У меня есть частный кластер Kubernetes, который должен быть доступен клиенту, но я все равно хочу держать все в VPN. К сожалению, созданный мной VPN требует адресного пространства, которое я определил с помощью /12, содержащего слишком много адресов. Чтобы не делиться всеми этими адресами с клиентом, я думаю использовать Application Gateway Ingress Controller (AGIC). Таким образом, я могу установить VPN-соединение между сайтами и подключать клиента только к адресу шлюза. Могу ли я узнать мнение об этом решении? Сработает ли оно? Кроме того, поскольку это операция, которую я никогда раньше не делал, требует ли Application Gateway какой-либо особой настройки? Спасибо всем, кто может оказать помощь.
кубернетес
решение1
Я бы создал vnet с лучшим диапазоном адресов, а затем создал бы подсети в этой vnet для vpn. Используйте это как своего рода сетевой концентратор и позвольте VPN приземлиться там (если это возможно), а затем с помощью пиринга подключите его к другим vnet, к которым VPN-сети должны получить доступ и иметь сервисы из частного кластера. Это также более подробно объясняется в архитектуре концентратора и спицы эталонной архитектуры Microsoft, называемой масштабом предприятия https://learn.microsoft.com/en-us/azure/architecture/reference-architectures/hybrid-networking/hub-spoke
Затем вы можете поместить контроллер шлюза приложений в так называемую лучевую сеть, которая взаимодействует с сетью-концентратором.
(виртуальный сетевой пиринг — это соединение в Azure между двумя виртуальными сетями)