CNI (Interface de Rede de Contêiner) Herdada do AKS

Em AKS (Serviço de Kubernetes do Azure), enquanto Azure CNI Overlay e Azure CNI Pod Subnet são recomendados para a maioria dos cenários, modelos de rede herdados, como Azure CNI Node Subnet e kubenet, ainda estão disponíveis e têm suporte. Esses modelos herdados oferecem abordagens diferentes para gerenciamento e rede de endereços IP de pod, cada um com seu próprio conjunto de funcionalidades e considerações. Este artigo fornece uma visão geral dessas opções de rede herdada, detalhando os pré-requisitos, parâmetros de implantação e características principais para ajudar você a entender as funções e como elas podem ser usadas efetivamente nos clusters do AKS.

Pré-requisitos

Os seguintes pré-requisitos são necessários para a Sub-rede do Nó da CNI do Azure:

• A rede virtual do cluster do AKS deve permitir conectividade com a Internet de saída.

• Os clusters do AKS não podem usar 169.254.0.0/16, 172.30.0.0/16, 172.31.0.0/16 ou 192.0.2.0/24 para o intervalo de endereços do serviço do Kubernetes, o intervalo de endereços do pod ou o intervalo de endereços da rede virtual do cluster.

• A identidade do cluster usada pelo cluster do AKS precisa ter, pelo menos, permissões de Colaborador de Rede na sub-rede da rede virtual. Se você quiser definir uma função personalizada em vez de usar a função de Colaborador de Rede interna, as seguintes permissões serão necessárias:

  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Authorization/roleAssignments/write

• A sub-rede atribuída ao pool de nós do AKS não pode ser uma sub-rede delegada.

• O AKS não aplica NSGs (grupos de segurança de rede) à sua sub-rede e não muda nenhum dos NSGs associados a essa sub-rede. Se você fornecer sua própria sub-rede e adicionar os NSGs associados a ela, verifique se as regras de segurança nos NSGs permitem o tráfego dentro do intervalo de CIDR do nó. Para obter mais informações, confira Grupos de segurança de rede.

Sub-rede do nó CNI do Azure

Com Azure CNI (Interface de Rede de Contêiner), cada pod obtém um endereço IP da sub-rede e pode ser acessado diretamente. Os sistemas na mesma rede virtual que o cluster do AKS veem o IP do pod como o endereço de origem para qualquer tráfego vindo do pod. Os sistemas fora da rede virtual do cluster do AKS veem o IP do nó como o endereço de origem de qualquer tráfego vindo do pod. Esses endereços IP devem ser exclusivos em todo o seu espaço de rede e devem ser planejados com antecedência. Cada nó tem um parâmetro de configuração para o número máximo de pods aos quais ele dá suporte. O número equivalente de endereços IP por nó é então reservado com antecedência para esse nó. Essa abordagem exige mais planejamento e, muitas vezes, leva à exaustão do endereço IP ou à necessidade de recriar os clusters em uma sub-rede maior conforme as demandas de aplicativo aumentam.

Com a sub-rede de nó CNI do Azure, cada pod recebe um endereço IP dentro da sub-rede e pode se comunicar diretamente com outros pods e serviços. Seus clusters podem ser tão grandes quanto o intervalo de endereços IP especificado. No entanto, você deve planejar o intervalo de endereços IP com antecedência, e todos os endereços IP são consumidos pelos nós do AKS com base no número máximo de pods que eles podem suportar. Os recursos e cenários de rede avançados, como nós virtuais ou políticas de rede (Azure ou Calico), são compatíveis com a CNI do Azure.

Parâmetros de implantação

Quando você cria um cluster do AKS, os seguintes parâmetros são configuráveis para Azure rede CNI:

Rede virtual: a rede virtual na qual você deseja implantar o cluster do Kubernetes. Você pode criar uma nova rede virtual ou usar uma existente. Se você quiser usar uma rede virtual existente, verifique se ela está na mesma localização e na mesma assinatura do Azure que o cluster do Kubernetes. Para obter informações sobre os limites e cotas de uma rede virtual Azure, consulte Azure limites de assinatura e serviço, cotas e restrições.

Sub-rede: a sub-rede dentro da rede virtual em que você quer implantar o cluster. Você pode adicionar novas sub-redes à rede virtual durante o processo de criação do cluster. Para conectividade híbrida, o intervalo de endereços não deve se sobrepor a nenhuma outra rede virtual em seu ambiente.

Plug-in de rede do Azure: Quando o plug-in de rede do Azure é usado, o serviço LoadBalancer interno com "externalTrafficPolicy=Local" não pode ser acessado por VMs com um IP no clusterCIDR que não pertença ao cluster AKS.

Intervalo de endereços do serviço do Kubernetes: este parâmetro é o conjunto de IPs virtuais que o Kubernetes atribui aos serviços internos no seu cluster. Você pode usar qualquer intervalo de endereço particular que atenda aos seguintes requisitos:

• Não deve estar dentro do intervalo de endereços IP da rede virtual do cluster.
• Não deve se sobrepor a nenhuma outra rede virtual com a qual a rede virtual do cluster está emparelhada.
• Não deve sobrepor IPs locais.
• Não deve estar dentro dos intervalos 169.254.0.0/16, 172.30.0.0/16, 172.31.0.0/16 ou 192.0.2.0/24.

Embora seja possível especificar um intervalo de endereços de serviço na mesma rede virtual do cluster, não é recomendável. A sobreposição de intervalos de IP pode resultar em um comportamento imprevisível. Consulte mais informações em Perguntas Frequentes. Para obter mais informações sobre os serviços do Kubernetes, consulte Serviços na documentação do Kubernetes.

Endereço IP do serviço DNS do Kubernetes: O endereço IP para o serviço DNS do cluster. Esse endereço deve estar dentro do intervalo de endereços do serviço Kubernetes. Não use o primeiro endereço IP no intervalo de endereços. O primeiro endereço no seu intervalo de sub-rede é usado para o endereço kubernetes.default.svc.cluster.local.

• Azure CNI: esse mesmo intervalo básico de sub-rede /24 só pode dar suporte a um máximo de nós de 8 no cluster. Esta contagem de nós pode dar suporte a até 240 pods, com um máximo padrão de 30 pods por nó.

Emparelhamento de rede virtual e conexões do ExpressRoute

Você pode usar o pareamento de rede virtual do Azure ou conexões ExpressRoute com Azure CNI para fornecer conectividade local. Planeje os endereços IP com cuidado para evitar sobreposição e roteamento de tráfego incorreto. Por exemplo, muitas redes locais usam um intervalo de endereços 10.0.0.0/8 que é anunciado na conexão ExpressRoute. É recomendável criar clusters do AKS em sub-redes de rede virtual do Azure fora de um intervalo de endereços como 172.16.0.0/16.

Para obter mais informações, confira Comparar modelos de rede e os respectivos escopos de suporte.

Perguntas frequentes sobre a sub-rede do Pod CNI da Azure

• Posso implantar VMs na sub-rede do cluster?

  Sim, para a Sub-rede de Nó da CNI do Azure, as VMs podem ser implantadas na mesma sub-rede que o cluster do AKS.

• Qual endereço IP de origem os sistemas externos veem para o tráfego originado em um pod habilitado para CNI do Azure?

  Os sistemas na mesma rede virtual que o cluster do AKS veem o IP do pod como o endereço de origem para qualquer tráfego vindo do pod. Os sistemas fora da rede virtual do cluster do AKS veem o IP do nó como o endereço de origem de qualquer tráfego vindo do pod. No entanto, para a alocação de IP dinâmica da CNI do Azure, não importa se a conexão está dentro da mesma rede virtual ou redes virtuais cruzadas, o IP do pod é sempre o endereço de origem para qualquer tráfego do pod. Isso ocorre porque a CNI Azure para alocação dinâmica de IP implementa a infraestrutura de Microsoft Azure Rede de Contêiner, que oferece experiência de ponta a ponta. Portanto, elimina o uso de ip-masq-agent, que ainda é utilizado pela Azure CNI tradicional.

• Posso configurar políticas de rede por pod?

  Sim, a política de rede do Kubernetes está disponível no AKS. Para obter mais informações, consulte Proteger o tráfego entre os pods usando as políticas de rede no AKS.

• É possível configurar o número máximo de pods que podem ser implantados em um nó?

  Com Azure CNI (Interface de Rede de Contêiner), cada pod obtém um endereço IP da sub-rede e pode ser acessado diretamente. Os sistemas na mesma rede virtual que o cluster do AKS veem o IP do pod como o endereço de origem para qualquer tráfego vindo do pod. Os sistemas fora da rede virtual do cluster do AKS veem o IP do nó como o endereço de origem de qualquer tráfego vindo do pod. Esses endereços IP devem ser exclusivos em todo o seu espaço de rede e devem ser planejados com antecedência. Cada nó tem um parâmetro de configuração para o número máximo de pods aos quais ele dá suporte. O número equivalente de endereços IP por nó é então reservado com antecedência para esse nó. Essa abordagem exige mais planejamento e, muitas vezes, leva à exaustão do endereço IP ou à necessidade de recriar os clusters em uma sub-rede maior conforme as demandas de aplicativo aumentam.

• Posso implantar VMs na sub-rede do cluster?

  Sim. Mas para Azure CNI para alocação de IP dinâmica, as VMs não podem ser implantadas na sub-rede do pod.

• Qual é o IP de origem que os sistemas externos veem para o tráfego que se origina em um pod habilitado para CNI do Azure?

  Os sistemas na mesma rede virtual que o cluster do AKS veem o IP do pod como o endereço de origem para qualquer tráfego vindo do pod. Os sistemas fora da rede virtual do cluster do AKS veem o IP do nó como o endereço de origem de qualquer tráfego vindo do pod.

  No entanto, para Azure CNI para alocação de IP dinâmica, não importa se a conexão está dentro da mesma rede virtual ou redes virtuais cruzadas, o IP do pod é sempre o endereço de origem para qualquer tráfego do pod. Isso ocorre porque a CNI Azure para alocação dinâmica de IP implementa a infraestrutura de Microsoft Azure Rede de Contêiner, que oferece experiência de ponta a ponta. Portanto, elimina o uso de ip-masq-agent, que ainda é usado pela CNI tradicional do Azure.

• Eu posso usar uma sub-rede diferente na rede virtual do cluster para o intervalo de endereços de serviço do Kubernetes?

  Não é recomendado, mas essa configuração é possível. O intervalo de endereços de serviço é um conjunto de IPs virtuais (VIPs) que o Kubernetes utiliza para atribuir aos serviços internos no cluster. Rede do Azure não tem visibilidade do intervalo de IP de serviço do cluster Kubernetes. A falta de visibilidade no intervalo de endereços de serviço do cluster pode levar a problemas. É possível criar posteriormente uma nova sub-rede na rede virtual do cluster que se sobrepõe ao intervalo de endereços de serviço. Se tal sobreposição ocorrer, o Kubernetes poderá atribuir um serviço a um IP que já esteja em uso por outro recurso na sub-rede, causando comportamento ou falhas imprevisíveis. Ao garantir que você use um intervalo de endereços fora da rede virtual do cluster, é possível evitar esse risco de sobreposição. Sim, quando você implanta um cluster com o CLI do Azure ou um modelo de Resource Manager. Consulte Máximo de pods por nó.

• Eu posso usar uma sub-rede diferente na rede virtual do cluster para o intervalo de endereços de serviço do Kubernetes?

  Não é recomendado, mas essa configuração é possível. O intervalo de endereços do serviço é um conjunto de IPs virtuais (VIPs) que o Kubernetes atribui aos serviços internos no cluster. A Rede do Azure não tem visibilidade do intervalo de IP de serviço do cluster Kubernetes. A falta de visibilidade no intervalo de endereços de serviço do cluster pode levar a problemas. É possível criar posteriormente uma nova sub-rede na rede virtual do cluster que se sobrepõe ao intervalo de endereços de serviço. Se tal sobreposição ocorrer, o Kubernetes poderá atribuir um serviço a um IP que já esteja em uso por outro recurso na sub-rede, causando comportamento ou falhas imprevisíveis. Ao garantir que você use um intervalo de endereços fora da rede virtual do cluster, é possível evitar esse risco de sobreposição.