Azure Kubernetes Service'te (AKS) giden türleriyle küme çıkışını özelleştirme
Aks kümesinin çıkışını belirli senaryolara uyacak şekilde özelleştirebilirsiniz. Varsayılan olarak AKS, çıkış için ayarlanacak ve kullanılacak bir Standart Load Balancer oluşturur. Ancak, genel IP'lere izin verilmiyorsa veya çıkış için ek atlamalar gerekiyorsa, varsayılan kurulum tüm senaryoların gereksinimlerini karşılamayabilir.
Bu makale AKS kümelerinde kullanılabilen çeşitli giden bağlantı türlerini kapsar.
Not
Artık küme oluşturulduktan sonra öğesini outboundType
güncelleştirebilirsiniz.
Önemli
Ayrıcalıksız kümelerde API sunucusu kümesi trafiği, kümeler giden türü aracılığıyla yönlendirilir ve işlenir. API sunucusu trafiğinin genel trafik olarak işlenmesini önlemek için özel bir küme kullanmayı göz önünde bulundurun veya API Server Sanal Ağ Tümleştirmesi özelliğini gözden geçirin.
Sınırlamalar
- Ayarı
outboundType
için veload-balancer-sku
Standard
içeren AKS kümelerivm-set-type
VirtualMachineScaleSets
gerekir.
AKS'de giden türler
Aks kümesini aşağıdaki giden türleri kullanarak yapılandırabilirsiniz: yük dengeleyici, NAT ağ geçidi veya kullanıcı tanımlı yönlendirme. Giden türü yalnızca kümenizin çıkış trafiğini etkiler. Daha fazla bilgi için bkz . Giriş denetleyicilerini ayarlama.
Giden türü loadBalancer
Yük dengeleyici, AKS tarafından atanan genel IP üzerinden çıkış için kullanılır. Giden türü loadBalancer
, AKS kaynak sağlayıcısı tarafından oluşturulan yük dengeleyiciden çıkış bekleyen türündeki loadBalancer
Kubernetes hizmetlerini destekler.
Ayarlanırsa loadBalancer
AKS aşağıdaki yapılandırmayı otomatik olarak tamamlar:
- Küme çıkışı için bir genel IP adresi oluşturulur.
- Genel IP adresi yük dengeleyici kaynağına atanır.
- Yük dengeleyici için arka uç havuzları, kümedeki aracı düğümleri için ayarlanır.
Daha fazla bilgi için bkz . AKS'de standart yük dengeleyici kullanma.
veya giden managedNatGateway
türü userAssignedNatGateway
veya userAssignedNatGateway
için outboundType
seçilirse managedNatGateway
AKS, küme çıkışı için Azure Ağ NAT ağ geçidini kullanır.
- Yönetilen sanal ağları kullanırken seçin
managedNatGateway
. AKS bir NAT ağ geçidi sağlar ve bunu küme alt asına ekler. - Kendi sanal ağınızı getirin seçeneğini belirleyin
userAssignedNatGateway
. Bu seçenek, küme oluşturmadan önce oluşturulmuş bir NAT ağ geçidiniz olmasını gerektirir.
Daha fazla bilgi için bkz . AKS ile NAT ağ geçidi kullanma.
Giden türü userDefinedRouting
Not
Giden userDefinedRouting
türü gelişmiş bir ağ senaryosudur ve uygun ağ yapılandırması gerektirir.
ayarlanırsa userDefinedRouting
AKS çıkış yollarını otomatik olarak yapılandırmaz. Çıkış kurulumu sizin tarafınızdan tamamlanır.
AKS kümesini yapılandırılmış bir alt ağ ile var olan bir sanal ağa dağıtmanız gerekir. Standart yük dengeleyici (SLB) mimarisi kullanmadığınızdan, açık çıkış oluşturmanız gerekir. Bu mimari, çıkış trafiğinin güvenlik duvarı, ağ geçidi, ara sunucu gibi bir alete açıkça gönderilmesini veya NAT'nin standart yük dengeleyiciye veya alete atanmış bir genel IP tarafından gerçekleştirilebilmesini gerektirir.
Daha fazla bilgi için bkz . Kullanıcı tanımlı yönlendirme yoluyla küme çıkışını yapılandırma.
Giden türü none
(Önizleme)
Önemli
Giden none
türü yalnızca AğDan Yalıtılmış Küme ile kullanılabilir ve dış hizmetlere istenmeyen bağımlılıklar olmadan kümenin beklendiği gibi çalıştığından emin olmak için dikkatli bir planlama gerektirir. Tamamen yalıtılmış kümeler için bkz . yalıtılmış kümeyle ilgili dikkat edilmesi gerekenler.
Ayarlanırsa none
AKS çıkış yollarını otomatik olarak yapılandırmaz. Bu seçenek, userDefinedRouting
doğrulamanın bir parçası olarak varsayılan bir yol gerektirmeyen bir seçenektir.
Giden none
türü hem kendi sanal ağınızı getirin (BYO) sanal ağ senaryolarında hem de yönetilen sanal ağ senaryolarında desteklenir. Ancak AKS kümesinin gerekirse açık çıkış yollarının tanımlandığı bir ağ ortamına dağıtıldığından emin olmanız gerekir. BYO sanal ağ senaryoları için, kümenin zaten yapılandırılmış bir alt ağa sahip mevcut bir sanal ağa dağıtılması gerekir. AKS standart yük dengeleyici veya çıkış altyapısı oluşturmadığından, gerekirse açık çıkış yolları oluşturmanız gerekir. Çıkış seçenekleri, trafiği bir güvenlik duvarına, ara sunucuya, ağ geçidine veya diğer özel ağ yapılandırmalarına yönlendirmeyi içerebilir.
Giden türü block
(Önizleme)
Önemli
Giden block
türü yalnızca AğDan Yalıtılmış Küme ile kullanılabilir ve istenmeyen ağ bağımlılıklarının mevcut olmadığından emin olmak için dikkatli bir planlama gerektirir. Tamamen yalıtılmış kümeler için bkz . yalıtılmış kümeyle ilgili dikkat edilmesi gerekenler.
Ayarlanırsa block
AKS, ağ kurallarını kümeden gelen tüm çıkış trafiğini etkin bir şekilde engelleyecek şekilde yapılandırıyor. Bu seçenek, giden bağlantının kısıtlanması gereken yüksek oranda güvenli ortamlar için kullanışlıdır.
kullanırken block
:
- AKS, ağ güvenlik grubu (NSG) kuralları aracılığıyla genel İnternet trafiğinin kümeden ayrılmamasını sağlar. Sanal ağ trafiği etkilenmez.
- Ek ağ yapılandırmaları aracılığıyla gerekli çıkış trafiğine açıkça izin vermelisiniz.
seçeneği block
başka bir ağ yalıtımı düzeyi sağlar, ancak iş yüklerini veya bağımlılıkları bozmamak için dikkatli bir planlama gerektirir.
Küme oluşturulduktan sonra güncelleştirme outboundType
Küme oluşturulduktan sonra giden türün değiştirilmesi, kümeyi yeni çıkış yapılandırmasına yerleştirmek için kaynakları gerektiği gibi dağıtır veya kaldırır.
Aşağıdaki tablolarda yönetilen ve BYO sanal ağları için giden türler arasındaki desteklenen geçiş yolları gösterilmektedir.
Yönetilen Sanal Ağ için Desteklenen Geçiş Yolları
Her satır, giden türün üst kısımda listelenen türlere geçirilip geçirilemeyeceğini gösterir. "Desteklenir", geçişin mümkün olduğu, "Desteklenmiyor" veya "Yok" ise mümkün olmadığı anlamına gelir.
Kimden|Hedef | loadBalancer |
managedNATGateway |
userAssignedNATGateway |
userDefinedRouting |
none |
block |
---|---|---|---|---|---|---|
loadBalancer |
Yok | Desteklenir | Desteklenmiyor | Desteklenmiyor | Desteklenir | Desteklenir |
managedNATGateway |
Desteklenir | Yok | Desteklenmiyor | Desteklenmiyor | Desteklenir | Desteklenir |
userAssignedNATGateway |
Desteklenmiyor | Desteklenmiyor | Yok | Desteklenmiyor | Desteklenmiyor | Desteklenmiyor |
none |
Desteklenir | Desteklenir | Desteklenmiyor | Desteklenmiyor | Yok | Desteklenir |
block |
Desteklenir | Desteklenir | Desteklenmiyor | Desteklenmiyor | Desteklenir | Yok |
BYO Sanal Ağı için Desteklenen Geçiş Yolları
Kimden|Hedef | loadBalancer |
managedNATGateway |
userAssignedNATGateway |
userDefinedRouting |
none |
block |
---|---|---|---|---|---|---|
loadBalancer |
Yok | Desteklenmiyor | Desteklenir | Desteklenir | Desteklenir | Desteklenmiyor |
managedNATGateway |
Desteklenmiyor | Yok | Desteklenmiyor | Desteklenmiyor | Desteklenmiyor | Desteklenmiyor |
userAssignedNATGateway |
Desteklenir | Desteklenmiyor | Yok | Desteklenir | Desteklenir | Desteklenmiyor |
userDefinedRouting |
Desteklenir | Desteklenmiyor | Desteklenir | Yok | Desteklenir | Desteklenmiyor |
none |
Desteklenir | Desteklenmiyor | Desteklenir | Desteklenir | Yok | Desteklenmiyor |
Geçiş yalnızca arasında loadBalancer
managedNATGateway
desteklenir (yönetilen sanal ağ kullanılıyorsa) userAssignedNATGateway
ve userDefinedRouting
(özel bir sanal ağ kullanılıyorsa).
Uyarı
Giden türün kullanıcı tarafından yönetilen türlere (userAssignedNATGateway
veya userDefinedRouting
) geçirilmesi, kümenin giden genel IP adreslerini değiştirir.
Yetkili IP aralıkları etkinse, yeni giden IP aralığının yetkili IP aralığına eklendiğinden emin olun.
Uyarı
Bir kümedeki giden türün değiştirilmesi ağ bağlantısında kesintiye neden olur ve kümenin çıkış IP adresinin değişmesine neden olur. Kümeden gelen trafiği kısıtlamak için yapılandırılmış güvenlik duvarı kuralları varsa, bunları yeni çıkış IP adresiyle eşleşecek şekilde güncelleştirmeniz gerekir.
Kümeyi yeni bir giden türü kullanacak şekilde güncelleştirme
Not
Giden türü geçirmek için Azure CLI' nın = 2.56 sürümünü >kullanmanız gerekir. Azure CLI'nın en son sürümüne güncelleştirmek için kullanın az upgrade
.
- komutunu kullanarak kümenizin giden yapılandırmasını güncelleştirin
az aks update
.
Kümeyi loadbalancer'dan managedNATGateway'e güncelleştirme
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>
ManagedNATGateway'den loadbalancer'a kümeyi güncelleştirme
az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >
Uyarı
Önceki giden yapılandırmalarda zaten kullanımda olan bir IP adresini yeniden kullanmayın.
Kümeyi managedNATGateway'den userDefinedRouting'e güncelleştirme
- Rota
0.0.0.0/0
varsayılan yol tablosu ekleyin. Bkz. Azure Kubernetes Service'te (AKS) kullanıcı tanımlı yönlendirme tablosuyla küme çıkışını özelleştirme
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting
BYO sanal ağ senaryosunda kümeyi loadbalancer'dan userAssignedNATGateway'e güncelleştirme
- Nat ağ geçidini iş yükünün ilişkilendirildiği alt ağ ile ilişkilendirin. Yönetilen veya kullanıcı tarafından atanan NAT ağ geçidi oluşturma bölümüne bakın
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway
Sonraki adımlar
Azure Kubernetes Service