Partilhar via

O que é o Application Gateway Ingress Controller?

O Application Gateway Ingress Controller (AGIC) é um aplicativo Kubernetes, que possibilita que os clientes do Serviço Kubernetes do Azure (AKS) aproveitem o balanceador de carga nativo do Application Gateway L7 do Azure para expor o software de nuvem à Internet. A AGIC monitora o cluster Kubernetes em que está hospedado e atualiza continuamente um Application Gateway, para que os serviços selecionados sejam expostos à Internet.

O Ingress Controller é executado em seu próprio pod no AKS do cliente. A AGIC monitora um subconjunto de Recursos do Kubernetes em busca de alterações. O estado do cluster AKS é traduzido para a configuração específica do Application Gateway e aplicado ao Azure Resource Manager (ARM).

Gorjeta

Considere o Application Gateway for Containers para sua solução de ingresso do Kubernetes. Para obter mais informações, consulte Guia de início rápido: implantar o Application Gateway for Containers ALB Controller.

Benefícios do Application Gateway Ingress Controller

O AGIC ajuda a eliminar a necessidade de ter outro balanceador de carga/endereço IP público na frente do cluster AKS e evita vários saltos em seu caminho de dados antes que as solicitações cheguem ao cluster AKS. O Application Gateway fala com pods usando seu endereço IP privado diretamente e não requer serviços NodePort ou KubeProxy. Esse recurso também traz um melhor desempenho para suas implantações.

O Ingress Controller é suportado exclusivamente por Standard_v2 e WAF_v2 SKUs, que também permitem benefícios de dimensionamento automático. O Application Gateway pode reagir em resposta a um aumento ou diminuição na carga de tráfego e dimensionar de acordo, sem consumir recursos do cluster AKS.

O uso do Application Gateway além do AGIC também ajuda a proteger seu cluster AKS, fornecendo a política TLS e a funcionalidade WAF (Web Application Firewall).

Azure Application Gateway + AKS

O AGIC é configurado através do recurso Ingress do Kubernetes, juntamente com os Serviços e os Deployments/Pods. Ele fornece muitos recursos, usando o balanceador de carga L7 nativo do Application Gateway do Azure. Para citar alguns:

  • Encaminhamento do URL
  • Afinidade com base no cookie
  • Terminação TLS
  • TLS ponto a ponto
  • Suporte para sites públicos, privados e híbridos
  • Firewall de aplicação Web integrada

Diferença entre a implementação do Helm e o Add-On do AKS

Há duas maneiras de implantar o AGIC para seu cluster AKS. A primeira maneira é através do Helm; a segunda é através do AKS como um complemento. O principal benefício de implantar o AGIC como um complemento do AKS é que ele é mais simples do que implantar através do Helm. Para uma nova configuração, você pode implantar um novo Gateway de Aplicativo e um novo cluster AKS com o AGIC habilitado como um complemento em uma linha na CLI do Azure. O complemento também é um serviço totalmente gerenciado, que oferece benefícios adicionais, como atualizações automáticas e maior suporte. Ambas as formas de implantação do AGIC (complemento Helm e AKS) são totalmente suportadas pela Microsoft. Além disso, o complemento permite uma melhor integração com o AKS como um complemento de primeira classe.

O complemento AGIC ainda é implantado como um pod no cluster AKS do cliente, no entanto, há algumas diferenças entre a versão de implantação do Helm e a versão do complemento do AGIC. Segue-se uma lista das diferenças entre as duas versões:

  • Os valores de configuração do Helm não podem ser modificados no complemento AKS.
    • verbosityLevel é definido como 5 por padrão
    • usePrivateIp está definido como false por padrão; Essa configuração pode ser substituída pela anotação use-private-ip
    • shared não é suportado no complemento
    • reconcilePeriodSeconds não é suportado no complemento
    • armAuth.type não é suportado no complemento
  • O AGIC implantado via Helm suporta ProhibitedTargets, o que significa que o AGIC pode configurar o Application Gateway especificamente para clusters AKS sem afetar outros back-ends existentes. Atualmente, o complemento AGIC não suporta esse recurso.
  • Como o complemento AGIC é um serviço gerenciado, os clientes são atualizados automaticamente para a versão mais recente do complemento AGIC, ao contrário do AGIC implantado através do Helm, onde o cliente deve atualizar manualmente o AGIC.

Nota

Os clientes só podem implantar um complemento AGIC por cluster AKS, e cada complemento AGIC atualmente só pode ter como alvo um Application Gateway. Para implantações que exigem mais de um AGIC por cluster ou vários AGICs destinados a um Application Gateway, continue a usar o AGIC implantado por meio do Helm.

Tanto o Helm como o add-on AGIC não suportam o serviço ExternalName.

Rede de contentores e AGIC

O Application Gateway Ingress Controller suporta as seguintes ofertas de rede AKS:

  • Kubenet
  • CNI
  • Sobreposição CNI

Azure CNI e Azure CNI Overlay são as duas opções recomendadas para o Application Gateway Ingress Controller. Ao escolher um modelo de rede, considere os casos de uso para cada plugin CNI e o tipo de modelo de rede que ele usa:

Plugin CNI Modelo de rede Destaques do caso de uso
Sobreposição CNI do Azure Sobreposição - Melhor para conservação de VNET IP
- Contagem máxima de nós suportada pelo API Server + 250 pods por nó
- Configuração mais simples
-Sem acesso direto ao IP externo do pod
Azure CNI Pod Subnet Apartamento - Acesso direto ao pod externo
- Modos para uso eficiente de VNet IP ou suporte em grande escala de cluster
Sub-rede do nó CNI do Azure Apartamento - Acesso direto ao pod externo
- Configuração mais simples
- Escala limitada
- Uso ineficiente de IPs VNet

Ao provisionar o Application Gateway for Containers em um cluster que tenha a Sobreposição CNI ou CNI habilitada, o Application Gateway for Containers deteta automaticamente a configuração de rede pretendida. Não são necessárias alterações na configuração da API de Portão ou Entrada para especificar a Sobreposição CNI ou CNI.

Com a sobreposição CNI do Azure, considere as seguintes limitações:

  • AGIC Controller: Você deve estar executando a versão v1.9.1 ou superior para aproveitar a sobreposição CNI.
  • Tamanho da sub-rede: A sub-rede do Application Gateway deve ser um prefixo /24 no máximo; apenas uma implantação é suportada por sub-rede.
  • Delegação de sub-rede: A sub-rede do Application Gateway deve ter delegação de sub-rede para Microsoft.Network/applicationGateways.
  • Emparelhamento de rede virtual regional: o Application Gateway implantado em uma rede virtual na região A e os nós de cluster AKS em uma rede virtual na região A não são suportados.
  • Emparelhamento VNet Global: o Application Gateway implantado em uma rede virtual na região A e os nós de cluster AKS em uma rede virtual na região B não são suportados.
  • A sobreposição CNI do Azure com o Application Gateway Ingress Controller não é suportada na nuvem do Azure Government ou no Microsoft Azure operado pela 21Vianet (Azure na China).

Nota

A atualização do cluster AKS de Kubenet ou CNI para CNI Overlay é automaticamente detetada pelo Application Gateway Ingress Controller. Recomenda-se agendar a atualização durante uma janela de manutenção, pois pode ocorrer interrupção do tráfego. O controlador pode levar alguns minutos após a atualização do cluster para detetar e configurar o suporte para a sobreposição de CNI.

Advertência

Verifique se a sub-rede do Application Gateway é uma sub-rede /24 ou menor antes da atualização. A atualização do CNI para a sobreposição CNI com uma sub-rede maior (isto é, /23) resultará numa interrupção e exigirá que a sub-rede do Application Gateway seja recriada com um tamanho de sub-rede suportado.

Próximos passos

  • Last updated on