Componentes do Gateway de Aplicativos para contêineres
Este artigo fornece descrições detalhadas e requisitos para componentes do Gateway de Aplicativos para contêineres. São fornecidas informações sobre como o Gateway de Aplicativos para contêineres aceita solicitações de entrada e as roteia para um destino de back-end. Para obter uma visão geral do Gateway de Aplicativos para contêineres, confira O que é o Gateway de Aplicativos para contêineres?.
Componentes principais
- Um Gateway de Aplicativos para contêineres é um recurso pai do Azure que implanta o plano de controle.
- O plano de controle é responsável por orquestrar a configuração de proxy com base na intenção do cliente.
- O Gateway de Aplicativos para contêineres tem dois recursos filho: associações e front-ends.
- Os recursos filho são exclusivos apenas do Gateway de Aplicativos para contêineres pai e podem não ser referenciados por outro recurso do Gateway de Aplicativos para contêineres.
Front-ends do Gateway de Aplicativos para contêineres
- Um recurso de front-end do Gateway de Aplicativos para contêineres é um recurso filho do Azure do recurso pai do Gateway de Aplicativos para contêineres.
- Um front-end do Gateway de Aplicativos para contêineres define que o tráfego do cliente do ponto de entrada deve ser recebido por um determinado Gateway de Aplicativos para contêineres.
- Um front-end não pode ser associado a vários Gateways de Aplicativos para contêineres.
- Cada front-end fornece um FQDN exclusivo que pode ser referenciado pelo registro CNAME de um cliente.
- Atualmente, os endereços IP privados não têm suporte.
- Um único Gateway de Aplicativos para contêineres pode dar suporte a vários front-ends.
Associações do Gateway de Aplicativos para contêineres
- Um recurso de associação do Gateway de Aplicativos para contêineres é um recurso filho do Azure do recurso pai do Gateway de Aplicativos para contêineres.
- Uma associação do Gateway de Aplicativos para contêineres define um ponto de conexão em uma rede virtual. Uma associação é um mapeamento 1:1 de um recurso de associação para uma sub-rede do Azure delegada.
- O Gateway de Aplicativos para contêineres foi projetado para permitir várias associações.
- No momento, o número atual de associações está limitado a 1.
- Durante a criação de uma associação, o plano de dados subjacente é provisionado e conectado a uma sub-rede dentro da sub-rede da rede virtual definida.
- Cada associação deve assumir que pelo menos 256 endereços estão disponíveis na sub-rede no momento do provisionamento.
- Uma máscara de sub-rede mínima de /24 para cada implantação (supondo que nenhum recurso tenha sido provisionado anteriormente na sub-rede).
- Se n números de Gateways de Aplicativos para contêineres forem provisionados, com a suposição de que cada Gateway de Aplicativos para contêineres contém uma associação e a intenção é compartilhar a mesma sub-rede, os endereços necessários disponíveis devem ser n*256.
- Todos os recursos de associação do Gateway de Aplicativos para contêineres devem corresponder à mesma região que o recurso pai do Gateway de Aplicativos para contêineres.
- Uma máscara de sub-rede mínima de /24 para cada implantação (supondo que nenhum recurso tenha sido provisionado anteriormente na sub-rede).
Controlador ALB do Gateway de Aplicativos para contêineres
- Um controlador ALB do Gateway de Aplicativos para contêineres é uma implantação do Kubernetes que orquestra a configuração e a implantação do Gateway de Aplicativos para contêineres, observando as configurações de recursos e recursos personalizados do Kubernetes, como, entre outros, Ingress, Gateway e ApplicationLoadBalancer. Ele usa as APIs de configuração do ARM e do Gateway de Aplicativos para contêineres para propagar a configuração para a implantação do Azure do Gateway de Aplicativos para contêineres.
- O controlador ALB é implantado/instalado por meio do Helm.
- O controlador ALB consiste em dois pods em execução.
- O pod alb-controller é responsável por orquestrar a intenção do cliente para a configuração de balanceamento de carga do Gateway de Aplicativos para contêineres.
- O pod alb-controller-bootstrap é responsável pelo gerenciamento de CRDs.
Conceitos gerais/do Azure
Endereço IP privado
- Um endereço IP privado não é definido explicitamente como um recurso do Azure Resource Manager. Um endereço IP privado se refere a um endereço de host específico na sub-rede de uma determinada rede virtual.
Delegação de sub-rede
- Microsoft.ServiceNetworking/trafficControllers é o namespace adotado pelo Gateway de Aplicativos para contêineres e pode ser delegado à sub-rede de uma rede virtual.
- Quando a delegação ocorre, o provisionamento de recursos do Gateway de Aplicativos para contêineres não acontece, nem há um mapeamento exclusivo para um recurso de associação do Gateway de Aplicativos para contêineres.
- Qualquer número de sub-redes pode ter uma delegação de sub-rede que seja a mesma ou diferente do Gateway de Aplicativos para contêineres. Uma vez definido, nenhum outro recurso, além do serviço definido, pode ser provisionado na sub-rede, a menos que seja definido explicitamente pela implementação do serviço.
Identidade gerenciada atribuída pelo usuário
- As identidades gerenciadas para recursos do Azure eliminam a necessidade de gerenciar credenciais no código.
- Uma identidade gerenciada pelo usuário é necessária para que cada controlador do Azure Load Balancer faça alterações no Gateway de Aplicativos para contêineres.
- O AppGw for Containers Configuration Manager é uma função RBAC integrada que permite que o controlador ALB acesse e configure o recurso Gateway de Aplicativos para contêineres.
Observação
A função AppGw for Containers Configuration Manager tem permissões de ação de dados que as funções Proprietário e Colaborador não têm. É fundamental que as permissões adequadas sejam delegadas para evitar problemas com o controlador ALB fazendo alterações no serviço Gateway de Aplicativos para contêineres.
Como o Gateway de Aplicativos para contêineres aceita uma solicitação
Cada front-end do Gateway de Aplicativos para contêineres fornece um nome de domínio totalmente qualificado gerado gerenciado pelo Azure. O FQDN pode ser usado como está ou os clientes podem optar por mascarar o FQDN com um registro CNAME.
Antes que um cliente envie uma solicitação ao Gateway de Aplicativos para contêineres, o cliente resolve um CNAME que aponta para o FQDN do front-end; ou o cliente pode resolver diretamente o FQDN fornecido pelo Gateway de Aplicativos para contêineres usando um servidor DNS.
O resolvedor DNS converte o registro DNS em um endereço IP.
Quando o cliente inicia a solicitação, o nome DNS especificado é passado como um cabeçalho de host para o Gateway de Aplicativos para contêineres no front-end definido.
Um conjunto de regras de roteamento avalia como a solicitação para esse nome de host deve ser iniciada para um destino de back-end definido.
Como o Gateway de Aplicativos para contêineres roteia uma solicitação
Solicitações HTTP/2
O Gateway de Aplicativo para Contêineres dá suporte total ao protocolo HTTP/2 para comunicação do cliente com o front-end. A comunicação do Gateway de Aplicativo para Contêineres para o destino de back-end usa o protocolo HTTP/1.1. A configuração HTTP/2 está sempre habilitada e não pode ser alterada. Se os clientes preferirem usar HTTP/1.1 para sua comunicação com o front-end do Gateway de Aplicativo para Contêineres, eles poderão continuar a negociar adequadamente.
Modificações na solicitação
O Gateway de Aplicativos para contêineres insere três cabeçalhos adicionais a todas as solicitações antes que as solicitações sejam iniciadas do Gateway de Aplicativos para contêineres para um destino de back-end:
- x-forwarded-for
- x-forwarded-proto
- x-request-id
x-forwarded-for é o endereço IP do cliente do solicitante original. Se a solicitação estiver chegando por meio de um proxy, o valor do cabeçalho acrescentará o endereço recebido, delimitado por vírgula. No exemplo: 1.2.3.4,5.6.7.8; onde 1.2.3.4 é o endereço IP do cliente para o proxy na frente do Gateway de Aplicativos para contêineres e 5.6.7.8 é o endereço do tráfego de encaminhamento de proxy para o Gateway de Aplicativos para contêineres.
x-forwarded-proto retorna o protocolo recebido pelo Gateway de Aplicativos para contêineres do cliente. O valor é http ou https.
x-request-id é um guid exclusivo gerado pelo Gateway de Aplicativos para contêineres para cada solicitação do cliente e apresentado na solicitação encaminhada ao destino do back-end. O guid consiste em 32 caracteres alfanuméricos, separados por traços (por exemplo: d23387ab-e629-458a-9c93-6108d374bc75). Esse guid pode ser usado para correlacionar uma solicitação recebida pelo Gateway de Aplicativos para contêineres e iniciada a um destino de back-end, conforme definido nos logs de acesso.
Tempos limite de solicitação
O Gateway de Aplicativo para Contêineres impõe os seguintes tempos limite à medida que as solicitações são iniciadas e mantidas entre o cliente, o AGC e o back-end.
| Tempo limite | Duration | Descrição |
|---|---|---|
| Tempo Limite da Solicitação | 60 segundos | tempo para o qual o AGC aguarda a resposta de destino de back-end. |
| Tempo limite ocioso do HTTP | 5 minutos | tempo limite ocioso antes de fechar uma conexão HTTP. |
| Tempo limite ocioso do fluxo | 5 minutos | tempo limite ocioso antes de fechar um fluxo individual transportado por uma conexão HTTP. |
| Tempo limite de conexão upstream | 5 segundos | tempo para estabelecer uma conexão com o destino de back-end. |