下面是适用于容器的 Azure 应用程序网关的常见问题。
General
什么是适用于容器的应用程序网关?
适用于容器的应用程序网关为容器应用程序提供各种第 7 层负载均衡功能。 此服务高度可用、可缩放,且完全由 Azure 管理。
适用于容器的应用程序网关将客户数据存储在何处?
用于容器的应用程序网关在其部署的资源区域中存储和处理数据。 配置数据可以复制到其区域对(如果适用)进行复原。
适用于容器的应用程序网关如何处理例行维护?
例行维护和更新旨在不影响服务,并且无需客户干预。 对于可能中断现有配置或导致现有产品功能更改的更新,通知将通过 Azure 服务运行状况发布。 这些通知还会通过电子邮件发送给订阅服务管理员。
适用于容器的应用程序网关是否支持 FIPS?
Yes, Application Gateway for Containers can run in a FIPS 140-2 approved mode of operation, commonly referred to as FIPS mode. FIPS 模式调用 FIPS 140-2 验证的加密模块,该模块确保使用符合 FIPS 标准的算法进行加密、哈希处理和签名。 如有必要,请通过 Azure 门户打开支持案例,请求启用 FIPS 模式。
用于容器的应用程序网关是否支持 Kubenet?
No, Application Gateway for Containers doesn't support Kubenet in favor of CNI Overlay. Learn more about migrating from Kubenet to CNI Overlay.
为什么前端解析为在区域应用程序网关外部部署了 ASN 位置的 IP 地址?
用于容器的应用程序网关前端解析为任何任何广播 IP 地址。 全局播发任何广播 IP 地址,这可能会导致 ASN 位置不同于用于容器的应用程序网关。 IP 地址的解析位置是整容的,对客户端连接方式的可用性或性能没有任何影响。
Performance
适用于容器的应用程序网关如何支持高可用性和可伸缩性?
如果 Azure 区域支持,则适用于容器的应用程序网关会自动确保基础组件分散到可用性区域,以提高复原能力。 如果该区域不支持区域,则使用容错域和更新域来帮助缓解计划内维护和意外故障的影响。
Warning
在升级之前,请确保容器子网的应用程序网关为 /24。 从 CNI 升级到具有较大子网(即 /23)的 CNI 覆盖层将导致中断,并要求使用 /24 子网大小重新创建容器子网的应用程序网关。
配置 - AKS
是否可以将包含用于容器的应用程序网关的现有 AKS 群集从 CNI 升级到 CNI 覆盖?
Yes. 将 AKS 群集从 CNI 升级到 CNI 覆盖层和用于容器的应用程序网关会自动检测更改。 建议在维护时段内计划此作,因为群集升级后可能需要几分钟才能检测和配置对 CNI 覆盖的支持。
配置 - TLS
适用于容器的应用程序网关是否支持将流量重新加密(端到端加密)到后端目标?
Yes. 适用于容器的应用程序网关支持 TLS 卸载和端到端 TLS 到后端目标。
是否可以配置 TLS 协议版本?
No. 适用于容器的应用程序网关支持 TLS 1.2、SSL 2.0、3.0、TLS 1.0 和 TLS 1.1 已禁用,不可配置。
配置 - ALB 控制器
是否支持在同一 Kubernetes 群集中安装应用程序网关入口控制器 (AGIC) 和 ALB 控制器?
是的,应用程序网关入口控制器 (AGIC) 和 ALB 控制器可同时在同一 Kubernetes 群集中运行。 AGIC 或 ALB 控制器的更新不会相互干扰。
是否支持在同一 Kubernetes 群集上安装多个 ALB 控制器?
可以在同一群集上安装多个 ALB 控制器,但不建议或支持此选项,因为无法对网关、路由、服务等进行分区。
是否支持为 ALB 控制器增加 Pod/副本数?
否,不支持用户定义的副本计数。 ALB 控制器在主动/被动配置中自动预配至少两个副本,以实现高可用性。
是否支持将同一托管标识用于多个 ALB 控制器?
No. 每个 ALB 控制器都必须使用自己的唯一托管标识。
是否可以在 Kubernetes 中的多个网关和/或入口资源之间共享相同的前端资源?
No. 前端对于单个入口或网关资源应是唯一的。 可以在给定的网关或入口资源中定义多个主机名和路由,以消除对大量前端资源的需求。