Aracılığıyla paylaş

Ağdan yalıtılmış Azure Kubernetes Service (AKS) kümesi oluşturma (Önizleme)

  • Makale

Kuruluşların genellikle veri sızdırma risklerini ortadan kaldırmak için kümeden çıkış (giden) ağ trafiğini düzenlemek için katı güvenlik ve uyumluluk gereksinimleri vardır. Azure Kubernetes Service (AKS) kümeleri varsayılan olarak sınırsız giden İnternet erişimine sahiptir. Bu ağ erişimi düzeyi, çalıştırdığınız düğümlerin ve hizmetlerin gerektiğinde dış kaynaklara erişmesine olanak tanır. Çıkış trafiğini kısıtlamak istiyorsanız, küme bakım görevlerinin sürdürülmesi için sınırlı sayıda bağlantı noktası ve adres erişilebilir olmalıdır.

Giden adreslerin güvenliğini sağlamanın bir çözümü, etki alanı adlarına göre giden trafiği denetleyebilen bir güvenlik duvarı cihazı kullanmaktır.

Ağdan yalıtılmış AKS kümesi (önizleme) olan başka bir çözüm, bir küme için giden kısıtlamaların kullanıma hazır olarak ayarlanmasını basitleştirir. Ağdan yalıtılmış AKS kümesi, veri sızdırma veya kümenin genel uç noktalarının yanlışlıkla açığa çıkarılma riskini azaltır.

Önemli

AKS önizleme özellikleri self servis ve kabul temelinde kullanılabilir. Önizlemeler "olduğu gibi" ve "kullanılabilir" olarak sağlanır ve hizmet düzeyi sözleşmelerinin ve sınırlı garantinin dışında tutulur. AKS önizlemeleri, müşteri desteği tarafından kısmen en iyi çaba temelinde ele alınmaktadır. Bu nedenle, bu özellikler üretim kullanımı için tasarlanmamıştır. Daha fazla bilgi için aşağıdaki destek makalelerine bakın:

Başlamadan önce

  • Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

  • CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

    • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

    • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

    • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

  • Bu makale, Azure CLI'nın 2.63.0 veya sonraki bir sürümünü gerektirir. Azure Cloud Shell kullanıyorsanız en son sürüm zaten orada yüklüdür.

  • aks-preview Azure CLI uzantısı sürüm 9.0.0b2 veya üzerini yükleyin.

    • Uzantıya henüz sahip aks-preview değilseniz komutunu kullanarak az extension add yükleyin.

      az extension add --name aks-preview

    • Uzantıya aks-preview zaten sahipseniz, komutunu kullanarak en son sürüme sahip olduğunuzdan emin olmak için uzantıyı güncelleştirin az extension update .

      az extension update --name aks-preview

  • NetworkIsolatedClusterPreview az feature register komutunu kullanarak özellik bayrağını kaydedin.

    az feature register --namespace Microsoft.ContainerService --name NetworkIsolatedClusterPreview

    az feature show komutunu kullanarak kayıt durumunu doğrulayın. Durumun Kayıtlı olarak gösterilmesi birkaç dakika sürer:

    az feature show --namespace Microsoft.ContainerService --name NetworkIsolatedClusterPreview

    Not

    API Server'ın özel erişimi için yapılandırılmış API Server Sanal Ağ Tümleştirmesi ile ağdan yalıtılmış küme oluşturmayı seçerseniz, özellik bayrağını kaydetmek EnableAPIServerVnetIntegrationPreview için yukarıdaki adımları da yinelemeniz gerekir. Durum Kayıtlı olarak yansıtıldığında az provider register komutunu kullanarak ve Microsoft.ContainerRegistry kaynak sağlayıcılarının Microsoft.ContainerService kaydını yenileyin:

     az provider register --namespace Microsoft.ContainerService
 az provider register --namespace Microsoft.ContainerRegistry

  • Kendi Azure Container Registry'nizi getirin (BYO) Azure Container Registry (ACR) seçeneğini kullanıyorsanız, ACR'nin aşağıdaki gereksinimleri karşıladığından emin olmanız gerekir:

  • (İsteğe bağlı) Giden ağ erişimi gerektiren isteğe bağlı AKS özelliğini veya eklentisini kullanmak istiyorsanız, bu belge her özellik için giden gereksinimleri içerir. Ayrıca bu belge, kümenin sanal ağı içinden güvenli bağlantı için özel bağlantı tümleştirmesini destekleyen özellikleri veya eklentileri numaralandırır. Bu özelliklerden herhangi biri için özel bağlantı tümleştirmesi kullanılamıyorsa, küme kullanıcı tanımlı yönlendirme tablosu ve bu özellik için gereken ağ kuralları ve uygulama kuralları temelinde bir Azure Güvenlik Duvarı ile ayarlanabilir.

Not

Aşağıdaki AKS kümesi uzantıları henüz ağdan yalıtılmış kümelerde desteklenmemektedir:

AKS tarafından yönetilen ACR ile ağdan yalıtılmış küme dağıtma

AKS, bu seçenekte bir ACR kaynağı oluşturur, yönetir ve mutabık tutar. Herhangi bir izin atamanız veya ACR'yi yönetmeniz gerekmez. AKS, ağdan yalıtılmış kümede kullanılan önbellek kurallarını, özel bağlantıyı ve özel uç noktayı yönetir.

Ağdan yalıtılmış küme oluşturma

Ağdan yalıtılmış aks kümesi oluştururken, aşağıdaki özel küme modlarından birini seçebilirsiniz: Özel bağlantı veya API Server Sanal Ağ Tümleştirmesi.

Seçtiğiniz moddan bağımsız olarak ve --outbound-type parametrelerini ayarlarsınız--bootstrap-artifact-source.

--bootstrap-artifact-source , sırasıyla görüntü çekme işlemleri için doğrudan MCR (AĞ yalıtılmış DEĞİl) ve özel ACR (ağ yalıtılmış) kullanılarak ayarlanabilir Direct veya Cache buna karşılık gelebilir.

--outbound-type parameter veya blockolarak none ayarlanabilir. Giden türü olarak ayarlanırsa noneAKS, küme için giden bağlantı ayarlamaz ve kullanıcının bunları kendi başına yapılandırmasına izin verir. Giden türü engelle olarak ayarlandıysa, tüm giden bağlantılar engellenir.

az aks create komutunu , --enable-private-clusterve --outbound-type parametreleriyle --bootstrap-artifact-sourceçalıştırarak özel bir bağlantı tabanlı ağ yalıtılmış AKS kümesi oluşturun.

az aks create --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME}   --kubernetes-version 1.30.3 --bootstrap-artifact-source Cache --outbound-type none  --network-plugin azure --enable-private-cluster

API Server sanal ağ tümleştirmesi

az aks create komutunu , --enable-private-cluster--enable-apiserver-vnet-integration ve --outbound-type parametreleriyle çalıştırarak API Server Sanal Ağ Tümleştirmesi ile --bootstrap-artifact-sourceyapılandırılmış bir ağ yalıtılmış AKS kümesi oluşturun.

az aks create --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --kubernetes-version 1.30.3 --bootstrap-artifact-source Cache --outbound-type none --network-plugin azure --enable-private-cluster --enable-apiserver-vnet-integration

Mevcut AKS kümesini ağ yalıtılmış türüne güncelleştirme

Yeni bir küme oluşturmak yerine var olan bir AKS kümesinde ağ yalıtımını etkinleştirmeyi tercih ediyorsanız az aks update komutunu kullanın.

az aks update --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --bootstrap-artifact-source Cache --outbound-type none

Özellik etkinleştirildikten sonra, yeni eklenen tüm düğümler çıkış olmadan başarıyla önyüklenebilir. Mevcut bir kümede ağ yalıtımını etkinleştirdiğinizde, tüm mevcut düğümleri el ile yeniden oluşturmanız gerektiğini unutmayın.

az aks upgrade --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --node-image-only

Önemli

Mevcut bir küme için ağ yalıtım modunu etkinleştirdikten sonra kümenin düğüm havuzlarını yeniden oluşturmayı unutmayın. Aksi takdirde, özellik küme için geçerli olmaz.

Kendi ACR'nizi getirin ile ağdan yalıtılmış küme dağıtma

AKS, kendi (BYO) ACR'nizi getirmeyi destekler. KCG ACR senaryoyu desteklemek için AKS kümesini oluşturmadan önce bir ACR özel uç noktası ve özel DNS bölgesi yapılandırmanız gerekir.

Aşağıdaki adımlarda bu kaynakların nasıl hazırlayabileceğiniz gösterilmektedir:

  • AKS ve ACR için özel sanal ağ ve alt ağlar.
  • ACR, ACR önbellek kuralı, özel uç nokta ve özel DNS bölgesi.
  • Özel denetim düzlemi kimliği ve kubelet kimliği.

1. Adım: Sanal ağı ve alt ağları oluşturma

AKS alt ağı için varsayılan giden erişim false olmalıdır.

az group create --name ${RESOURCE_GROUP} --location ${LOCATION}

az network vnet create  --resource-group ${RESOURCE_GROUP} --name ${VNET_NAME} --address-prefixes 192.168.0.0/16

az network vnet subnet create --name ${AKS_SUBNET_NAME} --vnet-name ${VNET_NAME} --resource-group ${RESOURCE_GROUP} --address-prefixes 192.168.1.0/24 --default-outbound-access false

SUBNET_ID=$(az network vnet subnet show --name ${AKS_SUBNET_NAME} --vnet-name ${VNET_NAME} --resource-group ${RESOURCE_GROUP} --query 'id' --output tsv)

az network vnet subnet create --name ${ACR_SUBNET_NAME} --vnet-name ${VNET_NAME} --resource-group ${RESOURCE_GROUP} --address-prefixes 192.168.2.0/24 --private-endpoint-network-policies Disabled

2. Adım: ACR oluşturma ve yapıt önbelleğini etkinleştirme

  1. Özel bağlantı ve anonim çekme erişimi ile ACR'yi oluşturun.

    az acr create --resource-group ${RESOURCE_GROUP} --name ${REGISTRY_NAME} --sku Premium --public-network-enabled false

az acr update --resource-group ${RESOURCE_GROUP} --name ${REGISTRY_NAME} --anonymous-pull-enabled true

REGISTRY_ID=$(az acr show --name ${REGISTRY_NAME} -g ${RESOURCE_GROUP}  --query 'id' --output tsv)

  2. Kullanıcıların yeni ACR'de MCR kapsayıcı görüntülerini önbelleğe almalarına izin vermek için bir ACR önbellek kuralı oluşturun.

    az acr cache create -n acr-cache-rule -r ${REGISTRY_NAME} -g ${RESOURCE_GROUP} --source-repo "mcr.microsoft.com/*" --target-repo "*"

3. Adım: ACR için özel uç nokta oluşturma

az network private-endpoint create --name myPrivateEndpoint --resource-group ${RESOURCE_GROUP} --vnet-name ${VNET_NAME} --subnet ${ACR_SUBNET_NAME} --private-connection-resource-id ${REGISTRY_ID} --group-id registry --connection-name myConnection

NETWORK_INTERFACE_ID=$(az network private-endpoint show --name myPrivateEndpoint --resource-group ${RESOURCE_GROUP} --query 'networkInterfaces[0].id' --output tsv)

REGISTRY_PRIVATE_IP=$(az network nic show --ids ${NETWORK_INTERFACE_ID} --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry'].privateIPAddress" --output tsv)

DATA_ENDPOINT_PRIVATE_IP=$(az network nic show --ids ${NETWORK_INTERFACE_ID} --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$LOCATION'].privateIPAddress" --output tsv)

4. Adım: Özel DNS bölgesi oluşturma ve kayıt ekleme

adlı privatelink.azurecr.ioözel bir DNS bölgesi oluşturun. Kayıt defteri REST uç noktası ve kayıt defteri veri uç {REGISTRY_NAME}.azurecr.ionoktası {REGISTRY_NAME}.{REGISTRY_LOCATION}.data.azurecr.ioiçin kayıtları ekleyin.

az network private-dns zone create --resource-group ${RESOURCE_GROUP} --name "privatelink.azurecr.io"

az network private-dns link vnet create --resource-group ${RESOURCE_GROUP} --zone-name "privatelink.azurecr.io" --name MyDNSLink --virtual-network ${VNET_NAME} --registration-enabled false

az network private-dns record-set a create --name ${REGISTRY_NAME} --zone-name "privatelink.azurecr.io" --resource-group ${RESOURCE_GROUP}

az network private-dns record-set a add-record --record-set-name ${REGISTRY_NAME} --zone-name "privatelink.azurecr.io" --resource-group ${RESOURCE_GROUP} --ipv4-address ${REGISTRY_PRIVATE_IP}

az network private-dns record-set a create --name ${REGISTRY_NAME}.${LOCATION}.data --zone-name "privatelink.azurecr.io" --resource-group ${RESOURCE_GROUP}

az network private-dns record-set a add-record --record-set-name ${REGISTRY_NAME}.${LOCATION}.data --zone-name "privatelink.azurecr.io" --resource-group ${RESOURCE_GROUP} --ipv4-address ${DATA_ENDPOINT_PRIVATE_IP}

5. Adım: Denetim düzlemi ve kubelet kimlikleri oluşturma

Denetim düzlemi kimliği

az identity create --name ${CLUSTER_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP}

CLUSTER_IDENTITY_RESOURCE_ID=$(az identity show --name ${CLUSTER_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP} --query 'id' -o tsv)

CLUSTER_IDENTITY_PRINCIPAL_ID=$(az identity show --name ${CLUSTER_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP} --query 'principalId' -o tsv)

Kubelet kimliği

az identity create --name ${KUBELET_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP}

KUBELET_IDENTITY_RESOURCE_ID=$(az identity show --name ${KUBELET_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP} --query 'id' -o tsv)

KUBELET_IDENTITY_PRINCIPAL_ID=$(az identity show --name ${KUBELET_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP} --query 'principalId' -o tsv)

Kubelet kimliği için AcrPull izinleri verme

az role assignment create --role AcrPull --scope ${REGISTRY_ID} --assignee-object-id ${KUBELET_IDENTITY_PRINCIPAL_ID} --assignee-principal-type ServicePrincipal

Bu kaynakları yapılandırdıktan sonra BYO ACR ile ağdan yalıtılmış AKS kümesini oluşturmaya devam edebilirsiniz.

6. Adım: BYO ACR kullanarak ağdan yalıtılmış küme oluşturma

Ağdan yalıtılmış aks kümesi oluştururken, aşağıdaki özel küme modlarından birini seçebilirsiniz: Özel bağlantı veya API Server Sanal Ağ Tümleştirmesi.

Seçtiğiniz moddan bağımsız olarak ve --outbound-type parametrelerini ayarlarsınız--bootstrap-artifact-source.

--bootstrap-artifact-source , sırasıyla görüntü çekme işlemleri için doğrudan MCR (AĞ yalıtılmış DEĞİl) ve özel ACR (ağ yalıtılmış) kullanılarak ayarlanabilir Direct veya Cache buna karşılık gelebilir.

--outbound-type parameter veya blockolarak none ayarlanabilir. Giden türü olarak ayarlanırsa noneAKS, küme için giden bağlantı ayarlamaz ve kullanıcının bunları kendi başına yapılandırmasına izin verir. Giden türü engelle olarak ayarlandıysa, tüm giden bağlantılar engellenir.

Gerekli parametrelerle az aks create komutunu çalıştırarak ACR'nize erişen özel bir bağlantı tabanlı ağ yalıtılmış kümesi oluşturun.

az aks create --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --kubernetes-version 1.30.3 --vnet-subnet-id ${SUBNET_ID} --assign-identity ${CLUSTER_IDENTITY_RESOURCE_ID} --assign-kubelet-identity ${KUBELET_IDENTITY_RESOURCE_ID} --bootstrap-artifact-source Cache --bootstrap-container-registry-resource-id ${REGISTRY_ID} --outbound-type none --network-plugin azure --enable-private-cluster

API Server sanal ağ tümleştirmesi

API sunucusu sanal ağ tümleştirmesi ile ağdan yalıtılmış bir küme için önce bir alt ağ oluşturun ve aşağıdaki komutlarla doğru rolü atayın:

az network vnet subnet create --name ${APISERVER_SUBNET_NAME} --vnet-name ${VNET_NAME} --resource-group ${RESOURCE_GROUP} --address-prefixes 192.168.3.0/24

export APISERVER_SUBNET_ID=$(az network vnet subnet show --resource-group ${RESOURCE_GROUP} --vnet-name ${VNET_NAME} --name ${APISERVER_SUBNET_NAME} --query id -o tsv)

az role assignment create --scope ${APISERVER_SUBNET_ID} --role "Network Contributor" --assignee-object-id ${CLUSTER_IDENTITY_PRINCIPAL_ID} --assignee-principal-type ServicePrincipal

API Server Sanal Ağ Tümleştirmesi ile yapılandırılmış bir ağ yalıtılmış AKS kümesi oluşturun ve gerekli parametrelerle az aks create komutunu çalıştırarak ACR'nize erişin.

az aks create --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --kubernetes-version 1.30.3 --vnet-subnet-id ${SUBNET_ID} --assign-identity ${CLUSTER_IDENTITY_RESOURCE_ID} --assign-kubelet-identity ${KUBELET_IDENTITY_RESOURCE_ID} --bootstrap-artifact-source Cache --bootstrap-container-registry-resource-id ${REGISTRY_ID} --outbound-type none --network-plugin azure --enable-apiserver-vnet-integration --apiserver-subnet-id ${APISERVER_SUBNET_ID}

Mevcut AKS kümesini güncelleştirme

Yeni bir küme oluşturmak yerine var olan bir AKS kümesinde ağ yalıtımını etkinleştirmeyi tercih ediyorsanız az aks update komutunu kullanın.

BYO ACR için özel uç nokta ve özel DNS bölgesi oluştururken, mevcut AKS kümesinin mevcut sanal ağını ve alt ağlarını kullanın. Kubelet kimliğine AcrPull iznini atadığınızda, mevcut AKS kümesinin mevcut kubelet kimliğini kullanın.

Mevcut aks kümesinde ağdan yalıtılmış özelliğini etkinleştirmek için aşağıdaki komutu kullanın:

az aks update --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --bootstrap-artifact-source Cache --bootstrap-container-registry-resource-id ${REGISTRY_ID} --outbound-type none

Ağ yalıtılmış küme özelliği etkinleştirildikten sonra, yeni eklenen düğüm havuzundaki düğümler çıkış olmadan başarıyla önyüklenebilir. Yeni ölçeklendirilmiş düğümün başarıyla önyüklenebilmesi için mevcut düğüm havuzlarını yeniden oluşturmanız gerekir. Mevcut bir kümede özelliği etkinleştirdiğinizde, mevcut tüm düğümleri el ile yeniden görselleştirmeniz gerekir.

az aks upgrade --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --node-image-only

Önemli

Ağdan yalıtılmış küme özelliğini etkinleştirdikten sonra kümenin düğüm havuzlarını yeniden oluşturmayı unutmayın. Aksi takdirde, özellik küme için geçerli olmaz.

ACR kimliğinizi güncelleştirme

Ağdan yalıtılmış aks kümesiyle kullanılan özel ACR'yi güncelleştirmek mümkündür. ACR kaynak kimliğini tanımlamak için komutunu kullanın az aks show .

az aks show --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME}

ACR kimliğini güncelleştirme işlemi, komutu ve --bootstrap-container-registry-resource-id parametreleriyle --bootstrap-artifact-source çalıştırılarak az aks update gerçekleştirilir.

az aks update --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --bootstrap-artifact-source Cache --bootstrap-container-registry-resource-id <New BYO ACR resource ID>

Mevcut bir kümede ACR Kimliğini güncelleştirdiğinizde, tüm mevcut düğümleri el ile yeniden görselleştirmeniz gerekir.

az aks upgrade --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --node-image-only

Önemli

Ağdan yalıtılmış küme özelliğini etkinleştirdikten sonra kümenin düğüm havuzlarını yeniden oluşturmayı unutmayın. Aksi takdirde, özellik küme için geçerli olmaz.

Ağdan yalıtılmış kümenin etkinleştirildiğini doğrulama

Ağdan yalıtılmış küme özelliğinin etkinleştirildiğini doğrulamak için 'az aks show komutunu kullanın

az aks show --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME}

Aşağıdaki çıkış, özelliğin (yok veya engellendi) ve artifactSource özelliğin (Önbelleğe alınmış) değerlerine bağlı olarak özelliğin outboundType etkinleştirildiğini gösterir.

"kubernetesVersion": "1.30.3",
"name": "myAKSCluster"
"type": "Microsoft.ContainerService/ManagedClusters"
"properties": {
  ...
  "networkProfile": {
    ...
    "outboundType": "none",
    ...
  },
  ...
  "bootstrapProfile": {
    "artifactSource": "Cache",
    "containerRegistryId": "/subscriptions/my-subscription-id/my-node-resource-group-name/providers/Microsoft.ContainerRegistry/registries/my-registry-name"
  },
  ...
}

Ağdan yalıtılmış kümeyi devre dışı bırakma

komutunu ve --outbound-type parametreleriyle --bootstrap-artifact-source çalıştırarak ağdan yalıtılmış az aks update küme özelliğini devre dışı bırakın.

az aks update --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --bootstrap-artifact-source Direct --outbound-type LoadBalancer

Mevcut bir kümede özelliği devre dışı bırakırsanız, tüm mevcut düğümleri el ile yeniden görselleştirmeniz gerekir.

az aks upgrade --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --node-image-only

Önemli

Ağdan yalıtılmış küme özelliğini devre dışı bırakdıktan sonra kümenin düğüm havuzlarını yeniden görselleştirmeyi unutmayın. Aksi takdirde, özellik küme için geçerli olmaz.

Sonraki adımlar

Bu makalede, küme için çıkış trafiğini kısıtlamak istiyorsanız izin vermek istediğiniz bağlantı noktalarını ve adresleri öğrendiniz.

Azure Güvenlik Duvarı kullanarak giden kısıtlama yapılandırmasını ayarlamak istiyorsanız AKS'de Azure Güvenlik Duvarı kullanarak çıkış trafiğini denetleme adresini ziyaret edin.

Podların kendi aralarında iletişim kurma şeklini ve küme içindeki Doğu-Batı trafik kısıtlamalarını kısıtlamak istiyorsanız bkz . AKS'de ağ ilkelerini kullanarak podlar arasındaki trafiğin güvenliğini sağlama.