配置 Azure CNI 网络以在 Azure Kubernetes 服务 (AKS) 中动态分配 IP 和增强子网支持

传统 CNI 的一个缺点是，随着 AKS 群集的增长，Pod IP 地址将耗尽，导致需要在更大的子网中重建整个群集。 Azure CNI 中的新增 IP 动态分配功能可从与托管 AKS 群集的子网分隔的子网分配 Pod IP，以此来解决这个问题。

这能带来以下好处：

• 更高的 IP 利用率：IP 从 Pod 子网动态分配给群集 Pod。 与传统的 CNI 解决方案（为每个节点静态分配 IP）相比，此功能可以优化群集中的 IP 利用率。
• 可缩放性和灵活性：可以单独缩放节点和 Pod 子网。 单个 Pod 子网可以在群集的多个节点池之间或在同一 VNet 中部署的多个 AKS 群集之间共享。 你还可以为节点池配置单独的 Pod 子网。
• 高性能：由于为 Pod 分配了虚拟网络 IP，因此它们可以直接连接到 VNet 中的其他群集 Pod 和资源。 此解决方案支持非常大的群集，且丝毫不会降低性能。
• 用于 Pod 的单独 VNet 策略：由于 Pod 具有单独的子网，因此你可以单独为它们配置不同于节点策略的 VNet 策略。 这样可以实现许多有用的方案，例如只允许 Pod 而不允许节点连接 Internet，使用 Azure NAT 网关修复节点池中 Pod 的源 IP 以及使用 NSG 筛选节点池之间的流量。
• Kubernetes 网络策略：Azure 网络策略和 Calico 都适用于此新解决方案。

本文介绍如何在 AKS 中使用 Azure CNI 网络动态分配 IP 和增强子网支持。

先决条件

• 查看在 AKS 中配置基本 Azure CNI 网络的先决条件，因为相同的先决条件适用于本文。

• 查看用于在 AKS 中配置基本 Azure CNI 网络的部署参数，因为适用相同的参数。

• 不支持 AKS 引擎和 DIY 群集。

• Azure CLI 2.37.0 或更高版本。

• 如果你有现有群集，则需要启用容器见解来监视 IP 子网使用情况。 可以使用 az aks enable-addons 命令来启用容器见解，如以下示例所示：

  az aks enable-addons --addons monitoring --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME
  

计划 IP 寻址

使用此功能规划 IP 寻址要简单得多。 由于节点和 Pod 是独立缩放的，因此也可以单独计划其地址空间。 由于可以将 Pod 子网配置为节点池的粒度，因此你在添加节点池时始终可以添加新的子网。 群集/节点池中的系统 Pod 也会从 Pod 子网中接收 IP，因此需要考虑此行为。

以 16 个为一组将 IP 分配给节点。 Pod 子网 IP 分配应计划为群集中每个节点至少 16 个 IP；节点将在启动时请求 16 个 IP，且会在任何时候（当其服务配额中有 <8 个 IP 未分配时）请求另一批 16 个。

Kubernetes 服务和 Docker 桥的 IP 计划保持不变。

若要查看并验证负责这些 IP 分配的 NodeNetworkConfiguration (NNC) 资源，可以运行以下命令：

kubectl get nodenetworkconfigs -n kube-system -o wide

具有 IP 动态分配和增强版子网支持的群集中每个节点的最大 Pod 数

使用具有 IP 动态分配功能的 Azure CNI 时，每个节点的 Pod 值与传统的 CNI 行为相比略有变化：

与配置每个节点的最大 Pod 数相关的所有其他指南保持不变。

部署参数

用于在 AKS 中配置基本 Azure CNI 网络的部署参数都是有效的，但有两个例外：

• 现在，subnet 参数是指与群集节点有关的子网。
• 另一个参数 pod subnet 用于指定其 IP 地址将动态分配给 Pod 的子网。

为网络配置动态分配 IP 功能和增强的子网支持 - Azure CLI

在群集中使用 IP 动态分配和增强版子网支持类似于配置群集 Azure CNI 的默认方法。 下面的示例演示如何创建一个新的虚拟网络，其中包含一个用于节点的子网和一个用于 Pod 的子网，以及如何创建一个群集，该群集使用具有 IP 动态分配和增强版子网支持的 Azure CNI。 确保用自己的值替换变量（如 $subscription）。

创建包含两个子网的虚拟网络。

RESOURCE_GROUP_NAME="myResourceGroup"
VNET_NAME="myVirtualNetwork"
LOCATION="westcentralus"
SUBNET_NAME_1="nodesubnet"
SUBNET_NAME_2="podsubnet"

# Create the resource group
az group create --name $RESOURCE_GROUP_NAME --location $LOCATION

# Create our two subnet network 
az network vnet create --resource-group $RESOURCE_GROUP_NAME --location $LOCATION --name $VNET_NAME --address-prefixes 10.0.0.0/8 -o none 
az network vnet subnet create --resource-group $RESOURCE_GROUP_NAME --vnet-name $VNET_NAME --name $SUBNET_NAME_1 --address-prefixes 10.240.0.0/16 -o none 
az network vnet subnet create --resource-group $RESOURCE_GROUP_NAME --vnet-name $VNET_NAME --name $SUBNET_NAME_2 --address-prefixes 10.241.0.0/16 -o none 

创建群集，使用 --vnet-subnet-id 引用节点子网，使用 --pod-subnet-id 引用 Pod 子网，并启用监视加载项。

CLUSTER_NAME="myAKSCluster"
SUBSCRIPTION="aaaaaaa-aaaaa-aaaaaa-aaaa"

az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP_NAME \
    --location $LOCATION \
    --max-pods 250 \
    --node-count 2 \
    --network-plugin azure \
    --vnet-subnet-id /subscriptions/$SUBSCRIPTION/resourceGroups/$RESOURCE_GROUP_NAME/providers/Microsoft.Network/virtualNetworks/$VNET_NAME/subnets/$SUBNET_NAME_1 \
    --pod-subnet-id /subscriptions/$SUBSCRIPTION/resourceGroups/$RESOURCE_GROUP_NAME/providers/Microsoft.Network/virtualNetworks/$VNET_NAME/subnets/$SUBNET_NAME_2 \
    --enable-addons monitoring \
    --generate-ssh-keys

添加节点池

添加节点池时，请使用 --vnet-subnet-id 引用节点子网，并使用 --pod-subnet-id 引用 Pod 子网。 以下示例创建了两个新子网，然后在创建新节点池时引用它们：

SUBNET_NAME_3="node2subnet"
SUBNET_NAME_4="pod2subnet"
NODE_POOL_NAME="mynodepool"

az network vnet subnet create --resource-group $RESOURCE_GROUP_NAME --vnet-name $VNET_NAME --name $SUBNET_NAME_3 --address-prefixes 10.242.0.0/16 -o none 
az network vnet subnet create --resource-group $RESOURCE_GROUP_NAME --vnet-name $VNET_NAME --name $SUBNET_NAME_4 --address-prefixes 10.243.0.0/16 -o none 

az aks nodepool add --cluster-name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --name $NODE_POOL_NAME \
    --max-pods 250 \
    --node-count 2 \
    --vnet-subnet-id /subscriptions/$SUBSCRIPTION/resourceGroups/$RESOURCE_GROUP_NAME/providers/Microsoft.Network/virtualNetworks/$VNET_NAME/subnets/$SUBNET_NAME_3 \
    --pod-subnet-id /subscriptions/$SUBSCRIPTION/resourceGroups/$RESOURCE_GROUP_NAME/providers/Microsoft.Network/virtualNetworks/$VNET_NAME/subnets/$SUBNET_NAME_4 \
    --no-wait

监视 IP 子网使用情况

Azure CNI 提供监视 IP 子网使用情况的功能。 若要启用 IP 子网使用情况监视，请执行以下步骤：

获取 YAML 文件

1. 从 GitHub 下载或 grep 名为 container-azm-ms-agentconfig.yaml 的文件。

2. 在集成中查找 azure_subnet_ip_usage。 将 enabled 设置为 true。

3. 保存文件。

获取 AKS 凭据

设置订阅、资源组和群集的变量。 请考虑以下示例：

az account set --subscription $SUBSCRIPTION
az aks get-credentials --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME

应用配置

1. 在保存了下载的 container-azm-ms-agentconfig.yaml 文件的文件夹中打开终端。
2. 使用 kubectl apply -f container-azm-ms-agentconfig.yaml 命令来应用配置。 这将重启 Pod，5-10 分钟后，指标将可见。
3. 若要查看群集上的指标，请导航到 Azure 门户群集页上的“工作簿”，找到名为“子网 IP 使用情况”的工作簿。

IP 地址动态分配和增强版子网支持常见问题解答

• 能否将多个 Pod 子网分配给群集/节点池？

  只能向群集或节点池分配一个子网。 但是，多个群集或节点池可以共享一个子网。

• 能否完全从不同的 VNet 分配 Pod 子网？

  不可以，Pod 子网应与群集来自同一 VNet。

• 能否群集中的一些节点池使用传统的 CNI，而其他节点池使用新的 CNI？

  整个群集只能使用一种类型的 CNI。

后续步骤

通过以下文章详细了解 AKS 中的网络：

• 将静态 IP 地址用于 Azure Kubernetes 服务 (AKS) 负载均衡器
• 使用包含 Azure Kubernetes 服务 (AKS) 的内部负载均衡器
• 使用 Azure Kubernetes 服务 (AKS) 中的应用程序路由加载项