Düzenle

Aracılığıyla paylaş

Azure Yerel'de AKS için ağ mimarisi

Azure Stack HCI
Windows Server

Bu senaryoda AKS kümelerinde Azure Kubernetes Service (AKS) düğümlerini dağıtmak için ağ kavramlarını tasarlama ve uygulama gösterilmektedir.

Bu makale, Kubernetes düğümleri ve Kubernetes kapsayıcıları için ağ tasarımı önerileri içerir. İki makaleden oluşan mimari temel kılavuz kümesinin bir parçasıdır. Burada temel mimari önerilerine bakın.

Önemli

Bu makaledeki bilgiler Azure Stack HCI, sürüm 22H2 ve Windows Serverüzerinde AKS-HCI AKS için geçerlidir. AKS'nin en son sürümü Azure Stack HCI işletim sistemi, sürüm 23H2 üzerinde çalışır. En son sürüm hakkında daha fazla bilgi için AKS on Azure Stack HCI OS, sürüm 23H2 belgelerinebakın.

Mimari

Aşağıdaki görüntüde, Azure Yerel veya Windows Server 2019/2022 veri merkezi kümelerinde Azure Kubernetes Service için ağ mimarisi gösterilmektedir:

Ağ temeli mimarisini gösteren kavramsal grafik.

Bu mimarinin bir Visio dosyasını indirin.

Senaryo aşağıdaki bileşenlerden ve özelliklerden oluşur:

  • Azure Stack HCI, sürüm 22H2, sanallaştırılmış Windows ve Linux iş yüklerini ve bunların hibrit şirket içi ortamındaki depolamalarını barındıran hiper yakınsanmış bir altyapı (HCI) kümesi çözümüdür. Azure Yerel örneği 2-4 düğümlü bir küme olarak uygulanır.
  • Windows Server 2019/2022 veri merkezi yük devretme kümesi, kümelenmiş rollerin kullanılabilirliğini ve ölçeklenebilirliğini artırmak için birlikte çalışan bağımsız bir bilgisayar grubudur.
  • Azure Yerel üzerinde Azure Kubernetes Service , kapsayıcılı uygulamaları büyük ölçekte çalıştırmayı otomatikleştiren şirket içi bir Azure Kubernetes Service (AKS) uygulamasıdır.
  • Active Directory Etki Alanı Hizmetleri, ağdaki nesneler hakkında bilgi depolayan hiyerarşik bir yapıdır. Kullanıcılar, bilgisayarlar, uygulamalar veya bir güvenlik sınırına dahil edilen diğer kaynaklarla ilişkili kimlikler için kimlik ve erişim çözümü sağlar.
  • AKS konağı olarak da bilinen yönetim kümesi , birden çok iş yükü kümesini dağıtmak ve yönetmekle sorumludur. Yönetim kümesi düğüm havuzundan 1 IP adresi kullanır, ancak güncelleştirme işlemleri için 2 IP daha ayırmanız gerekir. Yönetim kümesi ayrıca VIP havuzundan bir IP de tüketir.
  • İş Yükü Kümesi , Kubernetes denetim düzlemi bileşenlerini ve Linux ve/veya Windows çalışan düğümlerini çalıştırmak için Linux VM'leri kullanan yüksek oranda kullanılabilir bir Kubernetes dağıtımıdır.
    • Kontrol düzlemi. Linux dağıtımı üzerinde çalışır ve kümenin tüm yapılandırmasını ve verilerini depolamak için Kubernetes API'siyle ve dağıtılmış anahtar-değer deposuyla vb. etkileşim için API sunucusu bileşenleri içerir. Düğüm havuzundan bir IP ve VIP havuzundan bir IP tüketir.
    • Yük dengeleyici. Linux VM üzerinde çalışır ve iş yükü kümesi için yük dengeli hizmetler sağlar. Düğüm havuzundan bir IP ve VIP havuzundan bir IP tüketir.
    • Çalışan düğümleri. Kapsayıcılı uygulamaları barındıran bir Windows veya Linux işletim sisteminde çalıştırın. Düğüm havuzundan IP adreslerini kullanır, ancak güncelleştirme işlemleri için en az 3 IP adresi daha planlamanız gerekir.
    • Kubernetes kaynakları. Podlar, uygulamanızın genellikle kapsayıcıyla 1:1 eşlemesi olan tek bir örneğini temsil eder, ancak bazı podlar birden çok kapsayıcı içerebilir. Dağıtımlar bir veya daha fazla özdeş podu temsil eder. Podlar ve dağıtımlar mantıksal olarak kaynakların yönetimine erişimi denetleen bir ad alanında gruplandırılır. VIP havuzundan pod başına 1 IP tüketir.
  • Azure Arc , Azure Resource Manager tabanlı yönetim modelini sanal makineler (VM'ler), Kubernetes kümeleri ve kapsayıcılı veritabanları gibi Azure dışı kaynaklara genişleten bulut tabanlı bir hizmettir.
  • Azure İlkesi, özellikleri özelleştirilebilir iş kurallarıyla karşılaştırarak Azure Arc ile tümleştirme yoluyla Azure ve şirket içi kaynakları değerlendiren bulut tabanlı bir hizmettir.
  • Azure İzleyici , bulut ve şirket içi ortamlarınızdan telemetri verilerini toplamak, analiz etmek ve üzerinde işlem gerçekleştirmek için kapsamlı bir çözüm sunarak uygulamalarınızın ve hizmetlerinizin kullanılabilirliğini ve performansını en üst düzeye çıkaran bulut tabanlı bir hizmettir.
  • Bulut için Microsoft Defender, veri merkezlerinizin güvenlik duruşunu güçlendiren ve buluttaki ve şirket içindeki hibrit iş yükleriniz arasında gelişmiş tehdit koruması sağlayan birleşik bir altyapı güvenlik yönetim sistemidir.

Bileşenler

Senaryo ayrıntıları

Bu senaryonun kullanım örnekleri, serinin ilk makalesi olan Temel mimaride açıklanmıştır.

Kubernetes düğüm ağı

Azure Local üzerinde AKS için ağ tasarımında dikkat edilmesi gereken önemli nokta, yeterli IP adresi sağlayan ağ modelini seçmektir. Azure Yerel'de AKS, Kubernetes düğüm kaynaklarına IP adresleri ayırmak için sanal ağı kullanır. İki IP adresi atama modeli kullanabilirsiniz:

  • Statik IP ağı daha tahmin edilebilirdir, ancak ilk yapılandırma için ek çaba ekler.
  • Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) ağı, IP adreslerini dinamik olarak ayırmayı ve daha az çabayı kullanır, ancak kullanılabilir IP havuzunu tüketmemeye dikkat etmeniz gerekir. Ayrıca sanal IP havuzları ve bulut aracısı hizmeti gibi belirli küme genelindeki kaynaklar için rezervasyonları ve dışlama aralıklarını yönetmeniz gerekir.

Her iki atama modeli de aşağıdakiler için IP adreslerini planlamalıdır:

  • Sanal IP havuzu
  • Kubernetes düğümü VM IP havuzu

Sanal IP havuzu

Sanal IP havuzu, Azure Yerel dağıtımındaki tüm AKS'ler için zorunlu olan bir IP adresleri kümesidir. sanal IP havuzundaki IP adreslerinin sayısını iş yükü kümelerinin ve Kubernetes hizmetlerinin sayısına göre planlayın. Sanal IP havuzu aşağıdaki kaynak türleri için IP adresleri sağlar:

  • Bulut aracısı, sanal IP havuzundan kayan bir IP adresi gerektirir.

  • Kubernetes Sanal Gereci (KVA) sanal makinesi (yönetim kümesi) içinde çalışan API sunucusu bileşeni, sanal IP havuzundan bir IP adresi kullanır. API sunucusu, Kubernetes API'sini kullanıma sunan Kubernetes denetim düzleminin bir bileşenidir. API sunucusu, Kubernetes denetim düzleminin ön ucudur. KVA, Mariner Linux çalıştıran ve bir Kubernetes kümesi barındıran bir sanal makinedir. IP adresi kayandır ve Azure Yerel'de AKS'de dağıttığınız diğer tüm KVA VM'leri için de kullanılır. KVA sanal makinesi bir Kubernetes sanal IP yük dengeleyici hizmetini de barındırıyor.

  • Sanal IP havuzundan daha fazla IP adresi tükettiğinden, hedef sunuculara dağıtılan denetim düzlemi VM'lerinin sayısı için IP adresleme planlayın. Dikkat edilmesi gerekenler sonraki bölümde açıklanmıştır.

  • Hedef küme, HAProxy olan ve hedef küme için sanal IP Havuzu'na sahip olan bir yük dengeleyici VM içerir. Bu VM, sanal IP Havuzu aracılığıyla tüm Kubernetes hizmetlerini kullanıma sunar.

  • Kubernetes podlarında çalışan uygulamalar, sanal IP havuzundan IP adreslerini kullanır.

  • HAProxy yük dengeleyici özelleştirilmiş bir sanal makine olarak dağıtılır ve birden çok uç noktada gelen isteklerin yükünü dengelemek için kullanılabilir. Sanal IP havuzundan IP adreslerini tüketirler ve her iş yükü kümesi için IP adreslemeleri planlamanız gerekir.

Kubernetes düğümü VM IP havuzu

Kubernetes düğümleri, Azure Yerel dağıtımında bir AKS'de sanal makine olarak dağıtılır. IP adresi sayısını Kubernetes düğümlerinin toplam sayısına göre planladığınızdan ve yükseltme işlemi sırasında kullanılan en az üç IP adresi daha eklediğinizden emin olun. Statik IP adresi yapılandırması için Kubernetes düğümü VM IP havuzu aralığını belirtmeniz gerekir; bu, DHCP ayırma için gerekli değildir. Şu adresler için ek IP adresleri planlayın:

  • KVA VM ayrıca Kubernetes düğümü VM IP havuzundan Kubernetes için daha fazla IP adresi kullanır. KVA VM, API hizmeti için aynı sanal IP'yi kullandığından ancak Kubernetes düğümü VM IP havuzundan ayrı bir IP gerektirdiğinden, güncelleştirme işlemi sırasında IP adresleri eklemeyi planlayın.
  • Denetim Düzlemi VM'leri, API sunucusu hizmeti için Kubernetes düğümü VM IP havuzundan bir IP kullanır. Bu sanal makineler, yönetim amacıyla Azure portalına bağlanan Azure ARC aracısını da barındırıyor.
  • Düğüm havuzundaki (Linux veya Windows) düğümler, Kubernetes düğüm VM'sine ayrılan IP havuzundan IP adreslerini kullanır.

Microsoft şirket içi bulut hizmeti

Azure Yerel'deki VM'lerin bulutta yönetilmesi için yönetim yığınını etkinleştiren Microsoft şirket içi bulutu (MOC) için IP adresi aralığını planlayın. MOC hizmetinin IP adresi ayırması temel alınan fiziksel ağdadır ve Azure Yerel küme düğümleri için yapılandırılan IP adresleri veri merkezinizdedir. Azure Yerel'inizin fiziksel düğümleri için IP adreslerini aşağıdakilerden birinde yapılandırabilirsiniz:

  • DHCP tabanlı IP adresi ayırma moduna sahip Azure Yerel küme düğümleri. MOC hizmeti, fiziksel ağda sunulan DHCP hizmetinden bir IP adresi alır.
  • Statik IP ayırma modeline sahip Azure Yerel küme düğümleri. MOC bulut hizmetinin IP adresi, Sınıfsız Inter-Domain Yönlendirme (CIDR) biçiminde bir IP aralığı olarak açıkça belirtilmelidir ve Azure Yerel küme düğümlerinin IP adresleriyle aynı alt ağda olmalıdır.

Azure Yerel üzerinde AKS'de yük dengeleyici

Küçük bir dağıtım için, AKS kümesinin bir parçası olarak dağıtılan uygulama hizmetlerine trafik göndermek için HAProxy + KeepAlive kullanan bir Linux VM olarak dağıtılan yerleşik yük dengeleyiciyi kullanabilirsiniz. HAProxy yük dengeleyici, podları yük dengeleyicide uç nokta olarak yapılandırıyor. Kubernetes API sunucusuna denge istekleri yükler ve uygulama hizmetlerine yönelik trafiği yönetir.

Hizmetlerinize yönelik trafiği yönetmek için özel yük dengeleyici de kullanabilirsiniz. Özel yük dengeleyici, dağıtıma ek esneklik sağlar ve Azure Yerel'de AKS'nin yük dengeleyiciler kullanan Yazılım Tanımlı Ağ (SDN) dağıtımları gibi mevcut dağıtımlarla birlikte çalışmasını sağlar. Özel yük dengeleyiciler için kube-virtual IP, Hem denetim düzlemi hem de LoadBalancer türündeki Kubernetes Services için sanal IP ve yük dengeleyici içeren Kubernetes kümeleri sağlar. Kube-virtual IP hizmeti her çalışan düğümüne otomatik olarak dağıtılır.

Azure Yerel üzerinde AKS, bir iş yükü kümesindeki hizmetleri hedefleyen trafiği dengelemek için MetalLB veya diğer OSS Kubernetes tabanlı yük dengeleyicilerin kullanımını da destekler. MetalLB, Sınır Ağ Geçidi protokolü BGP gibi standart yönlendirme protokollerini kullanan çıplak Kubernetes kümeleri için bir yük dengeleyici uygulamasıdır. Her iki ağ eklentisi, Calico ve Flannel ile de çalışabilir, ancak Azure Yerel'de AKS yüklemesi sırasında sağlanan sanal IP adresi aralığının özel yük dengeleyici için planlanan IP adresi aralığıyla çakışmadığından emin olmanız gerekir.

Bu senaryoyu dağıtın

Giriş denetleyicisi dağıtma

TLS sonlandırması, geri alınabilen ara sunucu veya yapılandırılabilir trafik yönlendirmesi için bir giriş denetleyicisi uygulamayı göz önünde bulundurun. Giriş denetleyicileri Katman 7'de çalışır ve uygulama trafiğini dağıtmak için akıllı kurallar kullanabilir. Tek tek Kubernetes hizmetlerinde giriş kurallarını ve yolları yapılandırmak için Kubernetes giriş kaynakları kullanılır. Bir giriş denetleyicisi tanımladığınızda, trafik yönlendirme kurallarını kümenizin parçası olarak çalışan tek bir kaynakta birleştirirsiniz.

Dışarıdan erişilebilen URL'ler aracılığıyla hizmetleri kullanıma açmak için giriş denetleyicisi kullanın. Giriş, küme dışındaki HTTP ve HTTPS yollarını küme içindeki hizmetlere gösterir. Trafik yönlendirme, giriş kaynağında tanımlanan kurallar tarafından denetleniyor. Giriş HTTP kuralları aşağıdaki bilgileri içerir:

  • İsteğe bağlı bir konak. Konak bilgilerini sağlamazsanız, kural tüm gelen HTTP trafiğine uygulanır.
  • service.name ve service.port.name veya service.port.number ile tanımlanmış ilişkili arkaucu olan yolların listesi.
  • Hizmet ve bağlantı noktası adlarının birleşimini sağlayan arka uç.
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: hello-world
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
    kubernetes.io/ingress.class: "nginx"
spec:
  rules:
  - host: test.example.com
     http:
       paths:
       - path: /hello-world
          pathType: Prefix
          backend:
            service:
              name: hello-world
              port:
                 number: 8080

Uygulamanın farklı arka uçları arasındaki trafiği dengelemek için giriş denetleyicisi kullanın. Trafik bölünür ve yol bilgilerine göre farklı hizmet uç noktalarına ve dağıtımlarına gönderilir.

HTTP trafiğini aynı IP adresinde birden çok ana bilgisayar adına yönlendirmek için, her konak için farklı bir giriş kaynağı kullanabilirsiniz. Yük dengeleyici IP adresi üzerinden gelen trafik, ana bilgisayar adına ve giriş kuralında sağlanan yola göre yönlendirilir.

Azure Yerel'de Azure Kubernetes Service'te (AKS) kapsayıcı ağı kavramları

Kubernetes, kapsayıcı tabanlı uygulamaların şirket içinde veya dışında iletişim kurabilmesi için sanal ağa bir soyutlama katmanı sağlar. Kube-proxy bileşeni her düğümde çalışır ve hizmete doğrudan erişim sağlayabilir, yük dengelerini kullanarak trafiği dağıtabilir veya daha karmaşık uygulama yönlendirmesi için giriş denetleyicilerini kullanabilir. Kubernetes, bir dizi podu mantıksal olarak gruplandırmak ve ağ bağlantısı sağlamak için hizmetleri kullanır. Aşağıdaki Kubernetes hizmetleri kullanılabilir:

  • Küme IP'si: Bu hizmet, yalnızca iç uygulamalar için bir iç IP adresi oluşturur.
  • NodePort: Bu hizmet, temel alınan düğümde bağlantı noktası eşlemesi oluşturur ve bu da uygulamanın düğüm IP adresi ve bağlantı noktası ile doğrudan erişilebilir olmasını sağlar.
  • LoadBalancer: Yük dengeleyici kurallarını veya giriş denetleyicisini kullanarak Kubernetes hizmetlerini harici olarak kullanıma sunabilirsiniz.
  • ExternalName:. Bu hizmet, Kubernetes uygulaması için belirli bir DNS girdisi kullanır.

Kubernetes ağları

Azure Yerel'de AKS'de küme aşağıdaki ağ modellerinden biri kullanılarak dağıtılabilir:

  • Project Calico networking. Bu, Azure Yerel'de AKS için varsayılan bir ağ modelidir ve kapsayıcılar, sanal makineler ve yerel konak tabanlı iş yükleri için ağ güvenliği sağlayan açık kaynaklı bir ağı temel alır. Calico ağ ilkesi podlar, kapsayıcılar, VM'ler veya konak arabirimleri gibi her tür uç noktaya uygulanabilir. Her ilke, kaynak ve hedef uç noktalar arasında trafiğe izin verebilen, reddedebilen, günlüğe kaydedebilen veya geçirebilen eylemleri kullanarak giriş ve çıkış trafiğini denetleen kurallardan oluşur. Calico, trafik teslimi için Linux genişletilmiş Berkeley Paket Filtresi (eBPF) veya Linux çekirdek ağ işlem hattı kullanabilir. Calico, kapsayıcı uç noktası başına ağ ad alanları oluşturmak için Konak Ağ Hizmeti (HNS) kullanılarak Windows'da da desteklenir. Kubernetes ağ modelinde her pod, bu pod içindeki kapsayıcılar arasında paylaşılan kendi IP adresini alır. Podlar, pod IP adreslerini kullanarak ağ üzerinde iletişim kurar ve yalıtım ağ ilkeleri kullanılarak tanımlanır. Calico, Kubernetes pod ağına ve bu ağdan pod eklemek veya silmek için CNI (Kapsayıcı Ağ Arabirimi) eklentilerini ve IP adreslerini ayırmaya ve serbest bırakmaya yönelik CNI IPAM (IP Adresi Yönetimi) eklentilerini kullanıyor.
  • Flannel katman ağı. Flannel, konak ağını kaplayan bir sanal ağ katmanı oluşturur. Katman ağı, mevcut fiziksel ağ üzerinden ağ paketlerini kapsüllemesini kullanır. Flannel, IP Adresi Yönetimi (IPAM) basitleştirir, farklı uygulamalar ve ad alanları arasında IP yeniden kullanımını destekler ve kapsayıcı ağlarının Kubernetes düğümleri tarafından kullanılan alt ağdan mantıksal ayrımını sağlar. Ağ yalıtımı, temel alınan Katman 3 ağı üzerinden Katman 2 bağlantılarını genişletmeye yönelik tünel kullanarak veri merkezi bağlantısı sağlayan bir kapsülleme protokolü olan Sanal Genişletilebilir Yerel Ağ (VXLAN) kullanılarak elde edilir. Flannel hem DaemonSet kullanan Linux kapsayıcıları hem de Flannel CNI eklentisi kullanan Windows kapsayıcıları tarafından desteklenir.

Azure Yerel ağ tasarımı

Genel ağ tasarımı, Azure Yerel için planlama etkinliklerini içerir.

İlk olarak, Azure Local'ın donanımını ve yüklemesini planlayarak başlayın. Azure Stack HCI işletim sistemi önceden yüklenmiş bir Microsoft donanım iş ortağından tümleşik sistemler satın alabilir veya doğrulanmış düğümler satın alıp işletim sistemini kendiniz yükleyebilirsiniz. Azure Yerel sanallaştırma konağı olarak tasarlanmıştır, bu nedenle Kubernetes sunucu rolleri VM'ler içinde çalıştırılmalıdır.

Azure Yerel için fiziksel ağ gereksinimleri

Microsoft ağ anahtarlarını onaylamaz, ancak ekipmanın satıcısının karşılaması gereken belirli gereksinimlere sahiptir:

  • Standart: Sanal yerel ağ (VLAN) tanımlayan IEEE 802.1Q.
  • Standart: Öncelik Akışı Denetimi'ne (PFC) tanımlayan IEEE 802.1Qbb.
  • Standart: Gelişmiş İletim Seçimi(ETS) tanımlayan IEEE 802.1Qaz.
  • Standart: Bağlantı Katmanı TopolojiSi Bulma (LLTD) protokollerini tanımlayan IEEE 802.1AB.

Azure Yerel için konak ağ gereksinimleri

Standart veya Premium Ek Nitelik (AQ) ile Windows Server Yazılım Tanımlı Veri Merkezi (SDDC) sertifikasına ulaşmış bir ağ bağdaştırıcısı kullanmayı göz önünde bulundurun.

Ağ bağdaştırıcısının aşağıdakileri desteklediğinden emin olun:

  • Dinamik Sanal Makine Çok Sıralı (Dinamik VMMQ veya d.VMMQ), ağ trafiği işlemenin CPU çekirdeklerine otomatik olarak ayarlanmasına yönelik akıllı, alış tarafı bir teknolojidir.
  • Uzaktan Doğrudan Bellek Erişimi (RDMA), ağ bağdaştırıcısına bir ağ yığını boşaltma işlemidir. SMB depolama trafiğinin işlem için işletim sistemini atlamasına olanak tanır.
  • Konuk RDMA, VM'ler için SMB iş yüklerinin konaklarda RDMA kullanmanın aynı avantajlarını elde etmelerini sağlar.
  • Switch Embedded Teaming (SET), yazılım tabanlı bir ekip oluşturma teknolojisidir.

Konak ağ yapılandırmasını basitleştirmek için amaç tabanlı denetim sağlayan Ağ ATC'sini kullanmayı göz önünde bulundurun.

Azure Yerel'de AKS, her sunucu düğümü arasında güvenilir bir yüksek bant genişliği, düşük gecikme süresine sahip ağ bağlantısı gerektirir. Küme yönetimi için en az bir ağ bağdaştırıcısının kullanılabilir ve ayrılmış olduğundan emin olun. Ayrıca ağınızdaki fiziksel anahtarların, kullanacağınız tüm VLAN'larda trafiğe izin verecek şekilde yapılandırıldığını doğrulayın.

Sanal anahtar

Azure Local, ağ sınıflandırması için kullanılabilecek bir sanal anahtar yapılandırarak ağ tasarımını basitleştirir. Sanal ağ arabirim kartı (vNIC), konakların aşağıdaki ağlar için farklı trafik akışı sağlaması için farklı VLAN'lara yerleştirilebilir:

  • Yönetim ağı. Yönetim ağı, kuzey-güney ağının bir parçasıdır ve konak iletişimi için kullanılır.
  • İşlem ağı. İşlem ağı, kuzey-güney ağının bir parçasıdır ve sanal makine trafiği için kullanılır. Ağ performansını isteğe bağlı olarak ayarlamak için Hizmet Kalitesi (QOS), tek kök G/Ç sanallaştırma (SR-IOV) ve sanal Uzaktan Doğrudan Bellek Erişimi (vRDMA) kullanın.
  • Depolama ağı. Depolama ağı doğu-batı ağının bir parçasıdır ve önerilen 10 GB+ aktarım hızına sahip RDMA gerektirir. VM'lerin dinamik geçişi için kullanılır.
  • VM konuk ağı.

RDMA trafiğinin Doğu-Batı trafik avantajı

Doğu-Batı ağ trafiği konaklar arasındaki iletişimi temsil eder ve dış erişim sunmaz. Trafik Raf Üstü (ToR) anahtarı ve Katman 2 sınırı içinde kalır. Aşağıdaki trafik türlerini içerir:

  • Küme sinyalleri ve düğümler arası iletişim
  • [SMB] Depolama Veri Yolu Katmanı
  • [SMB] Küme Paylaşılan Birimi
  • [SMB] Depolama Yeniden Oluşturma

Kuzey-Güney trafiği

North-South trafik, Azure Yerel örneğinde AKS'ye ulaşan dış trafiktir. Azure ARC tümleştirmesi aracılığıyla izlemeyi, faturalamayı ve güvenlik yönetimini etkinleştiren Azure hizmetleri aralığına yönelik trafiği planlayabilirsiniz. Kuzey-güney trafiği aşağıdaki özelliklere sahiptir:

  • Trafik, bir ToR anahtarından omurgaya veya omurgadan bir ToR anahtarına doğru akar.
  • Trafik fiziksel rafı terk eder veya katman 3 sınırını (IP) geçer.
  • Trafik yönetim (PowerShell, Windows Yönetim Merkezi), işlem (VM) ve siteler arası esnetilmiş küme trafiğini içerir.
  • Fiziksel ağa bağlantı için bir Ethernet anahtarı kullanır.

Azure Yerel'de AKS çeşitli küme ağ dağıtım seçeneklerini kullanabilir:

  • Birden Çok Ağ Amacını Birleştiren Yakınsanmış Ağ (MGMT, İşlem, Depolama). Bu, üçten fazla fiziksel düğüm için önerilen dağıtımdır ve tüm fiziksel ağ bağdaştırıcılarının aynı ToR anahtarlarına bağlı olmasını gerektirir. ROCEv2 kesinlikle önerilir.
  • Anahtarsız dağıtım, işlem ve yönetim ağlarını birleştirerek ağ ekibi olarak Kuzey-Güney iletişimlerini kullanır.
  • Her iki dağıtımın bir bileşimi olarak karma dağıtım.

Öneriler

Aşağıdaki öneriler çoğu senaryo için geçerlidir. Geçersiz kılan belirli bir gereksiniminiz olmadığı sürece önerileri izleyin.

Ağ önerileri

Azure Local üzerinde AKS'nin ağ tasarımındaki en önemli sorun, Kubernetes kümeniz ve hizmetleri ve uygulamaları için yeterli IP adresi sağlayan bir ağ modeli seçmektir.

  • Azure Yerel'de AKS'nin IP adresi atamasını denetlemesine izin vermek için statik IP adresleri uygulamayı göz önünde bulundurun.

  • Kubernetes düğüm havuzu ve sanal IP havuzu için yeterli boş IP adresiniz olması için IP adresi aralıklarını düzgün bir şekilde boyutlandırın. Sanal IP havuzunuzun yeterince büyük olduğundan emin olun, böylece her yükseltirken daha fazla IP adresi gerektiren sıralı yükseltmeleri kullanabilirsiniz. Aşağıdakileri planlayabilirsiniz:

    • Proxy ayarları için adresleme/ana bilgisayar adları
    • Hedef küme denetim düzlemi için IP adresleri
    • Azure ARC için IP adresleri
    • Hedef kümelerde çalışan ve denetim düzlemi düğümlerinin yatay ölçeklendirmesi için IP adresleri

  • Sanal IP havuzunuz, dış yönlendiriciye bağlantı gerektiren uygulama hizmetlerinin dağıtımını destekleyecek kadar büyük olmalıdır.

  • Pod ve uygulama iletişimini denetlemeye yönelik gelişmiş ağ ilkesi sağlamak için Calico CNI uygulayın.

  • Fiziksel küme düğümlerinin (HCI veya Windows Server) aynı rafta bulunduğundan ve aynı ToR anahtarlarına bağlı olduğundan emin olun.

  • Tüm ağ bağdaştırıcılarında IPv6'yi devre dışı bırakın.

  • Mevcut sanal anahtarın ve adının tüm küme düğümleri arasında aynı olduğundan emin olun.

  • Kümeniz için tanımladığınız tüm alt ağların birbiriyle ve İnternet'e yönlendirilebilir olduğunu doğrulayın.

  • Azure Yerel konakları ile kiracı VM'leri arasında ağ bağlantısı olduğundan emin olun.

  • Azure Yerel üzerinde AKS'nin bulut aracısı genel küme adını bulma amacıyla DNS sistemine kaydetmesine izin vermek için DNS ortamınızda dinamik DNS güncelleştirmelerini etkinleştirin.

  • Ağ trafiğinin sınıflandırmasını kendi yönüne göre uygulamayı göz önünde bulundurun:

    • North-South trafiği Azure Yerel'den gelen trafik ve ağın geri kalanıdır,
      • Yönetim
      • İşlem
      • Siteler arası esnetilmiş küme trafiği
    • Azure Yerel içindeki trafiği East-West:
      • Aynı kümedeki düğümler arasında dinamik geçiş de dahil olmak üzere depolama trafiği.
      • Ethernet anahtarı veya doğrudan bağlantı.

Depolama trafiği modelleri

  • Azure Yerel'de depolama trafiğini ayırmak için birden çok alt ağ ve VLAN kullanın.
  • Çeşitli trafik türlerinin trafik bant genişliği ayırmasını uygulamayı göz önünde bulundurun.

Dikkat edilmesi gereken noktalar

Microsoft Azure İyi Tasarlanmış Çerçeve, bu senaryoda takip edilen bir dizi kılavuz ilkedir. Aşağıdaki konular bu ilkeler bağlamında ele alınmalıdır.

Güvenilirlik

  • Microsoft yazılım tanımlı işlem (Hyper-V düğümlerinin yük devretme kümesi), depolama (Depolama Alanları Doğrudan iç içe dayanıklılık) ve ağ (Yazılım Tanımlı Ağ) için yerleşik dayanıklılık.
  • Sektör standartlarını destekleyen ve düğümler arasında güvenilir iletişim sağlayan ağ anahtarını seçmeyi göz önünde bulundurun. Aşağıdaki standartlar şunlardır:
    • Standart: IEEE 802.1Q
    • Standart IEEE 802.1Qbb
    • Standart IEEE 802.1 Qas
    • Standart IEEE 802.1 AB
  • İş yükleri için en düşük kullanılabilirlik düzeyini karşılamak için yönetim kümesinde ve Kubernetes kümesinde birden çok konak uygulamayı göz önünde bulundurun.
  • Azure Yerel'de AKS, yüksek kullanılabilirlik ve hataya dayanıklılık için yük devretme kümelemesi ve dinamik geçiş kullanır. Dinamik geçiş, çalışan sanal makineleri kapalı kalma süresi algılanmadan bir Hyper-V konağından diğerine saydam olarak taşımanızı sağlayan bir Hyper-V özelliğidir.
  • Mimari bölümünde başvurulan hizmetlerin Azure Arc'ın dağıtıldığı bölgede desteklendiğinden emin olmalısınız.

Güvenlik

  • Azure Yerel'de AKS'de ağ ilkelerini kullanarak podlar arasındaki trafiğin güvenliğini sağlayın.
  • Azure Yerel'de AKS'deki API sunucusu, Kubernetes API sunucusundan kubeletiletişim için sertifikaları imzalayan Sertifika Yetkilisi'ni içerir.
  • Kubernetes API sunucusuna güvenli bir bağlantı oluşturmak için Microsoft Entra çoklu oturum açma (SSO) kullanın.
  • Azure RBAC'yi kullanarak Microsoft Entra kimliklerini kullanarak Azure ve şirket içi ortamlarda Azure Arc özellikli Kubernetes'e erişimi yönetebilirsiniz. Daha fazla bilgi için bkz . Kubernetes Yetkilendirmesi için Azure RBAC kullanma.

Maliyet iyileştirme

  • Mimaride kullanılan hizmetlerin maliyetlerini tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın. Diğer en iyi yöntemler, Microsoft Azure İyi Tasarlanmış Çerçeve'nin maliyet iyileştirme bölümünde açıklanmıştır.
  • Azure Yerel faturalama birimindeki AKS bir sanal çekirdek olduğundan maliyeti iyileştirmek için fiziksel bilgisayarınızda hiper iş parçacığı oluşturmayı göz önünde bulundurun.
  • Azure Arc kontrol düzlemi işlevselliği ek ücret ödemeden sağlanır. Buna Azure yönetim grupları ve etiketleri aracılığıyla kaynak düzenleme desteği ve Azure RBAC üzerinden erişim denetimi dahildir. Azure Arc özellikli sunucularla birlikte kullanılan Azure hizmetleri kullanımlarına göre maliyete neden olur.
  • Maliyet verimliliği için, düğüm başına yalnızca dört disk ve 64 gigabayt (GB) bellek içeren iki küme düğümü kadar kullanabilirsiniz. Maliyetleri daha da en aza indirmek için düğümler arasındaki anahtarsız ara bağlantıları kullanarak yedekli anahtar cihazlarına olan ihtiyacı ortadan kaldırabilirsiniz.

Operasyonel mükemmellik

  • Windows Yönetim Merkezi'ni kullanarak basitleştirilmiş yönetim. Windows Yönetim Merkezi, Azure Yerel'de AKS oluşturmaya ve yönetmeye yönelik kullanıcı arabirimidir. Azure'a kaydedilmesi gereken ve Azure Yerel veya Windows Server Veri Merkezi kümesiyle aynı etki alanında bulunan Windows 10/11 veya Windows Server VM'sine yüklenebilir.
  • Azure Arc ile tümleştirme veya daha fazla yönetim, bakım ve dayanıklılık özellikleri (Azure İzleyici, Azure Backup) sağlayan bir dizi Azure hizmeti.
  • Kubernetes kümeniz Azure Arc'a bağlıysa GitOps kullanarak Kubernetes kümenizi yönetebilirsiniz. Karma Kubernetes kümesini Azure Arc'a bağlamaya yönelik en iyi yöntemleri gözden geçirmek için Bkz . Kubernetes kümeleri için Azure Arc karma yönetimi ve dağıtımı senaryosu.
  • Azure Yerel platformu, "temel alınan" ağı yüksek oranda kullanılabilir bir şekilde sağlayarak Azure Yerel örneklerinde AKS için sanal ağı basitleştirmeye de yardımcı olur.

Performans verimliliği

  • Gelişmiş uygulama çalışma süresi ve performansı, basitleştirilmiş yönetim ve işlemler ve daha düşük toplam sahip olma maliyeti için Azure Yerel sertifikalı donanım kullanın.
  • Depolama: Depolama Alanları Doğrudan
    • Birim yapılandırması (iç içe iki yönlü yansıtma ile iç içe yerleştirilmiş yansıtma hızlandırılmış eşlik)
    • Disk yapılandırması (önbelleğe alma, katmanlar)
  • Küme düğümlerinin fiziksel olarak aynı rafta bulunduğundan ve aynı ToR anahtarlarına bağlı olduğundan emin olun.
  • AKS konaklarını, iş yükü kümelerini, Küme API sunucularını, Kubernetes Services'ı ve uygulama hizmetlerini yapılandırmak için IP adresi rezervasyonlarını planlayın. Microsoft, Azure Yerel'de AKS dağıtımı için en az 256 IP adresi ayırmanızı önerir.
  • Katman 7'de çalışan ve uygulama trafiğini dağıtmak için daha akıllı kurallar kullanan bir giriş denetleyicisi uygulamayı göz önünde bulundurun.
  • Kapsamlı iş yükleri için grafik işleme birimi (GPU) hızlandırmasını kullanın.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazarlar:

Diğer katkıda bulunanlar:

Sonraki adımlar

  • Azure Yerel üzerinde AKS için Temel mimarisi