Azure Arc 在 VMware 網路需求上啟用的 AKS (預覽)
適用於:Azure Arc 在 VMware (預覽版上啟用的 AKS)
本文介紹在 VMware 上由 Azure Arc 啟用的 Azure Kubernetes Service (AKS) 中,為 VM 和應用程式提供網路功能的核心概念:
- Arc VM 所啟用 AKS 的邏輯網路
- 控制平面IP
- Kubernetes 負載平衡器
本文也說明建立 Kubernetes 叢集所需的網路必要條件。 我們建議您與網路管理員合作,以提供和設定部署 AKS 所需的網路參數。
AKS 叢集的網路概念
請確定您已針對 Kubernetes 叢集中的下列元件正確設定網路功能:
- AKS 叢集 VM
- AKS 控制平面IP
- 容器化應用程式的負載平衡器
AKS 叢集 VM 的網路
Kubernetes 節點會部署為 AKS 中的特製化虛擬機。 這些 VM 會設定 IP 位址,以啟用 Kubernetes 節點之間的通訊。 AKS 會使用 VMware 邏輯網路區段,為 Kubernetes 叢集的基礎 VM 提供 IP 位址和網路功能。 在此預覽中,僅支援 DHCP 型 VMware 邏輯網路區段。 在 AKS Arc 叢集建立期間提供 VMware 網路區段之後,IP 位址會動態配置給 Kubernetes 叢集的基礎 VM。
控制平面IP
Kubernetes 會使用控制平面來確保 Kubernetes 叢集中的每個元件都維持在所需的狀態。 控制平面也會管理和維護保存容器化應用程式的背景工作節點。 AKS 會部署 KubeVIP 負載平衡器,以確保 Kubernetes 控制平面的 API 伺服器 IP 位址永遠可用。 若要正確運作,此 KubeVIP 實例需要單一不可變的「控制平面 IP 位址」。控制平面IP是建立 Kubernetes 叢集的必要參數。 您必須確定 Kubernetes 叢集的控制平面 IP 位址不會與任何其他 IP 位址重疊。 重疊的IP位址可能會導致AKS叢集和使用IP位址的任何其他位置發生非預期的失敗。 您必須規劃在環境中為每個 Kubernetes 叢集保留一個 IP 位址。 請確定控制平面IP位址已從 DHCP 伺服器的範圍中排除。
容器化應用程式的負載平衡器IP
負載平衡器的主要目的是將流量分散到 Kubernetes 叢集中的多個節點。 此負載平衡有助於防止停機並改善應用程式的整體效能。 在此預覽中,您必須自備第三方負載平衡器;例如 ,MetalLB。 您也必須確定配置給負載平衡器的IP位址不會與任何其他位置使用的IP位址衝突。 衝突的IP位址可能會導致AKS部署和應用程式中未預期的失敗。
Kubernetes 叢集和應用程式的IP位址規劃
您至少應該有下列每個 Kubernetes 叢集可用的 IP 位址數目。 實際IP位址數目取決於 Kubernetes 叢集數目、每個叢集中的節點數目,以及您想要在 Kubernetes 叢集上執行的服務和應用程式數目:
| 參數 | IP 位址數目下限 |
|---|---|
| VMware 邏輯網路區段 | Kubernetes 叢集中每個背景工作節點的一個IP位址。 例如,如果您想要在每個節點集區中建立具有 3 個節點的 3 個節點集區,則需要來自 DHCP 伺服器的 9 個可用 IP 位址。 |
| 控制平面IP | 為您的環境中每個 Kubernetes 叢集保留一個 IP 位址。 例如,如果您需要總共建立5個叢集,您必須保留5個IP位址,每個 Kubernetes 叢集各保留一個。 這 5 個 IP 位址必須超出 DHCP 伺服器的範圍。 |
| 負載平衡器 IP | 保留的IP位址數目取決於您的應用程式部署模型。 作為起點,您可以為每個 Kubernetes 服務保留一個 IP 位址。 |
Proxy 設定
在此預覽版中,不支援在已啟用 Proxy 的 VMware 環境中建立 AKS Arc 叢集。
防火牆 URL 例外狀況
如需 Azure Arc 防火牆/Proxy URL 允許清單的相關信息,請參閱 Azure Arc 資源網橋網路需求。
針對 Kubernetes 叢集的部署和作業,必須可從部署中的所有實體節點和虛擬機連線到下列 URL。 請確定防火牆設定中允許這些 URL:
| URL | 連接埠 |
|---|---|
| .dp.prod.appliances.azure.com | HTTPS/443 |
| .eus.his.arc.azure.com | HTTPS/443 |
| guestnotificationservice.azure.com | HTTPS/443 |
| .dp.kubernetesconfiguration.azure.com | HTTPS/443 |
| management.azure.com | HTTPS/443 |
| raw.githubusercontent.com | HTTPS/443 |
| storage.googleapis.com | HTTPS/443 |
| msk8s.api.cdp.microsoft.com | HTTPS/443 |
| adhs.events.data.microsoft.com | HTTPS/443 |
| .events.data.microsoft.com | HTTPS/443 |
| graph.microsoft.com | HTTPS/443 |
| .login.microsoft.com | HTTPS/443 |
| mcr.microsoft.com | HTTPS/443 |
| .data.mcr.microsoft.com | HTTPS/443 |
| msk8s.sb.tlu.dl.delivery.mp.microsoft.com | HTTPS/443 |
| .prod.microsoftmetrics.com | HTTPS/443 |
| login.microsoftonline.com | HTTPS/443 |
| dc.services.visualstudio.com | HTTPS/443 |
| ctldl.windowsupdate.com | HTTP/80 |
| azurearcfork8s.azurecr.io | HTTPS/443 |
| ecpacr.azurecr.io | HTTPS/443 |
| hybridaks.azurecr.io | HTTPS/443 |
| kvamanagementoperator.azurecr.io | HTTPS/443 |
| linuxgeneva-microsoft.azurecr.io | HTTPS/443 |
| gcr.io | HTTPS/443 |
| aka.ms | HTTPS/443 |
| k8connecthelm.azureedge.net | HTTPS/443 |
| k8sconnectcsp.azureedge.net | HTTPS/443 |
| .blob.core.windows.net | HTTPS/443 |