إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
في نهج الخدمات الصغرى المستندة إلى حاويات لتطوير التطبيقات، تعمل مكونات التطبيقات معًا لمعالجة مهامها. يوفر Kubernetes موارد مختلفة تمكن هذا التعاون:
- يمكنك الاتصال بالتطبيقات وعرضها داخليًا أو خارجيًا.
- يمكنك إنشاء التطبيقات المتوفرة بشكل كبير عن طريق موازنة تحميل التطبيقات الخاصة بك.
- يمكنك تقييد تدفق حركة مرور الشبكة إلى أو بين القرون والعقد لتحسين الأمان.
- يمكنك تكوين حركة مرور الدخول لإنهاء SSL/TLS أو توجيه مكونات متعددة لتطبيقاتك الأكثر تعقيدا.
تقدم هذه المقالة المفاهيم الأساسية التي توفر الشبكات لتطبيقاتك في AKS:
أساسيات شبكة Kubernetes
يستخدم Kubernetes طبقة شبكة ظاهرية لإدارة الوصول داخل التطبيقات وبينها أو مكوناتها:
عقد Kubernetes والشبكة الظاهرية: يتم توصيل عقد Kubernetes بشبكة ظاهرية. يتيح هذا الإعداد لوحدات الجراب (الوحدات الأساسية للتوزيع في Kubernetes) إمكانية الاتصال الوارد والصادر.
مكون وكيل Kube: يعمل kube-proxy على كل عقدة وهو مسؤول عن توفير ميزات الشبكة الضرورية.
فيما يتعلق بوظائف Kubernetes المحددة:
- موازن التحميل: يمكنك استخدام موازن تحميل لتوزيع نسبة استخدام الشبكة بالتساوي عبر موارد مختلفة.
- وحدات التحكم في الدخول: تسهل هذه التوجيه من الطبقة 7، وهو أمر ضروري لتوجيه حركة مرور التطبيقات.
- التحكم في حركة الخروج: يسمح لك Kubernetes بإدارة حركة المرور الصادرة والتحكم فيها من عقد نظام المجموعة.
- نهج الشبكة: تمكن هذه النهج مقاييس الأمان والتصفية لحركة مرور الشبكة في pods.
في سياق منصة Azure:
- Azure Streamlines virtual networking for AKS (Azure Kubernetes Service) clusters.
- إنشاء موازن تحميل Kubernetes على Azure يقوم في نفس الوقت بإعداد مورد موازن الحمل المقابل Azure.
- عند فتح منافذ الشبكة إلى الكبساط، يقوم Azure تلقائيا بتكوين قواعد مجموعة أمان الشبكة اللازمة.
- يمكن ل Azure أيضا إدارة تكوينات DNS الخارجية لتوجيه تطبيقات HTTP مع إنشاء مسارات Ingress جديدة.
Azure Virtual Networks
في AKS، يمكنك نشر نظام مجموعة يستخدم أحد نماذج الشبكة التالية:
- نموذج شبكة التراكب: يعد تراكب الشبكات هو نموذج الشبكات الأكثر شيوعا المستخدم في Kubernetes. تعطى البودات عنوان IP من CIDR خاص ومنفصل منطقيا عن شبكة Azure الافتراضية حيث يتم نشر عقد AKS. يتيح هذا النموذج قابلية توسع أبسط ومحسنة مقارنة بنموذج الشبكة المسطحة.
- نموذج الشبكة المسطحة: نموذج الشبكة المسطحة في AKS يخصص عناوين IP إلى الكبسولات من شبكة فرعية من نفس الشبكة الافتراضية Azure التي تضم عقد AKS. أي حركة مرور تغادر مجموعاتك ليست SNAT'd، ويتم عرض عنوان IP الخاص بالجراب مباشرة إلى الوجهة. يمكن أن يكون هذا النموذج مفيدا لسيناريوهات مثل تعريض عناوين IP للحجيرة للخدمات الخارجية.
لمزيد من المعلومات حول نماذج الشبكات في AKS، راجع شبكات CNI في AKS.
التحكم في حركة المرور الصادرة (الخروج)
يتم نشر مجموعات AKS على شبكة ظاهرية، واتبعيات صادرة على خدمات خارج تلك الشبكة الظاهرية، والتي يتم تعريفها بالكامل تقريبا بأسماء مجالات مؤهلة بالكامل (FQDNs). توفر AKS العديد من خيارات التكوين الصادرة التي تسمح لك بتخصيص الطريقة التي يتم بها الوصول إلى هذه الموارد الخارجية.
هام
بدءا من 31 مارس 2026، لم يعد خدمة Azure Kubernetes (AKS) يدعم الوصول الافتراضي الصادر للآلات الافتراضية (VMs). ستقوم مجموعات AKS الجديدة التي تستخدم خيار الشبكة الافتراضية المدارة بواسطة AKS بوضع شبكات التجمع الفرعية في شبكات فرعية خاصة بشكل افتراضي (defaultOutboundAccess = false). هذا الإعداد لا يؤثر على حركة مرور العنقود المدارة بواسطة AKS، والتي تستخدم مسارات خارجية مهيأة بشكل صريح. قد يؤثر ذلك على السيناريوهات غير المدعومة، مثل نشر موارد أخرى في نفس الشبكة الفرعية. المجموعات التي تستخدم VNets BYO لا تتأثر بهذا التغيير. في التكوينات المدعومة، لا يلزم اتخاذ أي إجراء. لمزيد من المعلومات حول هذا التقاعد، راجع Azure تحديثات إعلان التقاعد. للبقاء على اطلاع بالإعلانات والتحديثات، تابع ملاحظات الإصدار AKS.
خيارات التكوين الصادرة
لمزيد من المعلومات حول أنواع تكوين المجموعات الصادرة المدعومة من AKS، انظر تخصيص خروج العنقود مع أنواع الخروج في خدمة Azure Kubernetes (AKS).
بشكل افتراضي، تتمتع مجموعات AKS بالوصول غير المقيد إلى الإنترنت الصادر (الخروج)، والذي يسمح للعقد والخدمات التي تقوم بتشغيلها بالوصول إلى الموارد الخارجية حسب الحاجة. إذا رغبت في ذلك، يمكنك تقييد نسبة استخدام الشبكة الصادرة.
لمزيد من المعلومات حول كيفية تقييد نسبة استخدام الشبكة الصادرة من نظام المجموعة الخاص بك، راجع التحكم في نسبة استخدام الشبكة للخروج لعقد نظام المجموعة في AKS.
مجموعات أمان الشبكة
تقوم مجموعة أمان الشبكة بتصفية نسبة الاستخدام للأجهزة الظاهرية مثل عقد AKS. عند إنشاء الخدمات، مثل LoadBalancer، تقوم منصة Azure تلقائيا بتكوين أي قواعد ضرورية لمجموعة أمن الشبكة.
لا تحتاج إلى تكوين قواعد مجموعة أمان الشبكة يدويًا لتصفية نسبة الاستخدام للحاويات في نظام مجموعة AKS. يمكنك تعريف أي منافذ مطلوبة وإعادة توجيه كجزء من ملفات خدمة Kubernetes الخاصة بك والسماح لمنصة Azure بإنشاء أو تحديث القواعد المناسبة.
يمكنك أيضًا استخدام نهج الشبكة لتطبيق قواعد تصفية نسبة الاستخدام تلقائيًا على الحاويات.
لمزيد من المعلومات، راجع كيفية تصفية مجموعات أمان الشبكة لنسبة استخدام الشبكة.
متطلبات الشبكة الظاهرية المخصصة
عند استخدام شبكة ظاهرية مخصصة مع مجموعات AKS، إذا قمت بإضافة قواعد مجموعة أمان الشبكة (NSG) لتقييد نسبة استخدام الشبكة بين الشبكات الفرعية المختلفة، فتأكد من أن قواعد أمان NSG تسمح بالأنواع التالية من الاتصالات:
| الوجهة | المصدر | بروتوكول | ميناء | استخدام |
|---|---|---|---|---|
| شبكة APIServer الفرعية CIDR | الشبكة الفرعية لنظام المجموعة | TCP | 443 و4443 | مطلوب لتمكين الاتصال بين العقد وخادم API. |
| شبكة APIServer الفرعية CIDR | موازن تحميل Azure | TCP | 9988 | مطلوب لتمكين التواصل بين موازن تحميل Azure وخادم API. يمكنك أيضا تفعيل جميع الاتصالات بين موازن تحميل Azure وخادم Subnet الخاص ب API CIDR. |
| عقدة CIDR | عقدة CIDR | كافة البروتوكولات | كافة المنافذ | مطلوب لتمكين الاتصال بين العقد. |
| عقدة CIDR | جراب CIDR | كافة البروتوكولات | كافة المنافذ | مطلوب لتوجيه نسبة استخدام الشبكة للخدمة. |
| جراب CIDR | جراب CIDR | كافة البروتوكولات | كافة المنافذ | مطلوب لنسبة استخدام الشبكة من Pod إلى Pod وPod to Service، بما في ذلك DNS. |
تنطبق هذه المتطلبات على كل من مجموعات AKS Standard و AKS Automatic عند استخدام الشبكات الظاهرية المخصصة.
دقة DNS
حل DNS ضروري لاكتشاف الخدمات والتواصل في AKS. بشكل افتراضي، يستخدم AKS CoreDNS لتوفير حل الأسماء الداخلية للوحدات والخدمات.
لتحسين أداء DNS وموثوقيتها، تقدم AKS نظام LocalDNS، الذي ينشر وكيل DNS على كل عقدة. يقوم LocalDNS بحل الاستعلامات محليا، مما يقلل من زمن الاستجابة ويلغي conntrack ضغط الجدول من حركة مرور DNS. كما يدعم تقديم الاستجابات المخزنة مؤقتا أثناء انقطاعات DNS في المراحل المتقدمة، مما يحسن من مرونة عبء العمل. يعد LocalDNS مفيدا بشكل خاص في المجموعات الكبيرة أو البيئات التي تحتوي على أحجام استعلام DNS مرتفعة. لتفاصيل التكوين، انظر تكوين LocalDNS.
نهج الشبكة
بشكل افتراضي، يمكن إرسال كافة الحاويات في نظام مجموعة AKS وتلقي نسبة الاستخدام دون قيود. لتحسين الأمان، حدد القواعد التي تتحكم في تدفق نسبة الاستخدام، مثل:
- يتم عرض التطبيقات الخلفية فقط لخدمات الواجهة الأمامية المطلوبة.
- تكون مكونات قاعدة البيانات قابلة للوصول إليها فقط إلى مستويات التطبيق التي تتصل بها.
تعد نهج الشبكة ميزة Kubernetes متوفرة في AKS تمكنك من التحكم في تدفق نسبة الاستخدام بين الحاويات. يمكنك السماح بنسبة استخدام الشبكة إلى الجراب أو رفضها استنادا إلى إعدادات مثل التسميات المعينة أو مساحة الاسم أو منفذ حركة المرور. في حين أن مجموعات أمان الشبكة أفضل لعقد AKS، إلا أن نهج الشبكة هي طريقة أكثر ملاءمة، وهي طريقة محلية للتحكم في تدفق نسبة الاستخدام للحاويات. وكما يتم إنشاء الحاويات ديناميكيًا في نظام مجموعة AKS، يمكن تطبيق نُهُج الشبكة المطلوبة تلقائيًا.
لمزيد من المعلومات، راجع Secure traffic بين الكبسولات باستخدام سياسات الشبكة في خدمة Azure Kubernetes (AKS).
الخطوات التالية
للبدء في شبكات AKS، أنشئ وقم بتكوين مجموعة AKS بنطاقات عناوين IP الخاصة بك باستخدام Azure CNI Overlay أو Azure CNI.
للاطلاع على أفضل الممارسات ذات الصلة، راجع أفضل ممارسات الاتصال بالشبكة والأمان في AKS.
لمزيد من المعلومات حول مفاهيم Kubernetes وAKS الأساسية، راجع المقالات التالية: