Az Azure Kubernetes Service (AKS) alkalmazásainak hálózatkezelési fogalmai
Az alkalmazásfejlesztés tárolóalapú mikroszolgáltatás-megközelítésében az alkalmazásösszetevők együttműködnek a feladataik feldolgozásában. A Kubernetes különböző erőforrásokat biztosít az együttműködéshez:
- Az alkalmazásokhoz belsőleg vagy külsőleg is csatlakozhat, és közzéteheti azokat.
- Az alkalmazások terheléselosztásával magas rendelkezésre állású alkalmazásokat hozhat létre.
- A biztonság javítása érdekében korlátozhatja a podok és csomópontok közötti hálózati forgalom áramlását.
- Konfigurálhatja a bejövő forgalmat az SSL/TLS leállításához vagy több összetevő útválasztásához az összetettebb alkalmazásokhoz.
Ez a cikk bemutatja azokat az alapvető fogalmakat, amelyek hálózatkezelést biztosítanak az alkalmazások számára az AKS-ben:
A Kubernetes hálózatkezelési alapjai
A Kubernetes egy virtuális hálózati réteget alkalmaz az alkalmazásokon vagy azok összetevőin belüli és közötti hozzáférés kezelésére:
Kubernetes-csomópontok és virtuális hálózat: A Kubernetes-csomópontok virtuális hálózathoz csatlakoznak. Ez a beállítás lehetővé teszi, hogy a podok (a Kubernetes alapszintű üzembehelyezési egységei) bejövő és kimenő kapcsolattal rendelkezzenek.
Kube-proxy összetevő: a kube-proxy minden csomóponton fut, és felelős a szükséges hálózati szolgáltatások biztosításáért.
Konkrét Kubernetes-funkciókkal kapcsolatban:
- Terheléselosztó: A terheléselosztóval egyenletesen oszthatja el a hálózati forgalmat a különböző erőforrások között.
- Bejövőforgalom-vezérlők: Ezek megkönnyítik a 7. rétegbeli útválasztást, amely elengedhetetlen az alkalmazásforgalom irányításához.
- Kimenő forgalom szabályozása: A Kubernetes lehetővé teszi a fürtcsomópontok kimenő forgalmának kezelését és szabályozását.
- Hálózati szabályzatok: Ezek a házirendek lehetővé teszik a biztonsági intézkedéseket és a podok hálózati forgalmának szűrését.
Az Azure-platform kontextusában:
- Az Azure leegyszerűsíti az AKS-fürtök (Azure Kubernetes Service) virtuális hálózatkezelését.
- Kubernetes-terheléselosztó létrehozása az Azure-ban egyidejűleg beállítja a megfelelő Azure-terheléselosztó-erőforrást.
- Amikor hálózati portokat nyit meg a podok felé, az Azure automatikusan konfigurálja a szükséges hálózati biztonsági csoportszabályokat.
- Az Azure az új bejövő útvonalak létrehozásakor a HTTP-alkalmazások útválasztásának külső DNS-konfigurációit is kezelheti.
Azure-beli virtuális hálózatok
Az AKS-ben üzembe helyezhet egy fürtöt, amely az alábbi hálózati modellek egyikét használja:
- Átfedéses hálózati modell: Az átfedéses hálózatkezelés a Kubernetesben leggyakrabban használt hálózati modell. A podok ip-címet kapnak egy privát, logikailag elkülönülő CIDR-címtől az Azure-beli virtuális hálózati alhálózattól, ahol az AKS-csomópontok üzembe vannak helyezve. Ez a modell egyszerűbb és jobb méretezhetőséget tesz lehetővé a lapos hálózati modellhez képest.
- Lapos hálózati modell: Az AKS-ben egy lapos hálózati modell ip-címeket rendel a podokhoz az AKS-csomópontokkal azonos Azure-beli virtuális hálózatból származó alhálózatból származó podokhoz. A fürtöket elhagyó forgalom nem SNAT-alapú, és a pod IP-címe közvetlenül a célnak van kitéve. Ez a modell olyan helyzetekben lehet hasznos, mint a pod IP-címeinek külső szolgáltatásoknak való felfedése.
További információ az AKS hálózati modelljeiről: CNI Networking in AKS.
Kimenő (kimenő) forgalom szabályozása
Az AKS-fürtök egy virtuális hálózaton vannak üzembe helyezve, és kimenő függőségekkel rendelkeznek a virtuális hálózaton kívüli szolgáltatásoktól, amelyek szinte teljesen minősített tartománynevekkel (FQDN-ekkel) vannak definiálva. Az AKS számos kimenő konfigurációs lehetőséget biztosít, amelyek lehetővé teszik a külső erőforrások elérésének testreszabását.
A támogatott AKS-fürt kimenő konfigurációs típusairól további információt az Azure Kubernetes Service (AKS) kimenő típusok fürtkijáratainak testreszabása című témakörben talál.
Az AKS-fürtök alapértelmezés szerint korlátlan kimenő (kimenő) internetkapcsolattal rendelkeznek, amely lehetővé teszi, hogy a futtatott csomópontok és szolgáltatások szükség szerint hozzáférjenek a külső erőforrásokhoz. Igény szerint korlátozhatja a kimenő forgalmat.
A fürt kimenő forgalmának korlátozásáról további információt az AKS fürtcsomópontjai kimenő forgalmának szabályozása című témakörben talál.
Hálózati biztonsági csoportok
Egy hálózati biztonsági csoport szűri a virtuális gépek, például az AKS-csomópontok forgalmát. A szolgáltatások, például a LoadBalancer létrehozásakor az Azure-platform automatikusan konfigurálja a szükséges hálózati biztonsági csoportszabályokat.
Az AKS-fürtben lévő podok forgalmának szűréséhez nincs szükség a hálózati biztonsági csoportok szabályainak manuális konfigurálására. A szükséges portokat és továbbítást a Kubernetes Service-jegyzékek részeként határozhatja meg, és engedélyezheti az Azure-platform számára a megfelelő szabályok létrehozását vagy frissítését.
Ezenkívül hálózati szabályzatok használatával automatikusan alkalmazhat forgalomszűrési szabályokat a podokra.
További információt a hálózati biztonsági csoportok hálózati forgalmának szűrése című témakörben talál.
Hálózati szabályzatok
Alapértelmezés szerint az AKS-fürtök összes podja korlátozás nélkül tud forgalmat küldeni és fogadni. A nagyobb biztonság érdekében definiáljon olyan szabályokat, amelyek szabályozzák a forgalom áramlását, például:
- A háttéralkalmazások csak a szükséges előtér-szolgáltatásoknak vannak kitéve.
- Az adatbázis-összetevők csak a hozzájuk csatlakozó alkalmazásszintekhez érhetők el.
A hálózati házirend az AKS-ben elérhető Kubernetes-szolgáltatás, amely lehetővé teszi a podok közötti forgalom szabályozását. Engedélyezheti vagy letilthatja a pod felé irányuló forgalmat olyan beállítások alapján, mint a hozzárendelt címkék, a névtér vagy a forgalmi port. Bár a hálózati biztonsági csoportok jobbak az AKS-csomópontok számára, a hálózati házirendek a podok forgalmának szabályozására alkalmasabb, felhőalapú natív módon. Mivel a podok dinamikusan jönnek létre egy AKS-fürtben, a szükséges hálózati szabályzatok automatikusan alkalmazhatók.
További információt az Azure Kubernetes Service (AKS) hálózati házirendek használatával történő biztonságos forgalmát ismertető cikkben talál.
Következő lépések
Az AKS-hálózatkezelés első lépéseihez hozzon létre és konfiguráljon egy saját IP-címtartományokkal rendelkező AKS-fürtöt az Azure CNI Overlay vagy az Azure CNI használatával.
A kapcsolódó ajánlott eljárásokért tekintse meg a hálózati kapcsolatokra és a biztonságra vonatkozó ajánlott eljárásokat az AKS-ben.
Az alapvető Kubernetes- és AKS-fogalmakkal kapcsolatos további információkért tekintse meg az alábbi cikkeket:
Azure Kubernetes Service