Příchozí přenos dat ve službě Azure Kubernetes Service (AKS)
Příchozí přenos dat v AKS je prostředek Kubernetes, který spravuje externí přístup k provozu podobnému protokolu HTTP ke službám v clusteru. Příchozí přenos dat AKS může poskytovat služby, jako je vyrovnávání zatížení, ukončení protokolu SSL a hostování založené na názvech. Další informace o příchozím přenosu dat Kubernetes najdete v dokumentaci k příchozímu přenosu dat Kubernetes.
Kontrolery příchozích dat
Při správě provozu aplikací poskytují kontrolery příchozího přenosu dat pokročilé možnosti provozem ve vrstvě 7. Můžou směrovat provoz HTTP do různých aplikací na základě příchozí adresy URL, což umožňuje inteligentnější a flexibilnější pravidla distribuce provozu. Kontroler příchozího přenosu dat může například směrovat provoz do různých mikroslužeb v závislosti na cestě URL, což zvyšuje efektivitu a organizaci vašich služeb.
Na druhou stranu služba typu LoadBalancer při vytváření nastaví základní prostředek nástroje pro vyrovnávání zatížení Azure. Tento nástroj pro vyrovnávání zatížení funguje ve vrstvě 4 a distribuuje provoz do podů ve vaší službě na zadaném portu. Služby vrstvy 4 ale neví o skutečných aplikacích a nemůžou implementovat tyto typy složitých pravidel směrování.
Pochopení rozdílu mezi těmito dvěma přístupy pomáhá při výběru správného nástroje pro vaše potřeby správy provozu.
Porovnání možností příchozího přenosu dat
Následující tabulka uvádí rozdíly mezi různými možnostmi kontroleru příchozího přenosu dat:
| Funkce | Doplněk Směrování aplikací | Application Gateway for Containers | Síť služeb Azure Service Mesh / Síť služeb založená na Istio |
|---|---|---|---|
| Příchozí přenos dat / kontroler brány | Kontroler příchozího přenosu dat NGINX | Aplikace Azure lication Gateway for Containers | Brána příchozího přenosu dat Istio |
| Rozhraní API | Rozhraní API příchozího přenosu dat | Rozhraní API pro příchozí přenos dat a rozhraní API brány | Rozhraní API brány |
| Hosting | V clusteru | Hostované Azure | V clusteru |
| Škálování | Automatické škálování | Automatické škálování | Automatické škálování |
| Vyrovnávání zatížení | Interní/externí | Externí | Interní/externí |
| Ukončení protokolu SSL | V clusteru | Ano: Přesměrování zpracování a SSL E2E | V clusteru |
| mTLS | – | Ano do back-endu | – |
| Statická IP adresa | – | FQDN | – |
| Uložené certifikáty SSL ve službě Azure Key Vault | Ano | Yes | – |
| Integrace Azure DNS pro správu zón DNS | Ano | Yes | – |
Následující tabulka uvádí různé scénáře, ve kterých můžete použít každý kontroler příchozího přenosu dat:
| Možnost příchozího přenosu dat | Vhodné použití služby |
|---|---|
| Spravovaný server NGINX – doplněk směrování aplikací | • Hostované, přizpůsobitelné a škálovatelné kontrolery příchozího přenosu dat NGINX v clusteru. • Základní možnosti vyrovnávání zatížení a směrování. • Konfigurace interního a externího nástroje pro vyrovnávání zatížení. • Konfigurace statické IP adresy. • Integrace se službou Azure Key Vault pro správu certifikátů • Integrace se zónami Azure DNS pro veřejnou a privátní správu DNS. • Podporuje rozhraní API příchozího přenosu dat. |
| Application Gateway pro kontejnery | • Brána příchozího přenosu dat hostovaná v Azure. • Flexibilní strategie nasazení spravované kontrolerem nebo používání vlastní služby Application Gateway pro kontejnery • Pokročilé funkce správy provozu, jako jsou automatické opakování, odolnost zóny dostupnosti, vzájemné ověřování (mTLS) do back-endového cíle, rozdělení provozu / vážené kruhové dotazování a automatické škálování. • Integrace se službou Azure Key Vault pro správu certifikátů • Integrace se zónami Azure DNS pro veřejnou a privátní správu DNS. • Podporuje rozhraní API příchozího přenosu dat a brány. |
| Brána příchozího přenosu dat Istio | • Na základě envoy při použití s Istio pro síť služeb. • Pokročilé funkce správy provozu, jako je omezování rychlosti a přerušení obvodu. • Podpora mTLS • Podporuje rozhraní API brány. |
Vytvoření prostředku příchozího přenosu dat
Doplněk směrování aplikací je doporučený způsob konfigurace kontroleru příchozího přenosu dat v AKS. Doplněk směrování aplikací je plně spravovaný kontroler příchozího přenosu dat pro Službu Azure Kubernetes Service (AKS), který poskytuje následující funkce:
Snadná konfigurace spravovaných kontrolerů příchozího přenosu dat NGINX na základě kontroleru příchozího přenosu dat NGINX Kubernetes
Integrace s Azure DNS pro správu veřejných a privátních zón
Ukončení protokolu SSL s certifikáty uloženými ve službě Azure Key Vault
Další informace o doplňku směrování aplikace naleznete v tématu Spravované příchozí přenosy dat NGINX s doplňkem směrování aplikace.
Zachování zdrojových IP adres klienta
Nakonfigurujte kontroler příchozího přenosu dat tak, aby zachoval zdrojovou IP adresu klienta u požadavků na kontejnery v clusteru AKS. Když kontroler příchozího přenosu dat směruje požadavek klienta do kontejneru v clusteru AKS, původní zdrojová IP adresa tohoto požadavku není pro cílový kontejner dostupná. Když povolíte zachování zdrojové IP adresy klienta, zdrojová IP adresa pro klienta je k dispozici v hlavičce požadavku v části X-Forwarded-For.
Pokud na kontroleru příchozího přenosu dat používáte zachování zdrojových IP adres klienta, nemůžete použít předávací protokol TLS. Zachování zdrojových IP adres klienta a předávací protokol TLS lze použít s jinými službami, jako je typ LoadBalancer .
Další informace o zachování zdrojové IP adresy klienta najdete v tématu Jak funguje zachování ip adresy zdroje klienta pro služby LoadBalancer v AKS.
Azure Kubernetes Service
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro