Ich habe einen privaten Kubernetes-Cluster, auf den ein Client zugreifen muss, aber ich möchte trotzdem alles in einem VPN unterbringen. Leider erfordert das von mir erstellte VPN einen Adressraum, den ich mit /12 definiert habe und der zu viele Adressen enthält. Um zu vermeiden, dass all diese Adressen mit dem Client geteilt werden, denke ich über die Verwendung eines Application Gateway Ingress Controller (AGIC) nach. Auf diese Weise kann ich ein Site-to-Site-VPN einrichten und den Client nur mit der Adresse des Gateways verbinden. Kann ich eine Meinung zu dieser Lösung bekommen? Könnte sie funktionieren? Und da es sich um eine Operation handelt, die ich noch nie zuvor durchgeführt habe, stellt sich die Frage, ob das Application Gateway eine spezielle Konfiguration erfordert. Vielen Dank an alle, die mir helfen können.
Kubernetes
Antwort1
Ich würde ein VNet mit einem besseren Adressbereich erstellen und dann Subnetze in diesem VNet für das VPN erstellen. Verwenden Sie das als eine Art Netzwerk-Hub und lassen Sie das VPN dort landen (falls möglich), und verbinden Sie es dann per Peering mit den anderen VNets, auf die das VPN Zugriff benötigt, und nutzen Sie die Dienste vom privaten Cluster. Dies wird auch ausführlicher in der Hub-and-Spoke-Architektur der Microsoft-Referenzarchitektur namens Enterprise Scale erklärt. https://learn.microsoft.com/en-us/azure/architecture/reference-architectures/hybrid-networking/hub-spoke
Sie können dann den Application Gateway Controller in einem so genannten Spoke-Netzwerk platzieren, das mit dem Hub-Netzwerk verbunden ist.
(ein VNet-Peering ist eine Verbindung in Azure zwischen zwei VNets)