Freigeben über


Erstellen eines netzwerkisolierten Azure Kubernetes Service (AKS)-Clusters (Vorschau)

Organisationen verfügen in der Regel über strenge Sicherheits- und Complianceanforderungen, um den von einem Cluster ausgehenden (Egress-) Netzwerkdatenverkehr zu regulieren, um das Risiko der Datenexfiltration auszuschließen. Standardmäßig haben Azure Kubernetes Service (AKS)-Cluster uneingeschränkten ausgehenden Internetzugriff. Diese Ebene des Netzwerkzugriffs ermöglicht, dass ausgeführte Knoten und Dienste nach Bedarf auf externe Ressourcen zugreifen können. Wenn Sie den ausgehenden Datenverkehr einschränken möchten, muss eine begrenzte Anzahl von Ports und Adressen zugänglich sein, um fehlerfreie Clusterwartungsaufgaben verwalten zu können.

Eine Lösung zum Schutz ausgehender Adressen besteht in der Verwendung eines Firewallgeräts, das den ausgehenden Datenverkehr auf der Grundlage von Domänennamen kontrolliert.

Eine andere Lösung, ein vom Netzwerk isolierter AKS-Cluster (Vorschau), vereinfacht das Einrichten ausgehender Einschränkungen für einen Cluster, da keine zusätzliche Konfiguration erforderlich. Ein vom Netzwerk isolierter AKS-Cluster reduziert das Risiko einer Datenexfiltration oder unbeabsichtigten Offenlegung der öffentlichen Endpunkte des Clusters.

Wichtig

AKS-Previewfunktionen stehen gemäß dem Self-Service- und Aktivierungsprinzip zur Verfügung. Vorschauversionen werden „wie besehen“ und „wie verfügbar“ bereitgestellt und sind von Service Level Agreements und der Herstellergarantie ausgeschlossen. AKS-Vorschauversionen werden teilweise vom Kundensupport auf Grundlage der bestmöglichen Leistung abgedeckt. Daher sind diese Funktionen nicht für die Verwendung in der Produktion vorgesehen. Weitere Informationen finden Sie in den folgenden Supportartikeln:

Voraussetzungen

  • Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  • Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

    • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

    • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

    • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

  • Für diesen Artikel ist mindestens Version 2.63.0 der Azure CLI erforderlich. Bei Verwendung von Azure Cloud Shell ist die aktuelle Version bereits installiert.

  • Installieren Sie die aks-previewAzure-CLI-Erweiterung in Version 9.0.0b2 oder höher.

    • Wenn Sie noch nicht über die Erweiterung aks-preview verfügen, installieren Sie sie mit dem Befehl az extension add.

      az extension add --name aks-preview
      
    • Wenn Sie bereits über die Erweiterung aks-preview verfügen, aktualisieren Sie sie über den Befehl az extension update, um sicherzustellen, dass Sie die neueste Version haben.

      az extension update --name aks-preview
      
  • Registrieren Sie das Featureflag NetworkIsolatedClusterPreview mithilfe des Befehls az feature register.

    az feature register --namespace Microsoft.ContainerService --name NetworkIsolatedClusterPreview
    

    Überprüfen Sie den Registrierungsstatus mithilfe des Befehls az feature show. Es dauert einige Minuten, bis der Status Registriert angezeigt wird:

    az feature show --namespace Microsoft.ContainerService --name NetworkIsolatedClusterPreview
    

    Hinweis

    Wenn Sie einen netzwerkisolierten Cluster mit VNET-Integration des API-Servers erstellen, die für den privaten Zugriff auf den API-Server konfiguriert ist, müssen Sie auch die oben genannten Schritte wiederholen, um das Featureflag EnableAPIServerVnetIntegrationPreview zu registrieren. Wenn der Status Registriert lautet, aktualisieren Sie die Registrierung der Ressourcenanbieter Microsoft.ContainerService und Microsoft.ContainerRegistry, indem Sie den Befehl az provider register ausführen:

     az provider register --namespace Microsoft.ContainerService
     az provider register --namespace Microsoft.ContainerRegistry
    
  • Wenn Sie die Option „Bring your own (BYO) Azure Container Registry (ACR)“ auswählen, müssen Sie sicherstellen, dass der ACR die folgenden Anforderungen erfüllt:

  • (Optional:) Wenn Sie ein optionales AKS-Feature oder -Add-On verwenden möchten, das ausgehenden Netzwerkzugriff erfordert, finden Sie in diesem Dokument die Anforderungen an ausgehenden Datenverkehr für jedes Feature. Außerdem listet dieses Dokument die Features oder Add-Ons auf, die die Integration privater Links für sichere Verbindungen aus dem virtuellen Netzwerk des Clusters unterstützen. Wenn keine Integration privater Links für diese Features verfügbar ist, kann der Cluster mit einer benutzerdefinierten Routingtabelle und einer Azure Firewall-Instanz basierend auf den Netzwerkregeln und Anwendungsregeln eingerichtet werden, die für dieses Feature erforderlich sind.

Hinweis

Die folgenden AKS-Clustererweiterungen werden in vom Netzwerk isolierten Clustern noch nicht unterstützt:

Bereitstellen eines isolierten Netzwerkclusters mit AKS-verwalteter ACR

AKS erstellt, verwaltet und stimmt eine ACR-Ressource in dieser Option ab. Sie müssen weder irgendwelche Berechtigungen zuweisen noch die ACR verwalten. AKS verwaltet die Cacheregeln, die private Verbindung und den privaten Endpunkt, die im netzwerkisolierten Cluster verwendet werden.

Erstellen eines netzwerkisolierten Clusters

Beim Erstellen eines netzwerkisolierten AKS-Clusters können Sie einen der folgenden privaten Clustermodi auswählen: Private Link oder VNET-Integration der API-Server.

Unabhängig vom ausgewählten Modus legen Sie die Parameter --bootstrap-artifact-source und --outbound-type fest.

--bootstrap-artifact-source kann entsprechend der Verwendung von direkter ACR (NICHT netzwerkisoliert) und privater ACR (netzwerkisoliert) für Image-Pulls auf Direct oder Cache festgelegt werden.

--outbound-type parameter kann entweder auf none oder block festgelegt werden. Wenn der ausgehende Typ auf none festgelegt wird, richtet AKS keine ausgehenden Verbindungen für den Cluster ein, sodass der Benutzer oder die Benutzerin sie eigenständig konfigurieren kann. Wenn der ausgehende Typ auf „Blockieren“ festgelegt ist, werden alle ausgehenden Verbindungen blockiert.

Erstellen Sie einen auf Private Link basierenden, netzwerkisolierten AKS-Cluster, indem Sie den Befehl az aks create mit den Parametern --bootstrap-artifact-source, --enable-private-cluster und --outbound-type ausführen.

az aks create --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME}   --kubernetes-version 1.30.3 --bootstrap-artifact-source Cache --outbound-type none  --network-plugin azure --enable-private-cluster

VNET-Integration der API-Server

Erstellen Sie einen netzwerkisolierten AKS-Cluster, der mit der VNET-Integration der API-Server konfiguriert ist, indem Sie den Befehl az aks create mit den Parametern --bootstrap-artifact-source, --enable-private-cluster, --enable-apiserver-vnet-integration und --outbound-type ausführen.

az aks create --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --kubernetes-version 1.30.3 --bootstrap-artifact-source Cache --outbound-type none --network-plugin azure --enable-private-cluster --enable-apiserver-vnet-integration

Aktualisieren eines vorhandenen AKS-Clusters zu einem netzwerkisolierten Clustertyp

Wenn Sie die Netzwerkisolation lieber für einen vorhandenen AKS-Cluster aktivieren möchten, anstatt einen neuen Cluster zu erstellen, verwenden Sie den Befehl az aks update.

az aks update --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --bootstrap-artifact-source Cache --outbound-type none

Nachdem das Feature aktiviert wurde, können alle neu hinzugefügten Knoten erfolgreich ein Bootstrap ohne Egress starten. Wenn Sie die Netzwerkisolation für einen vorhandenen Cluster aktivieren, müssen Sie für alle vorhandenen Knoten manuell ein Reimaging durchführen.

az aks upgrade --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --node-image-only

Wichtig

Denken Sie daran, für die Knotenpools des Clusters ein Reimaging durchzuführen, nachdem Sie den Netzwerkisolationsmodus für einen vorhandenen Cluster aktiviert haben. Andernfalls wird das Feature für den Cluster nicht wirksam.

Bereitstellen eines netzwerkisolierten Clusters mit eigener ACR

AKS unterstützt Ihre BYO (Bring your own) ACR. Zur Unterstützung des BYO ACR-Szenarios müssen Sie einen privaten ACR-Endpunkt und eine private DNS-Zone konfigurieren, bevor Sie den AKS-Cluster erstellen.

Die folgenden Schritte zeigen, wie Sie diese Ressourcen vorbereiten:

  • Benutzerdefiniertes virtuelles Netzwerk und Subnetze für AKS und ACR
  • ACR, ACR-Cacheregel, privater Endpunkt und private DNS-Zone
  • Benutzerdefinierte Steuerungsebenenidentität und Kubelet-Identität

Schritt 1: Erstellen des virtuellen Netzwerks und der Subnetze

Der standardmäßige ausgehende Zugriff für das AKS-Subnetz muss „false“ lauten.

az group create --name ${RESOURCE_GROUP} --location ${LOCATION}

az network vnet create  --resource-group ${RESOURCE_GROUP} --name ${VNET_NAME} --address-prefixes 192.168.0.0/16

az network vnet subnet create --name ${AKS_SUBNET_NAME} --vnet-name ${VNET_NAME} --resource-group ${RESOURCE_GROUP} --address-prefixes 192.168.1.0/24 --default-outbound-access false

SUBNET_ID=$(az network vnet subnet show --name ${AKS_SUBNET_NAME} --vnet-name ${VNET_NAME} --resource-group ${RESOURCE_GROUP} --query 'id' --output tsv)

az network vnet subnet create --name ${ACR_SUBNET_NAME} --vnet-name ${VNET_NAME} --resource-group ${RESOURCE_GROUP} --address-prefixes 192.168.2.0/24 --private-endpoint-network-policies Disabled

Schritt 2: Erstellen des ACR und Aktivieren des Artefaktcaches

  1. Erstellen Sie die ACR mit der privaten Verbindung und dem anonymen Pullzugriff.

    az acr create --resource-group ${RESOURCE_GROUP} --name ${REGISTRY_NAME} --sku Premium --public-network-enabled false
    
    az acr update --resource-group ${RESOURCE_GROUP} --name ${REGISTRY_NAME} --anonymous-pull-enabled true
    
    REGISTRY_ID=$(az acr show --name ${REGISTRY_NAME} -g ${RESOURCE_GROUP}  --query 'id' --output tsv)
    
  2. Erstellen Sie eine ACR-Cacheregel, damit Benutzer und Benutzerinnen MCR-Containerimages in der neuen ACR zwischenspeichern können.

    az acr cache create -n acr-cache-rule -r ${REGISTRY_NAME} -g ${RESOURCE_GROUP} --source-repo "mcr.microsoft.com/*" --target-repo "*"
    

Schritt 3: Erstellen eines privaten Endpunkts für die ACR

az network private-endpoint create --name myPrivateEndpoint --resource-group ${RESOURCE_GROUP} --vnet-name ${VNET_NAME} --subnet ${ACR_SUBNET_NAME} --private-connection-resource-id ${REGISTRY_ID} --group-id registry --connection-name myConnection

NETWORK_INTERFACE_ID=$(az network private-endpoint show --name myPrivateEndpoint --resource-group ${RESOURCE_GROUP} --query 'networkInterfaces[0].id' --output tsv)

REGISTRY_PRIVATE_IP=$(az network nic show --ids ${NETWORK_INTERFACE_ID} --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry'].privateIPAddress" --output tsv)

DATA_ENDPOINT_PRIVATE_IP=$(az network nic show --ids ${NETWORK_INTERFACE_ID} --query "ipConfigurations[?privateLinkConnectionProperties.requiredMemberName=='registry_data_$LOCATION'].privateIPAddress" --output tsv)

Schritt 4: Erstellen einer privaten DNS-Zone und Hinzufügen von Einträgen

Erstellen einer privaten DNS-Zone namens privatelink.azurecr.io Fügen Sie die Datensätze für den Registrierungs-REST-Endpunkt {REGISTRY_NAME}.azurecr.io und den Registrierungsdatenendpunkt {REGISTRY_NAME}.{REGISTRY_LOCATION}.data.azurecr.io hinzu.

az network private-dns zone create --resource-group ${RESOURCE_GROUP} --name "privatelink.azurecr.io"

az network private-dns link vnet create --resource-group ${RESOURCE_GROUP} --zone-name "privatelink.azurecr.io" --name MyDNSLink --virtual-network ${VNET_NAME} --registration-enabled false

az network private-dns record-set a create --name ${REGISTRY_NAME} --zone-name "privatelink.azurecr.io" --resource-group ${RESOURCE_GROUP}

az network private-dns record-set a add-record --record-set-name ${REGISTRY_NAME} --zone-name "privatelink.azurecr.io" --resource-group ${RESOURCE_GROUP} --ipv4-address ${REGISTRY_PRIVATE_IP}

az network private-dns record-set a create --name ${REGISTRY_NAME}.${LOCATION}.data --zone-name "privatelink.azurecr.io" --resource-group ${RESOURCE_GROUP}

az network private-dns record-set a add-record --record-set-name ${REGISTRY_NAME}.${LOCATION}.data --zone-name "privatelink.azurecr.io" --resource-group ${RESOURCE_GROUP} --ipv4-address ${DATA_ENDPOINT_PRIVATE_IP}

Schritt 5: Erstellen von Steuerelementebenen- und Kubelet-Identitäten

Steuerungsebenenidentität

az identity create --name ${CLUSTER_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP}

CLUSTER_IDENTITY_RESOURCE_ID=$(az identity show --name ${CLUSTER_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP} --query 'id' -o tsv)

CLUSTER_IDENTITY_PRINCIPAL_ID=$(az identity show --name ${CLUSTER_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP} --query 'principalId' -o tsv)

Kubelet-Identität

az identity create --name ${KUBELET_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP}

KUBELET_IDENTITY_RESOURCE_ID=$(az identity show --name ${KUBELET_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP} --query 'id' -o tsv)

KUBELET_IDENTITY_PRINCIPAL_ID=$(az identity show --name ${KUBELET_IDENTITY_NAME} --resource-group ${RESOURCE_GROUP} --query 'principalId' -o tsv)

Erteilen von AcrPull-Berechtigungen für die Kubelet-Identität

az role assignment create --role AcrPull --scope ${REGISTRY_ID} --assignee-object-id ${KUBELET_IDENTITY_PRINCIPAL_ID} --assignee-principal-type ServicePrincipal

Nachdem Sie diese Ressourcen konfiguriert haben, können Sie den netzwerkisolierten AKS-Cluster mit BYO ACR erstellen.

Schritt 6: Erstellen eines netzwerkisolierten Clusters mithilfe der BYO ACR

Beim Erstellen eines netzwerkisolierten AKS-Clusters können Sie einen der folgenden privaten Clustermodi auswählen: Private Link oder VNET-Integration der API-Server.

Unabhängig vom ausgewählten Modus legen Sie die Parameter --bootstrap-artifact-source und --outbound-type fest.

--bootstrap-artifact-source kann entsprechend der Verwendung von direkter ACR (NICHT netzwerkisoliert) und privater ACR (netzwerkisoliert) für Image-Pulls auf Direct oder Cache festgelegt werden.

--outbound-type parameter kann entweder auf none oder block festgelegt werden. Wenn der ausgehende Typ auf none festgelegt wird, richtet AKS keine ausgehenden Verbindungen für den Cluster ein, sodass der Benutzer oder die Benutzerin sie eigenständig konfigurieren kann. Wenn der ausgehende Typ auf „Blockieren“ festgelegt ist, werden alle ausgehenden Verbindungen blockiert.

Erstellen Sie einen auf Private Link basierenden, netzwerkisolierten AKS-Cluster, der auf Ihre ACR zugreift, indem Sie den Befehl az aks create mit den erforderlichen Parametern ausführen.

az aks create --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --kubernetes-version 1.30.3 --vnet-subnet-id ${SUBNET_ID} --assign-identity ${CLUSTER_IDENTITY_RESOURCE_ID} --assign-kubelet-identity ${KUBELET_IDENTITY_RESOURCE_ID} --bootstrap-artifact-source Cache --bootstrap-container-registry-resource-id ${REGISTRY_ID} --outbound-type none --network-plugin azure --enable-private-cluster

VNET-Integration der API-Server

Erstellen Sie für einen netzwerkisolierten Cluster mit VNET-Integration der API-Server zuerst ein Subnetz, und weisen Sie mit den folgenden Befehlen die richtige Rolle zu:

az network vnet subnet create --name ${APISERVER_SUBNET_NAME} --vnet-name ${VNET_NAME} --resource-group ${RESOURCE_GROUP} --address-prefixes 192.168.3.0/24

export APISERVER_SUBNET_ID=$(az network vnet subnet show --resource-group ${RESOURCE_GROUP} --vnet-name ${VNET_NAME} --name ${APISERVER_SUBNET_NAME} --query id -o tsv)
az role assignment create --scope ${APISERVER_SUBNET_ID} --role "Network Contributor" --assignee-object-id ${CLUSTER_IDENTITY_PRINCIPAL_ID} --assignee-principal-type ServicePrincipal

Erstellen Sie einen netzwerkisolierten AKS-Cluster, für die VNET-Integration der API-Server konfiguriert ist, und greifen Sie auf Ihre ACR zu, indem Sie den Befehl az aks create mit den erforderlichen Parametern ausführen.

az aks create --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --kubernetes-version 1.30.3 --vnet-subnet-id ${SUBNET_ID} --assign-identity ${CLUSTER_IDENTITY_RESOURCE_ID} --assign-kubelet-identity ${KUBELET_IDENTITY_RESOURCE_ID} --bootstrap-artifact-source Cache --bootstrap-container-registry-resource-id ${REGISTRY_ID} --outbound-type none --network-plugin azure --enable-apiserver-vnet-integration --apiserver-subnet-id ${APISERVER_SUBNET_ID}

Aktualisieren eines vorhandenen AKS-Clusters

Wenn Sie die Netzwerkisolation lieber für einen vorhandenen AKS-Cluster aktivieren möchten, anstatt einen neuen Cluster zu erstellen, verwenden Sie den Befehl az aks update.

Verwenden Sie beim Erstellen des privaten Endpunkts und der privaten DNS-Zone für die BYO ACR das vorhandene virtuelle Netzwerk und die Subnetze des vorhandenen AKS-Clusters. Wenn Sie der Kubelet-Identität die Berechtigung AcrPull zuweisen, verwenden Sie die vorhandene Kubelet-Identität des vorhandenen AKS-Clusters.

Um das Feature für die Netzwerkisolation in einem vorhandenen AKS-Cluster zu aktivieren, verwenden Sie den folgenden Befehl:

az aks update --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --bootstrap-artifact-source Cache --bootstrap-container-registry-resource-id ${REGISTRY_ID} --outbound-type none

Nachdem das Feature für die Netzwerkisolation im Cluster aktiviert wurde, können Knoten im neu hinzugefügten Knotenpool ohne Egress erfolgreich einen Bootstrap durchführen. Sie müssen für vorhandene Knotenpools ein Reimaging durchführen, damit neu skalierte Knoten erfolgreich einen Bootstrap durchführen können. Wenn Sie das Feature in einem vorhandenen Cluster aktivieren, müssen Sie für alle vorhandenen Knoten manuell ein Reimaging durchführen.

az aks upgrade --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --node-image-only

Wichtig

Vergessen Sie nicht, für die Knotenpools des Clusters ein Reimaging durchzuführen, nachdem Sie die Funktion für die Netzwerkisolation im Cluster aktiviert haben. Andernfalls wird das Feature für den Cluster nicht wirksam.

Aktualisieren Ihrer ACR-ID

Es ist möglich, die private ACR zu aktualisieren, die mit einem netzwerkisolierten AKS-Cluster verwendet wird. Verwenden Sie den Befehl az aks show, um die ACR-Ressourcen-ID zu identifizieren.

az aks show --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME}

Die Aktualisierung der ACR-ID wird ausgeführt, indem der Befehl az aks update mit den Parametern --bootstrap-artifact-source und --bootstrap-container-registry-resource-id ausgeführt wird.

az aks update --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --bootstrap-artifact-source Cache --bootstrap-container-registry-resource-id <New BYO ACR resource ID>

Wenn Sie die ACR-ID in einem vorhandenen Cluster aktualisieren, müssen Sie für alle vorhandenen Knoten manuell ein Reimaging durchführen.

az aks upgrade --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --node-image-only

Wichtig

Vergessen Sie nicht, für die Knotenpools des Clusters ein Reimaging durchzuführen, nachdem Sie die Funktion für die Netzwerkisolation im Cluster aktiviert haben. Andernfalls wird das Feature für den Cluster nicht wirksam.

Überprüfen, ob der netzwerkisolierte Cluster aktiviert ist

Zum Überprüfen des Features für netzwerkisolierte Cluster verwenden Sie den Befehl az aks show.

az aks show --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME}

Die folgende Ausgabe zeigt basierend auf den Werten der Eigenschaft outboundType (keine oder blockiert) und der Eigenschaft artifactSource (zwischengespeichert), dass das Feature aktiviert ist.

"kubernetesVersion": "1.30.3",
"name": "myAKSCluster"
"type": "Microsoft.ContainerService/ManagedClusters"
"properties": {
  ...
  "networkProfile": {
    ...
    "outboundType": "none",
    ...
  },
  ...
  "bootstrapProfile": {
    "artifactSource": "Cache",
    "containerRegistryId": "/subscriptions/my-subscription-id/my-node-resource-group-name/providers/Microsoft.ContainerRegistry/registries/my-registry-name"
  },
  ...
}

Deaktivieren des netzwerkisolierten Clusters

Deaktivieren Sie das Feature für netzwerkisolierte Cluster, indem Sie den Befehl az aks update mit den Parametern --bootstrap-artifact-source und --outbound-type ausführen.

az aks update --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --bootstrap-artifact-source Direct --outbound-type LoadBalancer

Wenn Sie das Feature für einen vorhandenen Cluster deaktivieren, müssen Sie für alle vorhandenen Knoten manuell ein Reimaging durchführen.

az aks upgrade --resource-group ${RESOURCE_GROUP} --name ${AKS_NAME} --node-image-only

Wichtig

Vergessen Sie nicht, für die Knotenpools des Clusters ein Reimaging durchzuführen, nachdem Sie die Funktion für die Netzwerkisolation im Cluster deaktiviert haben. Andernfalls wird das Feature für den Cluster nicht wirksam.

Nächste Schritte

In diesem Artikel haben Sie gelernt, welche Ports und Adressen zugelassen werden müssen, wenn Sie den ausgehenden Datenverkehr für den Cluster einschränken möchten.

Wenn Sie ein Konfiguration mit Einschränkungen des ausgehenden Datenverkehrs mithilfe der Azure-Firewall einrichten möchten, lesen Sie Steuern des ausgehenden Datenverkehrs mithilfe von Azure Firewall in AKS.

Informationen zur Einschränkung der Kommunikation zwischen Pods sowie zu Ost-West-Datenverkehrseinschränkungen innerhalb des Clusters finden Sie unter Sicherer Datenverkehr zwischen Pods durch Netzwerkrichtlinien in AKS (Azure Kubernetes Service).