Aracılığıyla paylaş


Azure Kubernetes Service'te (AKS) giden türleriyle küme çıkışını özelleştirme

Aks kümesinin çıkışını belirli senaryolara uyacak şekilde özelleştirebilirsiniz. Varsayılan olarak AKS, çıkış için ayarlanacak ve kullanılacak bir Standart Load Balancer oluşturur. Ancak, genel IP'lere izin verilmiyorsa veya çıkış için ek atlamalar gerekiyorsa, varsayılan kurulum tüm senaryoların gereksinimlerini karşılamayabilir.

Bu makale AKS kümelerinde kullanılabilen çeşitli giden bağlantı türlerini kapsar.

Not

Artık küme oluşturulduktan sonra öğesini outboundType güncelleştirebilirsiniz.

Önemli

Ayrıcalıksız kümelerde API sunucusu kümesi trafiği, kümeler giden türü aracılığıyla yönlendirilir ve işlenir. API sunucusu trafiğinin genel trafik olarak işlenmesini önlemek için özel bir küme kullanmayı göz önünde bulundurun veya API Server Sanal Ağ Tümleştirmesi özelliğini gözden geçirin.

Sınırlamalar

  • Ayarı outboundType için ve load-balancer-sku Standardiçeren AKS kümeleri vm-set-type VirtualMachineScaleSets gerekir.

AKS'de giden türler

Aks kümesini aşağıdaki giden türleri kullanarak yapılandırabilirsiniz: yük dengeleyici, NAT ağ geçidi veya kullanıcı tanımlı yönlendirme. Giden türü yalnızca kümenizin çıkış trafiğini etkiler. Daha fazla bilgi için bkz . Giriş denetleyicilerini ayarlama.

Giden türü loadBalancer

Yük dengeleyici, AKS tarafından atanan genel IP üzerinden çıkış için kullanılır. Giden türü loadBalancer , AKS kaynak sağlayıcısı tarafından oluşturulan yük dengeleyiciden çıkış bekleyen türündeki loadBalancerKubernetes hizmetlerini destekler.

Ayarlanırsa loadBalancer AKS aşağıdaki yapılandırmayı otomatik olarak tamamlar:

  • Küme çıkışı için bir genel IP adresi oluşturulur.
  • Genel IP adresi yük dengeleyici kaynağına atanır.
  • Yük dengeleyici için arka uç havuzları, kümedeki aracı düğümleri için ayarlanır.

Giriş I P ve çıkış I P'yi gösteren diyagram, giriş I P'nin trafiği bir yük dengeleyiciye yönlendirdiği ve trafiği bir iç kümeye ve diğer trafiği çıkış I P'ye yönlendirdiği ve trafiği İnternet, M C R, Azure gerekli hizmetler ve A K S Denetim Düzlemi'ne yönlendirdiği gösterir.

Daha fazla bilgi için bkz . AKS'de standart yük dengeleyici kullanma.

veya giden managedNatGateway türü userAssignedNatGateway

veya userAssignedNatGateway için outboundTypeseçilirse managedNatGateway AKS, küme çıkışı için Azure Ağ NAT ağ geçidini kullanır.

  • Yönetilen sanal ağları kullanırken seçin managedNatGateway . AKS bir NAT ağ geçidi sağlar ve bunu küme alt asına ekler.
  • Kendi sanal ağınızı getirin seçeneğini belirleyin userAssignedNatGateway . Bu seçenek, küme oluşturmadan önce oluşturulmuş bir NAT ağ geçidiniz olmasını gerektirir.

Daha fazla bilgi için bkz . AKS ile NAT ağ geçidi kullanma.

Giden türü userDefinedRouting

Not

Giden userDefinedRouting türü gelişmiş bir ağ senaryosudur ve uygun ağ yapılandırması gerektirir.

ayarlanırsa userDefinedRouting AKS çıkış yollarını otomatik olarak yapılandırmaz. Çıkış kurulumu sizin tarafınızdan tamamlanır.

AKS kümesini yapılandırılmış bir alt ağ ile var olan bir sanal ağa dağıtmanız gerekir. Standart yük dengeleyici (SLB) mimarisi kullanmadığınızdan, açık çıkış oluşturmanız gerekir. Bu mimari, çıkış trafiğinin güvenlik duvarı, ağ geçidi, ara sunucu gibi bir alete açıkça gönderilmesini veya NAT'nin standart yük dengeleyiciye veya alete atanmış bir genel IP tarafından gerçekleştirilebilmesini gerektirir.

Daha fazla bilgi için bkz . Kullanıcı tanımlı yönlendirme yoluyla küme çıkışını yapılandırma.

Giden türü none (Önizleme)

Önemli

Giden none türü yalnızca AğDan Yalıtılmış Küme ile kullanılabilir ve dış hizmetlere istenmeyen bağımlılıklar olmadan kümenin beklendiği gibi çalıştığından emin olmak için dikkatli bir planlama gerektirir. Tamamen yalıtılmış kümeler için bkz . yalıtılmış kümeyle ilgili dikkat edilmesi gerekenler.

Ayarlanırsa none AKS çıkış yollarını otomatik olarak yapılandırmaz. Bu seçenek, userDefinedRouting doğrulamanın bir parçası olarak varsayılan bir yol gerektirmeyen bir seçenektir.

Giden none türü hem kendi sanal ağınızı getirin (BYO) sanal ağ senaryolarında hem de yönetilen sanal ağ senaryolarında desteklenir. Ancak AKS kümesinin gerekirse açık çıkış yollarının tanımlandığı bir ağ ortamına dağıtıldığından emin olmanız gerekir. BYO sanal ağ senaryoları için, kümenin zaten yapılandırılmış bir alt ağa sahip mevcut bir sanal ağa dağıtılması gerekir. AKS standart yük dengeleyici veya çıkış altyapısı oluşturmadığından, gerekirse açık çıkış yolları oluşturmanız gerekir. Çıkış seçenekleri, trafiği bir güvenlik duvarına, ara sunucuya, ağ geçidine veya diğer özel ağ yapılandırmalarına yönlendirmeyi içerebilir.

Giden türü block (Önizleme)

Önemli

Giden block türü yalnızca AğDan Yalıtılmış Küme ile kullanılabilir ve istenmeyen ağ bağımlılıklarının mevcut olmadığından emin olmak için dikkatli bir planlama gerektirir. Tamamen yalıtılmış kümeler için bkz . yalıtılmış kümeyle ilgili dikkat edilmesi gerekenler.

Ayarlanırsa block AKS, ağ kurallarını kümeden gelen tüm çıkış trafiğini etkin bir şekilde engelleyecek şekilde yapılandırıyor. Bu seçenek, giden bağlantının kısıtlanması gereken yüksek oranda güvenli ortamlar için kullanışlıdır.

kullanırken block:

  • AKS, ağ güvenlik grubu (NSG) kuralları aracılığıyla genel İnternet trafiğinin kümeden ayrılmamasını sağlar. Sanal ağ trafiği etkilenmez.
  • Ek ağ yapılandırmaları aracılığıyla gerekli çıkış trafiğine açıkça izin vermelisiniz.

seçeneği block başka bir ağ yalıtımı düzeyi sağlar, ancak iş yüklerini veya bağımlılıkları bozmamak için dikkatli bir planlama gerektirir.

Küme oluşturulduktan sonra güncelleştirme outboundType

Küme oluşturulduktan sonra giden türün değiştirilmesi, kümeyi yeni çıkış yapılandırmasına yerleştirmek için kaynakları gerektiği gibi dağıtır veya kaldırır.

Aşağıdaki tablolarda yönetilen ve BYO sanal ağları için giden türler arasındaki desteklenen geçiş yolları gösterilmektedir.

Yönetilen Sanal Ağ için Desteklenen Geçiş Yolları

Her satır, giden türün üst kısımda listelenen türlere geçirilip geçirilemeyeceğini gösterir. "Desteklenir", geçişin mümkün olduğu, "Desteklenmiyor" veya "Yok" ise mümkün olmadığı anlamına gelir.

Kimden|Hedef loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting none block
loadBalancer Yok Desteklenir Desteklenmiyor Desteklenmiyor Desteklenir Desteklenir
managedNATGateway Desteklenir Yok Desteklenmiyor Desteklenmiyor Desteklenir Desteklenir
userAssignedNATGateway Desteklenmiyor Desteklenmiyor Yok Desteklenmiyor Desteklenmiyor Desteklenmiyor
none Desteklenir Desteklenir Desteklenmiyor Desteklenmiyor Yok Desteklenir
block Desteklenir Desteklenir Desteklenmiyor Desteklenmiyor Desteklenir Yok

BYO Sanal Ağı için Desteklenen Geçiş Yolları

Kimden|Hedef loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting none block
loadBalancer Yok Desteklenmiyor Desteklenir Desteklenir Desteklenir Desteklenmiyor
managedNATGateway Desteklenmiyor Yok Desteklenmiyor Desteklenmiyor Desteklenmiyor Desteklenmiyor
userAssignedNATGateway Desteklenir Desteklenmiyor Yok Desteklenir Desteklenir Desteklenmiyor
userDefinedRouting Desteklenir Desteklenmiyor Desteklenir Yok Desteklenir Desteklenmiyor
none Desteklenir Desteklenmiyor Desteklenir Desteklenir Yok Desteklenmiyor

Geçiş yalnızca arasında loadBalancermanagedNATGateway desteklenir (yönetilen sanal ağ kullanılıyorsa) userAssignedNATGateway ve userDefinedRouting (özel bir sanal ağ kullanılıyorsa).

Uyarı

Giden türün kullanıcı tarafından yönetilen türlere (userAssignedNATGateway veya userDefinedRouting) geçirilmesi, kümenin giden genel IP adreslerini değiştirir. Yetkili IP aralıkları etkinse, yeni giden IP aralığının yetkili IP aralığına eklendiğinden emin olun.

Uyarı

Bir kümedeki giden türün değiştirilmesi ağ bağlantısında kesintiye neden olur ve kümenin çıkış IP adresinin değişmesine neden olur. Kümeden gelen trafiği kısıtlamak için yapılandırılmış güvenlik duvarı kuralları varsa, bunları yeni çıkış IP adresiyle eşleşecek şekilde güncelleştirmeniz gerekir.

Kümeyi yeni bir giden türü kullanacak şekilde güncelleştirme

Not

Giden türü geçirmek için Azure CLI' nın = 2.56 sürümünü >kullanmanız gerekir. Azure CLI'nın en son sürümüne güncelleştirmek için kullanın az upgrade .

  • komutunu kullanarak kümenizin giden yapılandırmasını güncelleştirin az aks update .

Kümeyi loadbalancer'dan managedNATGateway'e güncelleştirme

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>

ManagedNATGateway'den loadbalancer'a kümeyi güncelleştirme

az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >

Uyarı

Önceki giden yapılandırmalarda zaten kullanımda olan bir IP adresini yeniden kullanmayın.

Kümeyi managedNATGateway'den userDefinedRouting'e güncelleştirme

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting

BYO sanal ağ senaryosunda kümeyi loadbalancer'dan userAssignedNATGateway'e güncelleştirme

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway

Sonraki adımlar