تخصيص خروج نظام المجموعة مع الأنواع الصادرة في خدمة Azure Kubernetes (AKS)

يمكنك تخصيص الخروج لمجموعة AKS لتناسب سيناريوهات محددة. بشكل افتراضي، تقوم AKS بإنشاء موازن تحميل قياسي لإعداده واستخدامه للخروج. ومع ذلك، قد لا يفي الإعداد الافتراضي بمتطلبات جميع السيناريوهات إذا كانت عناوين IP العامة غير مسموح بها أو كانت هناك حاجة إلى قفزات إضافية للخروج.

تتناول هذه المقالة الأنواع المختلفة للاتصال الصادر المتوفر في مجموعات AKS.

القيود

• يتطلب الإعداد outboundType مجموعات AKS مع و load-balancer-sku vm-set-type VirtualMachineScaleSets من .Standard

الأنواع الصادرة في AKS

يمكنك تكوين نظام مجموعة AKS باستخدام الأنواع الصادرة التالية: موازن التحميل أو بوابة NAT أو التوجيه المعرف من قبل المستخدم. يؤثر النوع الصادر فقط على نسبة استخدام الشبكة الخارجة من نظام المجموعة الخاص بك. لمزيد من المعلومات، راجع إعداد وحدات التحكم في الدخول.

النوع الصادر من loadBalancer

يتم استخدام موازن التحميل للخروج من خلال IP عام معين من AKS. يدعم النوع الصادر من loadBalancer خدمات Kubernetes من النوع loadBalancer، والتي تتوقع الخروج من موازن التحميل الذي أنشأه موفر موارد AKS.

إذا loadBalancer تم تعيين، يكمل AKS التكوين التالي تلقائيا:

• يتم إنشاء عنوان IP عام للخروج من نظام المجموعة.
• يُعين عنوان بروتوكول الإنترنت العام لمورد موازن التحميل.
• يتم إعداد تجمعات الخلفية لموازن التحميل لضبط عقدة عامل في نظام مجموعة.

لمزيد من المعلومات، راجع استخدام موازن تحميل قياسي في AKS.

النوع الصادر من managedNatGateway أو userAssignedNatGateway

إذا managedNatGateway تم تحديد أو userAssignedNatGateway ل outboundType، تعتمد AKS على بوابة Azure Networking NAT للخروج من نظام المجموعة.

• حدد managedNatGateway عند استخدام الشبكات الظاهرية المدارة. توفر AKS بوابة NAT وترفقها بالشبكة الفرعية لنظام المجموعة.
• حدد userAssignedNatGateway عند استخدام الشبكات الظاهرية الخاصة بك. يتطلب هذا الخيار أن يكون لديك بوابة NAT تم إنشاؤها قبل إنشاء نظام المجموعة.

لمزيد من المعلومات، راجع استخدام بوابة NAT مع AKS.

النوع الصادر من userDefinedRouting

إذا userDefinedRouting تم تعيين، لا يقوم AKS بتكوين مسارات الخروج تلقائيا. يتم إكمال إعداد الخروج من قبلك.

يجب نشر نظام مجموعة AKS في شبكة ظاهرية موجودة مع شبكة فرعية تم تكوينها. نظرا لأنك لا تستخدم بنية موازن تحميل قياسي (SLB)، يجب عليك إنشاء خروج صريح. تتطلب هذه البنية إرسال حركة مرور الخروج بشكل صريح إلى جهاز مثل جدار الحماية أو البوابة أو الوكيل أو للسماح بإجراء NAT بواسطة IP عام مخصص لموازن التحميل القياسي أو الجهاز.

لمزيد من المعلومات، راجع تكوين خروج نظام المجموعة عبر التوجيه المعرف من قبل المستخدم.

نوع الصادر من none (معاينة)

إذا none تم تعيين، فلن تقوم AKS بتكوين مسارات الخروج تلقائيا. يشبه userDefinedRouting هذا الخيار ولكنه لا يتطلب مسارا افتراضيا كجزء من التحقق من الصحة.

none يتم دعم النوع الصادر في كل من سيناريوهات الشبكة الظاهرية الخاصة بك (BYO) وسيناريوهات الشبكة الظاهرية المدارة. ومع ذلك، يجب التأكد من نشر نظام مجموعة AKS في بيئة شبكة حيث يتم تعريف مسارات الخروج الصريحة إذا لزم الأمر. بالنسبة لسيناريوهات BYO VNet، يجب نشر نظام المجموعة في شبكة ظاهرية موجودة مع شبكة فرعية تم تكوينها بالفعل. نظرا لأن AKS لا تنشئ موازن تحميل قياسي أو أي بنية أساسية للخروج، يجب عليك إنشاء مسارات خروج صريحة إذا لزم الأمر. يمكن أن تتضمن خيارات الخروج توجيه نسبة استخدام الشبكة إلى جدار حماية أو وكيل أو بوابة أو تكوينات شبكة مخصصة أخرى.

نوع الصادر من block (معاينة)

إذا block تم تعيين، يقوم AKS بتكوين قواعد الشبكة لمنع حركة مرور الخروج من المجموعة بشكل نشط. هذا الخيار مفيد للبيئات الآمنة للغاية حيث يجب تقييد الاتصال الصادر.

عند استخدام block:

• تضمن AKS أنه لا يمكن لحركة مرور الإنترنت العامة مغادرة المجموعة من خلال قواعد مجموعة أمان الشبكة (NSG). لا تتأثر نسبة استخدام الشبكة الظاهرية.
• يجب السماح صراحة بأي حركة مرور خروج مطلوبة من خلال تكوينات الشبكة الإضافية.

block يوفر الخيار مستوى آخر من عزل الشبكة ولكنه يتطلب تخطيطا دقيقا لتجنب كسر أحمال العمل أو التبعيات.

التحديث outboundType بعد إنشاء نظام المجموعة

يؤدي تغيير النوع الصادر بعد إنشاء نظام المجموعة إلى نشر الموارد أو إزالتها كما هو مطلوب لوضع نظام المجموعة في تكوين الخروج الجديد.

تعرض الجداول التالية مسارات الترحيل المدعومة بين الأنواع الصادرة للشبكات الظاهرية المدارة و BYO.

مسارات الترحيل المدعومة للشبكة الظاهرية المدارة

يوضح كل صف ما إذا كان يمكن ترحيل النوع الصادر إلى الأنواع المدرجة عبر الجزء العلوي. تعني كلمة "مدعوم" أن الترحيل ممكن، بينما تعني "غير مدعومة" أو "غير مدعومة" أنها ليست كذلك.

مسارات الترحيل المدعومة ل BYO VNet

الترحيل مدعوم فقط بين loadBalancer، managedNATGateway (إذا كنت تستخدم شبكة ظاهرية مدارة)، userAssignedNATGateway و userDefinedRouting (إذا كنت تستخدم شبكة ظاهرية مخصصة).

تحديث نظام المجموعة لاستخدام نوع صادر جديد

• تحديث التكوين الصادر لنظام المجموعة باستخدام az aks update الأمر .

تحديث نظام المجموعة من loadbalancer إلى managedNATGateway

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>

تحديث نظام المجموعة من managedNATGateway إلى loadbalancer

az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >

تحديث نظام المجموعة من managedNATGateway إلى userDefinedRouting

• إضافة جدول التوجيه الافتراضي.0.0.0.0/0 يرجى الاطلاع على تخصيص خروج نظام المجموعة باستخدام جدول توجيه معرف من قبل المستخدم في خدمة Azure Kubernetes (AKS)

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting

تحديث نظام المجموعة من loadbalancer إلى userAssignedNATGateway في سيناريو BYO vnet

• إقران بوابة nat بشبكة فرعية حيث يقترن حمل العمل. راجع إنشاء بوابة NAT مدارة أو معينة من قبل المستخدم

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway

الخطوات التالية

• تكوين موازنة التحميل القياسية في نظام مجموعة AKS
• تكوين بوابة NAT في نظام مجموعة AKS
• تكوين التوجيه المعرف من قبل المستخدم في نظام مجموعة AKS
• وثائق بوابة NAT
• نظرة عامة على UDR لشبكة Azure
• إدارة جداول التوجيه