Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
AKS önizleme özellikleri self servis ve kabul temelinde kullanılabilir. Önizlemeler "olduğu gibi" ve "mevcut olduğu şekilde" sağlanmakta olup, hizmet seviyesi anlaşmalarına ve sınırlı garantilere dahil edilmemektedir. AKS önizlemeleri, müşteri desteği ekibi tarafından maksimum çaba gösterilerek kısmen ele alınmaktadır. Bu nedenle, bu özellikler üretim kullanımı için tasarlanmamıştır. Daha fazla bilgi için aşağıdaki destek makalelerine bakın:
Azure Kubernetes Uygulama Ağı mimarisi üç katman halinde düzenlenmiştir: yönetim düzlemi, denetim düzlemi ve veri düzlemi. Her katmanın, Azure Kubernetes Service (AKS) için tam olarak yönetilen, Ortam tabanlı bir hizmet ağı çözümü sağlayan ayrı sorumlulukları vardır. Bu mimari, uygulamalarınızda yan arabalar veya değişiklik gerektirmeden hizmetler arasında güvenli, ilke temelli iletişim sağlar.
Bu makalede Azure Kubernetes Uygulama Ağı'nın mimari katmanlarına, nasıl etkileşime geçtiklerine ve ölçeklenebilir kümeler arası iletişim sağlayan çok kümeli hizmet bulma modeline genel bir bakış sunulmaktadır. Azure Kubernetes Uygulama Ağı hakkında daha fazla bilgi için bkz. AKS için Azure Kubernetes Uygulama Ağına Genel Bakış.
Uygulama Ağı mimari katmanlarına genel bakış
Mimari katmanlar aşağıdaki sorumlulukları yönetir:
- Yönetim düzlemi: Uygulama Ağı kaynaklarını oluşturma, güncelleştirme ve silme ve küme üyeliğini yönetme gibi Azure kaynak işlemlerini işler.
- Denetim düzlemi: Her üye küme için ağ yapılandırmasını, sertifika yaşam döngüsünü ve hizmet bulmayı yönetir.
- Veri düzlemi: Ortam modunu kullanarak hizmetten hizmete trafiği doğrudan üye kümede güvenli kılar; bu da uygulamalarınızda yan arabirim veya değişiklik gerektirmez.
Çok kümeli dağıtımlarda Application Network, hizmetlerin küme sınırları arasında saydam bir şekilde iletişim kurabilmesi için hizmet bulma bilgilerini üye kümeler arasında eşitler.
Aşağıdaki diyagramda Azure Kubernetes Uygulama Ağı'nın mimari katmanları ve bunların birbirleriyle ve AKS kümelerinizle nasıl etkileşimde bulundukları gösterilmektedir:
Yönetim düzlemi
Yönetim düzlemi, tüm Uygulama Ağı kaynak işlemlerini işleyen Azure kaynak sağlayıcısıdır. Bir Uygulama Ağı kaynağı oluşturduğunuzda veya bir üye kümesine katıldığınızda yönetim düzlemi isteği doğrular, sertifika depolama için Azure Key Vault gibi destekleyici Azure kaynaklarını sağlar ve üye için bölgesel denetim düzlemi oluşturmayı düzenler.
Yönetim düzlemiyle Azure CLI (az appnet) veya ARM API aracılığıyla etkileşim kurarsınız. Yönetim düzlemi, kontrol düzlemi ve veri düzlemi bileşenlerinin el ile müdahale edilmeden dağıtılması için tüm aşağı akış sağlamayı koordine eder.
Kontrol düzlemi
Kontrol düzlemi, AKS kümenizin dışında çalışan tamamen yönetilen bir altyapıdır. Bir üye küme bir Uygulama Ağına katıldığında, üye kümeyle aynı Azure bölgesinde ayrılmış bir denetim düzlemi sağlanır ve bu da denetim ve veri düzlemi bileşenleri arasındaki gecikme süresini düşük tutar.
Uyarı
Farklı Azure bölgelerindeki üyelerin bulundukları bölgelere dağıtılan denetim düzlemleri vardır.
Kontrol düzlemi aşağıdaki bileşenleri içerir:
- Istiod: Hizmetleri bulmak ve yapılandırma değişikliklerini izlemek için üye kümenin Kubernetes API sunucusuna bağlanır. XDS yapılandırmasını veri düzlemindeki ztunnel ve waypoint proxy'lerine iletir. Çok kümeli dağıtımlarda Istiod, hizmet bulma bilgilerini almak için diğer üye kümelerin Kubernetes API sunucularına da bağlanır ve kümeler arası hizmet bulmayı etkinleştirir.
- Sertifika yönetimi: Azure Key Vault tarafından desteklenen CA sertifikalarını sağlar ve döndürür. Kök CA, tüm üye kümelerinde paylaşılan bir güven sınırı oluşturur ve her üye kısa süreli iş yükü sertifikaları veren bir ara CA alır. Daha fazla bilgi için bkz. Azure Kubernetes Uygulama Ağı güvenliğine genel bakış.
- Yaşam döngüsü yönetimi: Ztunnel, Istio CNI, waypoint proxy'leri ve özel kaynak tanımları (CRD) dahil olmak üzere üye kümedeki tüm veri düzlemi bileşenlerini dağıtır ve yükselter. Daha fazla bilgi için bkz. Azure Kubernetes Uygulama Ağı üyeleri için yükseltmeleri yapılandırma.
Veri düzlemi
Veri düzlemi, üye kümenin applink-system ad alanına dağıtılan bileşenlerden oluşur. Uygulama Ağı Istio'nun ortam modunu kullandığı için iş yüklerinize yan arabalar eklenmez.
Veri düzlemi aşağıdaki bileşenleri içerir:
- Ztunnel: DaemonSet olarak dağıtılan düğüm düzeyinde bir L4 ara sunucusu. Ztunnel düğümdeki hizmetler arası trafiği keser, mTLS bağlantılarını şeffaf bir şekilde kurar ve L4 yetkilendirme politikalarını uygular.
- Waypoint proxy'leri: HTTP yönlendirme, trafik kaydırma, hata ekleme ve L7 yetkilendirmesi sağlayan isteğe bağlı ad alanı başına L7 proxy'leri. Waypoint proxy'leri yalnızca bir ad alanı için L7 ilkeleri yapılandırıldığında dağıtılır.
- Doğu-batı ağ geçidi: Çok kümeli dağıtımlarda kümeler arası trafiği işler. Her üye kümedeki doğu-batı ağ geçitleri arasında ağ bağlantısı sağlamak sizin sorumluluğundadır. Daha fazla bilgi için bkz . Çok kümeli hizmet bulma.
- Istio CNI: Ortam ağı trafiğinin kesilmesi için pod ağını yapılandıran bir DaemonSet.
- CRD'ler: Trafik yönetimi ve güvenlik ilkelerini yapılandırmak için Kubernetes özel kaynak tanımları.
Hizmetler arasında bir istek yapıldığında ztunnel trafiği durdurur, hedefin ztunnel değeriyle bir mTLS bağlantısı kurar ve isteği hedef iş yüküne teslim eder. L7 ilkeleri yapılandırılırsa, trafik hedefine ulaşmadan önce bir yol noktası ara sunucusu üzerinden yönlendirilir. Kümeler arası trafik için ztunnel, uzak üye kümelerindeki iş yüklerine ulaşmak için doğu-batı ağ geçidini yönlendirir.
Çok kümeli hizmet bulma
Uygulama Ağı, birden çok AKS kümesinin birleşik bir hizmet ağına bağlanmasını destekler. Bir üye kümedeki hizmetler, mTLS sayesinde küme sınırları boyunca uçtan uca güvence altına alınarak diğer üye kümelerdeki hizmetlerle iletişim kurabilir.
Açık kaynak Istio çok kümeli dağıtımlarda denetim düzlemleri genellikle hizmetleri ve yapılandırma değişikliklerini keşfetmek için diğer kümelerin Kubernetes API sunucularına bağlanır. Application Network, denetim düzlemlerinin üye kümelerden hizmet bilgilerini edinip küme sınırları ötesinde hizmetlerin keşfedilebilmesini sağladığı benzer bir hizmet bulma modelini izler. Bu yaklaşım, bir üye kümedeki iş yüklerinin uygulama değişikliklerine gerek kalmadan diğer kümelerde çalışan hizmetleri çözümlemesine ve bunlarla iletişim kurmasına olanak tanır. Yeni üye kümesi eklemek, yeni kümedeki hizmetlerin diğer üyeler tarafından bulunabilir hale gelmesi için mesh üyeliğini genişletir.
Kümeler arası trafik, her üye kümeye dağıtılan doğu-batı ağ geçitleri üzerinden akar. Üye kümelerinizin doğu-batı ağ geçitleri arasında sanal ağ eşlemesi, VPN veya diğer bağlantı çözümleri gibi ağ erişilebilirliği sağlamak sizin sorumluluğunuzdadır. Tüm kümeler arası trafik mTLS ile şifrelenir.
Bileşenler nasıl etkileşim kurar?
Denetim düzlemi üye kümenin Kubernetes API sunucusuna bağlanır, hizmet ve yapılandırma değişikliklerini izler ve xDS güncelleştirmelerini ztunnel ve waypoint proxy'lerine gönderir. Birden çok üye mevcut olduğunda, her denetim düzlemi yönetilen mesajlaşma aracılığıyla hizmet bilgilerini de değiştirir, böylece her üye ağ genelindeki tüm hizmetlerin tutarlı bir görünümüne sahip olur.
Uygulama Ağı kaynağı oluşturulduğunda sertifika yönetimi bir kök CA sağlar ve her üye kümesi için ara CA'lar gönderir. İş yükü sertifikaları 24 saatlik geçerlilik süresiyle verilir ve her 12 saatte bir otomatik olarak döndürülür. Kök CA'dan ara sertifikalara ve iş yükü sertifikalarına kadar tüm sertifika yaşam döngüsü el ile müdahale edilmeden yönetilir.
Tam sertifika hiyerarşisi ve döndürme zamanlaması için bkz. Azure Kubernetes Uygulama Ağı güvenliğine genel bakış.
İlgili içerik
Azure Kubernetes Application Network hakkında daha fazla bilgi için aşağıdaki makalelere bakın: