Customize cluster exress with outbound types in خدمة Azure Kubernetes ‏(AKS)

هام

بدءا من 31 مارس 2026، لم يعد خدمة Azure Kubernetes ‏(AKS) يدعم الوصول الافتراضي الصادر للآلات الافتراضية (VMs). ستقوم مجموعات AKS الجديدة التي تستخدم خيار الشبكة الافتراضية المدارة بواسطة AKS بوضع شبكات التجمع الفرعية في شبكات فرعية خاصة بشكل افتراضي (defaultOutboundAccess = false). هذا الإعداد لا يؤثر على حركة مرور العنقود المدارة بواسطة AKS، والتي تستخدم مسارات خارجية مهيأة بشكل صريح. قد يؤثر ذلك على السيناريوهات غير المدعومة، مثل نشر موارد أخرى في نفس الشبكة الفرعية. المجموعات التي تستخدم VNets BYO لا تتأثر بهذا التغيير. في التكوينات المدعومة، لا يلزم اتخاذ أي إجراء. لمزيد من المعلومات حول هذا التقاعد، راجع Azure تحديثات إعلان التقاعد. للبقاء على اطلاع بالإعلانات والتحديثات، تابع ملاحظات الإصدار AKS.

يمكنك تخصيص الخروج لمجموعة AKS لتناسب سيناريوهات محددة. بشكل افتراضي، تقوم AKS بإنشاء Standard Load Balancer ليتم إعداده واستخدامه للخروج. ومع ذلك، قد لا يفي الإعداد الافتراضي بمتطلبات جميع السيناريوهات إذا كانت عناوين IP العامة غير مسموح بها أو كانت هناك حاجة إلى قفزات إضافية للخروج.

تتناول هذه المقالة الأنواع المختلفة للاتصال الصادر المتوفر في مجموعات AKS.

إشعار

يمكنك الآن تحديث outboundType بعد إنشاء نظام المجموعة.

هام

في أنظمة المجموعات غير المتميزة، يتم توجيه نسبة استخدام شبكة نظام مجموعة خادم API ومعالجتها من خلال نوع نظام المجموعة الصادر. لمنع معالجة حركة مرور خادم API كحركة مرور عامة، ضع في اعتبارك استخدام مجموعة خاصة، أو تحقق من ميزة تكامل API Server VNet.

القيود

  • يتطلب الإعداد outboundType مجموعات AKS مع و vm-set-typeVirtualMachineScaleSetsload-balancer-sku من .Standard

الأنواع الصادرة في AKS

يمكنك تكوين عنقود AKS باستخدام الأنواع الصادرة التالية: موازن التحميل، بوابة NAT، أو المسارات المعرفة من قبل المستخدم. يؤثر النوع الصادر فقط على نسبة استخدام الشبكة الخارجة من نظام المجموعة الخاص بك. لمزيد من المعلومات، راجع إعداد وحدات التحكم في الدخول.

النوع الخارجي: Load Balancer

يتم استخدام موازن التحميل للخروج من خلال IP عام معين من AKS. يدعم النوع الصادر من loadBalancer خدمات Kubernetes من النوع loadBalancer، والتي تتوقع الخروج من موازن التحميل الذي أنشأه موفر موارد AKS.

إذا loadBalancer تم تعيين، يكمل AKS التكوين التالي تلقائيا:

  • يتم إنشاء عنوان IP عام للخروج من نظام المجموعة.
  • يُعين عنوان بروتوكول الإنترنت العام لمورد موازن التحميل.
  • يتم إعداد تجمعات الخلفية لموازن التحميل لضبط عقدة عامل في نظام مجموعة.

يوضح Diagram عنوان IP الدخول وIP الخروج، حيث يوجه IP الوارد حركة المرور إلى موزن تحميل، الذي يوجه حركة المرور من وإلى عنقود داخلي وحركة مرور أخرى إلى IP الخروج، والذي يوجه حركة المرور إلى الإنترنت، وMCR، والخدمات المطلوبة Azure، ومستوى التحكم AKS.

لمزيد من المعلومات، راجع استخدام موازن تحميل قياسي في AKS.

نوع الخارج: بوابة NAT

إذا تم اختيار managedNATGatewayV2 (معاينة)، managedNATGateway أو userAssignedNATGateway ل outboundType، يعتمد AKS على Azure بوابة NAT الشبكية للخروج من العنقود.

  • اختر managedNATGatewayV2 أو managedNATGateway عند استخدام الشبكات الافتراضية المدارة. توفر AKS بوابة NAT من نوع StandardV2 مع managedNATGatewayV2 بوابة NAT managedNATGateway القياسية وتربطها بشبكة العنقود. يوصى ببوابة NAT StandardV2 لأنها زائدة عن الحاجة للمنطقة بشكل افتراضي وتوفر عرض نطاق ترددي ومعدل نقل أعلى. للمعلومات، راجع بوابة StandardV2 NAT.
  • حدد userAssignedNATGateway عند استخدام الشبكات الظاهرية الخاصة بك. يتطلب هذا الخيار أن يكون لديك بوابة NAT تم إنشاؤها قبل إنشاء نظام المجموعة. يتم دعم كل من بوابات NAT القياسية وStandardV2.

هام

النوع managedNATGatewayV2 الصادر حاليا في مرحلة المعاينة. راجع شروط الاستخدام الإضافية الإضافية لمعاينات Microsoft Azure للمصطلحات القانونية التي تنطبق على الميزات Azure التي هي في مرحلة التجريب، أو المعاينة، أو التي لم تصدر بعد في التوفر العام.

لمزيد من المعلومات، راجع استخدام بوابة NAT مع AKS.

نوع الخروج الخارجي: User-Defined المسارات

إشعار

userDefinedRouting النوع الصادر هو سيناريو شبكة متقدم ويتطلب تكوين شبكة مناسبة.

إذا userDefinedRouting تم تعيين، لا يقوم AKS بتكوين مسارات الخروج تلقائيا. يتم إكمال إعداد الخروج من قبلك.

يجب نشر نظام مجموعة AKS في شبكة ظاهرية موجودة مع شبكة فرعية تم تكوينها. نظرا لأنك لا تستخدم بنية موازن تحميل قياسي (SLB)، يجب عليك إنشاء خروج صريح. تتطلب هذه البنية إرسال حركة مرور الخروج بشكل صريح إلى جهاز مثل جدار الحماية أو البوابة أو الوكيل أو للسماح بإجراء NAT بواسطة IP عام مخصص لموازن التحميل القياسي أو الجهاز.

لمزيد من المعلومات، راجع تكوين خروج نظام المجموعة عبر التوجيه المعرف من قبل المستخدم.

نوع الصادر: لا يوجد

هام

none يتوفر النوع الصادر فقط مع شبكة نظام المجموعة المعزولة ويتطلب تخطيطا دقيقا لضمان عمل المجموعة كما هو متوقع دون تبعيات غير مقصودة على الخدمات الخارجية. بالنسبة للمجموعات المعزولة بالكامل، راجع اعتبارات نظام المجموعة المعزولة.

إذا none تم تعيين، فلن تقوم AKS بتكوين مسارات الخروج تلقائيا. يشبه userDefinedRouting هذا الخيار ولكنه لا يتطلب مسارا افتراضيا كجزء من التحقق من الصحة.

none يتم دعم النوع الصادر في كل من سيناريوهات الشبكة الظاهرية الخاصة بك (BYO) وسيناريوهات الشبكة الظاهرية المدارة. ومع ذلك، يجب التأكد من نشر نظام مجموعة AKS في بيئة شبكة حيث يتم تعريف مسارات الخروج الصريحة إذا لزم الأمر. بالنسبة لسيناريوهات BYO VNet، يجب نشر نظام المجموعة في شبكة ظاهرية موجودة مع شبكة فرعية تم تكوينها بالفعل. نظرا لأن AKS لا تنشئ موازن تحميل قياسي أو أي بنية أساسية للخروج، يجب عليك إنشاء مسارات خروج صريحة إذا لزم الأمر. يمكن أن تتضمن خيارات الخروج توجيه نسبة استخدام الشبكة إلى جدار حماية أو وكيل أو بوابة أو تكوينات شبكة مخصصة أخرى.

النوع الصادر: كتلة (معاينة)

هام

block يتوفر النوع الصادر فقط مع شبكة نظام المجموعة المعزولة ويتطلب تخطيطا دقيقا لضمان عدم وجود تبعيات شبكة غير مقصودة. بالنسبة للمجموعات المعزولة بالكامل، راجع اعتبارات نظام المجموعة المعزولة.

إذا block تم تعيين، يقوم AKS بتكوين قواعد الشبكة لمنع حركة مرور الخروج من المجموعة بشكل نشط. هذا الخيار مفيد للبيئات الآمنة للغاية حيث يجب تقييد الاتصال الصادر.

عند استخدام block:

  • تضمن AKS أنه لا يمكن لحركة مرور الإنترنت العامة مغادرة المجموعة من خلال قواعد مجموعة أمان الشبكة (NSG). لا تتأثر نسبة استخدام الشبكة الظاهرية.
  • يجب السماح صراحة بأي حركة مرور خروج مطلوبة من خلال تكوينات الشبكة الإضافية.

block يوفر الخيار مستوى آخر من عزل الشبكة ولكنه يتطلب تخطيطا دقيقا لتجنب كسر أحمال العمل أو التبعيات.

التحديث outboundType بعد إنشاء نظام المجموعة

يؤدي تغيير النوع الصادر بعد إنشاء نظام المجموعة إلى نشر الموارد أو إزالتها كما هو مطلوب لوضع نظام المجموعة في تكوين الخروج الجديد.

تعرض الجداول التالية مسارات الترحيل المدعومة بين الأنواع الصادرة للشبكات الظاهرية المدارة و BYO. يوضح كل صف ما إذا كان يمكن ترحيل النوع الصادر إلى الأنواع المدرجة عبر الجزء العلوي. تعني كلمة "مدعوم" أن الترحيل ممكن، بينما تعني "غير مدعومة" أو "غير مدعومة" أنها ليست كذلك.

مسارات الترحيل المدعومة لنظام VNet المدار

من|ل loadBalancer managedNATGatewayV2 managedNATGateway none block
loadBalancer ‏‫غير متوفر‬ مدعوم مدعوم مدعوم مدعوم
managedNATGatewayV2 غير معتمد ‏‫غير متوفر‬ غير معتمد غير معتمد غير معتمد
managedNATGateway غير معتمد مدعوم ‏‫غير متوفر‬ مدعوم مدعوم
none مدعوم مدعوم مدعوم ‏‫غير متوفر‬ مدعوم
block مدعوم مدعوم مدعوم مدعوم ‏‫غير متوفر‬

مسارات الترحيل المدعومة ل BYO VNet

من|ل loadBalancer userAssignedNATGateway userDefinedRouting none block
loadBalancer ‏‫غير متوفر‬ مدعوم مدعوم مدعوم غير معتمد
userAssignedNATGateway مدعوم ‏‫غير متوفر‬ مدعوم مدعوم غير معتمد
userDefinedRouting مدعوم مدعوم ‏‫غير متوفر‬ مدعوم غير معتمد
none مدعوم مدعوم مدعوم ‏‫غير متوفر‬ غير معتمد

تحذير

ترحيل النوع الصادر إلى managedNATGatewayV2userAssignedNATGateway أو userDefinedRouting سيغير عناوين IP العامة الصادرة في العنقود. إذا تم تفعيل نطاقات IP المصرح بها ، تأكد من إضافة نطاق IP الصادر الجديد إلى نطاق IP المصرح به.

تحذير

يؤدي تغيير النوع الصادر على نظام مجموعة إلى تعطيل اتصال الشبكة ويؤدي إلى تغيير عنوان IP للخروج الخاص بالمجموعة. يتضمن وقتا للتوقف وتأثيرا على الاتصالات القائمة. إذا تم تكوين أي قواعد جدار حماية لتقييد نسبة استخدام الشبكة من نظام المجموعة، فستحتاج إلى تحديثها لمطابقة عنوان IP للخروج الجديد.

تحديث نظام المجموعة لاستخدام نوع صادر جديد

إشعار

يجب عليك استخدام نسخة >= 2.56 من Azure CLI لنقل النوع الصادر. استخدم az upgrade لتحديث النسخة الأخيرة من Azure CLI.

تحديث التكوين الصادر لنظام المجموعة باستخدام az aks update الأمر .

تحديث المجموعة من loadBalancer إلى managedNATGatewayV2

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGatewayV2 --nat-gateway-managed-outbound-ipv6-count <number of managed outbound ipv6>

هام

النوع managedNATGatewayV2 الصادر حاليا في مرحلة المعاينة. راجع شروط الاستخدام الإضافية الإضافية لمعاينات Microsoft Azure للمصطلحات القانونية التي تنطبق على الميزات Azure التي هي في مرحلة التجريب، أو المعاينة، أو التي لم تصدر بعد في التوفر العام. لمزيد من المعلومات، راجع استخدام بوابة NAT مع AKS.

تحديث المجموعة من managedNATGateway إلى loadBalancer

az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
< --load-balancer-managed-outbound-ip-count <number of managed outbound ip> | --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >

تحذير

لا تعيد استخدام عنوان IP قيد الاستخدام بالفعل في التكوينات الصادرة السابقة.

تحديث المجموعة من managedNATGateway إلى userDefinedRouting

إضافة جدول التوجيه الافتراضي.0.0.0.0/0 يرجى مراجعة تخصيص مخرج العنقود باستخدام جدول توجيه محدد من قبل المستخدم في خدمة Azure Kubernetes ‏(AKS)

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting

تحديث عنقود من إلى loadBalanceruserAssignedNATGateway في سيناريو BYO VNet

ربط بوابة NAT بالشبكة الفرعية حيث يرتبط عبء العمل. راجع إنشاء بوابة NAT مدارة أو معينة من قبل المستخدم

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway

المحتوى ذو الصلة

  • Last updated on