Utilisation d'une passerelle NAT : la créer et l'associer à un sous-réseau de gestion

Conformément à la documentation de Microsoft Azure, la création d'une passerelle NAT requiert l'utilisation d'une adresse IP publique ou d'un préfixe IP public, ou les deux, selon ce que vous décidez.

L'assistant Créer une passerelle NAT du portail Azure vous oblige à faire un choix. Dans les étapes ci-dessous, nous choisissons de créer une adresse IP publique à utiliser pour notre passerelle NAT.

1. Connectez-vous au portail Azure et utilisez la barre de recherche pour rechercher Passerelles NAT et sélectionnez cette catégorie.
   
   
2. Cliquez sur + Créer pour démarrer l'assistant Créer une passerelle NAT.
3. Dans cette première étape de l'assistant Créer une passerelle NAT, assurez-vous que l'abonnement de l'espace est sélectionné et choisissez un groupe de ressources dans lequel se trouve la passerelle NAT.
4. Donnez un nom à la passerelle NAT et assurez-vous que la région sélectionnée est la région Azure de l'espace. Lorsque ce paramètre est renseigné, cliquez sur l'étape Adresse IP sortante.

   La capture d'écran suivante est un exemple dans lequel nous nommons notre passerelle NAT first-pod-migration. Elle se trouve dans la région Azure West US 2.

   
   
   
5. Dans l'étape Adresse IP sortante, suivez les instructions à l'écran pour choisir d'utiliser une adresse IP publique ou des préfixes IP publics pour cette passerelle NAT.

   La capture d'écran suivante est une illustration de cette étape dans laquelle nous avons choisi de créer une adresse IP publique pour cette passerelle NAT à utiliser et lui avons donné le nom first-pod-NAT-gtway.

   Lorsque cette étape est remplie, cliquez sur l'étape suivante de l'assistant, Sous-réseau.

   
   
   
6. Dans l'étape Sous-réseau de l'assistant, soit :
   • Si vous ne contournez pas les adresses IP restreintes par AKS dans votre réseau virtuel, sélectionnez le réseau virtuel de l'espace et son sous-réseau de gestion.
   • Sinon, si vous avez créé un réseau virtuel et un sous-réseau de gestion pour contourner le réseau virtuel de l'espace disposant d'adresses IP restreintes par AKS, sélectionnez le nouveau réseau virtuel et le nouveau sous-réseau de gestion.

   La capture d'écran suivante illustre cette étape de sélection du réseau virtuel de l'espace et de son sous-réseau de gestion, en associant le sous-réseau à cette passerelle NAT.

   
   
   
7. Cliquez sur Vérifier + Créer.

   Si la validation réussit, cliquez sur Créer pour terminer la création de cette passerelle NAT.

Désormais, la passerelle NAT est associée au sous-réseau de gestion et prête à être sélectionnée dans l'assistant de migration.

Si vous choisissez Table de routage : créer une table de routage et l'associer au sous-réseau de gestion

Configurez cette table de routage avec la route par défaut 0.0.0.0/0 pointant vers un tronçon suivant de type Virtual appliance ou Virtual network gateway.

1. Connectez-vous au portail Azure et utilisez la barre de recherche pour rechercher Table de routage et sélectionnez cette catégorie.
   
   
2. Cliquez sur + Créer pour démarrer l'assistant Créer une table de routage.
3. Dans cette première étape de l'assistant Créer une table de routage, assurez-vous que l'abonnement de l'espace est sélectionné et choisissez un groupe de ressources dans lequel se trouve la table de routage.
   Note : Gardez à l'esprit que si vous décidez de faire résider la table de routage dans un groupe de ressources différent de celui du réseau virtuel et que le principal de service de votre espace de première génération utilise un rôle personnalisé, ce dernier doit disposer de l'autorisation Network Contributor sur le groupe de ressources de cette table de routage. L'utilisation d'un rôle personnalisé pour un déploiement de première génération est atypique. Cette autorisation d'accès au groupe de ressources de la table de routage est requise, car un type de déploiement AKS doit ajouter des entrées à la table de routage associée au sous-réseau de gestion. Ces entrées sont destinées au routage interne des espaces Kubernetes dans le type AKS du déploiement de la passerelle Horizon Edge.
4. Donnez un nom à la table de routage et assurez-vous que la région sélectionnée est la région Azure de l'espace.

   Pour Propager des routes de passerelle, sélectionnez Non.

   La capture d'écran suivante est un exemple d'attribution de nom de notre table de routage first-pod-migration. Elle se trouve dans la région Azure West US 2.

   
   
   
5. Lorsque le formulaire Créer une table de routage est renseigné, cliquez sur Vérifier + créer.

   Si la validation réussit, cliquez sur Créer pour terminer la création de cette table de routage.

6. Accédez à présent à la table de routage récemment créée pour la configurer avec la route par défaut 0.0.0.0/0 pointant vers un tronçon suivant de type Virtual network gateway ou Virtual appliance.

   Étant donné qu'AKS ne prend en charge que ces deux types de tronçons suivants, le type AKS du déploiement de la passerelle Horizon Edge prend en charge ces deux types spécifiquement.

   Virtual Appliance est généralement utilisé lorsqu'un dispositif virtuel réseau (NVA) Azure contrôle le flux de trafic sortant entre le réseau virtuel de votre espace et l'Internet public. Dans le formulaire Ajouter une route, vous devez fournir l'adresse IP de ce NVA qui peut fournir une connectivité Internet sortante. Vous devez vous assurer que l'adresse IP est accessible à partir du sous-réseau de gestion (celui sur lequel le déploiement de la passerelle Horizon Edge est déployé). Ce NVA doit autoriser le trafic vers les points de terminaison dont l'environnement de nouvelle génération a besoin pour le type de déploiement AKS.

7. Cliquez sur Routes, puis sur + Ajouter pour ajouter cette route par défaut.

   La capture d'écran suivante illustre cette étape. Le menu Type de tronçon suivant est développé dans cette illustration pour indiquer où les options prises en charge Virtual network gateway et Virtual appliance s'affichent. En outre, nous avons saisi un nom pour la route et l'adresse IP de destination 0.0.0.0/0.

   
   
   

   La capture d'écran suivante illustre le formulaire Ajouter une route renseigné avec le tronçon suivant de Virtual Network Gateway.

   
   
   
8. Cliquez sur Ajouter pour ajouter cette route à la table de routage.
9. Associez désormais la nouvelle table de routage au sous-réseau de gestion en cliquant sur Sous-réseaux et + Associer.

   La capture d'écran suivante illustre cette étape. Sélectionnez le réseau virtuel et le sous-réseau de gestion appropriés en fonction des éléments suivants :

   • Si vous ne contournez pas les adresses IP restreintes par AKS dans votre réseau virtuel, sélectionnez le réseau virtuel de l'espace et son sous-réseau de gestion.
   • Sinon, si vous avez créé un réseau virtuel et un sous-réseau de gestion pour contourner le réseau virtuel de l'espace disposant d'adresses IP restreintes par AKS, sélectionnez le nouveau réseau virtuel et le nouveau sous-réseau de gestion.
   
   
   
10. Une fois le sous-réseau sélectionné, cliquez sur OK.

Désormais, la table de routage est associée au sous-réseau de gestion et prête à être sélectionnée dans l'assistant de migration.

Créer l'identité gérée attribuée par l'utilisateur

1. Connectez-vous au portail Azure et utilisez la barre de recherche pour rechercher attribué par l'utilisateur, puis sélectionnez le résultat Identité gérée attribuée par l'utilisateur.

   La capture d'écran suivante illustre cette étape de recherche dans le portail.

   
   
   
2. Lorsque vous cliquez sur le résultat de la recherche pour Identité gérée attribuée par l'utilisateur, l'assistant Créer une identité gérée attribuée par l'utilisateur démarre.

   Choisissez l'abonnement de l'espace et un groupe de ressources dans lequel stocker cette ressource d'identité une fois qu'elle est créée.

   Choisissez la région Azure de l'espace et saisissez un nom pour cette identité gérée attribuée par l'utilisateur.

   La capture d'écran suivante illustre cette étape, avec des parties éditées à des fins de confidentialité. Ici, nous avons nommé notre identité gérée attribuée par l'utilisateur AKS-Edge-identity.

   
   
   
3. Cliquez sur Vérifier + créer pour passer à l'étape finale de l'assistant.
4. Vérifiez les informations et cliquez sur Créer pour terminer l'exécution de l'assistant et créer l'identité gérée attribuée par l'utilisateur.

   Cette capture d'écran illustre cette étape finale avant de cliquer sur Créer.

   
   
   
5. Ajoutez ensuite les autorisations de rôles à l'identité récemment créée, comme décrit dans la section suivante.

Attribuer les autorisations de rôles requises : méthode d'aperçu Azure

Les étapes de cette section illustrent la méthode d'utilisation des étapes d'aperçu Azure pour attribuer un rôle à une identité gérée. Si vous suivez les étapes ci-dessous et que le bouton + Ajouter une attribution de rôle (aperçu) ne s'affiche pas lorsque vous examinez la zone Attributions de rôles Azure, vous pouvez plutôt attribuer les autorisations de rôles à l'aide de l'autre méthode dans la section après celle-ci.

Les autorisations à ajouter à l'identité gérée attribuée par l'utilisateur sont les suivantes :

1. Dans le portail Azure, accédez à votre identité gérée attribuée par l'utilisateur récemment créée, puis cliquez sur Attributions de rôles Azure et Ajouter une attribution de rôle (aperçu) jusqu'à ce que le formulaire Ajouter une attribution de rôle (aperçu) s'affiche.

   La capture d'écran suivante illustre cette étape.

   
   
   
2. Dans le formulaire Ajouter une attribution de rôle (aperçu), sélectionnez Portée comme Abonnement, sélectionnez l'abonnement de l'espace, puis sélectionnez Rôle de Managed Identity Operator.
   
   
3. Cliquez sur Enregistrer pour enregistrer cette attribution de rôle Managed Identity Operator dans l'identité.
4. Cliquez sur Actualiser pour consulter le rôle récemment ajouté répertorié.
   
   
5. Rouvrez le formulaire Ajouter une attribution de rôle (aperçu) en cliquant sur Ajouter une attribution de rôle (aperçu).
6. Cette fois-ci, sélectionnez Portée comme Groupe de ressources, sélectionnez le groupe de ressources du réseau virtuel applicable et sélectionnez Rôle de Network Contributor.
   
   
7. Cliquez sur Enregistrer pour enregistrer cette attribution de rôle Network Contributor dans l'identité.
8. Cliquez sur Actualiser pour consulter le rôle récemment ajouté. Les deux rôles doivent désormais être répertoriés.
   
   

Désormais, l'identité gérée attribuée par l'utilisateur requise existe et dispose des autorisations de rôles requises par le type de déploiement AKS.

Autre méthode d'attribution des autorisations de rôles requises

Lorsque le bouton + Ajouter une attribution de rôle (aperçu) ne s'affiche pas lorsque vous examinez la zone Attributions de rôles Azure de l'identité gérée attribuée par l'utilisateur, vous pouvez plutôt attribuer les autorisations de rôles à l'aide de cette autre méthode.

Les autorisations à ajouter à l'identité gérée attribuée par l'utilisateur sont les suivantes :

1. Ajoutez d'abord l'autorisation Managed Identity Operator à la portée de l'abonnement de l'espace :
   1. Dans le portail Azure, accédez à l'abonnement.
   2. Sur la page de cet abonnement, cliquez sur Contrôle d'accès (IAM), puis cliquez sur l'onglet Attributions de rôles.
      
      
   3. Cliquez sur + Ajouter > Ajouter une attribution de rôle.
      
      

      L'assistant Ajouter une attribution de rôle s'affiche.

   4. Dans cet assistant, dans son onglet Rôle, recherchez le rôle Managed Identity Operator et sélectionnez-le. Assurez-vous que sa ligne est sélectionnée avant de cliquer sur Suivant.
      
      
   5. Cliquez sur Suivant pour passer à l'onglet Membres.
   6. Dans l'onglet Membres, sélectionnez Identité gérée, puis + Sélectionner des membres, qui affiche le formulaire Sélectionner des identités gérées.

      L'étape suivante ici comporte l'exemple de capture d'écran.

   7. Dans le formulaire Sélectionner des identités gérées, dans le menu Identité gérée, sélectionnez Identité gérée attribuée par l'utilisateur.
      
      
   8. Sélectionnez ensuite l'identité gérée attribuée par l'utilisateur que vous avez créée et cliquez sur le bouton Sélectionner pour l'ajouter à l'onglet Membres.
      
      
   9. Cliquez à présent sur Vérifier + attribuer pour passer à l'onglet Vérifier + attribuer de l'assistant.
      
      
   10. Dans l'onglet Vérifier + attribuer, cliquez sur le bouton Afficher + attribuer pour terminer l'attribution de ce rôle à l'identité dans la portée de l'abonnement.
       
       
2. Ajoutez à présent l'autorisation Network Contributor à la portée du groupe de ressources du réseau virtuel :
   1. Dans le portail Azure, accédez au groupe de ressources du réseau virtuel applicable. Le réseau virtuel applicable est l'un des suivants :
      • Si vous ne contournez pas les adresses IP restreintes par AKS dans votre réseau virtuel, il s'agit du groupe de ressources du réseau virtuel de l'espace.
      • Sinon, si vous avez créé un réseau virtuel pour contourner le réseau virtuel de l'espace disposant d'adresses IP restreintes par AKS, il s'agit du groupe de ressources de ce réseau virtuel.
   2. Sur la page de ce groupe de ressources, suivez les étapes semblables à celles que vous avez effectuées ci-dessus pour les autorisations de l'abonnement.

      Cliquez sur Contrôle d'accès (IAM) et sur l'onglet Attributions de rôles.

      Cette capture d'écran illustre cette étape pour le groupe de ressources du réseau virtuel nommé hcsvnet-RG.

      
      
      
   3. Cliquez sur + Ajouter > Ajouter une attribution de rôle. L'assistant Ajouter une attribution de rôle s'affiche.
   4. Dans cet assistant, dans son onglet Rôle, recherchez le rôle Network Contributor et sélectionnez-le. Assurez-vous que sa ligne est sélectionnée avant de cliquer sur Suivant.
      
      
   5. Ensuite, comme auparavant pour l'autre autorisation, cliquez sur Suivant pour passer à l'onglet Membres et sélectionnez Identité gérée, puis + Sélectionner des membres, qui affiche le formulaire Sélectionner des identités gérées.
      
      
   6. Dans le formulaire Sélectionner des identités gérées, dans le menu Identité gérée, sélectionnez Identité gérée attribuée par l'utilisateur.
   7. Sélectionnez ensuite l'identité gérée attribuée par l'utilisateur que vous avez créée et cliquez sur le bouton Sélectionner pour l'ajouter à l'onglet Membres.
      
      
   8. Passez maintenant à l'onglet Vérifier + attribuer de l'assistant, puis cliquez sur le bouton Vérifier + attribuer pour terminer l'attribution de ce rôle à l'identité dans la portée du groupe de ressources du réseau virtuel.

      Cette capture d'écran illustre cette étape pour le groupe de ressources du réseau virtuel nommé hcsvnet-RG.

      
      
      

Désormais, l'identité gérée attribuée par l'utilisateur requise existe et dispose des autorisations de rôles requises par le type de déploiement AKS.

Pour confirmer que l'identité gérée attribuée par l'utilisateur dispose des deux rôles, accédez à l'identité dans le portail Azure et affichez sa page Attributions de rôles Azure.

La capture d'écran suivante illustre notre identité gérée attribuée par l'utilisateur avec les deux rôles répertoriés dans ses attributions de rôles Azure.

Introduction

Ces plages d'adresses IP virtuelles doivent être réservées à la seule utilisation du type AKS de la passerelle Horizon Edge

Du fait de sa conception, Kubernetes crée des réseaux virtuels dans le cluster Kubernetes de la passerelle Horizon Edge.

Ces réseaux virtuels hébergent les conteneurs qui s'exécutent dans le cluster.

Pourquoi ces plages doivent-elles être réservées si elles sont internes au dispositif Edge ?

L'objectif de la réservation de ces plages est d'empêcher d'autres machines de votre espace réseau d'obtenir ces adresses IP qui leur sont attribuées et d'utiliser ces adresses IP.

Même si les réseaux virtuels du cluster Kubernetes du dispositif Edge sont internes à la passerelle Horizon Edge et qu'ils ne se trouvent pas réellement sur le réseau de gestion, les réseaux virtuels du cluster se connectent au sous-réseau de gestion dans votre réseau virtuel Azure.

Les services qui s'exécutent en dehors du cluster AKS acheminent le trafic vers les réseaux internes du cluster AKS. Par exemple, les instances d'Horizon Agent sur les postes de travail VDI doivent envoyer des données aux services s'exécutant dans ce cluster AKS.

Par conséquent, si les plages ne sont pas réservées et qu'une adresse IP est attribuée à une autre machine sur votre réseau à partir des plages, cela peut affecter le routage et provoquer des conflits dans le trafic de service nécessaire vers les réseaux internes du cluster AKS.

En réservant les plages d'adresses IP dans votre système de gestion des adresses IP avant la migration de l'espace, vous évitez les conflits potentiels de ce type.

Dois-je créer des sous-réseaux de ces plages ?

Non, vous n'avez pas besoin de créer des sous-réseaux de ces plages.

Ces plages d'adresses IP virtuelles se situent dans le réseau virtuel du cluster AKS de la passerelle Horizon Edge lorsque le dispositif Horizon Edge est déployé dans le cadre du processus de migration.

Pour la migration de l'espace, dois-je savoir quelles sont mes plages réservées ?

Oui. Lorsque vous prévoyez de choisir le type de déploiement AKS, vous devez connaître les plages que vous et votre équipe avez réservées pour ce déploiement.

L'interface utilisateur de l'assistant de migration vous demande d'entrer deux plages d'adresses IP (CIDR) dans les champs nommés CIDR de service et CIDR d'espace.

Par conséquent, vous devez choisir les plages que vous et votre équipe avez choisi de réserver avant d'exécuter l'assistant de migration.

Quels types de plages dois-je réserver ?

Le type AKS de la passerelle Horizon Edge requiert la réservation des deux plages d'adresses IP virtuelles pour son utilisation.

• Plage CIDR minimale /27 pour l'appellation CIDR de service
• Plage CIDR minimale /21 pour l'appellation CIDR d'espace

Ces deux plages d'adresses IP ne doivent pas se chevaucher ni être en conflit.