الدخول في خدمة Azure Kubernetes (AKS)
الدخول في AKS هو مورد Kubernetes يدير الوصول الخارجي إلى نسبة استخدام الشبكة مثل HTTP إلى الخدمات داخل نظام مجموعة. قد يوفر دخول AKS خدمات مثل موازنة التحميل وإنهاء SSL والاستضافة الظاهرية المستندة إلى الاسم. لمزيد من المعلومات حول دخول Kubernetes، راجع وثائق دخول Kubernetes.
وحدات تحكم الدخول
عند إدارة حركة مرور التطبيق، توفر وحدات التحكم في الدخول قدرات متقدمة عن طريق العمل في الطبقة 7. يمكنهم توجيه حركة مرور HTTP إلى تطبيقات مختلفة استنادا إلى عنوان URL الوارد، ما يسمح بقواعد توزيع نسبة استخدام الشبكة الأكثر ذكاء ومرونة. على سبيل المثال، يمكن لوحدة تحكم الدخول توجيه نسبة استخدام الشبكة إلى خدمات مصغرة مختلفة اعتمادا على مسار URL، ما يعزز كفاءة وتنظيم خدماتك.
من ناحية أخرى، تقوم خدمة من نوع LoadBalancer، عند إنشائها، بإعداد مورد موازن تحميل Azure أساسي. يعمل موازن التحميل هذا في الطبقة 4، ويوزع نسبة استخدام الشبكة على القرون في الخدمة الخاصة بك على منفذ محدد. ومع ذلك، فإن خدمات الطبقة 4 غير مدركة للتطبيقات الفعلية ولا يمكنها تنفيذ هذه الأنواع من قواعد التوجيه المعقدة.
يساعد فهم التمييز بين هذين النهجين في اختيار الأداة المناسبة لاحتياجات إدارة حركة المرور الخاصة بك.
مقارنة خيارات الدخول
يسرد الجدول التالي اختلافات الميزة بين خيارات وحدة تحكم الدخول المختلفة:
| ميزة | ملحق توجيه التطبيق | بوابة التطبيق للحاويات | شبكة الخدمة المستندة إلى Azure Service Mesh/Istio |
|---|---|---|---|
| وحدة تحكم الدخول/البوابة | وحدة تحكم دخول NGINX | بوابة تطبيق Azure للحاويات | Istio Ingress Gateway |
| API | واجهة برمجة تطبيقات الدخول | واجهة برمجة تطبيقات الدخول وواجهة برمجة تطبيقات البوابة | واجهة برمجة تطبيقات البوابة |
| استضافه | داخل نظام المجموعة | استضافة Azure | داخل نظام المجموعة |
| تغيير الحجم | التحجيم التلقائي | التحجيم التلقائي | التحجيم التلقائي |
| موازنة الأحمال | داخلي/خارجي | خارجي | داخلي/خارجي |
| إنهاء SSL | داخل نظام المجموعة | نعم: إلغاء التحميل وE2E SSL | داخل نظام المجموعة |
| mTLS | غير متوفر | نعم للواجهة الخلفية | غير متوفر |
| عنوان IP ثابت | غير متوفر | FQDN | غير متوفر |
| شهادات SSL المخزنة في Azure Key Vault | نعم | نعم | غير متوفر |
| تكامل Azure DNS لإدارة منطقة DNS | نعم | نعم | غير متوفر |
يسرد الجدول التالي السيناريوهات المختلفة حيث يمكنك استخدام كل وحدة تحكم دخول:
| خيار الدخول | وقت الاستخدام |
|---|---|
| NGINX المدار - ملحق توجيه التطبيق | • وحدات تحكم دخول NGINX المستضافة والمخصصة والقابلة للتطوير داخل المجموعة. • قدرات موازنة التحميل والتوجيه الأساسية. • تكوين موازن التحميل الداخلي والخارجي. • تكوين عنوان IP ثابت. • التكامل مع Azure Key Vault لإدارة الشهادات. • التكامل مع مناطق Azure DNS لإدارة DNS العامة والخاصة. • يدعم واجهة برمجة تطبيقات الدخول. |
| بوابة التطبيق للحاويات | • بوابة الدخول المستضافة من Azure. • استراتيجيات نشر مرنة تديرها وحدة التحكم أو إحضار بوابة التطبيق للحاويات الخاصة بك. • ميزات إدارة حركة المرور المتقدمة مثل إعادة المحاولة التلقائية ومرونة منطقة التوفر والمصادقة المتبادلة (mTLS) إلى هدف الواجهة الخلفية وتقسيم نسبة استخدام الشبكة / الترتيب الدوري المرجح والتحجيم التلقائي. • التكامل مع Azure Key Vault لإدارة الشهادات. • التكامل مع مناطق Azure DNS لإدارة DNS العامة والخاصة. • يدعم واجهات برمجة تطبيقات الدخول والبوابة. |
| Istio Ingress Gateway | • استنادا إلى Envoy، عند استخدام مع Istio لمجموعة خدمة. • ميزات متقدمة لإدارة حركة المرور مثل تحديد المعدل وكسر الدوائر. • دعم mTLS • يدعم واجهة برمجة تطبيقات البوابة. |
إنشاء مورد دخول
ملحق توجيه التطبيق هو الطريقة الموصى بها لتكوين وحدة تحكم الدخول في AKS. ملحق توجيه التطبيق هو وحدة تحكم دخول مدارة بالكامل لخدمة Azure Kubernetes (AKS) التي توفر الميزات التالية:
تكوين سهل لوحدات تحكم دخول NGINX المدارة استنادا إلى وحدة تحكم دخول Kubernetes NGINX.
التكامل مع Azure DNS لإدارة المنطقة العامة والخاصة.
إنهاء SSL مع الشهادات المخزنة في Azure Key Vault.
لمزيد من المعلومات حول ملحق توجيه التطبيق، راجع دخول NGINX المدار مع الوظيفة الإضافية لتوجيه التطبيق.
الاحتفاظ بعنوان IP المصدر للعميل
تكوين وحدة تحكم في الدخول للاحتفاظ بعنوان IP المصدر للعميل بناء على طلبات إلى حاويات في نظام مجموعة AKS. عندما تقوم وحدة تحكم في الدخول بتوجيه طلب العميل إلى حاوية في نظام المجموعة AKS الخاص بك، فإن عنوان IP المصدر الأصلي لذلك الطلب لا يكون متوفرًا للحاوية الهدف. عند تمكين الاحتفاظ بعنوان IP المصدر للعميل يكون عنوان IP المصدر للعميل متوفرًا في عنوان الطلب ضمن X-Forwarded-For.
إذا كنت تستخدم الاحتفاظ بعنوان IP المصدر للعميل على وحدة التحكم في الدخول الخاصة بك، لا يمكنك استخدام TLS العابر. يمكن استخدام الاحتفاظ بعنوان IP المصدر للعميل وTLS العابر مع خدمات أخرى، مثل نوع LoadBalancer.
لمعرفة المزيد حول الاحتفاظ بمصدر IP للعميل، راجع كيفية عمل الاحتفاظ بمصدر IP للعميل لخدمات LoadBalancer في AKS.
Azure Kubernetes Service
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ