Koncepty sítí pro aplikace ve službě Azure Kubernetes Service (AKS)

V kontejneru založeném na přístupu mikroslužeb k vývoji aplikací spolupracují komponenty aplikací na zpracování svých úloh. Kubernetes poskytuje různé prostředky, které umožňují tuto spolupráci:

• Můžete se připojit k aplikacím a zpřístupnit je interně nebo externě.
• Aplikace s vysokou dostupností můžete vytvářet vyrovnáváním zatížení aplikací.
• Pokud chcete zlepšit zabezpečení, můžete omezit tok síťového provozu do podů a uzlů nebo mezi těmito uzly.
• Přenosy příchozího přenosu dat můžete nakonfigurovat pro ukončení protokolu SSL/TLS nebo směrování více komponent pro složitější aplikace.

Tento článek představuje základní koncepty, které poskytují sítě aplikacím v AKS:

• Virtuální sítě Azure
• Zásady sítě

Základy sítí Kubernetes

Kubernetes využívá vrstvu virtuální sítě ke správě přístupu v rámci vašich aplikací a mezi jejich komponentami:

• Uzly Kubernetes a virtuální síť: Uzly Kubernetes jsou připojené k virtuální síti. Toto nastavení umožňuje, aby pody (základní jednotky nasazení v Kubernetes) měly příchozí i odchozí připojení.

• Komponenta kube-proxy: kube-proxy běží na každém uzlu a zodpovídá za poskytování potřebných síťových funkcí.

Týkající se konkrétních funkcí Kubernetes:

• Nástroj pro vyrovnávání zatížení: Nástroj pro vyrovnávání zatížení můžete použít k rovnoměrné distribuci síťového provozu napříč různými prostředky.
• Kontrolery příchozího přenosu dat: To usnadňuje směrování vrstvy 7, což je nezbytné pro směrování provozu aplikací.
• Řízení odchozího provozu: Kubernetes umožňuje spravovat a řídit odchozí provoz z uzlů clusteru.
• Zásady sítě: Tyto zásady umožňují bezpečnostní opatření a filtrování síťového provozu v podech.

V kontextu platformy Azure:

• Azure zjednodušuje virtuální sítě pro clustery AKS (Azure Kubernetes Service).
• Vytvoření nástroje pro vyrovnávání zatížení Kubernetes v Azure současně nastaví odpovídající prostředek nástroje pro vyrovnávání zatížení Azure.
• Když otevřete síťové porty pro pody, Azure automaticky nakonfiguruje potřebná pravidla skupiny zabezpečení sítě.
• Azure může také spravovat externí konfigurace DNS pro směrování aplikací HTTP při vytvoření nových tras příchozího přenosu dat.

Virtuální sítě Azure

V AKS můžete nasadit cluster, který používá jeden z následujících síťových modelů:

• Model překryvné sítě: Překryvné sítě jsou nejběžnějším síťovým modelem používaným v Kubernetes. Podům se přidělí IP adresa z privátní, logicky oddělené CIDR od podsítě virtuální sítě Azure, kde jsou nasazené uzly AKS. Tento model umožňuje jednodušší a vylepšenou škálovatelnost v porovnání s modelem ploché sítě.
• Model ploché sítě: Model ploché sítě v AKS přiřazuje IP adresy podům z podsítě ze stejné virtuální sítě Azure jako uzly AKS. Veškerý provoz, který opouští vaše clustery, není SNAT a IP adresa podu je přímo přístupná k cíli. Tento model může být užitečný pro scénáře, jako je vystavení IP adres podů externím službám.

Další informace o síťových modelech v AKS najdete v tématu Sítě CNI v AKS.

Řízení odchozího (výchozího) provozu

Clustery AKS se nasazují ve virtuální síti a mají odchozí závislosti na službách mimo danou virtuální síť. Tyto odchozí závislosti jsou téměř zcela definované plně s plně kvalifikovanými názvy domén (FQDN). Clustery AKS mají ve výchozím nastavení neomezený odchozí (výchozí) internetový přístup, který umožňuje uzlům a službám, které spustíte, přistupovat k externím prostředkům podle potřeby. V případě potřeby můžete omezit odchozí provoz.

Další informace najdete v tématu Řízení výchozího přenosu dat pro uzly clusteru v AKS.

Skupiny zabezpečení sítě

Skupina zabezpečení sítě filtruje provoz pro virtuální počítače, jako jsou uzly AKS. Při vytváření služeb, jako je například LoadBalancer, platforma Azure automaticky nakonfiguruje všechna potřebná pravidla skupiny zabezpečení sítě.

Pokud chcete filtrovat provoz podů v clusteru AKS, nemusíte konfigurovat pravidla skupiny zabezpečení sítě ručně. V manifestech služby Kubernetes Service můžete definovat všechny požadované porty a předávání a nechat platformu Azure vytvářet nebo aktualizovat příslušná pravidla.

S využitím zásad sítě také můžete zajistit automatické používání pravidel filtrování provozu na pody.

Další informace naleznete v tématu Jak skupiny zabezpečení sítě filtrují síťový provoz.

Zásady sítě

Ve výchozím nastavení můžou všechny pody v clusteru AKS odesílat a přijímat provoz bez omezení. Pro lepší zabezpečení definujte pravidla, která řídí tok provozu, například:

• Back-endové aplikace jsou vystavené pouze požadovaným front-endovým službám.
• Databázové komponenty jsou přístupné jenom pro aplikační vrstvy, které se k nim připojují.

Zásady sítě jsou funkce Kubernetes dostupná v AKS, která umožňuje řídit tok provozu mezi pody. Provoz do podu můžete povolit nebo zakázat na základě nastavení, jako jsou přiřazené popisky, obor názvů nebo port provozu. I když jsou skupiny zabezpečení sítě pro uzly AKS lepší, jsou zásady sítě vhodnějším cloudovým nativním způsobem, jak řídit tok provozu pro pody. Vzhledem k tomu, že se pody dynamicky vytvářejí v clusteru AKS, je možné automaticky použít požadované zásady sítě.

Další informace najdete v tématu Zabezpečení provozu mezi pody pomocí zásad sítě ve službě Azure Kubernetes Service (AKS).

Další kroky

Pokud chcete začít se sítěmi AKS, vytvořte a nakonfigurujte cluster AKS s vlastními rozsahy IP adres pomocí překrytí Azure CNI nebo Azure CNI.

Přidružené osvědčené postupy najdete v tématu Osvědčené postupy pro připojení k síti a zabezpečení v AKS.

Další informace o základních konceptech Kubernetes a AKS najdete v následujících článcích:

• Clustery a úlohy Kubernetes / AKS
• Kubernetes / Přístup a identita AKS
• Zabezpečení Kubernetes / AKS
• Kubernetes / úložiště AKS
• Škálování Kubernetes / AKS