Megosztás a következőn keresztül:


Az Azure Kubernetes Service (AKS) alkalmazásainak hálózatkezelési fogalmai

Az alkalmazásfejlesztés tárolóalapú mikroszolgáltatás-megközelítésében az alkalmazásösszetevők együttműködnek a feladataik feldolgozásában. A Kubernetes különböző erőforrásokat biztosít az együttműködéshez:

  • Az alkalmazásokhoz belsőleg vagy külsőleg is csatlakozhat, és közzéteheti azokat.
  • Az alkalmazások terheléselosztásával magas rendelkezésre állású alkalmazásokat hozhat létre.
  • A biztonság javítása érdekében korlátozhatja a podok és csomópontok közötti hálózati forgalom áramlását.
  • Konfigurálhatja a bejövő forgalmat az SSL/TLS leállításához vagy több összetevő útválasztásához az összetettebb alkalmazásokhoz.

Ez a cikk bemutatja azokat az alapvető fogalmakat, amelyek hálózatkezelést biztosítanak az alkalmazások számára az AKS-ben:

A Kubernetes hálózatkezelési alapjai

A Kubernetes egy virtuális hálózati réteget alkalmaz az alkalmazásokon vagy azok összetevőin belüli és közötti hozzáférés kezelésére:

  • Kubernetes-csomópontok és virtuális hálózat: A Kubernetes-csomópontok virtuális hálózathoz csatlakoznak. Ez a beállítás lehetővé teszi, hogy a podok (a Kubernetes alapszintű üzembehelyezési egységei) bejövő és kimenő kapcsolattal rendelkezzenek.

  • Kube-proxy összetevő: a kube-proxy minden csomóponton fut, és felelős a szükséges hálózati szolgáltatások biztosításáért.

Konkrét Kubernetes-funkciókkal kapcsolatban:

  • Terheléselosztó: A terheléselosztóval egyenletesen oszthatja el a hálózati forgalmat a különböző erőforrások között.
  • Bejövőforgalom-vezérlők: Ezek megkönnyítik a 7. rétegbeli útválasztást, amely elengedhetetlen az alkalmazásforgalom irányításához.
  • Kimenő forgalom szabályozása: A Kubernetes lehetővé teszi a fürtcsomópontok kimenő forgalmának kezelését és szabályozását.
  • Hálózati szabályzatok: Ezek a házirendek lehetővé teszik a biztonsági intézkedéseket és a podok hálózati forgalmának szűrését.

Az Azure-platform kontextusában:

  • Az Azure leegyszerűsíti az AKS-fürtök (Azure Kubernetes Service) virtuális hálózatkezelését.
  • Kubernetes-terheléselosztó létrehozása az Azure-ban egyidejűleg beállítja a megfelelő Azure-terheléselosztó-erőforrást.
  • Amikor hálózati portokat nyit meg a podok felé, az Azure automatikusan konfigurálja a szükséges hálózati biztonsági csoportszabályokat.
  • Az Azure az új bejövő útvonalak létrehozásakor a HTTP-alkalmazások útválasztásának külső DNS-konfigurációit is kezelheti.

Azure-beli virtuális hálózatok

Az AKS-ben üzembe helyezhet egy fürtöt, amely az alábbi hálózati modellek egyikét használja:

  • Átfedéses hálózati modell: Az átfedéses hálózatkezelés a Kubernetesben leggyakrabban használt hálózati modell. A podok ip-címet kapnak egy privát, logikailag elkülönülő CIDR-címtől az Azure-beli virtuális hálózati alhálózattól, ahol az AKS-csomópontok üzembe vannak helyezve. Ez a modell egyszerűbb és jobb méretezhetőséget tesz lehetővé a lapos hálózati modellhez képest.
  • Lapos hálózati modell: Az AKS-ben egy lapos hálózati modell ip-címeket rendel a podokhoz az AKS-csomópontokkal azonos Azure-beli virtuális hálózatból származó alhálózatból származó podokhoz. A fürtöket elhagyó forgalom nem SNAT-alapú, és a pod IP-címe közvetlenül a célnak van kitéve. Ez a modell olyan helyzetekben lehet hasznos, mint a pod IP-címeinek külső szolgáltatásoknak való felfedése.

További információ az AKS hálózati modelljeiről: CNI Networking in AKS.

Kimenő (kimenő) forgalom szabályozása

Az AKS-fürtök egy virtuális hálózaton vannak üzembe helyezve, és kimenő függőségekkel rendelkeznek a virtuális hálózaton kívüli szolgáltatásoktól, amelyek szinte teljesen minősített tartománynevekkel (FQDN-ekkel) vannak definiálva. Az AKS számos kimenő konfigurációs lehetőséget biztosít, amelyek lehetővé teszik a külső erőforrások elérésének testreszabását.

A támogatott AKS-fürt kimenő konfigurációs típusairól további információt az Azure Kubernetes Service (AKS) kimenő típusok fürtkijáratainak testreszabása című témakörben talál.

Az AKS-fürtök alapértelmezés szerint korlátlan kimenő (kimenő) internetkapcsolattal rendelkeznek, amely lehetővé teszi, hogy a futtatott csomópontok és szolgáltatások szükség szerint hozzáférjenek a külső erőforrásokhoz. Igény szerint korlátozhatja a kimenő forgalmat.

A fürt kimenő forgalmának korlátozásáról további információt az AKS fürtcsomópontjai kimenő forgalmának szabályozása című témakörben talál.

Hálózati biztonsági csoportok

Egy hálózati biztonsági csoport szűri a virtuális gépek, például az AKS-csomópontok forgalmát. A szolgáltatások, például a LoadBalancer létrehozásakor az Azure-platform automatikusan konfigurálja a szükséges hálózati biztonsági csoportszabályokat.

Az AKS-fürtben lévő podok forgalmának szűréséhez nincs szükség a hálózati biztonsági csoportok szabályainak manuális konfigurálására. A szükséges portokat és továbbítást a Kubernetes Service-jegyzékek részeként határozhatja meg, és engedélyezheti az Azure-platform számára a megfelelő szabályok létrehozását vagy frissítését.

Ezenkívül hálózati szabályzatok használatával automatikusan alkalmazhat forgalomszűrési szabályokat a podokra.

További információt a hálózati biztonsági csoportok hálózati forgalmának szűrése című témakörben talál.

Hálózati szabályzatok

Alapértelmezés szerint az AKS-fürtök összes podja korlátozás nélkül tud forgalmat küldeni és fogadni. A nagyobb biztonság érdekében definiáljon olyan szabályokat, amelyek szabályozzák a forgalom áramlását, például:

  • A háttéralkalmazások csak a szükséges előtér-szolgáltatásoknak vannak kitéve.
  • Az adatbázis-összetevők csak a hozzájuk csatlakozó alkalmazásszintekhez érhetők el.

A hálózati házirend az AKS-ben elérhető Kubernetes-szolgáltatás, amely lehetővé teszi a podok közötti forgalom szabályozását. Engedélyezheti vagy letilthatja a pod felé irányuló forgalmat olyan beállítások alapján, mint a hozzárendelt címkék, a névtér vagy a forgalmi port. Bár a hálózati biztonsági csoportok jobbak az AKS-csomópontok számára, a hálózati házirendek a podok forgalmának szabályozására alkalmasabb, felhőalapú natív módon. Mivel a podok dinamikusan jönnek létre egy AKS-fürtben, a szükséges hálózati szabályzatok automatikusan alkalmazhatók.

További információt az Azure Kubernetes Service (AKS) hálózati házirendek használatával történő biztonságos forgalmát ismertető cikkben talál.

Következő lépések

Az AKS-hálózatkezelés első lépéseihez hozzon létre és konfiguráljon egy saját IP-címtartományokkal rendelkező AKS-fürtöt az Azure CNI Overlay vagy az Azure CNI használatával.

A kapcsolódó ajánlott eljárásokért tekintse meg a hálózati kapcsolatokra és a biztonságra vonatkozó ajánlott eljárásokat az AKS-ben.

Az alapvető Kubernetes- és AKS-fogalmakkal kapcsolatos további információkért tekintse meg az alábbi cikkeket: