Delen via

Uitgaand clusterverkeer aanpassen met uitgaande typen in Azure Kubernetes Service (AKS)

  • Artikel

U kunt uitgaand verkeer voor een AKS-cluster aanpassen aan specifieke scenario's. Standaard maakt AKS een Standard Load Balancer die moet worden ingesteld en gebruikt voor uitgaand verkeer. De standaardinstelling voldoet echter mogelijk niet aan de vereisten van alle scenario's als openbare IP-adressen niet zijn toegestaan of extra hops zijn vereist voor uitgaand verkeer.

In dit artikel worden de verschillende typen uitgaande connectiviteit besproken die beschikbaar zijn in AKS-clusters.

Notitie

U kunt het cluster nu bijwerken nadat het outboundType cluster is gemaakt.

Belangrijk

In niet-private-clusters wordt verkeer van API-serverclusters gerouteerd en verwerkt via het uitgaande type clusters. Als u wilt voorkomen dat API-serververkeer als openbaar verkeer wordt verwerkt, kunt u overwegen een privécluster te gebruiken of de functie VNet-integratie van API Server te bekijken.

Beperkingen

  • Voor de instelling outboundType zijn AKS-clusters met een vm-set-type van VirtualMachineScaleSets en load-balancer-sku van Standardvereist.

Uitgaande typen in AKS

U kunt een AKS-cluster configureren met behulp van de volgende uitgaande typen: load balancer, NAT-gateway of door de gebruiker gedefinieerde routering. Het uitgaande type heeft alleen invloed op het uitgaand verkeer van uw cluster. Zie Het instellen van toegangsbeheerobjectcontrollers voor meer informatie.

Uitgaand type van loadBalancer

De load balancer wordt gebruikt voor uitgaand verkeer via een door AKS toegewezen openbaar IP-adres. Een uitgaand type ondersteunt loadBalancer Kubernetes-services van het type loadBalancer, die uitgaand verkeer verwachten van de load balancer die is gemaakt door de AKS-resourceprovider.

Als loadBalancer dit is ingesteld, voltooit AKS automatisch de volgende configuratie:

  • Er wordt een openbaar IP-adres gemaakt voor uitgaand clusterverkeer.
  • Het openbare IP-adres wordt toegewezen aan de load balancer-resource.
  • Back-endpools voor de load balancer worden ingesteld voor agentknooppunten in het cluster.

Diagram toont inkomend I P en uitgaande I P, waarbij het inkomend I P verkeer omleidt naar een load balancer, waarmee verkeer wordt omgeleid naar en van een intern cluster en ander verkeer naar de uitgaande I P, waarmee verkeer naar internet, M C R, Azure-vereiste services en het A K S-besturingsvlak wordt doorgestuurd.

Zie voor meer informatie het gebruik van een standard load balancer in AKS.

Uitgaand type managedNatGateway of userAssignedNatGateway

Als managedNatGateway of userAssignedNatGateway zijn geselecteerd voor outboundType, is AKS afhankelijk van de Azure Networking NAT-gateway voor uitgaand clusterverkeer.

  • Selecteer managedNatGateway bij het gebruik van beheerde virtuele netwerken. AKS richt een NAT-gateway in en koppelt deze aan het clustersubnet.
  • Selecteer userAssignedNatGateway bij het gebruik van bring-your-own virtuele netwerken. Voor deze optie moet u een NAT-gateway hebben gemaakt voordat het cluster wordt gemaakt.

Zie nat-gateway gebruiken met AKS voor meer informatie.

Uitgaand type van userDefinedRouting

Notitie

Het userDefinedRouting uitgaande type is een geavanceerd netwerkscenario en vereist de juiste netwerkconfiguratie.

Als userDefinedRouting deze optie is ingesteld, configureert AKS niet automatisch uitgaande paden. De installatie van uitgaand verkeer wordt door u voltooid.

U moet het AKS-cluster implementeren in een bestaand virtueel netwerk met een subnet dat is geconfigureerd. Omdat u geen SLB-architectuur (Standard Load Balancer) gebruikt, moet u expliciet uitgaand verkeer tot stand brengen. Voor deze architectuur moet expliciet uitgaand verkeer worden verzonden naar een apparaat, zoals een firewall, gateway, proxy of om NAT toe te staan door een openbaar IP-adres dat is toegewezen aan de standaard load balancer of het apparaat.

Zie voor meer informatie het configureren van uitgaande clusters via door de gebruiker gedefinieerde routering.

Uitgaand type van none (preview)

Belangrijk

Het none uitgaande type is alleen beschikbaar met netwerkisolatiecluster en vereist zorgvuldige planning om ervoor te zorgen dat het cluster werkt zoals verwacht zonder onbedoelde afhankelijkheden van externe services. Zie overwegingen voor geïsoleerde clusters voor volledig geïsoleerde clusters.

Als none deze optie is ingesteld, configureert AKS niet automatisch uitgaande paden. Deze optie is vergelijkbaar met userDefinedRouting maar vereist geen standaardroute als onderdeel van de validatie.

Het none uitgaande type wordt ondersteund in byo-scenario's (Bring Your Own) voor virtuele netwerken en beheerde VNet-scenario's. U moet er echter voor zorgen dat het AKS-cluster wordt geïmplementeerd in een netwerkomgeving waar indien nodig expliciete uitgaande paden worden gedefinieerd. Voor BYO-VNet-scenario's moet het cluster worden geïmplementeerd in een bestaand virtueel netwerk met een subnet dat al is geconfigureerd. Omdat AKS geen standaard load balancer of een egress-infrastructuur maakt, moet u indien nodig expliciete uitgaande paden instellen. Opties voor uitgaand verkeer kunnen bestaan uit het routeren van verkeer naar een firewall, proxy, gateway of andere aangepaste netwerkconfiguraties.

Uitgaand type van block (preview)

Belangrijk

Het block uitgaande type is alleen beschikbaar met netwerkisolatiecluster en vereist zorgvuldige planning om ervoor te zorgen dat er geen onbedoelde netwerkafhankelijkheden bestaan. Zie overwegingen voor geïsoleerde clusters voor volledig geïsoleerde clusters.

Als block dit is ingesteld, configureert AKS netwerkregels om al het uitgaand verkeer van het cluster actief te blokkeren. Deze optie is handig voor zeer veilige omgevingen waarbij uitgaande connectiviteit moet worden beperkt.

Wanneer u het volgende gebruikt block:

  • AKS zorgt ervoor dat geen openbaar internetverkeer het cluster kan verlaten via NSG-regels (netwerkbeveiligingsgroep). VNet-verkeer wordt niet beïnvloed.
  • U moet elk vereist uitgaand verkeer expliciet toestaan via extra netwerkconfiguraties.

De block optie biedt een ander niveau van netwerkisolatie, maar vereist zorgvuldige planning om te voorkomen dat workloads of afhankelijkheden worden onderbroken.

Bijwerken outboundType na het maken van het cluster

Als u het uitgaande type wijzigt nadat het cluster is gemaakt, worden resources geïmplementeerd of verwijderd, indien nodig om het cluster in de nieuwe uitgaande configuratie te plaatsen.

In de volgende tabellen ziet u de ondersteunde migratiepaden tussen uitgaande typen voor beheerde en virtuele BYO-netwerken.

Ondersteunde migratiepaden voor beheerd VNet

Elke rij geeft aan of het uitgaande type kan worden gemigreerd naar de typen bovenaan. 'Ondersteund' betekent dat migratie mogelijk is, terwijl 'Niet ondersteund' of 'N/B' betekent dat dit niet zo is.

Van |Aan loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting none block
loadBalancer N.v.t. Ondersteund Niet ondersteund Niet ondersteund Ondersteund Ondersteund
managedNATGateway Ondersteund N.v.t. Niet ondersteund Niet ondersteund Ondersteund Ondersteund
userAssignedNATGateway Niet ondersteund Niet ondersteund N.v.t. Niet ondersteund Niet ondersteund Niet ondersteund
none Ondersteund Ondersteund Niet ondersteund Niet ondersteund N.v.t. Ondersteund
block Ondersteund Ondersteund Niet ondersteund Niet ondersteund Ondersteund N.v.t.

Ondersteunde migratiepaden voor BYO VNet

Van |Aan loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting none block
loadBalancer N.v.t. Niet ondersteund Ondersteund Ondersteund Ondersteund Niet ondersteund
managedNATGateway Niet ondersteund N.v.t. Niet ondersteund Niet ondersteund Niet ondersteund Niet ondersteund
userAssignedNATGateway Ondersteund Niet ondersteund N.v.t. Ondersteund Ondersteund Niet ondersteund
userDefinedRouting Ondersteund Niet ondersteund Ondersteund N.v.t. Ondersteund Niet ondersteund
none Ondersteund Niet ondersteund Ondersteund Ondersteund N.v.t. Niet ondersteund

Migratie wordt alleen ondersteund tussen loadBalancer, managedNATGateway (als u een beheerd virtueel netwerk gebruikt) userAssignedNATGateway en userDefinedRouting (als u een aangepast virtueel netwerk gebruikt).

Waarschuwing

Als u het uitgaande type migreert naar door de gebruiker beheerde typen (userAssignedNATGateway of userDefinedRouting), worden de uitgaande openbare IP-adressen van het cluster gewijzigd. als geautoriseerde IP-bereiken zijn ingeschakeld, moet u ervoor zorgen dat er een nieuw uitgaand IP-bereik wordt toegevoegd aan het geautoriseerde IP-bereik.

Waarschuwing

Het wijzigen van het uitgaande type op een cluster is verstorend voor de netwerkverbinding en resulteert in een wijziging van het uitgaande IP-adres van het cluster. Als er firewallregels zijn geconfigureerd om verkeer van het cluster te beperken, moet u deze bijwerken zodat deze overeenkomen met het nieuwe UITGAANDE IP-adres.

Cluster bijwerken om een nieuw uitgaand type te gebruiken

Notitie

U moet een versie >= 2.56 van Azure CLI gebruiken om het uitgaande type te migreren. Gebruik az upgrade dit om bij te werken naar de nieuwste versie van Azure CLI.

  • Werk de uitgaande configuratie van uw cluster bij met behulp van de az aks update opdracht.

Cluster bijwerken van loadbalancer naar managedNATGateway

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>

Cluster bijwerken van managedNATGateway naar loadbalancer

az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >

Waarschuwing

Gebruik geen IP-adres dat al wordt gebruikt in eerdere uitgaande configuraties.

Cluster bijwerken van managedNATGateway naar userDefinedRouting

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting

Cluster bijwerken van loadbalancer naar userAssignedNATGateway in BYO vnet-scenario

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway

Volgende stappen