Системные требования

Контроль доступа на основе ролей

В кластере Kubernetes необходимо включить управление доступом на основе ролей (RBAC). Для развертывания ArcGIS Enterprise on Kubernetes вам не нужны права администратора кластера. Если у вас нет прав администратора кластера, пользователь должен иметь минимальные права для администрирования пространства имен. Вы можете назначить пользователю роль по умолчанию ClusterRole, создав RoleBinding в пространстве имен. Подробнее см. Ресурсы роли RBAC.

Регистрация папки данных

Чтобы опубликовать элементы с использованием файловых данных, например, элементы, опубликованные из файловой базы геоданных на сетевом ресурсе, коллекции листов кэша или локаторы, можно разместить данные в опубликованном местоположении NFS или добавить хранилище данных на основе PV. Чтобы убедиться в том, что ГИС и системные сервисы могут получить доступ к общему расположению соответствующим образом, идентификатор пользователя и группы для запущенных модулей сервисов или других прав на доступ к каталогу должен предоставлять доступ на чтение к общему ресурсу, его подкаталогам и файлам, содержащимся в нем. После регистрации этой папки хранилища данных в организации вы сможете избежать необходимости копирования данных в организацию в процессе публикации. Для серверов NFS вы можете управлять безопасностью на уровне сети или инфраструктуры, разрешая сетевой доступ только к диапазону IP-адресов модулей для экспорта.

Полное доменное имя

ArcGIS Enterprise on Kubernetes требует полное доменное имя (например, map.company.com). Для создания записи CNAME или A можно использовать существующую службу системы доменных имен (DNS) или интегрировать ее с DNS-службой провайдера облачных услуг, например Amazon Route 53. DNS-запись можно создать после развертывания, но полное доменное имя (FQDN) должно быть указано в процессе развертывания. В этом выпуске полное доменное имя нельзя изменить после развертывания.

Балансировщик нагрузки

Для направления трафика в ваше развертывание ArcGIS Enterprise on Kubernetes можно использовать балансировщик нагрузки. Можно подготовить балансировщики нагрузки как уровня 4, так и уровня 7 из сценария развертывания без какой-либо ручной настройки. Балансировщики нагрузки, интегрированные в ваше развертывание из скриптов развертывания, направляют трафик непосредственно в модуль входящего контроллера NGINX внутри кластера.

Или можно использовать ArcGIS Enterprise on Kubernetes Web Adaptor, чтобы направлять трафик в ваше развертывание, для чего требуется, чтобы входящий трафик отправлялся на рабочие узлы развертывания через определенный порт.

Следующие балансировщики нагрузки уровня 4 могут быть подготовлены из сценария развертывания без ручной настройки:

• Балансировщик нагрузки Azure (общедоступный или внутренний) -- в сценарии развертывания можно указать предварительно подготовленный статический общедоступный IP-адрес и метку DNS.
• Балансировщик сетевой нагрузки AWS (с выходом в интернет или внутренний) — для настройки балансировщика нагрузки при развертывании в автоматическом режиме можно использовать пользовательские аннотации. Дополнительную информацию см. в разделе о настраиваемых аннотациях входящих данных дополнительных свойств развертывания в автоматическом режиме.

  Примечание:

  Дополнение AWS Load Balancer Controller требуется для создания балансировщиков сетевой нагрузки в общедоступной или частной подсети.

• Балансировщик нагрузки Google Cloud Platform TCP (направленный в интернет или внутренний) -- в сценарии развертывания можно указать предварительно подготовленный статический общедоступный IP-адрес.
• Универсальный балансировщик нагрузки — поддерживает такие решения уровня 4, как MetalLB, Traefik, HAProxy и другие, с которыми организация, возможно, уже знакома и которые используются в ее локальной инфраструктуре. При использовании кластера Kubernetes в управляемом облаке следует выбрать соответствующую опцию интегрированного облака, тогда как для самоуправляемых кластеров опция универсального балансировщика нагрузки добавляет все аннотации, заданные в файле свойств развертывания, как пользовательские аннотации.

Указанные выше балансировщики нагрузки можно настроить с помощью аннотаций исходного объекта Kubernetes Service. Например, можно включить межзональную балансировку нагрузки в балансировщике сетевой нагрузки в AWS или поместить балансировщик нагрузки Azure Blob в определенную группу ресурсов. Файл шаблона deploy.properties, прилагаемый к скрипту развертывания, содержит примеры того, как эти аннотации могут быть заданы во время автоматического развертывания.

Скрипт развертывания можно использовать для использования возможностей балансировки нагрузки уровня 7, таких как брандмауэр веб-приложения, или выполнить требования организации для входа в развернутое приложение с помощью существующего входящего контроллера. Следующие балансировщики нагрузки уровня 7 могут быть развернуты или интегрированы непосредственно из сценария развертывания:

• Балансировщик нагрузки приложения AWS

  Примечание:

  Надстройка контроллера балансировщика нагрузки AWS требуется для создания балансировщиков нагрузки приложения в общедоступной или частной подсети.

• Шлюз приложений Azure
• Балансировщик нагрузки приложения Google Cloud Platform

RedHat OpenShift предоставляет маршруты, являющиеся интегрированной конструкцией, предназначенной для направления трафика от внешних клиентов к сервисам, существующим внутри кластера. Для этого варианта администратору необходимо создать Маршрут вне скрипта развертывания, поскольку свойства могут различаться в зависимости от требований организации. Объект Route может быть создан из консоли или из YAML и должен использовать сквозное шифрование TLS для проксирования трафика на связанный контроллер входящего трафика, но может использовать режим сквозного или повторного шифрования.

Входящий контроллер, реализованный на уровне кластера, будет использовать эти балансировщики нагрузки для реализации правил входа на уровне кластера для направления входящего трафика в развертывание ArcGIS Enterprise on Kubernetes. Чтобы реализовать эти балансировщики нагрузки из скрипта развертывания перед автоматическим развертыванием, можно изменить файл шаблона YAML в папке layer-7-templates, сохранить его на своей клиентской рабочей станции и указать это местоположение для параметра CLUSTER_INGRESS_CONTROLLER_YAML_FILENAME. Дополнительные сведения см. в разделе Входящие контроллеры уровня кластера.

При использовании самоуправляемого балансировщика нагрузки или обратного прокси, такого как NGINX, для заголовка X-Forwarded-Host должно быть задано значение заголовка Host URL-адреса клиента, чтобы обеспечить правильное направление трафика на URL-адрес вашей организации ArcGIS Enterprise. В NGINX это можно сделать с помощью следующего указания: proxy_set_header X-Forwarded-Host $host;

Требования к IP

Заблаговременное планирование кластерной сети необходимо для обеспечения успешного развертывания, соответствующих требований к масштабированию и возможности обновления. ArcGIS Enterprise on Kubernetes изначально развертывает 47-66 модулей - в зависимости от профиля архитектуры. Число модулей будет увеличиваться по мере добавления дополнительных возможностей, масштабирования развертывания и в процессе обновления.

Каждому модулю назначается уникальный IP-адрес, и в зависимости от конфигурации сети кластера модули могут получать свои IP-адреса либо из адресного пространства, логически отличающегося от адресного пространства хост-сети (оверлейная сеть), либо из подсети хоста. Например, если вы настроите свой кластер на использование Kubenet в Azure (по умолчанию), модули получат IP-адрес из логически другого адресного пространства и смогут получить доступ к ресурсам Azure с помощью NAT.

Kubernetes поддерживает сетевой интерфейс Container Network Interface (CNI) и такие платформы, как AKS и EKS, которые используют подключаемые плагины CNI для конкретных платформ кластерной сети. Например, кластеры EKS по умолчанию используют Virtual Private Cloud (VPC) CNI. Если кластер настроен с подключаемым плагином CNI, модули будут получать IP-адреса из подсети узла и соответствующего пула IP-адресов, доступных в VPC/VNet.

Если у вас нет достаточного количества доступных в подсетях узла IP-адресов, развертывание либо завершится ошибкой, либо вы не сможете масштабировать развертывание. Например, если кластер EKS настроен с двумя подсетями в каждой и префиксом IPv4-адреса /26 (по 64 доступных IPv4-адреса), то для модулей не может быть более 126 IP-адресов. Хотя вы, возможно, сможете выполнить развертывание ArcGIS Enterprise on Kubernetes в этом кластере, вы не сможете масштабировать развертывание до 80 модулей сервисов объектов, поскольку это требование масштабирования приведет к превышению числа доступных IP-адресов.