Erstellen eines netzwerkisolierten Azure Kubernetes Service (AKS)-Clusters (Vorschau)
Organisationen verfügen in der Regel über strenge Sicherheits- und Complianceanforderungen, um den von einem Cluster ausgehenden (Egress-) Netzwerkdatenverkehr zu regulieren, um das Risiko der Datenexfiltration auszuschließen. Standardmäßig haben Azure Kubernetes Service (AKS)-Cluster uneingeschränkten ausgehenden Internetzugriff. Diese Ebene des Netzwerkzugriffs ermöglicht, dass ausgeführte Knoten und Dienste nach Bedarf auf externe Ressourcen zugreifen können. Wenn Sie den ausgehenden Datenverkehr einschränken möchten, muss eine begrenzte Anzahl von Ports und Adressen zugänglich sein, um fehlerfreie Clusterwartungsaufgaben verwalten zu können.
Eine Lösung zum Schutz ausgehender Adressen besteht in der Verwendung eines Firewallgeräts, das den ausgehenden Datenverkehr auf der Grundlage von Domänennamen kontrolliert.
Eine andere Lösung, ein vom Netzwerk isolierter AKS-Cluster (Vorschau), vereinfacht das Einrichten ausgehender Einschränkungen für einen Cluster, da keine zusätzliche Konfiguration erforderlich. Ein vom Netzwerk isolierter AKS-Cluster reduziert das Risiko einer Datenexfiltration oder unbeabsichtigten Offenlegung der öffentlichen Endpunkte des Clusters.
Wichtig
AKS-Previewfunktionen stehen gemäß dem Self-Service- und Aktivierungsprinzip zur Verfügung. Vorschauversionen werden „wie besehen“ und „wie verfügbar“ bereitgestellt und sind von Service Level Agreements und der Herstellergarantie ausgeschlossen. AKS-Vorschauversionen werden teilweise vom Kundensupport auf Grundlage der bestmöglichen Leistung abgedeckt. Daher sind diese Funktionen nicht für die Verwendung in der Produktion vorgesehen. Weitere Informationen finden Sie in den folgenden Supportartikeln:
Voraussetzungen
- Lesen Sie die konzeptionelle Übersicht über dieses Feature, die eine Erläuterung der Funktionsweise von netzwerkisolierten Clustern enthält. Der Übersichtsartikel:
- Erläutert die beiden Zugriffsmethoden: AKS-verwalteter ACR oder BYO ACR, die in diesem Artikel zur Auswahl stehen.
- Beschreibt die aktuellen Einschränkungen.
Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.
Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.
Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.
Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.
Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.
Für diesen Artikel ist mindestens Version 2.63.0 der Azure CLI erforderlich. Bei Verwendung von Azure Cloud Shell ist die aktuelle Version bereits installiert.
Installieren Sie die
aks-preview
Azure-CLI-Erweiterung in Version 9.0.0b2 oder höher.Wenn Sie noch nicht über die Erweiterung
aks-preview
verfügen, installieren Sie sie mit dem Befehlaz extension add
.az extension add --name aks-preview
Wenn Sie bereits über die Erweiterung
aks-preview
verfügen, aktualisieren Sie sie über den Befehlaz extension update
, um sicherzustellen, dass Sie die neueste Version haben.az extension update --name aks-preview
Registrieren Sie das Featureflag
NetworkIsolatedClusterPreview
mithilfe des Befehls az feature register.az feature register --namespace Microsoft.ContainerService --name NetworkIsolatedClusterPreview
Überprüfen Sie den Registrierungsstatus mithilfe des Befehls az feature show. Es dauert einige Minuten, bis der Status Registriert angezeigt wird:
az feature show --namespace Microsoft.ContainerService --name NetworkIsolatedClusterPreview
Hinweis
Wenn Sie einen netzwerkisolierten Cluster mit VNET-Integration des API-Servers erstellen, die für den privaten Zugriff auf den API-Server konfiguriert ist, müssen Sie auch die oben genannten Schritte wiederholen, um das Featureflag
EnableAPIServerVnetIntegrationPreview
zu registrieren. Wenn der Status Registriert lautet, aktualisieren Sie die Registrierung der RessourcenanbieterMicrosoft.ContainerService
undMicrosoft.ContainerRegistry
, indem Sie den Befehl az provider register ausführen:az provider register --namespace Microsoft.ContainerService az provider register --namespace Microsoft.ContainerRegistry
Wenn Sie die Option „Bring your own (BYO) Azure Container Registry (ACR)“ auswählen, müssen Sie sicherstellen, dass der ACR die folgenden Anforderungen erfüllt:
- Anonymer Pullzugriff muss für die ACR aktiviert werden.
- Die ACR muss der Dienstebene Premium-SKU entsprechen.
(Optional:) Wenn Sie ein optionales AKS-Feature oder -Add-On verwenden möchten, das ausgehenden Netzwerkzugriff erfordert, finden Sie in diesem Dokument die Anforderungen an ausgehenden Datenverkehr für jedes Feature. Außerdem listet dieses Dokument die Features oder Add-Ons auf, die die Integration privater Links für sichere Verbindungen aus dem virtuellen Netzwerk des Clusters unterstützen. Wenn keine Integration privater Links für diese Features verfügbar ist, kann der Cluster mit einer benutzerdefinierten Routingtabelle und einer Azure Firewall-Instanz basierend auf den Netzwerkregeln und Anwendungsregeln eingerichtet werden, die für dieses Feature erforderlich sind.
Hinweis
Die folgenden AKS-Clustererweiterungen werden in vom Netzwerk isolierten Clustern noch nicht unterstützt:
Bereitstellen eines isolierten Netzwerkclusters mit AKS-verwalteter ACR
AKS erstellt, verwaltet und stimmt eine ACR-Ressource in dieser Option ab. Sie müssen weder irgendwelche Berechtigungen zuweisen noch die ACR verwalten. AKS verwaltet die Cacheregeln, die private Verbindung und den privaten Endpunkt, die im netzwerkisolierten Cluster verwendet werden.
Erstellen eines netzwerkisolierten Clusters
Beim Erstellen eines netzwerkisolierten AKS-Clusters können Sie einen der folgenden privaten Clustermodi auswählen: Private Link oder VNET-Integration der API-Server.
Unabhängig vom ausgewählten Modus legen Sie die Parameter --bootstrap-artifact-source
und --outbound-type
fest.
--bootstrap-artifact-source
kann entsprechend der Verwendung von direkter ACR (NICHT netzwerkisoliert) und privater ACR (netzwerkisoliert) für Image-Pulls auf Direct
oder Cache
festgelegt werden.
--outbound-type parameter
kann entweder auf none
oder block
festgelegt werden. Wenn der ausgehende Typ auf none
festgelegt wird, richtet AKS keine ausgehenden Verbindungen für den Cluster ein, sodass der Benutzer oder die Benutzerin sie eigenständig konfigurieren kann. Wenn der ausgehende Typ auf „Blockieren“ festgelegt ist, werden alle ausgehenden Verbindungen blockiert.
Private Link
Erstellen Sie einen auf Private Link basierenden, netzwerkisolierten AKS-Cluster, indem Sie den Befehl az aks create mit den Parametern --bootstrap-artifact-source
, --enable-private-cluster
und --outbound-type
ausführen.
az aks create --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --kubernetes-version 1.30.3 --bootstrap-artifact-source Cache --outbound-type none --network-plugin azure --enable-private-cluster
VNET-Integration der API-Server
Erstellen Sie einen netzwerkisolierten AKS-Cluster, der mit der VNET-Integration der API-Server konfiguriert ist, indem Sie den Befehl az aks create mit den Parametern --bootstrap-artifact-source
, --enable-private-cluster
, --enable-apiserver-vnet-integration
und --outbound-type
ausführen.
az aks create --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --kubernetes-version 1.30.3 --bootstrap-artifact-source Cache --outbound-type none --network-plugin azure --enable-private-cluster --enable-apiserver-vnet-integration
Aktualisieren eines vorhandenen AKS-Clusters zu einem netzwerkisolierten Clustertyp
Wenn Sie die Netzwerkisolation lieber für einen vorhandenen AKS-Cluster aktivieren möchten, anstatt einen neuen Cluster zu erstellen, verwenden Sie den Befehl az aks update.
az aks update --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --bootstrap-artifact-source Cache --outbound-type none
Nachdem das Feature aktiviert wurde, können alle neu hinzugefügten Knoten erfolgreich ein Bootstrap ohne Egress starten. Wenn Sie die Netzwerkisolation für einen vorhandenen Cluster aktivieren, müssen Sie für alle vorhandenen Knoten manuell ein Reimaging durchführen.
az aks upgrade --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --node-image-only
Wichtig
Denken Sie daran, für die Knotenpools des Clusters ein Reimaging durchzuführen, nachdem Sie den Netzwerkisolationsmodus für einen vorhandenen Cluster aktiviert haben. Andernfalls wird das Feature für den Cluster nicht wirksam.
Bereitstellen eines netzwerkisolierten Clusters mit eigener ACR
AKS unterstützt Ihre BYO (Bring your own) ACR. Zur Unterstützung des BYO ACR-Szenarios müssen Sie einen privaten ACR-Endpunkt und eine private DNS-Zone konfigurieren, bevor Sie den AKS-Cluster erstellen.
Die folgenden Schritte zeigen, wie Sie diese Ressourcen vorbereiten:
- Benutzerdefiniertes virtuelles Netzwerk und Subnetze für AKS und ACR
- ACR, ACR-Cacheregel, privater Endpunkt und private DNS-Zone
- Benutzerdefinierte Steuerungsebenenidentität und Kubelet-Identität
Schritt 1: Erstellen des virtuellen Netzwerks und der Subnetze
Der standardmäßige ausgehende Zugriff für das AKS-Subnetz muss „false“ lauten.
az group create --name ${RESOURCE_GROUP} --location ${LOCATION}
az network vnet create --resource-group ${RESOURCE_GROUP} --name ${VNET_NAME} --address-prefixes 192.168.0.0/16
az network vnet subnet create --name ${AKS_SUBNET_NAME} --vnet-name ${VNET_NAME} --resource-group ${RESOURCE_GROUP} --address-prefixes 192.168.1.0/24 --default-outbound-access false
SUBNET_ID=$(az network vnet subnet show --name ${AKS_SUBNET_NAME} --vnet-name ${VNET_NAME} --resource-group ${RESOURCE_GROUP} --query 'id' --output tsv)
az network vnet subnet create --name ${ACR_SUBNET_NAME} --vnet-name ${VNET_NAME} --resource-group ${RESOURCE_GROUP} --address-prefixes 192.168.2.0/24 --private-endpoint-network-policies Disabled
Schritt 2: Erstellen des ACR und Aktivieren des Artefaktcaches
Erstellen Sie die ACR mit der privaten Verbindung und dem anonymen Pullzugriff.
az acr create --resource-group ${RESOURCE_GROUP} --name ${REGISTRY_NAME} --sku Premium --public-network-enabled false az acr update --resource-group ${RESOURCE_GROUP} --name ${REGISTRY_NAME} --anonymous-pull-enabled true REGISTRY_ID=$(az acr show --name ${REGISTRY_NAME} -g ${RESOURCE_GROUP} --query 'id' --output tsv)
Erstellen Sie eine ACR-Cacheregel, damit Benutzer und Benutzerinnen MCR-Containerimages in der neuen ACR zwischenspeichern können.
az acr cache create -n acr-cache-rule -r ${REGISTRY_NAME} -g ${RESOURCE_GROUP} --source-repo "mcr.microsoft.com/*" --target-repo "*"
Schritt 3: Erstellen eines privaten Endpunkts für die ACR
az network private-endpoint create --name myPrivateEndpoint --resource-group ${RESOURCE_GROUP} --vnet-name ${VNET_NAME} --subnet ${ACR_SUBNET_NAME} --private-connection-resource-id ${REGISTRY_ID} --group-id registry --connection-name myConnection
NETWORK_INTERFACE_ID=$(az network private-endpoint show --name myPrivateEndpoint --resource-group ${RESOURCE_GROUP} --query 'networkInterfaces[0].id' --output tsv)
REGISTRY_PRIVATE_IP=$(az network nic show --ids ${NETWORK_INTERFACE_ID} --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry'].privateIPAddress" --output tsv)
DATA_ENDPOINT_PRIVATE_IP=$(az network nic show --ids ${NETWORK_INTERFACE_ID} --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$LOCATION'].privateIPAddress" --output tsv)
Schritt 4: Erstellen einer privaten DNS-Zone und Hinzufügen von Einträgen
Erstellen einer privaten DNS-Zone namens privatelink.azurecr.io
Fügen Sie die Datensätze für den Registrierungs-REST-Endpunkt {REGISTRY_NAME}.azurecr.io
und den Registrierungsdatenendpunkt {REGISTRY_NAME}.{REGISTRY_LOCATION}.data.azurecr.io
hinzu.
az network private-dns zone create --resource-group ${RESOURCE_GROUP} --name "privatelink.azurecr.io"
az network private-dns link vnet create --resource-group ${RESOURCE_GROUP} --zone-name "privatelink.azurecr.io" --name MyDNSLink --virtual-network ${VNET_NAME} --registration-enabled false
az network private-dns record-set a create --name ${REGISTRY_NAME} --zone-name "privatelink.azurecr.io" --resource-group ${RESOURCE_GROUP}
az network private-dns record-set a add-record --record-set-name ${REGISTRY_NAME} --zone-name "privatelink.azurecr.io" --resource-group ${RESOURCE_GROUP} --ipv4-address ${REGISTRY_PRIVATE_IP}
az network private-dns record-set a create --name ${REGISTRY_NAME}.${LOCATION}.data --zone-name "privatelink.azurecr.io" --resource-group ${RESOURCE_GROUP}
az network private-dns record-set a add-record --record-set-name ${REGISTRY_NAME}.${LOCATION}.data --zone-name "privatelink.azurecr.io" --resource-group ${RESOURCE_GROUP} --ipv4-address ${DATA_ENDPOINT_PRIVATE_IP}
Schritt 5: Erstellen von Steuerelementebenen- und Kubelet-Identitäten
Steuerungsebenenidentität
az identity create --name ${CLUSTER_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP}
CLUSTER_IDENTITY_RESOURCE_ID=$(az identity show --name ${CLUSTER_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP} --query 'id' -o tsv)
CLUSTER_IDENTITY_PRINCIPAL_ID=$(az identity show --name ${CLUSTER_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP} --query 'principalId' -o tsv)
Kubelet-Identität
az identity create --name ${KUBELET_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP}
KUBELET_IDENTITY_RESOURCE_ID=$(az identity show --name ${KUBELET_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP} --query 'id' -o tsv)
KUBELET_IDENTITY_PRINCIPAL_ID=$(az identity show --name ${KUBELET_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP} --query 'principalId' -o tsv)
Erteilen von AcrPull-Berechtigungen für die Kubelet-Identität
az role assignment create --role AcrPull --scope ${REGISTRY_ID} --assignee-object-id ${KUBELET_IDENTITY_PRINCIPAL_ID} --assignee-principal-type ServicePrincipal
Nachdem Sie diese Ressourcen konfiguriert haben, können Sie den netzwerkisolierten AKS-Cluster mit BYO ACR erstellen.
Schritt 6: Erstellen eines netzwerkisolierten Clusters mithilfe der BYO ACR
Beim Erstellen eines netzwerkisolierten AKS-Clusters können Sie einen der folgenden privaten Clustermodi auswählen: Private Link oder VNET-Integration der API-Server.
Unabhängig vom ausgewählten Modus legen Sie die Parameter --bootstrap-artifact-source
und --outbound-type
fest.
--bootstrap-artifact-source
kann entsprechend der Verwendung von direkter ACR (NICHT netzwerkisoliert) und privater ACR (netzwerkisoliert) für Image-Pulls auf Direct
oder Cache
festgelegt werden.
--outbound-type parameter
kann entweder auf none
oder block
festgelegt werden. Wenn der ausgehende Typ auf none
festgelegt wird, richtet AKS keine ausgehenden Verbindungen für den Cluster ein, sodass der Benutzer oder die Benutzerin sie eigenständig konfigurieren kann. Wenn der ausgehende Typ auf „Blockieren“ festgelegt ist, werden alle ausgehenden Verbindungen blockiert.
Private Link
Erstellen Sie einen auf Private Link basierenden, netzwerkisolierten AKS-Cluster, der auf Ihre ACR zugreift, indem Sie den Befehl az aks create mit den erforderlichen Parametern ausführen.
az aks create --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --kubernetes-version 1.30.3 --vnet-subnet-id ${SUBNET_ID} --assign-identity ${CLUSTER_IDENTITY_RESOURCE_ID} --assign-kubelet-identity ${KUBELET_IDENTITY_RESOURCE_ID} --bootstrap-artifact-source Cache --bootstrap-container-registry-resource-id ${REGISTRY_ID} --outbound-type none --network-plugin azure --enable-private-cluster
VNET-Integration der API-Server
Erstellen Sie für einen netzwerkisolierten Cluster mit VNET-Integration der API-Server zuerst ein Subnetz, und weisen Sie mit den folgenden Befehlen die richtige Rolle zu:
az network vnet subnet create --name ${APISERVER_SUBNET_NAME} --vnet-name ${VNET_NAME} --resource-group ${RESOURCE_GROUP} --address-prefixes 192.168.3.0/24
export APISERVER_SUBNET_ID=$(az network vnet subnet show --resource-group ${RESOURCE_GROUP} --vnet-name ${VNET_NAME} --name ${APISERVER_SUBNET_NAME} --query id -o tsv)
az role assignment create --scope ${APISERVER_SUBNET_ID} --role "Network Contributor" --assignee-object-id ${CLUSTER_IDENTITY_PRINCIPAL_ID} --assignee-principal-type ServicePrincipal
Erstellen Sie einen netzwerkisolierten AKS-Cluster, für die VNET-Integration der API-Server konfiguriert ist, und greifen Sie auf Ihre ACR zu, indem Sie den Befehl az aks create mit den erforderlichen Parametern ausführen.
az aks create --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --kubernetes-version 1.30.3 --vnet-subnet-id ${SUBNET_ID} --assign-identity ${CLUSTER_IDENTITY_RESOURCE_ID} --assign-kubelet-identity ${KUBELET_IDENTITY_RESOURCE_ID} --bootstrap-artifact-source Cache --bootstrap-container-registry-resource-id ${REGISTRY_ID} --outbound-type none --network-plugin azure --enable-apiserver-vnet-integration --apiserver-subnet-id ${APISERVER_SUBNET_ID}
Aktualisieren eines vorhandenen AKS-Clusters
Wenn Sie die Netzwerkisolation lieber für einen vorhandenen AKS-Cluster aktivieren möchten, anstatt einen neuen Cluster zu erstellen, verwenden Sie den Befehl az aks update.
Verwenden Sie beim Erstellen des privaten Endpunkts und der privaten DNS-Zone für die BYO ACR das vorhandene virtuelle Netzwerk und die Subnetze des vorhandenen AKS-Clusters. Wenn Sie der Kubelet-Identität die Berechtigung AcrPull zuweisen, verwenden Sie die vorhandene Kubelet-Identität des vorhandenen AKS-Clusters.
Um das Feature für die Netzwerkisolation in einem vorhandenen AKS-Cluster zu aktivieren, verwenden Sie den folgenden Befehl:
az aks update --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --bootstrap-artifact-source Cache --bootstrap-container-registry-resource-id ${REGISTRY_ID} --outbound-type none
Nachdem das Feature für die Netzwerkisolation im Cluster aktiviert wurde, können Knoten im neu hinzugefügten Knotenpool ohne Egress erfolgreich einen Bootstrap durchführen. Sie müssen für vorhandene Knotenpools ein Reimaging durchführen, damit neu skalierte Knoten erfolgreich einen Bootstrap durchführen können. Wenn Sie das Feature in einem vorhandenen Cluster aktivieren, müssen Sie für alle vorhandenen Knoten manuell ein Reimaging durchführen.
az aks upgrade --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --node-image-only
Wichtig
Vergessen Sie nicht, für die Knotenpools des Clusters ein Reimaging durchzuführen, nachdem Sie die Funktion für die Netzwerkisolation im Cluster aktiviert haben. Andernfalls wird das Feature für den Cluster nicht wirksam.
Aktualisieren Ihrer ACR-ID
Es ist möglich, die private ACR zu aktualisieren, die mit einem netzwerkisolierten AKS-Cluster verwendet wird. Verwenden Sie den Befehl az aks show
, um die ACR-Ressourcen-ID zu identifizieren.
az aks show --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME}
Die Aktualisierung der ACR-ID wird ausgeführt, indem der Befehl az aks update
mit den Parametern --bootstrap-artifact-source
und --bootstrap-container-registry-resource-id
ausgeführt wird.
az aks update --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --bootstrap-artifact-source Cache --bootstrap-container-registry-resource-id <New BYO ACR resource ID>
Wenn Sie die ACR-ID in einem vorhandenen Cluster aktualisieren, müssen Sie für alle vorhandenen Knoten manuell ein Reimaging durchführen.
az aks upgrade --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --node-image-only
Wichtig
Vergessen Sie nicht, für die Knotenpools des Clusters ein Reimaging durchzuführen, nachdem Sie die Funktion für die Netzwerkisolation im Cluster aktiviert haben. Andernfalls wird das Feature für den Cluster nicht wirksam.
Überprüfen, ob der netzwerkisolierte Cluster aktiviert ist
Zum Überprüfen des Features für netzwerkisolierte Cluster verwenden Sie den Befehl az aks show.
az aks show --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME}
Die folgende Ausgabe zeigt basierend auf den Werten der Eigenschaft outboundType
(keine oder blockiert) und der Eigenschaft artifactSource
(zwischengespeichert), dass das Feature aktiviert ist.
"kubernetesVersion": "1.30.3",
"name": "myAKSCluster"
"type": "Microsoft.ContainerService/ManagedClusters"
"properties": {
...
"networkProfile": {
...
"outboundType": "none",
...
},
...
"bootstrapProfile": {
"artifactSource": "Cache",
"containerRegistryId": "/subscriptions/my-subscription-id/my-node-resource-group-name/providers/Microsoft.ContainerRegistry/registries/my-registry-name"
},
...
}
Deaktivieren des netzwerkisolierten Clusters
Deaktivieren Sie das Feature für netzwerkisolierte Cluster, indem Sie den Befehl az aks update
mit den Parametern --bootstrap-artifact-source
und --outbound-type
ausführen.
az aks update --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --bootstrap-artifact-source Direct --outbound-type LoadBalancer
Wenn Sie das Feature für einen vorhandenen Cluster deaktivieren, müssen Sie für alle vorhandenen Knoten manuell ein Reimaging durchführen.
az aks upgrade --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --node-image-only
Wichtig
Vergessen Sie nicht, für die Knotenpools des Clusters ein Reimaging durchzuführen, nachdem Sie die Funktion für die Netzwerkisolation im Cluster deaktiviert haben. Andernfalls wird das Feature für den Cluster nicht wirksam.
Nächste Schritte
In diesem Artikel haben Sie gelernt, welche Ports und Adressen zugelassen werden müssen, wenn Sie den ausgehenden Datenverkehr für den Cluster einschränken möchten.
Wenn Sie ein Konfiguration mit Einschränkungen des ausgehenden Datenverkehrs mithilfe der Azure-Firewall einrichten möchten, lesen Sie Steuern des ausgehenden Datenverkehrs mithilfe von Azure Firewall in AKS.
Informationen zur Einschränkung der Kommunikation zwischen Pods sowie zu Ost-West-Datenverkehrseinschränkungen innerhalb des Clusters finden Sie unter Sicherer Datenverkehr zwischen Pods durch Netzwerkrichtlinien in AKS (Azure Kubernetes Service).
Azure Kubernetes Service