Megosztás a következőn keresztül:

Fürtkijáratok testreszabása kimenő típusok használatával az Azure Kubernetes Service-ben (AKS)

  • Cikk

Az AKS-fürtök kimenő forgalmát testre szabhatja az adott forgatókönyvek szerint. Alapértelmezés szerint az AKS létrehoz egy Standard Load Balancert, amelyet be kell állítani és használni kell a kimenő forgalomhoz. Előfordulhat azonban, hogy az alapértelmezett beállítás nem felel meg az összes forgatókönyv követelményeinek, ha a nyilvános IP-címek nem engedélyezettek, vagy további ugrásokra van szükség a kimenő forgalomhoz.

Ez a cikk az AKS-fürtökben elérhető kimenő kapcsolatok különböző típusait ismerteti.

Feljegyzés

Mostantól frissítheti a fürtlétrehozás outboundType utáni elemet.

Fontos

A nemprivate fürtökben az API-kiszolgálófürt forgalmát a rendszer a kimenő fürttípuson keresztül irányítja és dolgozza fel. Ha meg szeretné akadályozni, hogy az API-kiszolgáló forgalma nyilvános forgalomként legyen feldolgozva, fontolja meg egy privát fürt használatát, vagy tekintse meg az API Server virtuális hálózatok integrációjának funkcióját.

Korlátozások

  • A beállításhoz outboundType olyan AKS-fürtökre van szükség, amely a( és load-balancer-sku az) VirtualMachineScaleSets értékével rendelkezik vm-set-type Standard.

Kimenő típusok az AKS-ben

Az AKS-fürtöket a következő kimenő típusok használatával konfigurálhatja: terheléselosztó, NAT-átjáró vagy felhasználó által definiált útválasztás. A kimenő típus csak a fürt kimenő forgalmára van hatással. További információ: bejövőforgalom-vezérlők beállítása.

Kimenő típusú loadBalancer

A terheléselosztót egy AKS által hozzárendelt nyilvános IP-címen keresztüli kimenő forgalomhoz használják. A kimenő típusú szolgáltatások támogatják a loadBalancer Kubernetes-szolgáltatásokat loadBalancer, amelyek az AKS-erőforrás-szolgáltató által létrehozott terheléselosztóból érkező kimenő forgalmat várják.

Ha loadBalancer be van állítva, az AKS automatikusan végrehajtja a következő konfigurációt:

  • Nyilvános IP-cím jön létre a fürt kimenő forgalmához.
  • A nyilvános IP-cím a terheléselosztó erőforrásához van rendelve.
  • A terheléselosztó háttérkészletei a fürt ügynökcsomópontjaihoz vannak beállítva.

Az ábrán a bejövő I P és a kimenő I P, ahol a bejövő I P egy terheléselosztóhoz irányítja a forgalmat, amely egy belső fürtbe és más forgalomból a kimenő I P felé irányítja a forgalmat, amely az internetre, az M C R-re, az Azure szükséges szolgáltatásaira és az A K S vezérlősíkra irányítja a forgalmat.

További információ: standard terheléselosztó használata az AKS-ben.

Kimenő típusú managedNatGateway vagy userAssignedNatGateway

Ha managedNatGateway az AKS ki van választvaoutboundType, az Azure Networking NAT-átjáróra támaszkodik a fürtkilépéshez.userAssignedNatGateway

  • Válassza ki managedNatGateway a felügyelt virtuális hálózatok használatakor. Az AKS kiépít egy NAT-átjárót, és csatolja a fürt alhálózatához.
  • Válassza ki userAssignedNatGateway a saját virtuális hálózatkezelés használatakor. Ehhez a beállításhoz létre kell hoznia egy NAT-átjárót a fürt létrehozása előtt.

További információ: NAT-átjáró használata az AKS-sel.

Kimenő típusú userDefinedRouting

Feljegyzés

A userDefinedRouting kimenő típus egy speciális hálózati forgatókönyv, és megfelelő hálózati konfigurációt igényel.

Ha userDefinedRouting be van állítva, az AKS nem konfigurálja automatikusan a kimenő útvonalakat. A kimenő forgalom beállítását Ön végzi el.

Az AKS-fürtöt egy meglévő, konfigurált alhálózattal rendelkező virtuális hálózatba kell telepítenie. Mivel nem szabványos terheléselosztó (SLB) architektúrát használ, explicit kimenő forgalmat kell létrehoznia. Ez az architektúra megköveteli, hogy explicit módon küldjön kimenő forgalmat egy berendezésnek, például tűzfalnak, átjárónak, proxynak, vagy lehetővé kell tenni, hogy a NAT-ot a standard terheléselosztóhoz vagy berendezéshez rendelt nyilvános IP-cím hajtható végre.

További információ: A fürt kimenő forgalmának konfigurálása felhasználó által megadott útválasztással.

Kimenő típus none (előzetes verzió)

Fontos

A none kimenő típus csak a hálózati izolált fürt esetében érhető el, és gondos tervezést igényel annak biztosítása érdekében, hogy a fürt a várt módon működjön anélkül, hogy a külső szolgáltatásoktól nem kívánt függőségek függenek. A teljesen izolált fürtök esetében lásd az izolált fürt szempontjait.

Ha none be van állítva, az AKS nem konfigurálja automatikusan a kimenő útvonalakat. Ez a beállítás hasonló, userDefinedRouting de nem igényel alapértelmezett útvonalat az ellenőrzés részeként.

A none kimenő típus mind a saját (BYO) virtuális hálózati forgatókönyvekben, mind a felügyelt virtuális hálózatok esetében támogatott. Azonban gondoskodnia kell arról, hogy az AKS-fürt olyan hálózati környezetben legyen üzembe helyezve, ahol szükség esetén explicit kimenő útvonalak vannak meghatározva. BYO VNet-forgatókönyvek esetén a fürtöt egy már konfigurált alhálózattal rendelkező meglévő virtuális hálózatba kell telepíteni. Mivel az AKS nem hoz létre standard terheléselosztót vagy kimenő infrastruktúrát, szükség esetén explicit kimenő útvonalakat kell létrehoznia. A kimenő forgalom többek között tűzfalra, proxyra, átjáróra vagy más egyéni hálózati konfigurációkra irányíthatja a forgalmat.

Kimenő típus block (előzetes verzió)

Fontos

A block kimenő típus csak a hálózati izolált fürt esetében érhető el, és gondos tervezést igényel annak biztosítása érdekében, hogy ne legyenek szándékolt hálózati függőségek. A teljesen izolált fürtök esetében lásd az izolált fürt szempontjait.

Ha block be van állítva, az AKS úgy konfigurálja a hálózati szabályokat, hogy aktívan blokkolja a fürtből érkező összes kimenő forgalmat . Ez a lehetőség olyan rendkívül biztonságos környezetekben hasznos, ahol a kimenő kapcsolatot korlátozni kell.

Ha a következőt használja block:

  • Az AKS biztosítja, hogy egyetlen nyilvános internetes forgalom sem hagyhatja el a fürtöt hálózati biztonsági csoport (NSG) szabályokon keresztül. A virtuális hálózatok forgalmára nincs hatással.
  • Külön engedélyeznie kell a szükséges kimenő forgalmat további hálózati konfigurációkon keresztül.

Ez a block lehetőség a hálózatelkülönítés egy másik szintjét biztosítja, de gondos tervezést igényel a számítási feladatok vagy függőségek feltörésének elkerülése érdekében.

Frissítés outboundType a fürt létrehozása után

A kimenő típus módosítása a fürt létrehozása után szükség szerint telepíti vagy eltávolítja az erőforrásokat ahhoz, hogy a fürt bekerüljön az új kimenő konfigurációba.

Az alábbi táblázatok a felügyelt és BYO virtuális hálózatok kimenő típusai közötti támogatott migrálási útvonalakat mutatják be.

Támogatott migrálási útvonalak felügyelt virtuális hálózatokhoz

Minden sor megmutatja, hogy a kimenő típus áttelepíthető-e a fent felsorolt típusokra. A "támogatott" azt jelenti, hogy a migrálás lehetséges, míg a "Nem támogatott" vagy a "Nem támogatott" azt jelenti, hogy nem.

Forrás: |Hoz loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting none block
loadBalancer n/a Támogatott Nem támogatott Nem támogatott Támogatott Támogatott
managedNATGateway Támogatott n/a Nem támogatott Nem támogatott Támogatott Támogatott
userAssignedNATGateway Nem támogatott Nem támogatott n/a Nem támogatott Nem támogatott Nem támogatott
none Támogatott Támogatott Nem támogatott Nem támogatott n/a Támogatott
block Támogatott Támogatott Nem támogatott Nem támogatott Támogatott n/a

A BYO virtuális hálózat támogatott migrálási útvonalai

Forrás: |Hoz loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting none block
loadBalancer n/a Nem támogatott Támogatott Támogatott Támogatott Nem támogatott
managedNATGateway Nem támogatott n/a Nem támogatott Nem támogatott Nem támogatott Nem támogatott
userAssignedNATGateway Támogatott Nem támogatott n/a Támogatott Támogatott Nem támogatott
userDefinedRouting Támogatott Nem támogatott Támogatott n/a Támogatott Nem támogatott
none Támogatott Nem támogatott Támogatott Támogatott n/a Nem támogatott

A migrálás csak felügyelt virtuális hálózat használata esetén és userDefinedRouting (egyéni virtuális hálózat használata esetén) userAssignedNATGateway között loadBalancermanagedNATGateway támogatott.

Figyelmeztetés

Ha a kimenő típust felhasználó által felügyelt típusokra (userAssignedNATGateway vagy userDefinedRouting) migrálja, az megváltoztatja a fürt kimenő nyilvános IP-címét. ha engedélyezett IP-tartományok engedélyezve vannak, győződjön meg arról, hogy az új kimenő IP-tartomány hozzá van fűzve az engedélyezett IP-tartományhoz.

Figyelmeztetés

A fürt kimenő típusának módosítása megzavarja a hálózati kapcsolatot, és a fürt kimenő IP-címének megváltozását eredményezi. Ha a tűzfalszabályok úgy vannak konfigurálva, hogy korlátozzák a fürtből érkező forgalmat, frissítenie kell őket, hogy megfeleljenek az új kimenő IP-címnek.

Fürt frissítése új kimenő típus használatára

Feljegyzés

A kimenő típus áttelepítéséhez az Azure CLI 2.56-os verzióját >kell használnia. Az Azure CLI legújabb verziójára való frissítésre használható az upgrade .

  • Frissítse a fürt kimenő konfigurációját a az aks update paranccsal.

Fürt frissítése a loadbalancerről a managedNATGatewayre

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>

Fürt frissítése a managedNATGatewayről a loadbalancerre

az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >

Figyelmeztetés

Ne használjon újra olyan IP-címet, amely már használatban van a korábbi kimenő konfigurációkban.

Fürt frissítése a managedNATGatewayről a userDefinedRouting szolgáltatásra

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting

Fürt frissítése a loadbalancerről a userAssignedNATGatewayre BYO vnet-forgatókönyvben

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway

Következő lépések