Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Funkce AKS ve verzi Preview jsou k dispozici na bázi samoobsluhy a dobrovolného přihlášení. Ukázky jsou poskytovány "jak jsou" a "podle aktuální dostupnosti" a jsou vyloučené ze smluv o úrovni služeb a omezené záruky. Předběžné verze AKS jsou částečně pokryty zákaznickou podporou podle možností. Proto tyto funkce nejsou určené pro produkční použití. Další informace najdete v následujících článcích podpory:
Architektura aplikační sítě Azure Kubernetes je uspořádaná do tří vrstev: rovina správy, řídicí rovina a rovina dat. Každá vrstva má odlišné odpovědnosti, které společně poskytují plně spravované síťové řešení pro službu Azure Kubernetes Service (AKS) založenou na okolí. Tato architektura umožňuje zabezpečenou komunikaci řízenou politikou mezi službami, aniž by bylo vyžadováno použití sidecarů nebo změny vašich aplikací.
Tento článek obsahuje přehled vrstev architektury aplikační sítě Azure Kubernetes, způsobu interakce a modelu zjišťování služeb s více clustery, který umožňuje škálovatelnou komunikaci mezi clustery. Další informace o aplikační síti Azure Kubernetes najdete v přehledu aplikační sítě Azure Kubernetes pro AKS.
Přehled vrstev architektury aplikační sítě
Vrstvy architektury spravují následující odpovědnosti:
- Rovina správy: Zpracovává operace prostředků Azure, jako je vytváření, aktualizace a odstraňování prostředků aplikační sítě a správa členství v clusteru.
- Řídicí rovina: Spravuje konfiguraci sítě, životní cyklus certifikátů a zjišťování služeb pro každý členský cluster.
- Rovina dat: Zabezpečuje provoz mezi službami přímo v členském clusteru pomocí okolního režimu, který nevyžaduje žádné sajdkáře ani změny vašich aplikací.
V případě nasazení s více clustery služba Application Network synchronizuje informace o zjišťování služeb napříč členskými clustery, aby služby mohly transparentně komunikovat přes hranice clusteru.
Následující diagram znázorňuje vrstvy architektury aplikační sítě Azure Kubernetes a jejich vzájemné interakce s clustery AKS:
Rovina správy
Rovina správy je poskytovatel prostředků Azure, který zpracovává všechny operace prostředků aplikační sítě. Když vytvoříte prostředek aplikační sítě nebo se připojíte k členu clusteru, rovina správy žádost ověří, zřídí podpůrné prostředky Azure, jako je Azure Key Vault pro úložiště certifikátů, a orchestruje vytvoření regionální řídicí roviny člena.
S rovinou správy komunikujete prostřednictvím Azure CLI (az appnet) nebo rozhraní API ARM. Rovina správy koordinuje veškeré zřizování, které probíhá směrem dolů, aby se komponenty řídicí roviny a roviny dat nasazovaly bez nutnosti ručního zásahu.
Úroveň řízení
Řídicí panel je plně spravovaná infrastruktura, která běží mimo cluster AKS. Když se členský cluster připojí k aplikační síti, zřídí se vyhrazená řídicí rovina ve stejné oblasti Azure jako členský cluster, přičemž latence mezi komponentami řídicí roviny a komponentami roviny dat je nízká.
Poznámka:
Členové v různých regionech Azure mají řídicí panely nasazené ve svých příslušných regionech.
Řídicí rovina obsahuje následující komponenty:
- Istiod: Připojí se k serveru rozhraní KUBERNEtes API člena clusteru, aby zjistil služby a sledoval změny konfigurace. Poskytuje konfiguraci xDS ztunnelu a waypoint proxy v datové rovině. V nasazeních s více clustery se Istiod připojuje také k serverům rozhraní Kubernetes API jiných členských clusterů, aby získal informace o zjišťování služeb, což umožňuje zjišťování mezi clustery.
- Správa certifikátů: Zřizuje a obměňuje certifikáty certifikační autority zálohované službou Azure Key Vault. Kořenová CA vytváří sdílenou důvěryhodnostní hranici napříč všemi členskými shluky a každý člen obdrží zprostředkující CA, která vydává certifikáty úloh s krátkou dobou platnosti. Další informace najdete v přehledu zabezpečení aplikační sítě Azure Kubernetes.
- Správa životního cyklu: Nasadí a upgraduje všechny komponenty roviny dat v členském clusteru, včetně ztunnel, Istio CNI, waypoint proxy a vlastních definic prostředků (CRD). Další informace najdete v tématu Konfigurace upgradů pro členy aplikační sítě Azure Kubernetes.
Datová rovina
Datová rovina se skládá z komponent nasazených do oboru názvů clusteru člena applink-system. Application Network používá ambientní režim Istio, takže do úloh se nevkládají žádné sidecary.
Rovina dat zahrnuje následující komponenty:
- Ztunnel: Proxy server L4 na úrovni uzlu nasazený jako daemonSet. Ztunnel zachytí provoz mezi službami na uzlu, transparentně naváže připojení mTLS a vynucuje zásady autorizace L4.
- Waypoint proxy: Volitelné proxy servery pro jednotlivé jmenné prostory L7, které poskytují směrování HTTP, posun provozu, injektáž chyb a autorizaci L7. Proxy služby WayPoint se nasazují jenom v případě, že jsou pro obor názvů nakonfigurované zásady L7.
- Brána east-west: Zpracovává provoz mezi clustery v nasazeních s více clustery. Zodpovídáte za poskytování síťového připojení mezi bránami east-west v každém členském clusteru. Další informace najdete v tématu Zjišťování služeb s více clustery.
- Istio CNI: DaemonSet, který konfiguruje síťování podů pro zachycení provozu síťové mřížky okolí.
- CRD: Vlastní definice prostředků Kubernetes pro konfiguraci správy síťového provozu a zásad zabezpečení.
Když je proveden požadavek mezi službami, ztunnel zachytí provoz, naváže připojení mTLS se ztunnelem cílové destinace a doručí požadavek do cílové úlohy. Pokud jsou nakonfigurované politiky L7, provoz je směrován přes proxy server před dosažením cíle. V případě provozu mezi clustery ztunnel směruje dopravu přes bránu east-west, aby se dostal k úlohám ve vzdálených členských clusterech.
Zjišťování služeb s více clustery
Application Network podporuje připojení několika clusterů AKS do sjednocené sítě služeb. Služby v jednom členském clusteru mohou komunikovat se službami v jiných členských clusterech, přičemž mTLS je komplexně vynucen napříč hranicemi clusteru.
V opensourcových nasazeních Istio s více clustery se řídicí roviny obvykle připojují k serverům rozhraní API Kubernetes jiných clusterů za účelem zjišťování služeb a změn konfigurace. Application Network se řídí podobným modelem zjišťování služeb, kdy řídicí roviny získávají informace o službě z členských clusterů, aby bylo možné zjistit služby přes hranice clusteru. Tento přístup umožňuje úlohám v jednom členském clusteru vyřešit a komunikovat se službami spuštěnými v jiných clusterech bez nutnosti změn aplikací. Přidání nového členového clusteru rozšiřuje členství v síti, aby se služby v novém clusteru staly zjistitelnými ostatními členy.
Provoz mezi clustery prochází branami east-west nasazenými v každém členském clusteru. Zodpovídáte za zajištění síťové dosažitelnosti mezi bránami vašich členských clusterů – například prostřednictvím propojení virtuálních sítí, sítě VPN nebo jiných možností připojení. Veškerý provoz mezi clustery je šifrovaný pomocí mTLS.
Interakce komponent
Řídicí rovina se připojí k serveru rozhraní Kubernetes API člena clusteru, sleduje změny služby a konfigurace a odesílá aktualizace xDS do proxy ztunnel a proxy waypoint. Pokud existuje více členů, každá řídicí rovina také vyměňuje informace o službě prostřednictvím spravovaného zasílání zpráv, aby každý člen získal konzistentní přehled o všech službách v síti.
Správa certifikátů zřídí kořenovou certifikační autoritu při vytváření prostředku aplikační sítě a vydává přechodné certifikační autority pro každý členský cluster. Certifikáty úloh se vydávají s 24hodinovou dobou platnosti a automaticky se obměňují každých 12 hodin. Celý životní cyklus certifikátu od kořenové certifikační autority přes zprostředkující certifikáty a certifikáty úloh se spravuje bez ručního zásahu.
Kompletní hierarchii certifikátů a plán obměny najdete v přehledu zabezpečení aplikační sítě Azure Kubernetes.
Související obsah
Další informace o aplikační síti Azure Kubernetes najdete v následujících článcích: