Bu senaryoda AKS kümelerinde Azure Kubernetes Service (AKS) düğümlerini dağıtmak için ağ kavramlarını tasarlama ve uygulama gösterilmektedir.
Bu makale, Kubernetes düğümleri ve Kubernetes kapsayıcıları için ağ tasarımı önerileri içerir. İki makaleden oluşan mimari temel kılavuz kümesinin bir parçasıdır. Burada temel mimari önerilerine bakın.
Önemli
Bu makaledeki bilgiler Azure Stack HCI sürüm 22H2'de AKS ve Windows Server'da AKS-HCI için geçerlidir. AKS'nin en son sürümü Azure Stack HCI 23H2 üzerinde çalışır. En son sürüm hakkında daha fazla bilgi için Azure Stack HCI sürüm 23H2'de AKS belgelerine bakın.
Mimari
Aşağıdaki görüntüde Azure Stack HCI veya Windows Server 2019/2022 veri merkezi kümelerinde Azure Kubernetes Service için ağ mimarisi gösterilmektedir:
Bu mimarinin bir Visio dosyasını indirin.
Senaryo aşağıdaki bileşenlerden ve özelliklerden oluşur:
- Azure Stack HCI (22H2), sanallaştırılmış Windows ve Linux iş yüklerini ve bunların depolamasını karma şirket içi ortamda barındıran hiper yakınsanmış bir altyapı (HCI) kümesi çözümüdür. Azure Stack HCI kümesi 2-4 düğümlü bir küme olarak uygulanır.
- Windows Server 2019/2022 veri merkezi yük devretme kümesi, kümelenmiş rollerin kullanılabilirliğini ve ölçeklenebilirliğini artırmak için birlikte çalışan bağımsız bir bilgisayar grubudur.
- Azure Stack HCI üzerinde Azure Kubernetes Service, kapsayıcılı uygulamaları büyük ölçekte çalıştırmayı otomatikleştiren Azure Kubernetes Service'in (AKS) şirket içi uygulamasıdır.
- Active Directory Etki Alanı Hizmetleri, ağdaki nesneler hakkında bilgi depolayan hiyerarşik bir yapıdır. Kullanıcılar, bilgisayarlar, uygulamalar veya bir güvenlik sınırına dahil edilen diğer kaynaklarla ilişkili kimlikler için kimlik ve erişim çözümü sağlar.
- AKS konağı olarak da bilinen yönetim kümesi , birden çok iş yükü kümesini dağıtmak ve yönetmekle sorumludur. Yönetim kümesi düğüm havuzundan 1 IP adresi kullanır, ancak güncelleştirme işlemleri için 2 IP daha ayırmanız gerekir. Yönetim kümesi ayrıca VIP havuzundan bir IP de tüketir.
- İş Yükü Kümesi , Kubernetes denetim düzlemi bileşenlerini ve Linux ve/veya Windows çalışan düğümlerini çalıştırmak için Linux VM'leri kullanan yüksek oranda kullanılabilir bir Kubernetes dağıtımıdır.
- Kontrol düzlemi. Linux dağıtımı üzerinde çalışır ve kümenin tüm yapılandırmasını ve verilerini depolamak için Kubernetes API'siyle ve dağıtılmış anahtar-değer deposuyla vb. etkileşim için API sunucusu bileşenleri içerir. Düğüm havuzundan bir IP ve VIP havuzundan bir IP tüketir.
- Yük dengeleyici. Linux VM üzerinde çalışır ve iş yükü kümesi için yük dengeli hizmetler sağlar. Düğüm havuzundan bir IP ve VIP havuzundan bir IP tüketir.
- Çalışan düğümleri. Kapsayıcılı uygulamaları barındıran bir Windows veya Linux işletim sisteminde çalıştırın. Düğüm havuzundan IP adreslerini kullanır, ancak güncelleştirme işlemleri için en az 3 IP adresi daha planlamanız gerekir.
- Kubernetes kaynakları. Podlar, uygulamanızın genellikle kapsayıcıyla 1:1 eşlemesi olan tek bir örneğini temsil eder, ancak bazı podlar birden çok kapsayıcı içerebilir. Dağıtımlar bir veya daha fazla özdeş podu temsil eder. Podlar ve dağıtımlar mantıksal olarak kaynakların yönetimine erişimi denetleen bir ad alanında gruplandırılır. VIP havuzundan pod başına 1 IP tüketir.
- Azure Arc , Azure Resource Manager tabanlı yönetim modelini sanal makineler (VM'ler), Kubernetes kümeleri ve kapsayıcılı veritabanları gibi Azure dışı kaynaklara genişleten bulut tabanlı bir hizmettir.
- Azure İlkesi, özellikleri özelleştirilebilir iş kurallarıyla karşılaştırarak Azure Arc ile tümleştirme yoluyla Azure ve şirket içi kaynakları değerlendiren bulut tabanlı bir hizmettir.
- Azure İzleyici , bulut ve şirket içi ortamlarınızdan telemetri verilerini toplamak, analiz etmek ve üzerinde işlem gerçekleştirmek için kapsamlı bir çözüm sunarak uygulamalarınızın ve hizmetlerinizin kullanılabilirliğini ve performansını en üst düzeye çıkaran bulut tabanlı bir hizmettir.
- Bulut için Microsoft Defender, veri merkezlerinizin güvenlik duruşunu güçlendiren ve buluttaki ve şirket içindeki hibrit iş yükleriniz arasında gelişmiş tehdit koruması sağlayan birleşik bir altyapı güvenlik yönetim sistemidir.
Bileşenler
- Azure Stack HCI (20H2)
- Windows Server 2019/2022 veri merkezi yük devretme kümesi
- Azure Kubernetes Service (AKS)
- Windows Yönetim Merkezi
- Azure aboneliği
- Azure Arc
- Azure rol tabanlı erişim denetimi (RBAC)
- Azure İzleyici
- Bulut için Microsoft Defender
Senaryo ayrıntıları
Bu senaryonun kullanım örnekleri, serinin ilk makalesi olan Temel mimaride açıklanmıştır.
Kubernetes düğüm ağı
Azure Stack HCI üzerinde AKS için ağ tasarımında dikkat edilmesi gereken önemli nokta, yeterli IP adresi sağlayan ağ modelini seçmektir. Azure Stack HCI üzerinde AKS, Kubernetes düğüm kaynaklarına IP adresleri ayırmak için sanal ağ kullanır. İki IP adresi atama modeli kullanabilirsiniz:
- Statik IP ağı daha tahmin edilebilirdir, ancak ilk yapılandırma için ek çaba ekler.
- Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) ağı, IP adreslerini dinamik olarak ayırmayı ve daha az çabayı kullanır, ancak kullanılabilir IP havuzunu tüketmemeye dikkat etmeniz gerekir. Ayrıca sanal IP havuzları ve bulut aracısı hizmeti gibi belirli küme genelindeki kaynaklar için rezervasyonları ve dışlama aralıklarını yönetmeniz gerekir.
Her iki atama modeli de aşağıdakiler için IP adreslerini planlamalıdır:
- Sanal IP havuzu
- Kubernetes düğümü VM IP havuzu
Sanal IP havuzu
Sanal IP havuzu, Azure Stack HCI dağıtımındaki tüm AKS'ler için zorunlu olan bir IP adresleri kümesidir. sanal IP havuzundaki IP adreslerinin sayısını iş yükü kümelerinin ve Kubernetes hizmetlerinin sayısına göre planlayın. Sanal IP havuzu aşağıdaki kaynak türleri için IP adresleri sağlar:
Bulut aracısı, sanal IP havuzundan kayan bir IP adresi gerektirir.
Kubernetes Sanal Gereci (KVA) sanal makinesi (yönetim kümesi) içinde çalışan API sunucusu bileşeni, sanal IP havuzundan bir IP adresi kullanır. API sunucusu, Kubernetes API'sini kullanıma sunan Kubernetes denetim düzleminin bir bileşenidir. API sunucusu, Kubernetes denetim düzleminin ön ucudur. KVA, Mariner Linux çalıştıran ve bir Kubernetes kümesi barındıran bir sanal makinedir. IP adresi kayandır ve Azure Stack HCI üzerinde AKS'de dağıttığınız diğer tüm KVA VM'leri için de kullanılır. KVA sanal makinesi bir Kubernetes sanal IP yük dengeleyici hizmetini de barındırıyor.
Sanal IP havuzundan daha fazla IP adresi tükettiğinden, hedef sunuculara dağıtılan denetim düzlemi VM'lerinin sayısı için IP adresleme planlayın. Dikkat edilmesi gerekenler sonraki bölümde açıklanmıştır.
Hedef küme, HAProxy olan ve hedef küme için sanal IP Havuzu'na sahip olan bir yük dengeleyici VM içerir. Bu VM, sanal IP Havuzu aracılığıyla tüm Kubernetes hizmetlerini kullanıma sunar.
Kubernetes podlarında çalışan uygulamalar, sanal IP havuzundan IP adreslerini kullanır.
HAProxy yük dengeleyici özelleştirilmiş bir sanal makine olarak dağıtılır ve birden çok uç noktada gelen isteklerin yükünü dengelemek için kullanılabilir. Sanal IP havuzundan IP adreslerini tüketirler ve her iş yükü kümesi için IP adreslemeleri planlamanız gerekir.
Kubernetes düğümü VM IP havuzu
Kubernetes düğümleri, Azure Stack HCI dağıtımında bir AKS'de sanal makine olarak dağıtılır. IP adresi sayısını Kubernetes düğümlerinin toplam sayısına göre planladığınızdan ve yükseltme işlemi sırasında kullanılan en az üç IP adresi daha eklediğinizden emin olun. Statik IP adresi yapılandırması için Kubernetes düğümü VM IP havuzu aralığını belirtmeniz gerekir; bu, DHCP ayırma için gerekli değildir. Şu adresler için ek IP adresleri planlayın:
- KVA VM ayrıca Kubernetes düğümü VM IP havuzundan Kubernetes için daha fazla IP adresi kullanır. KVA VM, API hizmeti için aynı sanal IP'yi kullandığından ancak Kubernetes düğümü VM IP havuzundan ayrı bir IP gerektirdiğinden, güncelleştirme işlemi sırasında IP adresleri eklemeyi planlayın.
- Denetim Düzlemi VM'leri, API sunucusu hizmeti için Kubernetes düğümü VM IP havuzundan bir IP kullanır. Bu sanal makineler, yönetim amacıyla Azure portalına bağlanan Azure ARC aracısını da barındırıyor.
- Düğüm havuzundaki (Linux veya Windows) düğümler, Kubernetes düğüm VM'sine ayrılan IP havuzundan IP adreslerini kullanır.
Microsoft şirket içi bulut hizmeti
Azure Stack HCI'deki VM'lerin bulutta yönetilmesi için yönetim yığınını etkinleştiren Microsoft şirket içi bulutu (MOC) için IP adresi aralığını planlayın. MOC hizmetinin IP adresi ayırması temel alınan fiziksel ağdadır ve Azure Stack HCI küme düğümleri için yapılandırılan IP adresleri veri merkezinizdedir. Azure Stack HCI'nizin fiziksel düğümleri için IP adreslerini aşağıdakilerden birinde yapılandırabilirsiniz:
- DHCP tabanlı IP adresi ayırma moduna sahip Azure Stack HCI küme düğümleri. MOC hizmeti, fiziksel ağda sunulan DHCP hizmetinden bir IP adresi alır.
- Statik IP ayırma modeline sahip Azure Stack HCI küme düğümleri. MOC bulut hizmetinin IP adresi, Sınıfsız Etki Alanları Arası Yönlendirme (CIDR) biçiminde bir IP aralığı olarak açıkça belirtilmelidir ve Azure Stack HCI küme düğümlerinin IP adresleriyle aynı alt ağda olmalıdır.
Azure Stack HCI üzerinde AKS'de yük dengeleyici
Küçük bir dağıtım için, AKS kümesinin bir parçası olarak dağıtılan uygulama hizmetlerine trafik göndermek için HAProxy + KeepAlive kullanan bir Linux VM olarak dağıtılan yerleşik yük dengeleyiciyi kullanabilirsiniz. HAProxy yük dengeleyici, podları yük dengeleyicide uç nokta olarak yapılandırıyor. Kubernetes API sunucusuna denge istekleri yükler ve uygulama hizmetlerine yönelik trafiği yönetir.
Hizmetlerinize yönelik trafiği yönetmek için özel yük dengeleyici de kullanabilirsiniz. Özel yük dengeleyici, dağıtıma ek esneklik sağlar ve Azure Stack HCI üzerinde AKS'nin yük dengeleyiciler kullanan Yazılım Tanımlı Ağ (SDN) dağıtımları gibi mevcut dağıtımlarla birlikte çalışmasını sağlar. Özel yük dengeleyiciler için kube-virtual IP, Hem denetim düzlemi hem de LoadBalancer türündeki Kubernetes Services için sanal IP ve yük dengeleyici içeren Kubernetes kümeleri sağlar. Kube-virtual IP hizmeti her çalışan düğümüne otomatik olarak dağıtılır.
Azure Stack HCI üzerinde AKS, bir iş yükü kümesindeki hizmetleri hedefleyen trafiği dengelemek için MetalLB veya diğer OSS Kubernetes tabanlı yük dengeleyicilerin kullanımını da destekler. MetalLB, Sınır Ağ Geçidi protokolü BGP gibi standart yönlendirme protokollerini kullanan çıplak Kubernetes kümeleri için bir yük dengeleyici uygulamasıdır. Her iki ağ eklentisi, Calico ve Flannel ile de çalışabilir, ancak Azure Stack HCI'ye AKS yüklemesi sırasında sağlanan sanal IP adresi aralığının özel yük dengeleyici için planlanan IP adresi aralığıyla çakışmadığından emin olmanız gerekir.
Bu senaryoyu dağıtın
Giriş denetleyicisi dağıtma
TLS sonlandırması, geri alınabilen ara sunucu veya yapılandırılabilir trafik yönlendirmesi için bir giriş denetleyicisi uygulamayı göz önünde bulundurun. Giriş denetleyicileri Katman 7'de çalışır ve uygulama trafiğini dağıtmak için akıllı kurallar kullanabilir. Tek tek Kubernetes hizmetlerinde giriş kurallarını ve yolları yapılandırmak için Kubernetes giriş kaynakları kullanılır. Bir giriş denetleyicisi tanımladığınızda, trafik yönlendirme kurallarını kümenizin parçası olarak çalışan tek bir kaynakta birleştirirsiniz.
Dışarıdan erişilebilen URL'ler aracılığıyla hizmetleri kullanıma açmak için giriş denetleyicisi kullanın. Giriş, küme dışındaki HTTP ve HTTPS yollarını küme içindeki hizmetlere gösterir. Trafik yönlendirme, giriş kaynağında tanımlanan kurallar tarafından denetleniyor. Giriş HTTP kuralları aşağıdaki bilgileri içerir:
- İsteğe bağlı bir konak. Konak bilgilerini sağlamazsanız, kural tüm gelen HTTP trafiğine uygulanır.
- service.name ve service.port.name veya service.port.number ile tanımlanmış ilişkili arka ucu olan yolların listesi.
- Hizmet ve bağlantı noktası adlarının birleşimini sağlayan arka uç.
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: hello-world
annotations:
nginx.ingress.kubernetes.io/rewrite-target: /
kubernetes.io/ingress.class: "nginx"
spec:
rules:
- host: test.example.com
http:
paths:
- path: /hello-world
pathType: Prefix
backend:
service:
name: hello-world
port:
number: 8080
Uygulamanın farklı arka uçları arasındaki trafiği dengelemek için giriş denetleyicisi kullanın. Trafik bölünür ve yol bilgilerine göre farklı hizmet uç noktalarına ve dağıtımlarına gönderilir.
HTTP trafiğini aynı IP adresinde birden çok ana bilgisayar adına yönlendirmek için, her konak için farklı bir giriş kaynağı kullanabilirsiniz. Yük dengeleyici IP adresi üzerinden gelen trafik, ana bilgisayar adına ve giriş kuralında sağlanan yola göre yönlendirilir.
Azure Stack HCI üzerinde Azure Kubernetes Service'te (AKS) kapsayıcı ağı kavramları
Kubernetes, kapsayıcı tabanlı uygulamaların şirket içinde veya dışında iletişim kurabilmesi için sanal ağa bir soyutlama katmanı sağlar. Kube-proxy bileşeni her düğümde çalışır ve hizmete doğrudan erişim sağlayabilir, yük dengelerini kullanarak trafiği dağıtabilir veya daha karmaşık uygulama yönlendirmesi için giriş denetleyicilerini kullanabilir. Kubernetes, bir dizi podu mantıksal olarak gruplandırmak ve ağ bağlantısı sağlamak için hizmetleri kullanır. Aşağıdaki Kubernetes hizmetleri kullanılabilir:
- Küme IP'si: Bu hizmet, yalnızca iç uygulamalar için bir iç IP adresi oluşturur.
- NodePort: Bu hizmet, temel alınan düğümde bağlantı noktası eşlemesi oluşturur ve bu da uygulamanın düğüm IP adresi ve bağlantı noktası ile doğrudan erişilebilir olmasını sağlar.
- LoadBalancer: Yük dengeleyici kurallarını veya giriş denetleyicisini kullanarak Kubernetes hizmetlerini harici olarak kullanıma sunabilirsiniz.
- ExternalName:. Bu hizmet, Kubernetes uygulaması için belirli bir DNS girdisi kullanır.
Kubernetes ağları
Azure Stack HCI üzerinde AKS'de küme aşağıdaki ağ modellerinden biri kullanılarak dağıtılabilir:
- Project Calico networking. Bu, Azure Stack HCI üzerinde AKS için varsayılan bir ağ modelidir ve kapsayıcılar, sanal makineler ve yerel konak tabanlı iş yükleri için ağ güvenliği sağlayan açık kaynak bir ağı temel alır. Calico ağ ilkesi podlar, kapsayıcılar, VM'ler veya konak arabirimleri gibi her tür uç noktaya uygulanabilir. Her ilke, kaynak ve hedef uç noktalar arasında trafiğe izin verebilen, reddedebilen, günlüğe kaydedebilen veya geçirebilen eylemleri kullanarak giriş ve çıkış trafiğini denetleen kurallardan oluşur. Calico, trafik teslimi için Linux genişletilmiş Berkeley Paket Filtresi (eBPF) veya Linux çekirdek ağ işlem hattı kullanabilir. Calico, kapsayıcı uç noktası başına ağ ad alanları oluşturmak için Konak Ağ Hizmeti (HNS) kullanılarak Windows'da da desteklenir. Kubernetes ağ modelinde her pod, bu pod içindeki kapsayıcılar arasında paylaşılan kendi IP adresini alır. Podlar, pod IP adreslerini kullanarak ağ üzerinde iletişim kurar ve yalıtım ağ ilkeleri kullanılarak tanımlanır. Calico, Kubernetes pod ağına ve bu ağdan pod eklemek veya silmek için CNI (Kapsayıcı Ağ Arabirimi) eklentilerini ve IP adreslerini ayırmaya ve serbest bırakmaya yönelik CNI IPAM (IP Adresi Yönetimi) eklentilerini kullanıyor.
- Flannel katman ağı. Flannel, konak ağını kaplayan bir sanal ağ katmanı oluşturur. Katman ağı, mevcut fiziksel ağ üzerinden ağ paketlerini kapsüllemesini kullanır. Flannel, IP Adresi Yönetimi (IPAM) basitleştirir, farklı uygulamalar ve ad alanları arasında IP yeniden kullanımını destekler ve kapsayıcı ağlarının Kubernetes düğümleri tarafından kullanılan alt ağdan mantıksal ayrımını sağlar. Ağ yalıtımı, temel alınan Katman 3 ağı üzerinden Katman 2 bağlantılarını genişletmeye yönelik tünel kullanarak veri merkezi bağlantısı sağlayan bir kapsülleme protokolü olan Sanal Genişletilebilir Yerel Ağ (VXLAN) kullanılarak elde edilir. Flannel hem DaemonSet kullanan Linux kapsayıcıları hem de Flannel CNI eklentisi kullanan Windows kapsayıcıları tarafından desteklenir.
Azure Stack HCI ağ tasarımı
Genel ağ tasarımı, Azure Stack HCI için planlama etkinliklerini içerir.
İlk olarak, Azure Stack HCI'nin donanım ve yüklemesini planlayarak başlayın. Azure Stack HCI işletim sistemi önceden yüklenmiş bir Microsoft donanım iş ortağından tümleşik sistemler satın alabilir veya doğrulanmış düğümler satın alıp işletim sistemini kendiniz yükleyebilirsiniz. Azure Stack HCI sanallaştırma konağı olarak tasarlanmıştır, bu nedenle Kubernetes sunucu rolleri VM'ler içinde çalıştırılmalıdır.
Azure Stack HCI için fiziksel ağ gereksinimleri
Microsoft ağ anahtarlarını onaylamaz, ancak ekipmanın satıcısının karşılaması gereken belirli gereksinimlere sahiptir:
- Standart: Sanal yerel ağ (VLAN) tanımlayan IEEE 802.1Q.
- Standart: Öncelik Akışı Denetimi'ne (PFC) tanımlayan IEEE 802.1Qbb.
- Standart: Gelişmiş İletim Seçimi(ETS) tanımlayan IEEE 802.1Qaz.
- Standart: Bağlantı Katmanı TopolojiSi Bulma (LLTD) protokollerini tanımlayan IEEE 802.1AB.
Azure Stack HCI için konak ağ gereksinimleri
Standart veya Premium Ek Nitelik (AQ) ile Windows Server Yazılım Tanımlı Veri Merkezi (SDDC) sertifikasına ulaşmış bir ağ bağdaştırıcısı kullanmayı göz önünde bulundurun.
Ağ bağdaştırıcısının aşağıdakileri desteklediğinden emin olun:
- Dinamik Sanal Makine Çok Sıralı (Dinamik VMMQ veya d.VMMQ), ağ trafiği işlemenin CPU çekirdeklerine otomatik olarak ayarlanmasına yönelik akıllı, alış tarafı bir teknolojidir.
- Uzaktan Doğrudan Bellek Erişimi (RDMA), ağ bağdaştırıcısına bir ağ yığını boşaltma işlemidir. SMB depolama trafiğinin işlem için işletim sistemini atlamasına olanak tanır.
- Konuk RDMA, VM'ler için SMB iş yüklerinin konaklarda RDMA kullanmanın aynı avantajlarını elde etmelerini sağlar.
- Switch Embedded Teaming (SET), yazılım tabanlı bir ekip oluşturma teknolojisidir.
Konak ağ yapılandırmasını basitleştirmek için amaç tabanlı denetim sağlayan Ağ ATC'sini kullanmayı göz önünde bulundurun.
Azure Stack HCI üzerinde AKS, her sunucu düğümü arasında güvenilir bir yüksek bant genişliği, düşük gecikme süreli ağ bağlantısı gerektirir. Küme yönetimi için en az bir ağ bağdaştırıcısının kullanılabilir ve ayrılmış olduğundan emin olun. Ayrıca ağınızdaki fiziksel anahtarların, kullanacağınız tüm VLAN'larda trafiğe izin verecek şekilde yapılandırıldığını doğrulayın.
Sanal anahtar
Azure Stack HCI, ağ sınıflandırması için kullanılabilecek bir sanal anahtar yapılandırarak ağ tasarımını basitleştirir. Sanal ağ arabirim kartı (vNIC), konakların aşağıdaki ağlar için farklı trafik akışı sağlaması için farklı VLAN'lara yerleştirilebilir:
- Yönetim ağı. Yönetim ağı, kuzey-güney ağının bir parçasıdır ve konak iletişimi için kullanılır.
- İşlem ağı. İşlem ağı, kuzey-güney ağının bir parçasıdır ve sanal makine trafiği için kullanılır. Ağ performansını isteğe bağlı olarak ayarlamak için Hizmet Kalitesi (QOS), tek kök G/Ç sanallaştırma (SR-IOV) ve sanal Uzaktan Doğrudan Bellek Erişimi (vRDMA) kullanın.
- Depolama ağı. Depolama ağı doğu-batı ağının bir parçasıdır ve önerilen 10 GB+ aktarım hızına sahip RDMA gerektirir. VM'lerin dinamik geçişi için kullanılır.
- VM konuk ağı.
RDMA trafiğinin Doğu-Batı trafik avantajı
Doğu-Batı ağ trafiği konaklar arasındaki iletişimi temsil eder ve dış erişim sunmaz. Trafik Raf Üstü (ToR) anahtarı ve Katman 2 sınırı içinde kalır. Aşağıdaki trafik türlerini içerir:
- Küme sinyalleri ve düğümler arası iletişim
- [SMB] Depolama Veri Yolu Katmanı
- [SMB] Küme Paylaşılan Birimi
- [SMB] Depolama Yeniden Oluşturma
Kuzey-Güney trafiği
Kuzey-Güney trafiği, Azure Stack HCI kümesinde AKS'ye ulaşan dış trafiktir. Azure ARC tümleştirmesi aracılığıyla izlemeyi, faturalamayı ve güvenlik yönetimini etkinleştiren Azure hizmetleri aralığına yönelik trafiği planlayabilirsiniz. Kuzey-güney trafiği aşağıdaki özelliklere sahiptir:
- Trafik, bir ToR anahtarından omurgaya veya omurgadan bir ToR anahtarına doğru akar.
- Trafik fiziksel rafı terk eder veya katman 3 sınırını (IP) geçer.
- Trafik yönetim (PowerShell, Windows Yönetim Merkezi), işlem (VM) ve siteler arası esnetilmiş küme trafiğini içerir.
- Fiziksel ağa bağlantı için bir Ethernet anahtarı kullanır.
Azure Stack HCI üzerinde AKS çeşitli küme ağ dağıtım seçeneklerini kullanabilir:
- Birden Çok Ağ Amacını Birleştiren Yakınsanmış Ağ (MGMT, İşlem, Depolama). Bu, üçten fazla fiziksel düğüm için önerilen dağıtımdır ve tüm fiziksel ağ bağdaştırıcılarının aynı ToR anahtarlarına bağlı olmasını gerektirir. ROCEv2 kesinlikle önerilir.
- Anahtarsız dağıtım, işlem ve yönetim ağlarını birleştirerek ağ ekibi olarak Kuzey-Güney iletişimlerini kullanır.
- Her iki dağıtımın bir bileşimi olarak karma dağıtım.
Öneriler
Aşağıdaki öneriler çoğu senaryo için geçerlidir. Geçersiz kılan belirli bir gereksiniminiz olmadığı sürece önerileri izleyin.
Ağ önerileri
Azure Stack HCI üzerinde AKS'nin ağ tasarımındaki en önemli sorun, Kubernetes kümeniz ve hizmetleri ile uygulamaları için yeterli IP adresi sağlayan bir ağ modeli seçmektir.
Azure Stack HCI üzerinde AKS'nin IP adresi atamasını denetlemesine izin vermek için statik IP adresleri uygulamayı göz önünde bulundurun.
Kubernetes düğüm havuzu ve sanal IP havuzu için yeterli boş IP adresiniz olması için IP adresi aralıklarını düzgün bir şekilde boyutlandırın. Sanal IP havuzunuzun yeterince büyük olduğundan emin olun, böylece her yükseltirken daha fazla IP adresi gerektiren sıralı yükseltmeleri kullanabilirsiniz. Aşağıdakileri planlayabilirsiniz:
- Proxy ayarları için adresleme/ana bilgisayar adları
- Hedef küme denetim düzlemi için IP adresleri
- Azure ARC için IP adresleri
- Hedef kümelerde çalışan ve denetim düzlemi düğümlerinin yatay ölçeklendirmesi için IP adresleri
Sanal IP havuzunuz, dış yönlendiriciye bağlantı gerektiren uygulama hizmetlerinin dağıtımını destekleyecek kadar büyük olmalıdır.
Pod ve uygulama iletişimini denetlemeye yönelik gelişmiş ağ ilkesi sağlamak için Calico CNI uygulayın.
Fiziksel küme düğümlerinin (HCI veya Windows Server) aynı rafta bulunduğundan ve aynı ToR anahtarlarına bağlı olduğundan emin olun.
Tüm ağ bağdaştırıcılarında IPv6'yi devre dışı bırakın.
Mevcut sanal anahtarın ve adının tüm küme düğümleri arasında aynı olduğundan emin olun.
Kümeniz için tanımladığınız tüm alt ağların birbiriyle ve İnternet'e yönlendirilebilir olduğunu doğrulayın.
Azure Stack HCI konakları ile kiracı VM'leri arasında ağ bağlantısı olduğundan emin olun.
Azure Stack HCI üzerinde AKS'nin bulma için DNS sistemine bulut aracısı genel küme adını kaydetmesine izin vermek için DNS ortamınızda dinamik DNS güncelleştirmelerini etkinleştirin.
Ağ trafiğinin sınıflandırmasını kendi yönüne göre uygulamayı göz önünde bulundurun:
- Kuzey-Güney trafiği, Azure Stack HCI'den ve ağın geri kalanından gelen trafiktir.
- Yönetim
- İşlem
- Siteler arası esnetilmiş küme trafiği
- Azure Stack HCI içindeki Doğu-Batı trafiği:
- Aynı kümedeki düğümler arasında dinamik geçiş de dahil olmak üzere depolama trafiği.
- Ethernet anahtarı veya doğrudan bağlantı.
- Kuzey-Güney trafiği, Azure Stack HCI'den ve ağın geri kalanından gelen trafiktir.
Depolama trafiği modelleri
- Azure Stack HCI'de depolama trafiğini ayırmak için birden çok alt ağ ve VLAN kullanın.
- Çeşitli trafik türlerinin trafik bant genişliği ayırmasını uygulamayı göz önünde bulundurun.
Dikkat edilmesi gereken noktalar
Microsoft Azure İyi Tasarlanmış Çerçeve, bu senaryoda takip edilen bir dizi kılavuz ilkedir. Aşağıdaki konular bu ilkeler bağlamında ele alınmalıdır.
Güvenilirlik
- Microsoft yazılım tanımlı işlem (Hyper-V düğümlerinin yük devretme kümesi), depolama (Depolama Alanları Doğrudan iç içe dayanıklılık) ve ağ (Yazılım Tanımlı Ağ) için yerleşik dayanıklılık.
- Sektör standartlarını destekleyen ve düğümler arasında güvenilir iletişim sağlayan ağ anahtarını seçmeyi göz önünde bulundurun. Aşağıdaki standartlar şunlardır:
- Standart: IEEE 802.1Q
- Standart IEEE 802.1Qbb
- Standart IEEE 802.1 Qas
- Standart IEEE 802.1 AB
- İş yükleri için en düşük kullanılabilirlik düzeyini karşılamak için yönetim kümesinde ve Kubernetes kümesinde birden çok konak uygulamayı göz önünde bulundurun.
- Azure Stack HCI üzerinde AKS, yüksek kullanılabilirlik ve hataya dayanıklılık için yük devretme kümelemesi ve dinamik geçiş kullanır. Dinamik geçiş, çalışan sanal makineleri kapalı kalma süresi algılanmadan bir Hyper-V konağından diğerine saydam olarak taşımanızı sağlayan bir Hyper-V özelliğidir.
- Mimari bölümünde başvurulan hizmetlerin Azure Arc'ın dağıtıldığı bölgede desteklendiğinden emin olmalısınız.
Güvenlik
- Azure Stack HCI üzerinde AKS'de ağ ilkelerini kullanarak podlar arasındaki trafiğin güvenliğini sağlama.
- Azure Stack HCI üzerinde AKS'deki API sunucusu, Kubernetes API sunucusundan kubelet'e iletişim için sertifikaları imzalayan Sertifika Yetkilisi'ni içerir.
- Kubernetes API sunucusuna güvenli bir bağlantı oluşturmak için Microsoft Entra çoklu oturum açma (SSO) kullanın.
- Azure RBAC'yi kullanarak Microsoft Entra kimliklerini kullanarak Azure ve şirket içi ortamlarda Azure Arc özellikli Kubernetes'e erişimi yönetebilirsiniz. Daha fazla bilgi için bkz . Kubernetes Yetkilendirmesi için Azure RBAC kullanma.
Maliyet iyileştirme
- Mimaride kullanılan hizmetlerin maliyetlerini tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın. Diğer en iyi yöntemler, Microsoft Azure İyi Tasarlanmış Çerçeve'nin maliyet iyileştirme bölümünde açıklanmıştır.
- Azure Stack HCI'de AKS faturalama birimi bir sanal çekirdek olduğundan maliyeti iyileştirmek için fiziksel bilgisayarınızda hiper iş parçacığı oluşturmayı göz önünde bulundurun.
- Azure Arc kontrol düzlemi işlevselliği ek ücret ödemeden sağlanır. Buna Azure yönetim grupları ve etiketleri aracılığıyla kaynak düzenleme desteği ve Azure RBAC üzerinden erişim denetimi dahildir. Azure Arc özellikli sunucularla birlikte kullanılan Azure hizmetleri kullanımlarına göre maliyete neden olur.
- Maliyet verimliliği için, düğüm başına yalnızca dört disk ve 64 gigabayt (GB) bellek içeren iki küme düğümü kadar kullanabilirsiniz. Maliyetleri daha da en aza indirmek için düğümler arasındaki anahtarsız ara bağlantıları kullanarak yedekli anahtar cihazlarına olan ihtiyacı ortadan kaldırabilirsiniz.
Operasyonel mükemmellik
- Windows Yönetim Merkezi'ni kullanarak basitleştirilmiş yönetim. Windows Yönetim Merkezi, Azure Stack HCI üzerinde AKS oluşturmaya ve yönetmeye yönelik kullanıcı arabirimidir. Azure'a kaydedilmesi gereken ve Azure Stack HCI veya Windows Server Datacenter kümesiyle aynı etki alanında bulunan Windows 10/11 veya Windows Server VM'sine yüklenebilir.
- Azure Arc ile tümleştirme veya daha fazla yönetim, bakım ve dayanıklılık özellikleri (Azure İzleyici, Azure Backup) sağlayan bir dizi Azure hizmeti.
- Kubernetes kümeniz Azure Arc'a bağlıysa GitOps kullanarak Kubernetes kümenizi yönetebilirsiniz. Karma Kubernetes kümesini Azure Arc'a bağlamaya yönelik en iyi yöntemleri gözden geçirmek için Bkz . Kubernetes kümeleri için Azure Arc karma yönetimi ve dağıtımı senaryosu.
- Azure Stack HCI platformu, "temel alınan" ağı yüksek oranda kullanılabilir bir şekilde sağlayarak Azure Stack HCI kümelerinde AKS için sanal ağı basitleştirmeye de yardımcı olur.
Performans verimliliği
- Gelişmiş uygulama çalışma süresi ve performansı, basitleştirilmiş yönetim ve işlemler ve daha düşük toplam sahip olma maliyeti için Azure Stack HCI sertifikalı donanım kullanın.
- Depolama: Depolama Alanları Doğrudan
- Birim yapılandırması (iç içe iki yönlü yansıtma ile iç içe yerleştirilmiş yansıtma hızlandırılmış eşlik)
- Disk yapılandırması (önbelleğe alma, katmanlar)
- Küme düğümlerinin fiziksel olarak aynı rafta bulunduğundan ve aynı ToR anahtarlarına bağlı olduğundan emin olun.
- AKS konaklarını, iş yükü kümelerini, Küme API sunucularını, Kubernetes Services'ı ve uygulama hizmetlerini yapılandırmak için IP adresi rezervasyonlarını planlayın. Microsoft, Azure Stack HCI'de AKS dağıtımı için en az 256 IP adresi ayırmanızı önerir.
- Katman 7'de çalışan ve uygulama trafiğini dağıtmak için daha akıllı kurallar kullanan bir giriş denetleyicisi uygulamayı göz önünde bulundurun.
- Kapsamlı iş yükleri için grafik işleme birimi (GPU) hızlandırmasını kullanın.
Katkıda Bulunanlar
Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.
Asıl yazarlar:
- Lisa DenBeste | Proje Yönetimi Program Yöneticisi
- Kenny Harder | Proje Yöneticisi
- Mike Kostersitz | Asıl Program Yöneticisi Müşteri Adayı
- Meg Olsen | Müdür
- Nate Waters | Ürün Pazarlama Yöneticisi
Diğer katkıda bulunanlar:
- Walter Oliver | Üst Düzey Program Yöneticisi