Microsoft Azure 上的红帽 Ansible 自动化平台网络准备
互联网络
Microsoft Azure 上的红帽 Ansible 自动化平台部署到其自己的 Azure 虚拟网络 (VNET) 中。这是必需的,因为 VNET 的 AKS 和 SRE 管理非常复杂。SRE 需要能够在 Azure 发生可能影响解决方案网络管理的更改时管理网络基础设施。红帽正在探索让客户自带 VNET 的可能性,但允许红帽 SRE 管理访问客户现有 VNET 的挑战目前阻止红帽提供此功能。
创建托管应用程序时,工作流允许客户为其部署的 VNET 配置网络 CIDR 块。VNET 分为四个子网,其中包含部署用于运行 Ansible 自动化平台的网络连接基础设施。
您配置的范围不能与 AKS 群集的默认 CIDR 块10.0.0.0/16相交。这四个子网也具有最小地址间隔。本文介绍了这些最低要求。您可以为 VNET 和子网分配更大的块大小,但没有必要这样做。
本文将帮助客户在部署托管应用程序之前规划网络配置。
Azure 控制台注意事项
红帽已向 Microsoft 报告了用于网络配置的 Azure 市场入门屏幕的行为注意事项。确保在配置网络时遵循以下步骤,以便您的部署在部署后不会遇到问题或失败。
规划 CIDR 块
Microsoft Azure 上的红帽 Ansible 自动化平台允许客户配置部署时使用的网络 CIDR 块。托管应用程序至少需要一个分为四个子网的/24 VNET。
您配置的 VNET 范围不能与 AKS 群集的默认 CIDR 块10.0.0.0/16相交。用户界面将允许您设置此范围,但如果您使用该范围,则会导致网络问题。计划使用该块之外的范围。
这四个子网也具有最小地址间隔。下一节将介绍这些最低要求。您可以为 VNET 和子网分配更大的块大小,但没有必要这样做。
本文将帮助客户在部署托管应用程序之前规划网络配置。
VNET 可以缩小到/24范围。下面列出了每个网络实体的最低要求。
| 网络实体 | 最小 CIDR 块 |
|---|---|
| 互联网络 | /24 |
| 集群子网 | /26 |
| 网关子网 | /28 |
| 数据库子网 | /28 |
| 专用链接子网 | /28 |
确保在填写网络配置表格之前正确计算范围。您可以使用ipcalc等工具来帮助正确规划 CIDR 块。
如果没有任何现有的 Azure VNET,则 UI 将默认为 VNET 的10.0.0.0/20 (提醒,您仍然需要更改此范围)。
然后,您将能够输入具有您打算使用的适当范围的 VNET 和子网。
| 网络实体 | 最小 CIDR 块 |
|---|---|
| 互联网络 | 10.1.0.0/24 |
| 集群子网 | 10.1.0.0/26 |
| 网关子网 | 10.1.0.64/28 |
| 数据库子网 | 10.1.0.80/28 |
| 专用链接子网 | 10.1.0.96/28 |
只要满足范围最小值,任何 A、B 或 C 类网络范围都应该可以工作。例如,您可能想要使用 B 类范围172.16.10.0/24 。您可以在网络详细信息屏幕中配置以下值以与您的网络保持一致。
| 网络实体 | 最小 CIDR 块 |
|---|---|
| 互联网络 | 172.16.10.0/24 |
| 集群子网 | 172.16.10.0/26 |
| 网关子网 | 172.16.10.64/28 |
| 数据库子网 | 172.16.10.80/28 |
| 专用链接子网 | 172.16.10.96/28 |
使用更宽的 VNET 范围 /20 的另一个示例可能如下所示。
| 网络实体 | 最小 CIDR 块 |
|---|---|
| 互联网络 | 172.16.10.0/20 |
| 集群子网 | 172.16.10.0/24 |
| 网关子网 | 172.16.11.0/24 |
| 数据库子网 | 172.16.12.0/24 |
| 专用链接子网 | 172.16.13.0/24 |
在部署时配置网络
制定 CIDR 块计划后,您就可以开始应用程序部署。由于前面提到的 UI 问题,您需要按照列出的顺序执行这些步骤,以确保正确部署。一旦客户从 Azure 市场启动托管应用程序部署过程,这些步骤就会开始。
- 填写“基本”选项卡上的所有字段。
- 点击下一步”。
- 在“虚拟网络”字段中,单击“新建”链接。
- 不支持使用现有 VNET。
- 只有指定的 CIDR 块才会受到尊重。任何自定义 VNET 或子网名称都将被部署忽略,并且它们的名称将由部署过程生成。
- 输入 VNET 的 CIDR 块(必须是 /24 或更大)。
- 输入集群子网的 CIDR 块(必须是 /26 或更大)。
- 输入 appgw 子网的 CIDR 块(必须是 /28 或更大)。
- 输入 private_link 子网的 CIDR 块(必须为 /28 或更大)。
- 输入数据库子网的 CIDR 块(必须是 /28 或更大)。
- 单击“确定”。
- 单击“查看+创建”并继续部署托管应用程序
AKS 网络配置
网络选项卡还允许配置 AKS 网络 CIDR 块。这很重要,因为源自 AKS 群集的流量将显示为来自 AKS 中配置的范围,而不是来自上一节中配置的 VNET。
与托管应用程序 VNET 一样,您需要确保这些网络范围不与企业网络中的任何现有网络范围重叠。Azure 还保留了您也不应该使用的网络范围。
保留的 CIDR 块
| Block | 状态 |
|---|---|
| 169.254.0.0/16 | Azure 保留 |
| 172.30.0.0/16 | Azure 保留 |
| 172.31.0.0/16 | Azure 保留 |
| 192.0.2.0/24 | Azure 保留 |
| 172.17.0.0/24 | Azure 保留 |
配置字段
在 Azure 上创建 Ansible 自动化平台时,网络选项卡将包含三个字段,您可以在部署托管应用程序实例时配置这些字段。
| 标签 | 描述 | 要求 |
|---|---|---|
| Service CIDR | 使用 CIDR 表示法的 IP 范围,从中分配服务集群 IP。它不得与任何子网 IP 范围重叠。 | 需要 /26 或更大的块,但不需要更大的网络块。此 CIDR 块不得与 Pod CIDR 块的 CIDR 进行交互。此 CIDR 块也不得与 VNET CIDR 块的 CIDR 相交。 |
| DNS 服务 IP | 分配给 Kubernetes DNS 服务的 IP 地址。必须在serviceCidr指定的Kubernetes服务地址范围内。 | 必须是服务 CIDR 中的 IP 地址,而不是该范围中的第一个 IP地址。红帽建议使用服务 CIDR 块内的第一个 .10 IP 地址。 |
| Pod CIDR | CIDR 表示法 IP 范围,在使用 kubenet 时从中分配 pod IP。 | 需要一个 /20 或更大的块。该网段不能与服务网段的网段相交。 |
Comments