Udostępnij za pośrednictwem

Dostosowywanie ruchu wychodzącego klastra przy użyciu typów wychodzących w usłudze Azure Kubernetes Service (AKS)

  • Artykuł

Możesz dostosować ruch wychodzący dla klastra usługi AKS, aby dopasować je do określonych scenariuszy. Domyślnie usługa AKS aprowizuje standardowy moduł równoważenia obciążenia jednostki SKU do skonfigurowania i użycia na potrzeby ruchu wychodzącego. Jednak domyślna konfiguracja może nie spełniać wymagań wszystkich scenariuszy, jeśli publiczne adresy IP są niedozwolone lub dodatkowe przeskoki są wymagane w przypadku ruchu wychodzącego.

W tym artykule opisano różne typy łączności wychodzącej, które są dostępne w klastrach usługi AKS.

Uwaga

Teraz można zaktualizować po utworzeniu klastra outboundType .

Ważne

W klastrach innych niż prywatne ruch klastra serwera interfejsu API jest kierowany i przetwarzany za pośrednictwem typu wychodzącego klastrów. Aby zapobiec przetwarzaniu ruchu serwera interfejsu API jako ruchu publicznego, rozważ użycie klastra prywatnego lub zapoznaj się z funkcją integracji z siecią wirtualną serwera interfejsu API.

Ograniczenia

  • Ustawienie outboundType wymaga klastrów usługi AKS z wartością vm-set-type VirtualMachineScaleSets i Standardload-balancer-sku .

Typy ruchu wychodzącego w usłudze AKS

Klaster usługi AKS można skonfigurować przy użyciu następujących typów ruchu wychodzącego: moduł równoważenia obciążenia, brama translatora adresów sieciowych lub routing zdefiniowany przez użytkownika. Typ ruchu wychodzącego ma wpływ tylko na ruch wychodzący klastra. Aby uzyskać więcej informacji, zobacz Konfigurowanie kontrolerów ruchu przychodzącego.

Typ ruchu wychodzącego loadBalancer

Moduł równoważenia obciążenia jest używany do ruchu wychodzącego za pośrednictwem publicznego adresu IP przypisanego przez usługę AKS. Typ ruchu wychodzącego loadBalancer obsługuje usługi Kubernetes typu loadBalancer, które oczekują ruchu wychodzącego z modułu równoważenia obciążenia utworzonego przez dostawcę zasobów usługi AKS.

W przypadku loadBalancer ustawienia usługa AKS automatycznie ukończy następującą konfigurację:

  • Publiczny adres IP jest aprowizowany dla ruchu wychodzącego klastra.
  • Publiczny adres IP jest przypisywany do zasobu modułu równoważenia obciążenia.
  • Pule zaplecza dla modułu równoważenia obciążenia są konfigurowane dla węzłów agenta w klastrze.

Diagram przedstawia ruch przychodzący I P i wychodzący I P, gdzie ruch przychodzący I P kieruje ruch do modułu równoważenia obciążenia, który kieruje ruch do i z klastra wewnętrznego i innego ruchu do ruchu wychodzącego I P, który kieruje ruch do Internetu, M C R, wymaganych usług platformy Azure i płaszczyzny sterowania A K S.

Aby uzyskać więcej informacji, zobacz używanie standardowego modułu równoważenia obciążenia w usłudze AKS.

Typ ruchu wychodzącego managedNatGateway lub userAssignedNatGateway

Jeśli managedNatGateway dla usługi aKS wybrano outboundTypeopcję userAssignedNatGateway , usługa AKS korzysta z bramy translatora adresów sieciowych platformy Azure na potrzeby ruchu wychodzącego klastra.

  • Wybierz managedNatGateway w przypadku korzystania z zarządzanych sieci wirtualnych. Usługa AKS aprowizuje bramę translatora adresów sieciowych i dołącza ją do podsieci klastra.
  • Wybierz userAssignedNatGateway w przypadku korzystania z własnej sieci wirtualnej. Ta opcja wymaga aprowizowania bramy translatora adresów sieciowych przed utworzeniem klastra.

Aby uzyskać więcej informacji, zobacz używanie bramy translatora adresów sieciowych z usługą AKS.

Typ ruchu wychodzącego userDefinedRouting

Uwaga

Typ userDefinedRouting ruchu wychodzącego jest zaawansowanym scenariuszem sieciowym i wymaga odpowiedniej konfiguracji sieci.

W przypadku userDefinedRouting ustawienia usługa AKS nie będzie automatycznie konfigurować ścieżek ruchu wychodzącego. Konfiguracja ruchu wychodzącego musi być wykonywana przez Ciebie.

Klaster usługi AKS należy wdrożyć w istniejącej sieci wirtualnej z wcześniej skonfigurowaną podsiecią. Ponieważ nie używasz standardowej architektury modułu równoważenia obciążenia (SLB), musisz ustanowić jawny ruch wychodzący. Ta architektura wymaga jawnego wysyłania ruchu wychodzącego do urządzenia, takiego jak zapora, brama, serwer proxy lub zezwalanie na translator adresów sieciowych przez publiczny adres IP przypisany do standardowego modułu równoważenia obciążenia lub urządzenia.

Aby uzyskać więcej informacji, zobacz konfigurowanie ruchu wychodzącego klastra za pomocą routingu zdefiniowanego przez użytkownika.

Aktualizowanie outboundType po utworzeniu klastra

Zmiana typu ruchu wychodzącego po utworzeniu klastra spowoduje wdrożenie lub usunięcie zasobów zgodnie z wymaganiami, aby umieścić klaster w nowej konfiguracji ruchu wychodzącego.

W poniższych tabelach przedstawiono obsługiwane ścieżki migracji między typami ruchu wychodzącego dla zarządzanych i zarządzanych sieci wirtualnych BYO.

Obsługiwane ścieżki migracji dla zarządzanej sieci wirtualnej

Każdy wiersz pokazuje, czy typ ruchu wychodzącego można migrować do typów wymienionych u góry. "Obsługiwane" oznacza, że migracja jest możliwa, natomiast "Nieobsługiwane" lub "N/A" oznacza, że nie jest.

Od|Do loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting
loadBalancer Nie dotyczy Obsługiwane Nieobsługiwany Nieobsługiwany
managedNATGateway Obsługiwane Nie dotyczy Nieobsługiwany Nieobsługiwany
userAssignedNATGateway Nieobsługiwany Nieobsługiwany Nie dotyczy Nieobsługiwany

Obsługiwane ścieżki migracji dla sieci wirtualnej BYO

Od|Do loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting
loadBalancer Nie dotyczy Nieobsługiwany Obsługiwane Obsługiwane
managedNATGateway Nieobsługiwany Nie dotyczy Nieobsługiwany Nieobsługiwany
userAssignedNATGateway Obsługiwane Nieobsługiwany Nie dotyczy Obsługiwane
userDefinedRouting Obsługiwane Nieobsługiwany Obsługiwane Nie dotyczy

Migracja jest obsługiwana tylko między elementami loadBalancermanagedNATGateway (w przypadku korzystania z zarządzanej sieci wirtualnej) userAssignedNATGateway i userDefinedRouting (jeśli używasz niestandardowej sieci wirtualnej).

Ostrzeżenie

Migracja typu ruchu wychodzącego do typów zarządzanych przez użytkownika (userAssignedNATGateway i userDefinedRouting) spowoduje zmianę wychodzących publicznych adresów IP klastra. Jeśli włączone są autoryzowane zakresy adresów IP, upewnij się, że nowy zakres adresów IP dla ruchu wychodzącego jest dołączany do autoryzowanego zakresu adresów IP.

Ostrzeżenie

Zmiana typu ruchu wychodzącego w klastrze jest destrukcyjna dla łączności sieciowej i spowoduje zmianę adresu IP wychodzącego klastra. Jeśli skonfigurowano jakiekolwiek reguły zapory w celu ograniczenia ruchu z klastra, należy je zaktualizować, aby były zgodne z nowym adresem IP ruchu wychodzącego.

Aktualizowanie klastra w celu użycia nowego typu ruchu wychodzącego

Uwaga

Aby przeprowadzić migrację typu wychodzącego, musisz użyć wersji >= 2.56 interfejsu wiersza polecenia platformy Azure. Użyj az upgrade polecenia , aby zaktualizować do najnowszej wersji interfejsu wiersza polecenia platformy Azure.

  • Zaktualizuj konfigurację ruchu wychodzącego klastra przy użyciu az aks update polecenia .

Aktualizowanie klastra z modułu równoważenia obciążenia do elementu managedNATGateway

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>

Aktualizowanie klastra z elementu managedNATGateway do modułu równoważenia obciążenia

az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >

Ostrzeżenie

Nie używaj ponownie adresu IP, który jest już używany w poprzednich konfiguracjach ruchu wychodzącego.

Aktualizowanie klastra z elementu managedNATGateway do userDefinedRouting

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting

Aktualizowanie klastra z modułu równoważenia obciążenia do elementu userAssignedNATGateway w scenariuszu sieci wirtualnej BYO

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway

Następne kroki