能になります。
  • 送信トラフィックとネットワークの侵入検出と防止システム (IDPS) の TLS 検査にオンプレミスまたはマルチクラウドのファイアウォールまたはプロキシ サーバーを使用する場合、一部のサーバー証明書がこれらのファイアウォールまたはプロキシ サーバーによって信頼されないため、Azure Arc 対応 Kubernetes エンドポイントを除外するかどうかを決定します。

設計の推奨事項

  • オンボードされた Kubernetes クラスターに完全接続モードを使用すると、Azure クラウド サービスをオンプレミスまたはマルチクラウド環境に移行するために最新の製品リリース、セキュリティ更新プログラム、ポリシー、およびインストール済みの拡張機能を最新の状態に保つのに役立ちます。
  • 選択した接続モデルに基づいて、Azure Arc 対応 Kubernetes のネットワーク要件を満たしていることを確認します。
  • オンプレミスまたはその他のクラウド環境で実行されている Kubernetes クラスターから、Azure Express Route または VPN 接続を使用して、Azure Private LinkKey Vaultストレージ アカウントMicrosoft Container RegistryLog Analytics などの Azure リソースにアクセスできるようにします。
    • Azure で Azure サービス パブリック DNS ゾーンを解決するように DNS フォワーダーを構成します。
  • Azure Arc 対応 Kubernetes エージェントのトラフィックがファイアウォールまたはプロキシ サーバーを通過する場合、送信元および一部の宛先オブジェクト グループやタグを作成して、送信インターネット トラフィック ルールを簡略化し、Azure Arc 拡張機能の他の URL 許可リストをサポートします。
  • Azure Monitor を使用して Azure Arc 対応 Kubernetes クラスターの接続状態を追跡し、接続状態が変更されたときに管理者に通知するアラートを生成します。 Azure Monitor と一緒に Azure Resource Graph クエリを使用することを検討します。
  • 半接続ネットワーク接続モードを使用する場合は、少なくとも 30 日に 1 回クラスターを Azure Arc に接続して課金データをエクスポートし、少なくとも 90 日に 1 回接続してマネージド ID 証明書を更新し、Azure Arc 対応 Kubernetes リソースとエージェントを更新します。

次の手順

ハイブリッドとマルチクラウドでのクラウドの取り組みの詳細については、次の記事を参照してください。