クライアントからアクセスできるようにする必要があるプライベート Kubernetes クラスターがありますが、すべてを VPN 内に閉じ込めておきたいと考えています。残念ながら、作成した VPN には /12 で定義したアドレス空間が必要で、アドレスが多すぎます。クライアントとそれらのアドレスをすべて共有しないようにするには、Application Gateway Ingress Controller (AGIC) を使用することを考えます。この方法では、サイト間 VPN を確立し、クライアントをゲートウェイのアドレスにのみ接続できます。このソリューションについてご意見を伺えますか? うまくいくでしょうか? また、これまでに実行したことのない操作ですが、Application Gateway には特別な構成が必要ですか? ご協力いただける方は、ぜひご連絡ください。
Kubernetes
答え1
より適切なアドレス範囲を持つ vnet を作成し、その vnet に VPN 用のサブネットを作成します。これを一種のネットワーク ハブとして使用し、VPN をそこに配置します (可能な場合)。次に、ピアリングを使用して、VPN がアクセスする必要がある他の vnet に接続し、プライベート クラスターからサービスを取得します。これは、Microsoft リファレンス アーキテクチャのハブ アンド スポーク アーキテクチャ (エンタープライズ スケール) でも詳しく説明されています。 https://learn.microsoft.com/en-us/azure/architecture/reference-architectures/hybrid-networking/hub-spoke
次に、アプリケーションゲートウェイコントローラを、ハブネットワークとピアリングするスポークネットワークに配置することができます。
(VNET ピアリングは、Azure 内の 2 つの VNET 間の接続です)