Di seguito sono riportate le domande comuni sull'Application Gateway di Azure per i container.
General
Che cos'è il gateway applicativo per contenitore?
Il gateway applicativo per contenitori offre varie funzionalità di bilanciamento del carico di livello 7 per le applicazioni per contenitori. Questo servizio è altamente disponibile, scalabile e completamente gestito da Azure.
Dove memorizza i dati dei clienti il gateway applicativo per contenitori?
Il gateway applicazione per contenitori archivia ed elabora i dati nella regione delle risorse distribuite. I dati di configurazione possono essere replicati nella coppia di regioni, se applicabile, per garantire la resilienza.
In che modo l'Application Gateway per Contenitori gestisce la manutenzione ordinaria?
La manutenzione e gli aggiornamenti di routine sono progettati per non influire sul servizio e non richiedono alcun intervento da parte del cliente. Per gli aggiornamenti che potrebbero interrompere le configurazioni esistenti o causare modifiche alle funzionalità del prodotto esistenti, le notifiche vengono pubblicate tramite Integrità dei servizi di Azure. Queste notifiche vengono inviate anche tramite posta elettronica agli amministratori del servizio di sottoscrizione.
Il gateway applicazione per contenitori supporta FIPS?
Sì, il gateway delle applicazioni per container può essere eseguito in una modalità di funzionamento approvata FIPS 140-2, comunemente definita modalità FIPS. La modalità FIPS chiama un modulo di crittografia convalidato FIPS 140-2 che garantisce algoritmi conformi a FIPS per la crittografia, l'hashing e la firma quando sono usati. Se necessario, aprire un caso di supporto tramite il portale di Azure per richiedere l'abilitazione della modalità FIPS.
Il Application Gateway per contenitori supporta Kubenet?
No, il gateway applicazione per contenitori non supporta Kubernet per CNI Overlay. Altre informazioni sulla migrazione da Kubenet a CNI Overlay.
Il gateway applicazione per contenitori supporta AKS Automatic?
Sì, quando si utilizza il componente aggiuntivo del Componente aggiuntivo AKS del controller ALB di gateway applicazione per contenitori, è possibile effettuare il provisioning del Controller ALB nei cluster automatici di AKS. Le distribuzioni Helm del controller ALB non sono supportate con servizio Azure Kubernetes automatico.
Perché il front-end viene risolto in un indirizzo IP con una posizione ASN al di fuori della regione in cui è distribuito il gateway applicazione per contenitori?
Il gateway applicazione per contenitori front-end viene risolto in qualsiasi indirizzo IP Anycast. Gli indirizzi IP Anycast vengono annunciati a livello globale, il che può portare la posizione dell'ASN a essere diversa dal gateway applicazione per contenitori. La posizione risolta dell'indirizzo IP è cosmetica e non ha alcun impatto sulla disponibilità o sulle prestazioni del modo in cui i client si connettono.
Performance
In che modo il gateway applicativo per contenitori supporta la disponibilità elevata e la scalabilità?
Il Application Gateway per contenitori garantisce automaticamente che i componenti sottostanti vengano distribuiti tra le zone di disponibilità per una maggiore resilienza, se supportato dalla regione di Azure. Se l'area non supporta zone, i domini di guasto e i domini di aggiornamento vengono usati per ridurre l'impatto durante la manutenzione pianificata e i guasti imprevisti.
Warning
Assicurarsi che la subnet del gateway applicazione per contenitori abbia il prefisso /24 prima dell'aggiornamento. L'aggiornamento da CNI a CNI Overlay con una subnet più grande (ovvero /23) comporterà un'interruzione e richiederà che l'Application Gateway per Contenitori venga ricreato con una subnet di dimensioni /24.
Configurazione - AKS
È possibile aggiornare un cluster esistente di Azure Kubernetes Service dotato di Application Gateway per i Contenitori da CNI a CNI Overlay?
Yes. Aggiornare il cluster AKS da CNI a CNI sovrapposta e gateway applicazione per contenitori rileva automaticamente la modifica. È consigliabile pianificare questa operazione durante una finestra di manutenzione perché possono essere necessari alcuni minuti dopo l'aggiornamento del cluster per rilevare e configurare il supporto per la sovrimpressione CNI.
Configurazione - TLS
Il gateway applicazione per contenitori supporta la nuova crittografia (crittografia end-to-end) del traffico verso destinazioni del back-end?
Yes. Il gateway applicazione per contenitori supporta l'offload TLS e TLS end-to-end verso le destinazioni backend.
È possibile configurare le versioni del protocollo TLS?
No. Il gateway applicativo per i contenitori supporta TLS 1.2; SSL 2.0, 3.0, TLS 1.0 e TLS 1.1 sono disabilitati e non configurabili.
Configurazione - Controller ALB
È supportato installare sia il controller di ingresso di Application Gateway (AGIC) che il controller ALB nello stesso cluster Kubernetes?
Sì, sia il controller di ingresso del gateway applicazione (AGIC) che il controller ALB possono essere eseguiti contemporaneamente nello stesso cluster Kubernetes. Gli aggiornamenti a AGIC o al controller ALB non interferiscono tra loro.
È possibile installare più controller ALB nello stesso cluster Kubernetes?
È possibile installare più controller ALB nello stesso cluster, tuttavia questa opzione non è consigliata o supportata perché non è possibile partizionare gateway, route, servizi e così via.
È possibile aumentare il numero di pod/repliche per il controller ALB?
No, il numero di repliche definite dall'utente non è supportato. Il provisioning del controller ALB viene eseguito in automatico con almeno due repliche in configurazione attiva/passiva per garantire alta disponibilità.
È possibile l'uso della stessa identità gestita con più controller ALB?
No. Ogni controller ALB deve usare la propria identità gestita univoca.
È possibile condividere la stessa risorsa front-end tra più risorse gateway e/o in ingresso in Kubernetes?
No. Un front-end deve essere univoco per una singola risorsa in ingresso o gateway. È possibile definire più nomi host e route in una determinata risorsa gateway o in ingresso per eliminare la necessità di numerose risorse front-end.