网络拓扑

  • 5 分钟

建议的体系结构和 Azure Kubernetes 服务群集是中心辐射型网络拓扑。 中心和分支部署在通过对等互连连接的单独虚拟网络中。 此拓扑的一些优点包括:

  • 隔离管理。 启用一种方法来应用治理并遵循最低特权原则。 它还支持 将 Azure 登陆区域 的概念与职责分离。
  • 最大程度地减少直接将 Azure 资源公开到公共 Internet。
  • 组织通常使用区域中心辐射型拓扑进行作。 将来可以扩展中心辐射型网络拓扑,并提供工作负荷隔离。
  • 所有 Web 应用程序都应要求 Web 应用程序防火墙(WAF)服务来帮助控制 HTTP 流量流。
  • 跨多个订阅的工作负荷的自然选择。
  • 它使体系结构可扩展。 为了适应新功能或工作负载,可以添加新的辐射,而不是重新设计网络拓扑。
  • 某些资源(例如防火墙和 DNS)可以跨网络共享。

Hub

中心虚拟网络是连接性和可观测性的中心点。 中心包含由中心 IT 团队定义的具有全局防火墙策略的 Azure 防火墙,用于强制实施组织范围的防火墙策略、Azure Bastion 和 Azure Monitor,以便实现网络可观测性。

在网络中,部署了三个子网。

用于托管 Azure 防火墙的子网

Azure 防火墙是防火墙即服务。 防火墙实例保护出站网络流量。 如果没有此安全层,此流量可能会与恶意第三方服务通信,该服务可能会泄露敏感的公司数据。 使用 Azure 防火墙管理器 可以集中部署和配置多个 Azure 防火墙实例,并管理此 中心虚拟网络 体系结构类型的 Azure 防火墙策略。

用于托管网关的子网

此子网是 VPN 或 ExpressRoute 网关的占位符。 网关在本地网络中的路由器与虚拟网络之间提供连接。

用于托管 Azure Bastion 的子网

此子网是 Azure Bastion 的占位符。 可以使用 Bastion 安全地访问 Azure 资源,而无需向 Internet 公开资源。 此子网仅用于管理和作。

分支

分支虚拟网络包含 AKS 群集和其他相关资源。 辐射有四个子网:

用于托管 Azure 应用程序网关的子网

Azure 应用程序网关 是在第 7 层运行的 Web 流量负载均衡器。 参考实现使用启用 Web 应用程序防火墙(WAF)的应用程序网关 v2 SKU。 WAF 保护来自常见 Web 流量攻击(包括机器人)的传入流量。 该实例具有接收用户请求的公共前端 IP 配置。 根据设计,应用程序网关需要专用子网。

用于托管入口资源的子网

若要路由和分发流量,入口控制器满足 Kubernetes 入口资源。 Azure 内部负载均衡器存在于此子网中。

用于托管群集节点的子网

AKS 维护两个单独的节点组(或节点池)。 系统节点池托管运行核心群集服务的 Pod。 用户节点池运行工作负荷和入口控制器,以启用与工作负荷的入站通信。

Azure 专用链接连接是为 Azure 容器注册表和 Azure Key Vault 创建的,因此可以使用辐射虚拟网络中的专用终结点访问这些服务。 专用终结点不需要专用子网,也可以放置在中心虚拟网络中。 在基线实现中,它们部署到辐射虚拟网络中的专用子网。 此方法可减少通过对等网络连接的流量,并将属于群集的资源保留在同一虚拟网络中。