Anpassen des ausgehenden Clusters mit einer benutzerdefinierten Routingtabelle in Azure Kubernetes Service (AKS)
Sie können den ausgehenden Datenverkehr für Ihre AKS-Cluster (Azure Kubernetes Service) an bestimmte Szenarien anpassen. AKS stellt standardmäßig einen Standard
SKU-Lastenausgleich für ausgehenden Datenverkehr bereit. Das Standardsetup erfüllt aber möglicherweise nicht alle Anforderungen in allen Szenarien, wenn öffentliche IP-Adressen nicht zulässig oder zusätzliche Hops für den ausgehenden Datenverkehr erforderlich sind.
In diesem Artikel wird beschrieben, wie Sie die Ausgangsroute eines Clusters anpassen, um benutzerdefinierte Netzwerkszenarien zu unterstützen. Zu diesen Szenarien gehören Szenarien, die öffentliche IP-Adressen nicht zulassen und erfordern, dass sich der Cluster hinter einem virtuellen Netzwerkgerät (Network Virtual Appliance, NVA) befindet.
Voraussetzungen
- Azure CLI, Version 2.0.81 oder höher. Führen Sie
az --version
aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI. - API-Version
2020-01-01
oder höher.
Anforderungen und Einschränkungen
Die Verwendung von ausgehenden Typen ist ein erweitertes Netzwerkszenario und erfordert eine ordnungsgemäße Netzwerkkonfiguration. Die folgenden Anforderungen und Einschränkungen gelten für die Verwendung des ausgehenden Typs:
- Für die Einstellung
outboundType
sind AKS-Cluster erforderlich, bei denenvm-set-type
vonVirtualMachineScaleSets
und einload-balancer-sku
vonStandard
festgelegt sind. - Wenn Sie
outboundType
auf den WertUDR
festlegen, wird eine benutzerdefinierte Route mit gültiger ausgehender Konnektivität für den Cluster benötigt. - Durch Festlegung von
outboundType
auf den WertUDR
wird impliziert, dass die IP-Quelladresse des eingehenden Datenverkehrs zum Routing an den Lastenausgleich nicht der IP-Zieladresse des vom Cluster ausgehenden Datenverkehrs entspricht.
Übersicht über das Anpassen des ausgehenden Datenverkehrs mit einer benutzerdefinierten Routingtabelle
AKS konfiguriert ausgehende Pfade nicht automatisch, wenn userDefinedRouting
festgelegt ist. Dies bedeutet, dass Sie den ausgehenden Datenverkehr konfigurieren müssen.
Wenn Sie keine Load Balancer Standard-Architektur (SLB-Architektur) verwenden, müssen Sie expliziten ausgehenden Datenverkehr herstellen. Sie müssen Ihren AKS-Cluster in einem vorhandenen virtuellen Netzwerk mit einem zuvor konfigurierten Subnetz bereitstellen. Diese Architektur erfordert explizites Senden von ausgehendem Datenverkehr an eine Anwendung wie eine Firewall, ein Gateway oder einen Proxy, damit eine öffentliche IP-Adresse, die dem Load Balancer Standard zugewiesen ist, oder Anwendung die Netzwerkadressenübersetzung (Network Address Translation, NAT) verarbeiten kann.
Erstellung des Lastenausgleichs mit userDefinedRouting
AKS-Cluster mit dem Ausgangstyp „UDR“ erhalten nur dann einen Standard-Load Balancer (SLB), wenn der erste Kubernetes-Dienst vom Typ loadBalancer
bereitgestellt wird. Der Load Balancer wird mit einer öffentlichen IP-Adresse für eingehende Anforderungen und einem Back-End-Pool für eingehende Anforderungen konfiguriert. Der Azure-Cloudanbieter konfiguriert Eingangsregeln, konfiguriert jedoch keine öffentlichen IP-Adressen für ausgehenden Datenverkehr oder Ausgangsregeln. Ihre UDR ist weiterhin die einzige Quelle für ausgehenden Datenverkehr.
Hinweis
Für Azure Load Balancer fallen erst Gebühren an, wenn eine Regel festgelegt wird.
Bereitstellen eines Clusters mit dem ausgehenden Typ „UDR“ und Azure Firewall
Eine Anwendung eines Clusters mit ausgehendem Typ mithilfe einer benutzerdefinierten Route finden Sie in diesem Beispiel zum Einschränken des ausgehenden Datenverkehrs mit Azure Firewall.
Wichtig
Der ausgehende Typ „UDR“ erfordert eine Route für 0.0.0.0/0 und ein Ziel des nächsten Hops des virtuellen Netzwerkgeräts (Network Virtual Appliance, NVA) in der Routingtabelle. Die Routingtabelle weist bereits die Standardeinstellung 0.0.0.0/0 zum Internet auf. Ohne eine öffentliche IP-Adresse, die Azure für die Quellnetzwerkadressenübersetzung (Source Network Address Translation, SNAT) verwenden kann, bietet das einfache Hinzufügen dieser Route keine ausgehende Internetverbindung. AKS überprüft, dass Sie keine 0.0.0.0/0-Route erstellen, die auf das Internet verweist, sondern stattdessen auf ein Gateway, ein NVA, etc. Bei Verwendung des Ausgangstyps „UDR“ wird eine öffentliche Lastenausgleichs-IP-Adresse für eingehende Anforderungen nur dann erstellt, wenn ein Dienst vom Typ loadbalancer konfiguriert wird. Eine öffentliche IP-Adresse für ausgehende Anforderungen wird von Azure Kubernetes Service (AKS) nie erstellt, wenn UDR als Ausgangstyp festgelegt ist.
Nächste Schritte
Weitere Informationen zu benutzerdefinierten Routen und Azure-Netzwerken finden Sie unter:
Azure Kubernetes Service