Delen via

Clusteruitgangen aanpassen met een door de gebruiker gedefinieerde routeringstabel in Azure Kubernetes Service (AKS)

  • Artikel

U kunt het uitgangspunt voor uw AKS-clusters (Azure Kubernetes Service) aanpassen aan specifieke scenario's. AKS richt standaard een Standard SKU-load balancer in voor uitgaand verkeer. De standaardinstelling voldoet echter mogelijk niet aan de vereisten van alle scenario's als openbare IP-adressen niet zijn toegestaan of als voor het scenario extra hops zijn vereist voor uitgaand verkeer.

In dit artikel wordt uitgelegd hoe u de route voor uitgaand verkeer van een cluster kunt aanpassen ter ondersteuning van aangepaste netwerkscenario's. Deze scenario's omvatten degenen die openbare IP-adressen niet mogen gebruiken en vereisen dat het cluster zich achter een virtueel netwerkapparaat (NVA) bevindt.

Vereisten

  • Azure CLI versie 2.0.81 of hoger. Voer az --version uit om de versie te bekijken. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.
  • API-versie 2020-01-01 of hoger.

Vereisten en beperkingen

Het gebruik van uitgaand type is een geavanceerd netwerkscenario en vereist de juiste netwerkconfiguratie. De volgende vereisten en beperkingen gelden voor het gebruik van het uitgaande type:

  • Voor de instelling outboundType zijn AKS-clusters met een vm-set-type van VirtualMachineScaleSets en een load-balancer-sku van Standardvereist.
  • Als u outboundType een waarde instelt op UDR een door de gebruiker gedefinieerde route met geldige uitgaande connectiviteit voor het cluster.
  • Het instellen outboundType op een waarde van impliceert dat het ip-adres van UDR de bron voor inkomend verkeer dat naar de load balancer wordt gerouteerd, mogelijk niet overeenkomt met het uitgaande uitgaande doeladres van het cluster.

Overzicht van het aanpassen van uitgaand verkeer met een door de gebruiker gedefinieerde routeringstabel

AKS configureert niet automatisch uitgaande paden als userDefinedRouting deze is ingesteld, wat betekent dat u het uitgaand verkeer moet configureren.

Wanneer u geen SLB-architectuur (Standard Load Balancer) gebruikt, moet u expliciet uitgaand verkeer instellen. U moet uw AKS-cluster implementeren in een bestaand virtueel netwerk met een subnet dat eerder is geconfigureerd. Voor deze architectuur moet uitgaand verkeer expliciet worden verzonden naar een apparaat, zoals een firewall, gateway of proxy, zodat een openbaar IP-adres dat is toegewezen aan de standaard load balancer of het apparaat de NAT (Network Address Translation) kan verwerken.

Load balancer maken met userDefinedRouting

AKS-clusters met een uitgaand type UDR krijgen alleen een standaard load balancer wanneer de eerste Kubernetes-service van het type loadBalancer wordt geïmplementeerd. De load balancer is geconfigureerd met een openbaar IP-adres voor binnenkomende aanvragen en een back-endpool voor binnenkomende aanvragen. De Azure-cloudprovider configureert inkomende regels, maar configureert geen uitgaand openbaar IP-adres of uitgaande regels. Uw UDR is de enige bron voor uitgaand verkeer.

Notitie

Voor Azure Load Balancers worden geen kosten in rekening gebracht totdat een regel is geplaatst.

Een cluster implementeren met uitgaand type UDR en Azure Firewall

Als u een toepassing van een cluster met uitgaand type wilt zien met behulp van een door de gebruiker gedefinieerde route, raadpleegt u dit voorbeeld van uitgaand verkeer beperken met Azure Firewall.

Belangrijk

Uitgaand type UDR vereist een route voor 0.0.0.0/0 en een volgende hopbestemming van NVA in de routetabel. De routetabel heeft al een standaardwaarde 0.0.0.0/0 op internet. Zonder een openbaar IP-adres dat Azure kan gebruiken voor SNAT (Source Network Address Translation), biedt het toevoegen van deze route geen uitgaande internetverbinding. AKS valideert dat u geen route 0.0.0.0/0 maakt die verwijst naar internet, maar in plaats daarvan naar een gateway, NVA, enzovoort. Wanneer u een uitgaand type UDR gebruikt, wordt een openbaar IP-adres van een load balancer voor binnenkomende aanvragen niet gemaakt, tenzij u een service van het type loadbalancer configureert. AKS maakt nooit een openbaar IP-adres voor uitgaande aanvragen als u een uitgaand type UDR instelt.

Volgende stappen

Zie voor meer informatie over door de gebruiker gedefinieerde routes en Azure-netwerken: