Azure один шлюз VPN для подключения нескольких ресурсов в разных кластерах Azure AKS - PullRequest
Новая
       55

Azure один шлюз VPN для подключения нескольких ресурсов в разных кластерах Azure AKS

0 голосов
/ 31 декабря 2018

У меня следующее требование

Требование В настоящее время у нас несколько кластеров Azure AKS (dev, uat, staging ...) в разных виртуальных сетях.эти кластеры AKS развертываются с использованием расширенной сетевой опции через terraform.нам нужно соединить эту среду через один шлюз vpn.

Мое понимание и запросы Согласно моему пониманию, мы не можем создать более одного кластера aks в одной и той же подсети.

если нам нужно использовать один шлюз vpn для подключения нескольких виртуальных сетей, нам необходимо выполнить одноранговое соединение со всеми этими виртуальными сетями.это создаст неперекрывающуюся огромную виртуальную сеть.

Запросы

  • - это один AKS, применимый для всей vnet или всей подсети.
  • Я также предполагаю, что невозможно использовать один шлюз vpn для подключения нескольких кластеров AKS, так как это требует пиринга Vnet и усложняет сетевые и входные сервисы kuernates.

1 Ответ

0 голосов
/ 31 декабря 2018

На самом деле, мы можем создать более одного кластера aks в одной подсети, но делать это не рекомендуется, поскольку диапазон IP-адресов ограничен.Я могу предложить создать достаточно большую виртуальную сеть, такую ​​как маска сети, 8 бит, а затем выбрать большую подсеть для кластеров запросов.На снимках экрана показано, что два кластера aks с именами azureaks и azureakstest развернуты в одной подсети в виртуальной сети.enter image description here

Получает управляемый кластер

enter image description here Насколько я знаю, теоретически выЧтобы использовать один VPN-шлюз для подключения нескольких кластеров AKS в разных виртуальных сетях, вам необходимо реализовать топологию со спицами-концентраторами в Azure и настроить транзит VPN-шлюза для пиринга виртуальной сети .Но есть некоторые ограничения , такие как Транзитный шлюз в настоящее время не поддерживается с пирингом глобальной виртуальной сети .Кроме того, если вам требуется соединение между лучами, рассмотрите возможность реализации NVA для маршрутизации в концентраторе и использования UDR в луче для пересылки трафика на концентратор.Кажется сложным сделать огромную сетевую архитектуру.Так что делать это не рекомендуется.

...