Microsoft Azure 上の Red Hat Ansible Automation Platform ネットワークの準備
VNET
Microsoft Azure 上の Red Hat Ansible Automation Platform は、独自の Azure Virtual Network (VNET) にデプロイされます。VNET の AKS および SRE 管理には複雑さが必要なため、これが必要になります。SRE には、ソリューションのネットワーク管理に影響を与える可能性のある Azure の変更が発生した場合に、ネットワークインフラストラクチャーを管理する機能が必要です。Red Hat は、顧客が独自の VNET を持ち込む可能性を模索していますが、顧客の既存の VNET への Red Hat SRE 管理アクセスを許可するという課題により、現時点では Red Hat はこの機能を提供できません。
マネージドアプリケーションを作成する場合、ワークフローにより、顧客はデプロイする VNET のネットワーク CIDR ブロックを設定できます。VNET は、Ansible Automation Platform を実行するためにデプロイされたネットワーク接続インフラストラクチャーを含む 4 つのサブネットに分割されています。
設定する範囲は、AKS クラスターのデフォルトの CIDR ブロック 10.0.0.0/16 と交差することはできません。4 つのサブネットにも最小アドレス間隔があります。これらの最小値については、この記事で説明します。VNET とサブネットの両方に、より大きなブロックサイズを割り当てることもできますが、その必要はありません。
この記事は、お客様がマネージドアプリケーションのデプロイメント前にネットワーク設定を計画する際に役立ちます。
Azure コンソールの考慮事項
ネットワーク設定の Azure Marketplace オンボーディング画面には、Red Hat が Microsoft に報告した動作上の考慮事項が含まれています。導入後に問題や障害が発生しないように、ネットワークを設定するときは必ず次の手順に従ってください。
CIDR ブロックの計画
Microsoft Azure 上の Red Hat Ansible Automation Platform を使用すると、お客様はデプロイ時に使用するネットワーク CIDR ブロックを設定できます。マネージドアプリケーションには、4 つのサブネットに分割された少なくとも /24 VNET が必要です。
設定する VNET 範囲は、AKS クラスターのデフォルトの CIDR ブロック 10.0.0.0/16 と交差することはできません。UI ではこの範囲を設定できますが、その範囲を使用するとネットワークの問題が発生します。そのブロックの外側の範囲を使用するように計画してください。
4 つのサブネットにも最小アドレス間隔があります。これらの最小値については、次のセクションで説明します。VNET とサブネットの両方に、より大きなブロックサイズを割り当てることもできますが、その必要はありません。
この記事は、お客様がマネージドアプリケーションのデプロイメント前にネットワーク設定を計画する際に役立ちます。
VNET は /24 の範囲に縮小できます。各ネットワーキングエンティティーの最小値を以下に示します。
| ネットワーキングエンティティー | 最小 CIDR ブロック |
|---|---|
| VNET | /24 |
| クラスターサブネット | /26 |
| ゲートウェイサブネット | /28 |
| データベースサブネット | /28 |
| プライベートリンクサブネット | /28 |
ネットワーク設定フォームに記入する前に、範囲が適切に計算されていることを確認してください。ipcalc などのツールを使用すると、CIDR ブロックを適切に計画できます。
既存の Azure VNET がない場合、UI は VNET に対してデフォルトで 10.0.0.0/20 になります (この範囲は変更する必要があることに注意してください)。
これにより、使用する予定の適切な範囲の VNET とサブネットを入力できるようになります。
| ネットワーキングエンティティー | 最小 CIDR ブロック |
|---|---|
| VNET | 10.1.0.0/24 |
| クラスターサブネット | 10.1.0.0/26 |
| ゲートウェイサブネット | 10.1.0.64/28 |
| データベースサブネット | 10.1.0.80/28 |
| プライベートリンクサブネット | 10.1.0.96/28 |
範囲の最小値が満たされている限り、クラス A、B、または C のネットワーク範囲は機能します。たとえば、クラス B の範囲 172.16.10.0/24 を使用するとよいでしょう。ネットワークに合わせて、ネットワークの詳細画面内で次の値を設定します。
| ネットワーキングエンティティー | 最小 CIDR ブロック |
|---|---|
| VNET | 172.16.10.0/24 |
| クラスターサブネット | 172.16.10.0/26 |
| ゲートウェイサブネット | 172.16.10.64/28 |
| データベースサブネット | 172.16.10.80/28 |
| プライベートリンクサブネット | 172.16.10.96/28 |
/20 のより広い VNET 範囲を使用する別の例は、次のようになります。
| ネットワーキングエンティティー | 最小 CIDR ブロック |
|---|---|
| VNET | 172.16.10.0/20 |
| クラスターサブネット | 172.16.10.0/24 |
| ゲートウェイサブネット | 172.16.11.0/24 |
| データベースサブネット | 172.16.12.0/24 |
| プライベートリンクサブネット | 172.16.13.0/24 |
導入時のネットワークの設定
CIDR ブロック計画を作成したら、アプリケーションのデプロイメントに進むことができます。前述の UI の問題のため、適切なデプロイメントを確保するには、以下の手順を記載されている順に実行する必要があります。これらの手順は、顧客が Azure Marketplace からマネージドアプリケーションのデプロイプロセスを開始すると開始されます。
- 基本タブのすべてのフィールドに入力します。
- 次へをクリックします。
- 仮想ネットワークフィールドで新規作成リンクをクリックします。
- 既存の VNET の使用はサポートされていません。
- 指定された CIDR ブロックのみが尊重されます。カスタムの VNET 名またはサブネット名はデプロイメントでは無視され、それらの名前はデプロイメントプロセスによって生成されます。
- VNET の CIDR ブロックを入力します (/24 以上である必要があります)。
- クラスターのサブネットの CIDR ブロックを入力します (/26 以上である必要があります)。
- appgw サブネットの CIDR ブロックを入力します (/28 以上である必要があります)。
- private_link サブネットの CIDR ブロックを入力します (/28 以上である必要があります)。
- データベースサブネットの CIDR ブロックを入力します (/28 以上である必要があります)。
- OK をクリックします。
- 確認と作成をクリックして、マネージドアプリケーションのデプロイに進みます。
AKS ネットワーク設定
ネットワークタブでは、AKS ネットワーク CIDR ブロックの設定も可能です。AKS クラスターから発信されるトラフィックは、前のセクションで設定された VNET からではなく、AKS で設定された範囲から送信されているように見えるため、これは重要です。
マネージドアプリケーション VNET と同様に、これらのネットワーク範囲がエンタープライズネットワーク内の既存のネットワーク範囲と重複しないようにする必要があります。Azure には、使用すべきではない予約されたネットワーク範囲もあります。
予約済み CIDR ブロック
| ブロック | 状態 |
|---|---|
| 169.254.0.0/16 | Azure Reserved |
| 172.30.0.0/16 | Azure Reserved |
| 172.31.0.0/16 | Azure Reserved |
| 192.0.2.0/24 | Azure Reserved |
| 172.17.0.0/24 | Azure Reserved |
設定フィールド
Azure で Ansible Automation Platform を作成する場合、ネットワークタブには、マネージドアプリケーションインスタンスをデプロイするときに設定できる 3 つのフィールドがあります。
| ラベル | 説明 | 要件 |
|---|---|---|
| Service CIDR | サービスクラスター IP を割り当てる CIDR 表記の IP 範囲。サブネット IP 範囲と重複しないようにしてください。 | /26 以上のブロックが必要ですが、これより大きなネットワークブロックは必要ありません。この CIDR ブロックは、Pod CIDR ブロックの CIDR と交差することはできません。この CIDR ブロックは、VNET CIDR ブロックの CIDR と交差してはなりません。 |
| DNS サービス IP | Kubernetes DNS サービスに割り当てられた IP アドレス。これは、serviceCidr で指定された Kubernetes サービスのアドレス範囲内にある必要があります。 | サービス CIDR 内の 、その範囲内の最初の IP 以外の IP アドレスである必要があります。Red Hat では、Service CIDR ブロック内の最初の .10 IP アドレスを使用することを推奨します。 |
| Pod CIDR | kubenet の使用時に Pod IP を割り当てる CIDR 表記の IP 範囲。 | /20 以上のブロックが必要です。この CIDR ブロックは、サービス CIDR ブロックの CIDR と交差してはなりません。 |
Comments