إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تنبيه
أعلنت شبكة Kubernetes SIG ولجنة الاستجابة الأمنية عن التقاعد القادملمشروع Ingress NGINX، مع انتهاء الصيانة في مارس 2026. لا يوجد إجراء فوري اليوم لمجموعات AKS التي تستخدم إضافة توجيه التطبيقات مع NGINX. ستوفر مايكروسوفت دعما رسميا للتصحيحات الأمنية الحرجة لموارد NGINX Ingress الإضافية لتوجيه التطبيقات حتى نوفمبر 2026.
تتوافق AKS مع Kubernetes المتقدمة من خلال الانتقال إلى واجهة برمجة تطبيقات Gateway كمعيار طويل الأمد لإدارة حركة المرور في الداخل والطبقة السابعة. ننصحك بأن تبدأ في تخطيط مسار الهجرة بناء على إعدادك الحالي:
- مستخدمو إضافات توجيه التطبيقات: تظل أعباء العمل الإنتاجية مدعومة بالكامل حتى نوفمبر 2026. انتقل إلى تنفيذ واجهة برمجة تطبيقات بوابة توجيه التطبيقات للحصول على تجربة إدارة حركة المرور القائمة على واجهة برمجة تطبيقات البوابة.
-
لدى مستخدمي OSS NGINX عدة خيارات:
- انتقل إلى إضافة توجيه التطبيقات باستخدام NGINX للاستفادة من الدعم الرسمي حتى نوفمبر 2026 أثناء التخطيط لترحيل واجهة برمجة التطبيقات طويلة الأمد لبوابة.
- انتقل إلى تنفيذ واجهة برمجة تطبيقات بوابة توجيه التطبيقات للحصول على تجربة إدارة حركة المرور القائمة على واجهة برمجة تطبيقات البوابة.
- انتقل إلى Application Gateway for Containers، الذي يدعم كل من واجهة برمجة تطبيقات Ingress وواجهة Gateway.
- مستخدمو شبكة الخدمة: إذا كنت تخطط لاعتماد شبكة خدمة، فكر في إضافة شبكة الخدمات المبنية على Istio. استخدم Istio Ingress اليوم، وخطط للانتقال إلى دعم واجهة برمجة تطبيقات Istio Gateway عندما يصبح GA.
الدخول في AKS هو مورد Kubernetes يدير الوصول الخارجي إلى نسبة استخدام الشبكة مثل HTTP إلى الخدمات داخل نظام مجموعة. قد يوفر دخول AKS خدمات مثل موازنة التحميل وإنهاء SSL والاستضافة الظاهرية المستندة إلى الاسم. لمزيد من المعلومات حول دخول Kubernetes، راجع وثائق دخول Kubernetes.
بالنسبة لمعظم أعباء العمل الإنتاجية، ابدأ ب AKS Automatic. AKS Automatic هو الإعداد الافتراضي الموصى به جاهز للإنتاج في AKS ويوفر إعدادات افتراضية مدارة للشبكة، والتوسع، والأمان، والمراقبة، والترقيات. بالنسبة للدخول، هذا يعني أنه يمكنك البدء بمسار الإدخال المدار والانتقال إلى خيارات أكثر تخصصا فقط عندما تحتاج إلى تحكم أعمق في الطوبولوجيا، أو سلوك التوجيه، أو تكامل شبكة الخدمة.
استخدم AKS Standard عندما تحتاج إلى تحكم أكثر وضوحا في اختيار وحدة التحكم في الدخول، أو طوبولوجيا النشر، أو تكامل الشبكات المتقدم.
أوضاع ودخول مجموعة AKS
يدعم AKS وضعين للعناقود:
- AKS Automatic: نقطة انطلاق موصى بها لمعظم أعباء العمل الإنتاجية. يقلل من العبء التشغيلي ويمنحك إعدادات افتراضية مدارة للدخول ومكونات الشبكة ذات الصلة.
- معيار AKS: أفضل عندما تحتاج إلى تحكم صريح في استضافة وحدات التحكم في الدخول، والتعرض للخدمة، وأنماط إدارة حركة المرور المتقدمة.
تنطبق إرشادات الدخول في هذا المقال على كلا الوضعين. الفرق الرئيسي هو من يملك المزيد من إعدادات المنصة الافتراضية وكمية التخصيص التي تحتاج لإدارتها مباشرة.
وحدات تحكم الدخول
عند إدارة حركة مرور التطبيق، توفر وحدات التحكم في الدخول قدرات متقدمة عن طريق العمل في الطبقة 7. يمكنهم توجيه حركة مرور HTTP إلى تطبيقات مختلفة استنادا إلى عنوان URL الوارد، ما يسمح بقواعد توزيع نسبة استخدام الشبكة الأكثر ذكاء ومرونة. على سبيل المثال، يمكن لوحدة تحكم الدخول توجيه نسبة استخدام الشبكة إلى خدمات مصغرة مختلفة اعتمادا على مسار URL، ما يعزز كفاءة وتنظيم خدماتك.
من ناحية أخرى، تقوم خدمة من نوع LoadBalancer، عند إنشائها، بإعداد مورد موازن تحميل Azure أساسي. يعمل موازن التحميل هذا في الطبقة 4، ويوزع نسبة استخدام الشبكة على القرون في الخدمة الخاصة بك على منفذ محدد. ومع ذلك، فإن خدمات الطبقة 4 غير مدركة للتطبيقات الفعلية ولا يمكنها تنفيذ هذه الأنواع من قواعد التوجيه المعقدة.
يساعد فهم التمييز بين هذين النهجين في اختيار الأداة المناسبة لاحتياجات إدارة حركة المرور الخاصة بك.
إذا كنت تستخدم AKS Automatic، ابدأ أولا بمسار الدخول المدار واستخدم خيارات أكثر تخصصا فقط عندما يتطلب عبء العمل ذلك. في AKS Standard، لديك مرونة أكبر لاختيار وحدة التحكم والطوبولوجيا التي تتناسب مع معمارك بشكل أفضل.
مقارنة خيارات الدخول
مقارنة الميزات
يوضح الجدول التالي فروقات الميزات بين خيارات وحدة التحكم المختلفة للدخول. بالنسبة لمعظم أحمال عمل AKS الإنتاجية، المسار الافتراضي الموصى به هو نهج الإدخال المدار في AKS Automatic ما لم تكن بحاجة تحديدا إلى توجيه مخصص، أو تكامل شبكة الخدمة، أو إدخال مستضاف من Azure.
| ميزة | إضافة توجيه التطبيقات | بوابة التطبيق للحاويات | Azure Service Mesh / Istio service mesh |
|---|---|---|---|
| وحدة تحكم الدخول/البوابة | وحدة تحكم دخول NGINX | بوابة تطبيق Azure للحاويات | بوابة إيستيو إنغريس |
| واجهة برمجة التطبيقات | واجهة برمجة تطبيقات الدخول | واجهة برمجة تطبيقات الدخول وواجهة برمجة تطبيقات البوابة | واجهة برمجة تطبيقات Istio Ingress |
| استضافه | داخل نظام المجموعة | استضافة Azure | داخل نظام المجموعة |
| تغيير الحجم | التحجيم التلقائي | التحجيم التلقائي | التحجيم التلقائي |
| موازنة الأحمال | داخلي/خارجي | خارجي | داخلي/خارجي |
| إنهاء SSL | داخل نظام المجموعة | نعم: إلغاء التحميل وE2E SSL | داخل نظام المجموعة |
| mTLS | غير متوفر | نعم: الواجهة الأمامية والخلفية | نعم |
| عنوان IP الثابت | نعم | FQDN (لا يوجد عنوان IP ثابت) | غير متوفر |
| شهادات SSL المخزنة في Azure Key Vault | نعم | نعم | غير متوفر |
| تكامل Azure DNS لإدارة منطقة DNS | نعم | نعم | غير متوفر |
متى تستخدم كل وحدة تحكم دخول
يسرد الجدول التالي السيناريوهات المختلفة حيث يمكنك استخدام كل وحدة تحكم دخول:
| خيار الدخول | وقت الاستخدام |
|---|---|
| NGINX المدارة - إضافة توجيه التطبيقات | • وحدات تحكم دخول NGINX المستضافة والمخصصة والقابلة للتطوير داخل المجموعة. • قدرات توازن الأحمال الأساسية والتوجيه. • تكوين موازن الحمل الداخلي والخارجي. • تكوين عنوان IP ثابت. • التكامل مع Azure Key Vault لإدارة الشهادات. • التكامل مع Azure DNS Zones لإدارة DNS العامة والخاصة. • يدعم واجهة برمجة تطبيقات Ingress. |
| بوابة التطبيق للحاويات | • بوابة الدخول المستضافة من Azure. • استراتيجيات نشر مرنة تدار من قبل المراقب أو إحضار بوابة التطبيقات الخاصة بك للحاويات. • ميزات إدارة حركة المرور المتقدمة مثل التراجع التلقائي، مرونة منطقة التوفر، المصادقة المتبادلة (mTLS) إلى الهدف الخلفي، تقسيم الحركة / التدوير الموزون، والتكبير التلقائي. • التكامل مع Azure Key Vault لإدارة الشهادات. • التكامل مع Azure DNS Zones لإدارة DNS العامة والخاصة. • يدعم واجهات برمجة التطبيقات Ingress وGate. |
| بوابة إيستيو إنغريس | • استنادا إلى Envoy، عند استخدام مع Istio لمجموعة خدمة. • ميزات إدارة حركة المرور المتقدمة مثل تحديد المعدل وكسر الدوائر الكهربائية. • دعم mTLS. |
إشعار
إضافة Istio حاليا لا تدعم واجهة برمجة تطبيقات Gateway لحركة المرور الداخلة الخاصة ب Istio.
إنشاء مورد دخول
إضافة توجيه التطبيقات هي الطريقة الموصى بها لتكوين وحدة تحكم الدخول في AKS، وهي مسار الدخول المدار للبدء في AKS Automatic لمعظم أعباء العمل. إضافة توجيه التطبيقات هي وحدة تحكم دخول مدارة بالكامل ل AKS توفر الميزات التالية:
- تكوين سهل لوحدات تحكم الدخول المدارة NGINX تعتمد على وحدة تحكم Kubernetes NGINX Ingress.
- التكامل مع Azure DNS لإدارة المنطقة العامة والخاصة.
- إنهاء SSL مع الشهادات المخزنة في Azure Key Vault.
بالنسبة لمعظم أعباء العمل الإنتاجية، هذا هو الوضع الافتراضي الصحيح من البداية. إذا كنت بحاجة إلى طوبولوجيا إدخال مخصصة، أو إدخال مستضاف من Azure، أو سلوك شبكة خدمة، يمكنك الانتقال إلى أحد خيارات الدخول الأخرى.
لمزيد من المعلومات حول إضافة توجيه التطبيقات، راجع إدخال NGINX المدار مع إضافة توجيه التطبيقات.
الاحتفاظ بعنوان IP المصدر للعميل
تكوين وحدة تحكم في الدخول للاحتفاظ بعنوان IP المصدر للعميل بناء على طلبات إلى حاويات في نظام مجموعة AKS. عندما تقوم وحدة تحكم في الدخول بتوجيه طلب العميل إلى حاوية في نظام المجموعة AKS الخاص بك، فإن عنوان IP المصدر الأصلي لذلك الطلب لا يكون متوفرًا للحاوية الهدف. عند تمكين الاحتفاظ بعنوان IP المصدر للعميل يكون عنوان IP المصدر للعميل متوفرًا في عنوان الطلب ضمن X-Forwarded-For.
إذا كنت تستخدم الاحتفاظ بعنوان IP المصدر للعميل على وحدة التحكم في الدخول الخاصة بك، لا يمكنك استخدام TLS العابر. يمكن استخدام الاحتفاظ بعنوان IP المصدر للعميل وTLS العابر مع خدمات أخرى، مثل نوع LoadBalancer.
يظل هذا خيارا تصميميا مهما في كل من AKS Automatic وAKS Standard، لأن التعامل مع IP المصدر يؤثر على قابلية الملاحظة، وقابلية التدقيق، وسلوك التطبيق بغض النظر عن وضع العنقود.
لمعرفة المزيد حول الاحتفاظ بمصدر IP للعميل، راجع كيفية عمل الاحتفاظ بمصدر IP للعميل لخدمات LoadBalancer في AKS.