Personalización de la salida del clúster con tipos de salida en Azure Kubernetes Service (AKS)
Puede personalizar la salida de un clúster de AKS para adaptarse a escenarios específicos. AKS aprovisiona un equilibrador de carga de SKU estándar para que se configure y se use para la salida de manera predeterminada. Sin embargo, es posible que la configuración predeterminada no cumpla los requisitos de todos los escenarios si no se permiten direcciones IP públicas o se requieren saltos adicionales para la salida.
En este artículo se tratan los distintos tipos de conectividad saliente que están disponibles en clústeres de AKS.
Nota
Ahora puede actualizar la outboundType
después de la creación del clúster.
Importante
En clústeres no privados, el tráfico del clúster del servidor de API se enruta y procesa a través del tipo de salida de clústeres. Para evitar que el tráfico del servidor de API se procese como tráfico público, considere la posibilidad de usar un clúster privado o consulte la característica Integración con red virtual del servidor de API.
- La configuración de
outboundType
requiere clústeres de AKS con un valor devm-set-type
deVirtualMachineScaleSets
, y un valor deload-balancer-sku
deStandard
.
Puede configurar un clúster de AKS mediante los siguientes tipos de salida: equilibrador de carga, puerta de enlace NAT o enrutamiento definido por el usuario. El tipo de salida afecta solo al tráfico de salida del clúster. Para obtener más información, consulte cómo configurar los controladores de entrada.
El equilibrador de carga se usa para la salida a través de una dirección IP pública asignada a AKS. El tipo de salida de loadBalancer
admite los servicios de Kubernetes del tipo loadBalancer
, que esperan la salida del equilibrador de carga creado por el proveedor de recursos de AKS.
Si se establece loadBalancer
, AKS completa automáticamente la configuración siguiente:
- Se aprovisiona una dirección IP pública para la salida del clúster.
- La dirección IP pública se asocia al recurso de equilibrador de carga.
- Se configuran los grupos de back-end del equilibrador de carga para los nodos del agente en el clúster.
Para más información, consulte Uso de un equilibrador de carga estándar en AKS.
Si se selecciona managedNatGateway
o userAssignedNatGateway
para outboundType
, AKS se basa en NAT Gateway de Redes de Azure para la salida del clúster.
- Seleccione
managedNatGateway
al usar redes virtuales administradas. AKS aprovisionará una puerta de enlace NAT y la adjuntará a la subred del clúster. - Seleccione
userAssignedNatGateway
al usar traiga sus propias redes virtuales. Esta opción requiere que haya aprovisionado una puerta de enlace NAT antes de crear el clúster.
Para obtener más información, consulte usar puerta de enlace NAT con AKS.
Nota
El tipo de salida de userDefinedRouting
es un escenario de redes avanzado y requiere una configuración de red adecuada.
Si se establece userDefinedRouting
, AKS no configurará automáticamente las rutas de salida. El usuario debe encargarse de la configuración de salida.
El clúster de AKS se debe implementar en una red virtual existente con una subred que se haya configurado previamente. Cuando no se usa una arquitectura de Standard Load Balancer (SLB), debe establecer salidas explícitas. Esta arquitectura requiere el envío explícito del tráfico de salida a un dispositivo, como un firewall, una puerta de enlace o un proxy, o para permitir que NAT se realice mediante una dirección IP pública asignada al equilibrador de carga estándar o dispositivo.
Para más información, consulte Configuración de la salida del clúster a través del enrutamiento definido por el usuario.
El cambio del tipo de salida después de la creación del clúster implementará o quitará los recursos según sea necesario para colocar el clúster en la nueva configuración de salida.
En las tablas siguientes, se muestran las rutas de migración admitidas entre los tipos de salida para las redes virtuales administradas y propias.
En cada fila se muestra si el tipo de salida se puede migrar a los tipos enumerados en la parte superior. "Compatible" significa que la migración es posible, mientras que "No compatible" o "N/D" significa que no lo es.
Desde|A | loadBalancer |
managedNATGateway |
userAssignedNATGateway |
userDefinedRouting |
---|---|---|---|---|
loadBalancer |
N/D | Compatible | No compatible | No compatible |
managedNATGateway |
Compatible | N/D | No compatible | No compatible |
userAssignedNATGateway |
No compatible | No compatible | N/D | No compatible |
Desde|A | loadBalancer |
managedNATGateway |
userAssignedNATGateway |
userDefinedRouting |
---|---|---|---|---|
loadBalancer |
N/D | No compatible | Compatible | Admitido |
managedNATGateway |
No compatible | N/D | No compatible | No compatible |
userAssignedNATGateway |
Compatible | No compatible | N/D | Compatible |
userDefinedRouting |
Admitido | No compatible | Compatible | N/D |
La migración solo se admite entre loadBalancer
, managedNATGateway
(si se usa una red virtual administrada) userAssignedNATGateway
y userDefinedRouting
(si se usa una red virtual personalizada).
Advertencia
La migración del tipo de salida a tipos administrados por el usuario (userAssignedNATGateway
y userDefinedRouting
) cambiará las IP públicas salientes del clúster.
Si los intervalos IP autorizados están habilitados, asegúrese de que se anexa un nuevo intervalo IP saliente al intervalo IP autorizado.
Advertencia
El cambio del tipo de salida de un clúster es perjudicial para la conectividad de red y dará lugar a un cambio de la dirección IP de salida del clúster. Si se han configurado reglas de firewall para restringir el tráfico del clúster, deben actualizarse para que coincidan con la nueva dirección IP de salida.
Nota
Debe usar una versión >= 2.56 de la CLI de Azure para migrar el tipo de salida. Use az upgrade
para actualizar a la versión más reciente de la CLI de Azure.
- Actualice la configuración de salida del clúster mediante el comando
az aks update
.
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>
az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >
Advertencia
No reutilice una dirección IP que ya esté en uso en configuraciones de salida anteriores.
- Agregue la ruta
0.0.0.0/0
a la tabla de rutas predeterminada. Consulte Personalización de la salida del clúster con una tabla de enrutamiento definida por el usuario en Azure Kubernetes Service (AKS)
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting
- Asocie la puerta de enlace NAT con la subred a la que está asociada la carga de trabajo. Consulte Creación de una puerta de enlace NAT administrada o asignada por el usuario
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway
- Configuración del equilibrio de carga estándar en un clúster de AKS
- Configuración de NAT Gateway en un clúster de AKS
- Configuración del enrutamiento definido por el usuario en un clúster de AKS
- Documentación de NAT Gateway
- Información general de redes de Microsoft Azure
- Administrar las tablas de rutas
Comentarios de Azure Kubernetes Service
Azure Kubernetes Service es un proyecto de código abierto. Seleccione un vínculo para proporcionar comentarios: