Anpassen des ausgehenden Clusters mit einer benutzerdefinierten Routingtabelle in Azure Kubernetes Service (AKS)

Sie können den ausgehenden Datenverkehr für Ihre AKS-Cluster (Azure Kubernetes Service) an bestimmte Szenarien anpassen. AKS stellt standardmäßig einen Standard SKU-Lastenausgleich für ausgehenden Datenverkehr bereit. Das Standardsetup erfüllt aber möglicherweise nicht alle Anforderungen in allen Szenarien, wenn öffentliche IP-Adressen nicht zulässig oder zusätzliche Hops für den ausgehenden Datenverkehr erforderlich sind.

In diesem Artikel wird beschrieben, wie Sie die Ausgangsroute eines Clusters anpassen, um benutzerdefinierte Netzwerkszenarien zu unterstützen. Zu diesen Szenarien gehören Szenarien, die öffentliche IP-Adressen nicht zulassen und erfordern, dass sich der Cluster hinter einem virtuellen Netzwerkgerät (Network Virtual Appliance, NVA) befindet.

Voraussetzungen

• Azure CLI, Version 2.0.81 oder höher. Führen Sie az --version aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.
• API-Version 2020-01-01 oder höher.

Anforderungen und Einschränkungen

Die Verwendung von ausgehenden Typen ist ein erweitertes Netzwerkszenario und erfordert eine ordnungsgemäße Netzwerkkonfiguration. Die folgenden Anforderungen und Einschränkungen gelten für die Verwendung des ausgehenden Typs:

• Für die Einstellung outboundType sind AKS-Cluster erforderlich, bei denen vm-set-type von VirtualMachineScaleSets und ein load-balancer-sku von Standard festgelegt sind.
• Wenn Sie outboundType auf den Wert UDR festlegen, wird eine benutzerdefinierte Route mit gültiger ausgehender Konnektivität für den Cluster benötigt.
• Durch Festlegung von outboundType auf den Wert UDR wird impliziert, dass die IP-Quelladresse des eingehenden Datenverkehrs zum Routing an den Lastenausgleich nicht der IP-Zieladresse des vom Cluster ausgehenden Datenverkehrs entspricht.

Übersicht über das Anpassen des ausgehenden Datenverkehrs mit einer benutzerdefinierten Routingtabelle

AKS konfiguriert ausgehende Pfade nicht automatisch, wenn userDefinedRouting festgelegt ist. Dies bedeutet, dass Sie den ausgehenden Datenverkehr konfigurieren müssen.

Wenn Sie keine Load Balancer Standard-Architektur (SLB-Architektur) verwenden, müssen Sie expliziten ausgehenden Datenverkehr herstellen. Sie müssen Ihren AKS-Cluster in einem vorhandenen virtuellen Netzwerk mit einem zuvor konfigurierten Subnetz bereitstellen. Diese Architektur erfordert explizites Senden von ausgehendem Datenverkehr an eine Anwendung wie eine Firewall, ein Gateway oder einen Proxy, damit eine öffentliche IP-Adresse, die dem Load Balancer Standard zugewiesen ist, oder Anwendung die Netzwerkadressenübersetzung (Network Address Translation, NAT) verarbeiten kann.

Erstellung des Lastenausgleichs mit userDefinedRouting

AKS-Cluster mit dem Ausgangstyp „UDR“ erhalten nur dann einen Standard-Load Balancer (SLB), wenn der erste Kubernetes-Dienst vom Typ loadBalancer bereitgestellt wird. Der Load Balancer wird mit einer öffentlichen IP-Adresse für eingehende Anforderungen und einem Back-End-Pool für eingehende Anforderungen konfiguriert. Der Azure-Cloudanbieter konfiguriert Eingangsregeln, konfiguriert jedoch keine öffentlichen IP-Adressen für ausgehenden Datenverkehr oder Ausgangsregeln. Ihre UDR ist weiterhin die einzige Quelle für ausgehenden Datenverkehr.

Hinweis

Für Azure Load Balancer fallen erst Gebühren an, wenn eine Regel festgelegt wird.

Bereitstellen eines Clusters mit dem ausgehenden Typ „UDR“ und Azure Firewall

Eine Anwendung eines Clusters mit ausgehendem Typ mithilfe einer benutzerdefinierten Route finden Sie in diesem Beispiel zum Einschränken des ausgehenden Datenverkehrs mit Azure Firewall.

Wichtig

Der ausgehende Typ „UDR“ erfordert eine Route für 0.0.0.0/0 und ein Ziel des nächsten Hops des virtuellen Netzwerkgeräts (Network Virtual Appliance, NVA) in der Routingtabelle. Die Routingtabelle weist bereits die Standardeinstellung 0.0.0.0/0 zum Internet auf. Ohne eine öffentliche IP-Adresse, die Azure für die Quellnetzwerkadressenübersetzung (Source Network Address Translation, SNAT) verwenden kann, bietet das einfache Hinzufügen dieser Route keine ausgehende Internetverbindung. AKS überprüft, dass Sie keine 0.0.0.0/0-Route erstellen, die auf das Internet verweist, sondern stattdessen auf ein Gateway, ein NVA, etc. Bei Verwendung des Ausgangstyps „UDR“ wird eine öffentliche Lastenausgleichs-IP-Adresse für eingehende Anforderungen nur dann erstellt, wenn ein Dienst vom Typ loadbalancer konfiguriert wird. Eine öffentliche IP-Adresse für ausgehende Anforderungen wird von Azure Kubernetes Service (AKS) nie erstellt, wenn UDR als Ausgangstyp festgelegt ist.

Nächste Schritte

Weitere Informationen zu benutzerdefinierten Routen und Azure-Netzwerken finden Sie unter:

• Übersicht über die UDR für Azure-Netzwerke
• Erstellen, Ändern oder Löschen einer Routingtabelle.