Anpassen des ausgehenden Clusters mit ausgehenden Typen in Azure Kubernetes Service (AKS)

Sie können den von einem AKS-Cluster ausgehenden Datenverkehr an verschiedene Szenarien anpassen. AKS erstellt standardmäßig eine Load Balancer Standard-Instanz für die Einrichtung und Verwendung für ausgehenden Datenverkehr bereit. Das Standardsetup erfüllt aber möglicherweise nicht alle Anforderungen in allen Szenarien, wenn öffentliche IP-Adressen nicht zulässig oder zusätzliche Hops für den ausgehenden Datenverkehr erforderlich sind.

In diesem Artikel werden die verschiedenen Arten der ausgehenden Konnektivität behandelt, die in AKS-Clustern verfügbar sind.

Hinweis

Nach der Clustererstellung können Sie jetzt den outboundType aktualisieren.

Wichtig

In nicht privaten Clustern wird der API-Serverclusterdatenverkehr über den ausgehenden Clustertyp weitergeleitet und verarbeitet. Um zu verhindern, dass API-Serverdatenverkehr als öffentlicher Datenverkehr verarbeitet wird, sollten Sie einen privaten Clusterverwenden oder das Feature API-Server-VNET-Integration ausprobieren.

Einschränkungen

• Für outboundType sind AKS-Cluster erforderlich, bei denen vm-set-type als VirtualMachineScaleSets und load-balancer-sku als Standard festgelegt ist.

Ausgehende Typen in AKS

Sie können einen AKS-Cluster mit den folgenden ausgehenden Typen konfigurieren: Lastenausgleich, NAT-Gateway oder benutzerdefiniertes Routing. Der ausgehende Typ betrifft nur den ausgehenden Datenverkehr Ihres Clusters. Weitere Informationen finden Sie unter Einrichten von Eingangscontrollern.

Ausgehender Typ von loadBalancer

Ein Lastenausgleich wird für ausgehenden Datenverkehr über eine von AKS zugewiesene öffentliche IP-Adresse verwendet. Ein ausgehender Typ von loadBalancer unterstützt Kubernetes-Dienste vom Typ loadBalancer, die ausgehenden Datenverkehr von der Lastenausgleichsressource erwarten, der vom AKS-Ressourcenanbieter erstellt wurde.

Wenn loadBalancer festgelegt ist, führt AKS automatisch die folgende Konfiguration durch:

• Für ausgehenden Datenverkehr vom Cluster wird eine öffentliche IP-Adresse erstellt.
• Die öffentliche IP-Adresse ist der Lastenausgleichsressource zugewiesen.
• Für Agent-Knoten im Cluster werden Back-End-Pools für den Lastenausgleich eingerichtet.

Weitere Informationen finden Sie unter Verwenden eines standardmäßigen Lastenausgleichs in AKS.

Ausgehender Typ von managedNatGateway oder userAssignedNatGateway

Wenn managedNatGateway oder userAssignedNatGateway für outboundType ausgewählt sind, basiert AKS für ausgehenden Cluster auf NAT Gateway für Azure-Netzwerke.

• Wählen Sie die Option managedNatGateway aus, wenn verwaltete virtuelle Netzwerke verwendet werden. AKS stellt ein NAT-Gateway bereit und fügt es an das Clustersubnetz an.
• Wählen Sie diese Option userAssignedNatGateway für die Verwendung eines eigenen virtuellen Netzwerks aus. Diese Option erfordert, dass Sie vor der Clustererstellung ein NAT-Gateway erstellt haben.

Weitere Informationen finden Sie unter Verwenden des NAT Gateways mit AKS.

Ausgehender Typ von userDefinedRouting

Hinweis

Der userDefinedRouting ausgehende Typ ist ein erweitertes Netzwerkszenario und erfordert eine ordnungsgemäße Netzwerkkonfiguration.

Wenn userDefinedRouting festgelegt ist, konfiguriert AKS ausgehende Datenpfade nicht automatisch. Das Setup für ausgehenden Datenverkehr wird von Ihnen abgeschlossen.

Sie müssen den AKS-Cluster in einem vorhandenen virtuellen Netzwerk mit einem konfigurierten Subnetz bereitstellen. Da Sie keine Load Balancer Standard-Architektur verwenden, müssen Sie expliziten ausgehenden Datenverkehr herstellen. Diese Architektur erfordert das explizite Senden von ausgehendem Datenverkehr an eine Appliance wie eine Firewall, ein Gateway oder einen Proxy oder das Zulassen der NAT über eine öffentliche IP-Adresse, die dem Load Balancer Standard oder der Appliance zugewiesen ist.

Weitere Informationen finden Sie unter Konfigurieren des ausgehenden Clusters über benutzerdefiniertes Routing.

Ausgehender Typ none (Vorschau)

Wichtig

Der ausgehende Typ none ist nur mit einem netzwerkisolierten Cluster verfügbar und erfordert eine sorgfältige Planung, um sicherzustellen, dass der Cluster erwartungsgemäß und ohne unbeabsichtigte Abhängigkeiten von externen Diensten funktioniert. Informationen zu vollständig isolierten Clustern finden Sie unter Überlegungen zu isolierten Clustern.

Wenn none festgelegt ist, konfiguriert AKS ausgehende Datenpfade nicht automatisch. Diese Option ähnelt userDefinedRouting, erfordert jedoch keine Standardroute als Teil der Überprüfung.

Der ausgehende Typ none wird sowohl in BYO-Szenarien (Bring Your Own) als auch in Szenarien mit verwalteten VNets unterstützt. Sie müssen jedoch sicherstellen, dass der AKS-Cluster in einer Netzwerkumgebung bereitgestellt wird, in der explizite Ausgangspunkte bei Bedarf definiert werden. Bei BYO-VNet-Szenarien muss der Cluster in einem vorhandenen virtuellen Netzwerk mit einem bereits konfigurierten Subnetz bereitgestellt werden. Da AKS keinen Standardlastenausgleich und keine Ausgangsinfrastruktur erstellt, müssen Sie bei Bedarf explizite Ausgangspfade einrichten. Zu Ausgangsoptionen gehört das Routing des Datenverkehrs an eine Firewall, einen Proxy, ein Gateway oder andere benutzerdefinierte Netzwerkkonfigurationen.

Ausgehender Typ block (Vorschau)

Wichtig

Der ausgehende Typ block ist nur mit einem netzwerkisolierten Cluster verfügbar und erfordert eine sorgfältige Planung, um sicherzustellen, dass keine unbeabsichtigten Netzwerkabhängigkeiten vorhanden sind. Informationen zu vollständig isolierten Clustern finden Sie unter Überlegungen zu isolierten Clustern.

Wenn block festgelegt ist, konfiguriert AKS Netzwerkregeln so, dass der gesamte ausgehende Datenverkehr aus dem Cluster aktiv blockiert wird. Diese Option ist nützlich für hochsichere Umgebungen, in denen ausgehende Verbindungen eingeschränkt werden müssen.

Folgendes ist bei Verwendung von block zu beachten:

• AKS stellt sicher, dass kein öffentlicher Internetdatenverkehr den Cluster über NSG-Regeln (Netzwerksicherheitsgruppen) verlassen kann. Der VNet-Datenverkehr ist nicht betroffen.
• Sie müssen explizit sämtlichen erforderlichen ausgehenden Datenverkehr über zusätzliche Netzwerkkonfigurationen zulassen.

Die Option block bietet eine zusätzliche Netzwerkisolationsebene, erfordert jedoch eine sorgfältige Planung, um Probleme mit Workloads oder Abhängigkeiten zu vermeiden.

Aktualisieren von outboundType nach der Clustererstellung

Wenn Sie den ausgehenden Typ nach der Clustererstellung ändern, werden Ressourcen nach Bedarf bereitgestellt oder entfernt, um für den Cluster die neue Konfiguration für den ausgehenden Datenverkehr zu verwenden.

Die folgenden Tabellen zeigen die unterstützten Migrationspfade zwischen ausgehenden Typen für verwaltete und virtuelle BYO-Netzwerke.

Unterstützte Migrationspfade für verwaltetes VNet

Jede Zeile zeigt an, ob der ausgehende Typ zu den oben aufgelisteten Typen migriert werden kann. „Unterstützt“ bedeutet, dass die Migration möglich ist, während „Nicht unterstützt“ oder „n/v“ bedeutet, dass dies nicht der Fall ist.

Von/Zu	loadBalancer	managedNATGateway	userAssignedNATGateway	userDefinedRouting	none	block
loadBalancer	N/V	Unterstützt	Nicht unterstützt	Nicht unterstützt	Unterstützt	Unterstützt
managedNATGateway	Unterstützt	–	Nicht unterstützt	Nicht unterstützt	Unterstützt	Unterstützt
userAssignedNATGateway	Nicht unterstützt	Nicht unterstützt	–	Nicht unterstützt	Nicht unterstützt	Nicht unterstützt
none	Unterstützt	Unterstützt	Nicht unterstützt	Nicht unterstützt	–	Unterstützt
block	Unterstützt	Unterstützt	Nicht unterstützt	Nicht unterstützt	Unterstützt	–

Unterstützte Migrationspfade für BYO-VNet

Von/Zu	loadBalancer	managedNATGateway	userAssignedNATGateway	userDefinedRouting	none	block
loadBalancer	N/V	Nicht unterstützt	Unterstützt	Unterstützt	Unterstützt	Nicht unterstützt
managedNATGateway	Nicht unterstützt	–	Nicht unterstützt	Nicht unterstützt	Nicht unterstützt	Nicht unterstützt
userAssignedNATGateway	Unterstützt	Nicht unterstützt	–	Unterstützt	Unterstützt	Nicht unterstützt
userDefinedRouting	Unterstützt	Nicht unterstützt	Unterstützt	N/V	Unterstützt	Nicht unterstützt
none	Unterstützt	Nicht unterstützt	Unterstützt	Unterstützt	–	Nicht unterstützt

Die Migration wird nur zwischen loadBalancer, managedNATGateway (bei Verwendung eines verwalteten virtuellen Netzwerks), userAssignedNATGateway und userDefinedRouting (bei Verwendung eines benutzerdefinierten virtuellen Netzwerks) unterstützt.

Warnung

Durch die Migration des ausgehenden Typs zu benutzerseitig verwalteten Typen (userAssignedNATGateway oder userDefinedRouting) werden die ausgehenden öffentlichen IP-Adressen des Clusters geändert. Wenn Autorisierte IP-Adressbereiche aktiviert ist, stellen Sie sicher, dass ein neuer ausgehender IP-Adressbereich an den autorisierten IP-Adressbereich angefügt wird.

Warnung

Das Ändern des ausgehenden Typs in einem Cluster führt zu einer Unterbrechung der Netzwerkkonnektivität und zu einer Änderung der ausgehenden IP-Adresse des Clusters. Wenn Firewallregeln so konfiguriert sind, dass der Datenverkehr aus dem Cluster eingeschränkt wird, müssen Sie sie aktualisieren, damit sie mit der neuen ausgehenden IP-Adresse übereinstimmen.

Aktualisieren des Clusters für die Verwendung eines neuen ausgehenden Typs

Hinweis

Sie müssen eine Version >= 2,56 von Azure CLI verwenden, um den ausgehenden Typ zu migrieren. Verwenden Sie az upgrade, um auf die neueste Version von Azure CLI zu aktualisieren.

• Aktualisieren Sie die ausgehende Konfiguration Ihres Clusters mithilfe des Befehls az aks update.

Aktualisieren des Clusters von loadbalancer auf managedNATGateway

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>

Aktualisieren des Clusters von managedNATGateway auf loadbalancer

az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >

Warnung

Verwenden Sie keine IP-Adresse, die bereits in früheren ausgehenden Konfigurationen verwendet wird.

Aktualisieren des Clusters von managedNATGateway auf userDefinedRouting

• Fügen Sie die Route 0.0.0.0/0 der Standardroutingtabelle hinzu. Weitere Informationen finden Sie unter Anpassen des ausgehenden Clusterdatenverkehrs mit einer benutzerdefinierten Routingtabelle in Azure Kubernetes Service (AKS).

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting

Aktualisieren des Clusters von loadbalancer auf userAssignedNATGateway im BYO-VNet-Szenario

• Ordnen Sie das NAT Gateway dem Subnetz zu, dem die Workload zugeordnet ist. Weitere Informationen finden Sie unter Erstellen eines verwalteten oder benutzerseitig zugewiesenen NAT-Gateways für Ihren AKS-Cluster (Azure Kubernetes Service).

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway

Nächste Schritte

• Konfigurieren des Standardlastenausgleichs in einem AKS-Cluster
• Konfigurieren des NAT Gateways in einem AKS-Cluster
• Konfigurieren des benutzerdefinierten Routings in einem AKS-Cluster
• NAT Gateway-Dokumentation
• Übersicht über die UDR für Azure-Netzwerke
• Verwalten von Routingtabellen