Compartilhar via

Criar um cluster do Serviço de Kubernetes do Azure com a Integração VNet do Servidor de API

Um cluster do AKS (Serviço de Kubernetes do Azure) configurado com a Integração VNet do Servidor de API projeta o ponto de extremidade do servidor de API diretamente em uma sub-rede delegada na VNet em que o AKS está implantado. A Integração de VNet do Servidor de API permite a comunicação de rede entre o servidor de API e os nós de cluster, sem a necessidade de um túnel ou um link privado. O servidor de API está disponível por trás de um balanceador de carga interno VIP na sub-rede delegada, que os nós estão configurados para utilizar. Ao usar a integração de VNet do Servidor de API, é possível garantir que o tráfego de rede entre o servidor de API e os pools de nós permaneça somente na rede privada.

Conectividade do servidor de API

O plano de controle ou o servidor de API está em uma assinatura do Azure gerenciada pelo AKS. Seu cluster ou pool de nós está em sua assinatura do Azure. O servidor e as máquinas virtuais que compõem os nós de cluster podem se comunicar entre si por meio do VIP do servidor de API e dos IPs de pod projetados na sub-rede delegada.

A Integração da VNet do Servidor API é compatível com clusters públicos ou privados. Você pode adicionar ou remover o acesso público após o provisionamento do cluster. Ao contrário dos clusters integrados que não são da VNet, os nós do agente sempre se comunicam diretamente com o endereço IP privado do IP do balanceador de carga interno (ILB) do servidor de API sem usar o DNS. Todo o tráfego entre o nó e o servidor de API é mantido em uma rede privada, de modo que nenhum túnel é necessário para a conectividade entre o servidor de API e o nó. Clientes fora do cluster que precisam se comunicar com o servidor de API podem fazer isso normalmente se o acesso à rede pública estiver habilitado. Se o acesso à rede pública estiver desabilitado, você deve seguir a mesma metodologia de configuração do DNS privado usada nos clusters privados padrão.

Pré-requisitos

  • Você deve ter a CLI do Azure versão 2.73.0 ou posterior instalada. Você pode verificar sua versão usando o az --version comando.

Limitações

  • A Integração VNet do Servidor de API não dá suporte à Criptografia de Rede Virtual. Os clusters implantados em SKUs de nó do AKS v3 ou anteriores (que não dão suporte à Criptografia VNet) são permitidos, mas o tráfego não será criptografado. Clusters implantados em SKUs de nó do AKS v4 ou posterior (que dão suporte à Criptografia de VNet) estão bloqueados porque as VNets criptografadas são incompatíveis com a Integração de VNet do Servidor de API. Consulte SKUs de VM com suporte do AKS para obter detalhes.

Disponibilidade

  • A Integração VNet do Servidor de API está disponível em todas as regiões de nuvem pública de GA, exceto eastus2 e qatarcentral. Estamos trabalhando continuamente para habilitar esse recurso nessas regiões e atualizaremos esta página quando essas regiões estiverem disponíveis.

Criar um cluster do AKS com a Integração VNet do Servidor API usando a VNet gerenciada

Você pode configurar seus clusters do AKS com a Integração VNet do Servidor de API no modo de VNet gerenciada ou de VNet própria. Você pode criá-los como clusters públicos (com acesso ao servidor de API disponível via IP público) ou clusters privados (onde o servidor de API está acessível apenas por meio de conectividade privada da VNet). Você também pode alternar entre um estado público e privado sem reimplantar o cluster.

Criar um grupo de recursos

  • Crie um grupo de recursos usando o comando az group create.

    az group create --location westus2 --name <resource-group>

Implantar um cluster público

  • Implante um cluster do AKS público com a Integração VNet do Servidor de API para VNet gerenciada usando o comando az aks create com o sinalizador --enable-api-server-vnet-integration.

    az aks create --name <cluster-name> \
    --resource-group <resource-group> \
    --location <location> \
    --network-plugin azure \
    --enable-apiserver-vnet-integration \
    --generate-ssh-keys

Implantar um cluster privado

  • Implante um cluster do AKS privado com integração da VNet do Servidor de API para a VNet gerenciada usando o comando az aks create com os sinalizadores --enable-api-server-vnet-integration e --enable-private-cluster.

    az aks create --name <cluster-name> \
    --resource-group <resource-group> \
    --location <location> \
    --network-plugin azure \
    --enable-private-cluster \
    --enable-apiserver-vnet-integration \
    --generate-ssh-keys

Crie um cluster do AKS privado com a Integração da VNet do Servidor de API usando a VNet do tipo traga sua própria rede

Ao usar a VNet do tipo traga sua própria rede, você deve criar e delegar uma sub-rede do servidor de API para Microsoft.ContainerService/managedClusters, o que concede permissões ao serviço AKS para injetar os pods do servidor de API e o balanceador de carga interno nessa sub-rede. Você não pode usar a sub-rede para nenhuma outra carga de trabalho, mas pode usá-la para vários clusters do AKS localizados na mesma rede virtual. O tamanho mínimo com suporte da sub-rede do servidor de API é /28.

A identidade do cluster precisa ter permissões na sub-rede do servidor de API e na sub-rede do nó. A falta de permissões na sub-rede do servidor de API poderá causar uma falha no provisionamento.

Aviso

Um cluster do AKS reserva pelo menos 9 IPs no espaço de endereço da sub-rede. O esgotamento de endereços IP pode impedir o dimensionamento do servidor de API e causar uma interrupção no servidor de API.

Criar um grupo de recursos

az group create --location <location> --name <resource-group>

Criar uma rede virtual

  1. Criar uma rede virtual usando o comando az network vnet create.

    az network vnet create --name <vnet-name> \
--resource-group <resource-group> \
--location <location> \
--address-prefixes 172.19.0.0/16

  2. Crie uma sub-rede no servidor de API usando o comando az network vnet subnet create.

    az network vnet subnet create --resource-group <resource-group> \
--vnet-name <vnet-name> \
--name <apiserver-subnet-name> \
--delegations Microsoft.ContainerService/managedClusters \
--address-prefixes 172.19.0.0/28

  3. Criar uma sub-rede de cluster usando o comando az network vnet subnet create.

    az network vnet subnet create --resource-group <resource-group> \
--vnet-name <vnet-name> \
--name <cluster-subnet-name> \
--address-prefixes 172.19.1.0/24

Criar uma identidade gerenciada e conceder a ela permissões na rede virtual

  1. Crie uma identidade gerenciada usando o comando az identity create.

    az identity create --resource-group <resource-group> --name <managed-identity-name> --location <location>

  2. Atribua a função Colaborador de Rede à sub-rede do servidor de API usando o comando az role assignment create.

    az role assignment create --scope <apiserver-subnet-resource-id> \
--role "Network Contributor" \
--assignee <managed-identity-client-id>

  3. Atribua a função Colaborador de Rede à sub-rede do cluster usando o comando az role assignment create.

    az role assignment create --scope <cluster-subnet-resource-id> \
--role "Network Contributor" \
--assignee <managed-identity-client-id>

Implantar um cluster público

  • Implante um cluster do AKS público com integração da VNet do Servidor de API usando o comando az aks create com o sinalizador --enable-api-server-vnet-integration.

    az aks create --name <cluster-name> \
    --resource-group <resource-group> \
    --location <location> \
    --network-plugin azure \
    --enable-apiserver-vnet-integration \
    --vnet-subnet-id <cluster-subnet-resource-id> \
    --apiserver-subnet-id <apiserver-subnet-resource-id> \
    --assign-identity <managed-identity-resource-id> \
    --generate-ssh-keys

Implantar um cluster privado

  • Implante um cluster do AKS privado com Integração VNet do Servidor de API usando o comando az aks create com os sinalizadores --enable-api-server-vnet-integration e --enable-private-cluster.

    az aks create --name <cluster-name> \
--resource-group <resource-group> \
--location <location> \
--network-plugin azure \
--enable-private-cluster \
--enable-apiserver-vnet-integration \
--vnet-subnet-id <cluster-subnet-resource-id> \
--apiserver-subnet-id <apiserver-subnet-resource-id> \
--assign-identity <managed-identity-resource-id> \
--generate-ssh-keys

Converter um cluster do AKS existente na Integração VNet do Servidor de API

Aviso

A Integração de VNet do Servidor de API é um recurso unidirecional e sensível à capacidade.

  • Reinicialização manual necessária.
    Depois de habilitar a Integração VNet do Servidor de API usando az aks update --enable-apiserver-vnet-integration, você deve reiniciar imediatamente o cluster para que a alteração entre em vigor. Essa reinicialização não é automatizada. Atrasar a reinicialização aumenta o risco de a capacidade ficar indisponível, o que pode impedir que o servidor de API seja iniciado.

  • A capacidade é validada, mas não reservada.
    O AKS valida a capacidade regional quando você habilita o recurso em um cluster existente, mas essa validação não reserva capacidade. Se a reinicialização estiver atrasada e a capacidade ficar indisponível enquanto isso, o cluster poderá falhar ao iniciar após uma parada ou reinicialização. Os clusters que habilitaram esse recurso antes da GA (disponibilidade geral) ou que ainda não foram reiniciados desde a habilitação não passarão por validação de capacidade.

  • O recurso não pode ser desabilitado.
    Depois de habilitado, o recurso é permanente. Não é possível desabilitar a Integração VNet do Servidor de API.

Esse upgrade executa uma atualização de versão de imagem do nó em todos os pools de nós e reinicia todas as cargas de trabalho enquanto elas passam por uma atualização de imagem contínua.

Aviso

A conversão de um cluster na Integração de VNet do Servidor de API resulta em uma alteração do endereço IP do Servidor de API, embora o nome do host permaneça o mesmo. Se o endereço IP do servidor de API tiver sido configurado em quaisquer firewalls ou regras de grupo de segurança de rede, essas regras poderão precisar ser atualizadas.

  • Atualize seu cluster para a Integração da VNet do Servidor API usando o comando az aks update com o sinalizador --enable-apiserver-vnet-integration.

    az aks update --name <cluster-name> \
--resource-group <resource-group> \
--enable-apiserver-vnet-integration \
--apiserver-subnet-id <apiserver-subnet-resource-id>

Habilitar ou desabilitar o modo de cluster privado em um cluster existente com a Integração VNet do Servidor de API

Os clusters do AKS configurados com a Integração de VNet do Servidor de API podem ter o modo de acesso à rede pública/cluster privado habilitado ou desabilitado sem reimplantar o cluster. O nome do host do servidor de API não é alterado, mas as entradas de DNS público são modificadas ou removidas, se necessário.

Observação

O --disable-private-cluster está em versão prévia no momento. Para obter mais informações, confira Níveis de referência e suporte.

Habilitar o modo de cluster privado

  • Habilite o modo de cluster privado usando o comando az aks update com o sinalizador --enable-private-cluster.

    az aks update --name <cluster-name> \
--resource-group <resource-group> \
--enable-private-cluster

Desabilitar o modo de cluster privado

  • Desabilitar o modo de cluster privado usando o comando az aks update com o sinalizador --disable-private-cluster.

    az aks update --name <cluster-name> \
--resource-group <resource-group> \
--disable-private-cluster

Conectar-se ao cluster usando o kubectl

  • Configure kubectl para se conectar ao seu cluster usando o comando az aks get-credentials.

    az aks get-credentials --resource-group <resource-group> --name <cluster-name>

Você pode expor o endpoint do API Server de um cluster privado com a Integração VNet do API Server usando o Azure Private Link. As etapas a seguir mostram como criar um PLS (Serviço de Link Privado) na VNet do cluster e conectar-se a ele de outra VNet ou assinatura usando um ponto de extremidade privado.

Criar um cluster privado de integração de VNet do servidor de API

  • Crie um cluster AKS privado com a integração da VNet do Servidor de API usando o comando az aks create com os sinalizadores --enable-api-server-vnet-integration e --enable-private-cluster.

    az aks create --name <cluster-name> \
    --resource-group <resource-group> \
    --location <location> \
    --enable-private-cluster \
    --enable-apiserver-vnet-integration

Para obter mais diretrizes sobre como configurar o link privado com a integração VNet do servidor de API, confira Link privado com a integração VNet do servidor de API.

Regras de segurança do NSG

Todo o tráfego dentro da VNet é permitido por padrão. Mas se você adicionou regras NSG para restringir o tráfego entre sub-redes diferentes, verifique se as regras de segurança do NSG permitem os seguintes tipos de comunicação:

Destino Fonte Protocolo Porta Utilização
CIDR de sub-rede do APIServer Sub-rede do cluster TCP 443 e 4443 Necessário para habilitar a comunicação entre nós e o servidor de API.
CIDR de sub-rede do APIServer Azure Load Balancer TCP 9988 Necessário para habilitar a comunicação entre o Azure Load Balancer e o servidor de API. Você também pode habilitar todas as comunicações entre o Azure Load Balancer e o CIDR da Sub-rede do Servidor de API.

Próximas etapas

  • Last updated on