Bagikan melalui

Menyesuaikan egress kluster dengan jenis keluar di Azure Kubernetes Service (AKS)

  • Artikel

Anda dapat menyesuaikan egress untuk kluster AKS agar sesuai dengan skenario tertentu. Secara default, AKS membuat Load Balancer Standar yang akan disiapkan dan digunakan untuk keluar. Namun, pengaturan default mungkin tidak memenuhi persyaratan semua skenario jika IP publik tidak diizinkan atau hop tambahan diperlukan untuk keluar.

Artikel ini membahas berbagai jenis konektivitas keluar yang tersedia di kluster AKS.

Catatan

Anda sekarang dapat memperbarui outboundType setelah pembuatan kluster.

Penting

Dalam kluster nonprivat, lalu lintas kluster server API dirutekan dan diproses melalui jenis keluar kluster. Untuk mencegah lalu lintas server API diproses sebagai lalu lintas publik, pertimbangkan untuk menggunakan kluster privat, atau lihat fitur Integrasi VNet API Server.

Batasan

  • Pengaturan outboundType memerlukan kluster AKS dengan vm-set-type dari VirtualMachineScaleSets dan load-balancer-sku dari Standard.

Jenis keluar di AKS

Anda dapat mengonfigurasi kluster AKS menggunakan jenis keluar berikut: load balancer, gateway NAT, atau perutean yang ditentukan pengguna. Jenis keluar hanya memengaruhi lalu lintas keluar kluster Anda. Untuk informasi selengkapnya, lihat menyiapkan pengontrol masuk.

Jenis keluar dari loadBalancer

Load balancer digunakan untuk keluar melalui IP publik yang ditetapkan AKS. Jenis outbound dari loadBalancer mendukung layanan Kubernetes jenis loadBalancer, yang mengharapkan proses keluar dari load balancer yang dibuat oleh penyedia sumber daya AKS.

Jika loadBalancer diatur, AKS secara otomatis menyelesaikan konfigurasi berikut:

  • Alamat IP publik dibuat untuk keluarnya kluster.
  • Alamat IP publik ditetapkan ke sumber daya load balancer.
  • Kumpulan backend untuk load balancer disiapkan untuk simpul agen di kluster.

Diagram menunjukkan jalan masuk I P dan jalan keluar I P, di mana jalan masuk I P mengarahkan lalu lintas ke load balancer, yang mengarahkan lalu lintas ke dan dari kluster internal dan lalu lintas lainnya ke jalan keluar I P, yang mengarahkan lalu lintas ke Internet, M C R, layanan yang diperlukan Azure, dan A K S Control Plane.

Untuk informasi selengkapnya, lihat menggunakan load balancer standar di AKS.

Jenis keluar dari managedNatGateway atau userAssignedNatGateway

Jika managedNatGateway atau userAssignedNatGateway dipilih untuk outboundType, AKS bergantung pada gateway NAT Jaringan Azure untuk keluarnya kluster.

  • Pilih managedNatGateway saat menggunakan jaringan virtual terkelola. AKS menyediakan gateway NAT dan melampirkannya ke subnet kluster.
  • Pilih userAssignedNatGateway saat menggunakan jaringan virtual bring-your-own. Opsi ini mengharuskan Anda membuat gateway NAT sebelum pembuatan kluster.

Untuk informasi selengkapnya, lihat menggunakan gateway NAT dengan AKS.

Jenis keluar dari userDefinedRouting

Catatan

Jenis userDefinedRouting keluar adalah skenario jaringan tingkat lanjut dan memerlukan konfigurasi jaringan yang tepat.

Jika userDefinedRouting diatur, AKS tidak secara otomatis mengonfigurasi jalur keluar. Penyiapan keluar diselesaikan oleh Anda.

Anda harus menyebarkan kluster AKS ke jaringan virtual yang ada dengan subnet yang dikonfigurasi. Karena Anda tidak menggunakan arsitektur load balancer (SLB) standar, Anda harus menetapkan egress eksplisit. Arsitektur ini mengharuskan pengiriman lalu lintas keluar secara eksplisit ke appliance seperti firewall, gateway, proksi, atau untuk memungkinkan NAT dilakukan oleh IP publik yang ditetapkan ke load balancer atau appliance standar.

Untuk informasi selengkapnya, lihat mengonfigurasi keluarnya kluster melalui perutean yang ditentukan pengguna.

Jenis keluar ( none Pratinjau)

Penting

Jenis none keluar hanya tersedia dengan Kluster Terisolasi Jaringan dan memerlukan perencanaan yang cermat untuk memastikan kluster beroperasi seperti yang diharapkan tanpa dependensi yang tidak diinginkan pada layanan eksternal. Untuk kluster yang sepenuhnya terisolasi, lihat pertimbangan kluster terisolasi.

Jika none diatur, AKS tidak akan mengonfigurasi jalur keluar secara otomatis. Opsi ini mirip userDefinedRouting dengan tetapi tidak memerlukan rute default sebagai bagian dari validasi.

Jenis none keluar didukung dalam skenario jaringan virtual bring-your-own (BYO) dan skenario VNet terkelola. Namun, Anda harus memastikan bahwa kluster AKS disebarkan ke lingkungan jaringan tempat jalur keluar eksplisit ditentukan jika diperlukan. Untuk skenario BYO VNet, kluster harus disebarkan ke jaringan virtual yang ada dengan subnet yang sudah dikonfigurasi. Karena AKS tidak membuat load balancer standar atau infrastruktur keluar apa pun, Anda harus membuat jalur keluar eksplisit jika diperlukan. Opsi keluar dapat mencakup perutean lalu lintas ke firewall, proksi, gateway, atau konfigurasi jaringan kustom lainnya.

Jenis keluar ( block Pratinjau)

Penting

Jenis block keluar hanya tersedia dengan Kluster Terisolasi Jaringan dan memerlukan perencanaan yang cermat untuk memastikan tidak ada dependensi jaringan yang tidak diinginkan. Untuk kluster yang sepenuhnya terisolasi, lihat pertimbangan kluster terisolasi.

Jika block diatur, AKS mengonfigurasi aturan jaringan untuk secara aktif memblokir semua lalu lintas keluar dari kluster. Opsi ini berguna untuk lingkungan yang sangat aman di mana konektivitas keluar harus dibatasi.

Ketika menggunakan block :

  • AKS memastikan bahwa tidak ada lalu lintas internet publik yang dapat meninggalkan kluster melalui aturan kelompok keamanan jaringan (NSG). Lalu lintas VNet tidak terpengaruh.
  • Anda harus secara eksplisit mengizinkan lalu lintas keluar yang diperlukan melalui konfigurasi jaringan tambahan.

Opsi ini block menyediakan tingkat isolasi jaringan lain tetapi memerlukan perencanaan yang cermat untuk menghindari melanggar beban kerja atau dependensi.

Memperbarui outboundType setelah pembuatan kluster

Mengubah jenis keluar setelah pembuatan kluster menyebarkan atau menghapus sumber daya sesuai kebutuhan untuk memasukkan kluster ke dalam konfigurasi keluar baru.

Tabel berikut menunjukkan jalur migrasi yang didukung antara jenis keluar untuk jaringan virtual terkelola dan BYO.

Jalur Migrasi yang Didukung untuk VNet Terkelola

Setiap baris memperlihatkan apakah jenis keluar dapat dimigrasikan ke jenis yang tercantum di bagian atas. "Didukung" berarti migrasi dimungkinkan, sementara "Tidak Didukung" atau "N/A" berarti tidak.

Dari|Ke loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting none block
loadBalancer T/A Didukung Tidak Didukung Tidak Didukung Didukung Didukung
managedNATGateway Didukung T/A Tidak Didukung Tidak Didukung Didukung Didukung
userAssignedNATGateway Tidak Didukung Tidak Didukung T/A Tidak Didukung Tidak Didukung Tidak Didukung
none Didukung Didukung Tidak Didukung Tidak Didukung T/A Didukung
block Didukung Didukung Tidak Didukung Tidak Didukung Didukung T/A

Jalur Migrasi yang Didukung untuk BYO VNet

Dari|Ke loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting none block
loadBalancer T/A Tidak Didukung Didukung Didukung Didukung Tidak Didukung
managedNATGateway Tidak Didukung T/A Tidak Didukung Tidak Didukung Tidak Didukung Tidak Didukung
userAssignedNATGateway Didukung Tidak Didukung T/A Didukung Didukung Tidak Didukung
userDefinedRouting Didukung Tidak Didukung Didukung T/A Didukung Tidak Didukung
none Didukung Tidak Didukung Didukung Didukung T/A Tidak Didukung

Migrasi hanya didukung antara loadBalancer, managedNATGateway (jika menggunakan jaringan virtual terkelola), userAssignedNATGateway dan userDefinedRouting (jika menggunakan jaringan virtual kustom).

Peringatan

Memigrasikan jenis keluar ke jenis yang dikelola pengguna (userAssignedNATGateway atau userDefinedRouting) akan mengubah alamat IP publik keluar kluster. jika Rentang IP resmi diaktifkan, pastikan rentang IP keluar baru ditambahkan ke rentang IP resmi.

Peringatan

Mengubah jenis keluar pada kluster mengganggu konektivitas jaringan dan menghasilkan perubahan alamat IP keluar kluster. Jika ada aturan firewall yang dikonfigurasi untuk membatasi lalu lintas dari kluster, Anda perlu memperbaruinya agar sesuai dengan alamat IP keluar baru.

Memperbarui kluster untuk menggunakan jenis keluar baru

Catatan

Anda harus menggunakan versi >= 2.56 Azure CLI untuk memigrasikan jenis keluar. Gunakan az upgrade untuk memperbarui ke versi terbaru Azure CLI.

  • Perbarui konfigurasi keluar kluster Anda menggunakan az aks update perintah .

Memperbarui kluster dari loadbalancer ke managedNATGateway

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>

Memperbarui kluster dari managedNATGateway ke loadbalancer

az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >

Peringatan

Jangan gunakan kembali alamat IP yang sudah digunakan dalam konfigurasi keluar sebelumnya.

Memperbarui kluster dari managedNATGateway ke userDefinedRouting

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting

Memperbarui kluster dari loadbalancer ke userAssignedNATGateway dalam skenario byo vnet

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway

Langkah berikutnya