مفاهيم الشبكات للتطبيقات في خدمة Azure Kubernetes (AKS)
في نهج الخدمات الصغرى المستندة إلى حاويات لتطوير التطبيقات، تعمل مكونات التطبيقات معًا لمعالجة مهامها. يوفر Kubernetes موارد مختلفة تمكن هذا التعاون:
- يمكنك الاتصال بالتطبيقات وعرضها داخليًا أو خارجيًا.
- يمكنك إنشاء التطبيقات المتوفرة بشكل كبير عن طريق موازنة تحميل التطبيقات الخاصة بك.
- يمكنك تقييد تدفق حركة مرور الشبكة إلى أو بين القرون والعقد لتحسين الأمان.
- يمكنك تكوين حركة مرور الدخول لإنهاء SSL/TLS أو توجيه مكونات متعددة لتطبيقاتك الأكثر تعقيدا.
تقدم هذه المقالة المفاهيم الأساسية التي توفر الشبكات لتطبيقاتك في AKS:
أساسيات شبكة Kubernetes
يستخدم Kubernetes طبقة شبكة ظاهرية لإدارة الوصول داخل التطبيقات وبينها أو مكوناتها:
عقد Kubernetes والشبكة الظاهرية: يتم توصيل عقد Kubernetes بشبكة ظاهرية. يتيح هذا الإعداد لوحدات الجراب (الوحدات الأساسية للتوزيع في Kubernetes) إمكانية الاتصال الوارد والصادر.
مكون وكيل Kube: يعمل kube-proxy على كل عقدة وهو مسؤول عن توفير ميزات الشبكة الضرورية.
فيما يتعلق بوظائف Kubernetes المحددة:
- موازن التحميل: يمكنك استخدام موازن تحميل لتوزيع نسبة استخدام الشبكة بالتساوي عبر موارد مختلفة.
- وحدات التحكم في الدخول: تسهل هذه التوجيه من الطبقة 7، وهو أمر ضروري لتوجيه حركة مرور التطبيقات.
- التحكم في حركة الخروج: يسمح لك Kubernetes بإدارة حركة المرور الصادرة والتحكم فيها من عقد نظام المجموعة.
- نهج الشبكة: تمكن هذه النهج مقاييس الأمان والتصفية لحركة مرور الشبكة في pods.
في سياق النظام الأساسي Azure:
- يبسط Azure الشبكات الظاهرية لمجموعات AKS (Azure Kubernetes Service).
- يؤدي إنشاء موازن تحميل Kubernetes على Azure في وقت واحد إلى إعداد مورد موازن تحميل Azure المقابل.
- أثناء فتح منافذ الشبكة إلى pods، يقوم Azure تلقائيا بتكوين قواعد مجموعة أمان الشبكة الضرورية.
- يمكن ل Azure أيضا إدارة تكوينات DNS الخارجية لتوجيه تطبيق HTTP مع إنشاء مسارات دخول جديدة.
الشبكات الظاهرية في Azure.
في AKS، يمكنك نشر نظام مجموعة يستخدم أحد نماذج الشبكة التالية:
- نموذج شبكة التراكب: يعد تراكب الشبكات هو نموذج الشبكات الأكثر شيوعا المستخدم في Kubernetes. يتم إعطاء الجرابات عنوان IP من CIDR خاص منفصل منطقيا عن الشبكة الفرعية لشبكة Azure الظاهرية حيث يتم نشر عقد AKS. يتيح هذا النموذج قابلية توسع أبسط ومحسنة مقارنة بنموذج الشبكة المسطحة.
- نموذج الشبكة المسطحة: يقوم نموذج شبكة مسطحة في AKS بتعيين عناوين IP إلى pods من شبكة فرعية من نفس شبكة Azure الظاهرية مثل عقد AKS. أي حركة مرور تغادر مجموعاتك ليست SNAT'd، ويتم عرض عنوان IP الخاص بالجراب مباشرة إلى الوجهة. يمكن أن يكون هذا النموذج مفيدا لسيناريوهات مثل تعريض عناوين IP للحجيرة للخدمات الخارجية.
لمزيد من المعلومات حول نماذج الشبكات في AKS، راجع شبكات CNI في AKS.
التحكم في حركة المرور الصادرة (الخروج)
يتم نشر مجموعات AKS على شبكة ظاهرية واتبعيات صادرة على الخدمات خارج تلك الشبكة الظاهرية. يتم تعريف هذه التبعيات الصادرة بالكامل تقريبا بأسماء مجالات مؤهلة بالكامل (FQDNs). بشكل افتراضي، تتمتع مجموعات AKS بالوصول غير المقيد إلى الإنترنت الصادر (الخروج)، والذي يسمح للعقد والخدمات التي تقوم بتشغيلها بالوصول إلى الموارد الخارجية حسب الحاجة. إذا رغبت في ذلك، يمكنك تقييد نسبة استخدام الشبكة الصادرة.
لمزيد من المعلومات، راجع التحكم في نسبة استخدام الشبكة الصادر لنظام مجموعة العقد في AKS.
مجموعات أمان الشبكة
تقوم مجموعة أمان الشبكة بتصفية نسبة الاستخدام للأجهزة الظاهرية مثل عقد AKS. أثناء إنشاء خدمات، مثل LoadBalancer، يقوم النظام الأساسي Azure تلقائيا بتكوين أي قواعد ضرورية لمجموعة أمان الشبكة.
لا تحتاج إلى تكوين قواعد مجموعة أمان الشبكة يدويًا لتصفية نسبة الاستخدام للحاويات في نظام مجموعة AKS. يمكنك تحديد أي منافذ مطلوبة وإعادة التوجيه كجزء من بيانات خدمة Kubernetes والسماح للنظام الأساسي Azure بإنشاء القواعد المناسبة أو تحديثها.
يمكنك أيضًا استخدام نهج الشبكة لتطبيق قواعد تصفية نسبة الاستخدام تلقائيًا على الحاويات.
لمزيد من المعلومات، راجع كيفية تصفية مجموعات أمان الشبكة لنسبة استخدام الشبكة.
نهج الشبكة
بشكل افتراضي، يمكن إرسال كافة الحاويات في نظام مجموعة AKS وتلقي نسبة الاستخدام دون قيود. لتحسين الأمان، حدد القواعد التي تتحكم في تدفق نسبة الاستخدام، مثل:
- يتم عرض التطبيقات الخلفية فقط لخدمات الواجهة الأمامية المطلوبة.
- تكون مكونات قاعدة البيانات قابلة للوصول إليها فقط إلى مستويات التطبيق التي تتصل بها.
تعد نهج الشبكة ميزة Kubernetes متوفرة في AKS تمكنك من التحكم في تدفق نسبة الاستخدام بين الحاويات. يمكنك السماح بنسبة استخدام الشبكة إلى الجراب أو رفضها استنادا إلى إعدادات مثل التسميات المعينة أو مساحة الاسم أو منفذ حركة المرور. في حين أن مجموعات أمان الشبكة أفضل لعقد AKS، إلا أن نهج الشبكة هي طريقة أكثر ملاءمة، وهي طريقة محلية للتحكم في تدفق نسبة الاستخدام للحاويات. وكما يتم إنشاء الحاويات ديناميكيًا في نظام مجموعة AKS، يمكن تطبيق نُهُج الشبكة المطلوبة تلقائيًا.
لمزيد من المعلومات، راجع تأمين نسبة الاستخدام بين الحاويات باستخدام نُهُج الشبكة في Azure Kubernetes Service (AKS).
الخطوات التالية
للبدء في شبكة AKS، قم بإنشاء وتكوين مجموعة AKS مع نطاقات عناوين IP الخاصة بك باستخدام تراكب Azure CNI أو Azure CNI.
للاطلاع على أفضل الممارسات ذات الصلة، راجع أفضل ممارسات الاتصال بالشبكة والأمان في AKS.
لمزيد من المعلومات حول مفاهيم Kubernetes وAKS الأساسية، راجع المقالات التالية:
Azure Kubernetes Service
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ