Partekatu honen bidez:

Personalización de la salida del clúster con tipos de salida en Azure Kubernetes Service (AKS)

  • Artikulua

Puede personalizar la salida de un clúster de AKS para adaptarse a escenarios específicos. AKS aprovisiona un equilibrador de carga de SKU estándar para que se configure y se use para la salida de manera predeterminada. Sin embargo, es posible que la configuración predeterminada no cumpla los requisitos de todos los escenarios si no se permiten direcciones IP públicas o se requieren saltos adicionales para la salida.

En este artículo se tratan los distintos tipos de conectividad saliente que están disponibles en clústeres de AKS.

Nota

Ahora puede actualizar la outboundType después de la creación del clúster.

Importante

En clústeres no privados, el tráfico del clúster del servidor de API se enruta y procesa a través del tipo de salida de clústeres. Para evitar que el tráfico del servidor de API se procese como tráfico público, considere la posibilidad de usar un clúster privado o consulte la característica Integración con red virtual del servidor de API.

Limitaciones

  • La configuración de outboundType requiere clústeres de AKS con un valor de vm-set-type de VirtualMachineScaleSets, y un valor de load-balancer-sku de Standard.

Tipos de salida en AKS

Puede configurar un clúster de AKS mediante los siguientes tipos de salida: equilibrador de carga, puerta de enlace NAT o enrutamiento definido por el usuario. El tipo de salida afecta solo al tráfico de salida del clúster. Para obtener más información, consulte cómo configurar los controladores de entrada.

Nota

Puede usar su propia [route table][byo-route-table] con UDR y redes de kubenet. Asegúrese de que la identidad del clúster (entidad de servicio o identidad administrada) tenga permisos de colaborador en la tabla de enrutamiento personalizada.

Tipo de salida de loadBalancer

El equilibrador de carga se usa para la salida a través de una dirección IP pública asignada a AKS. El tipo de salida de loadBalancer admite los servicios de Kubernetes del tipo loadBalancer, que esperan la salida del equilibrador de carga creado por el proveedor de recursos de AKS.

Si se establece loadBalancer, AKS completa automáticamente la configuración siguiente:

  • Se aprovisiona una dirección IP pública para la salida del clúster.
  • La dirección IP pública se asocia al recurso de equilibrador de carga.
  • Se configuran los grupos de back-end del equilibrador de carga para los nodos del agente en el clúster.

En el diagrama se muestra la IP de entrada y la IP de salida, donde la primera dirige el tráfico a un equilibrador de carga, que dirige el tráfico hacia y desde un clúster interno y otro tráfico hacia la segunda, que dirige el tráfico a Internet, MCR, los servicios necesarios de Azure y el plano de control de AKS.

Para más información, consulte Uso de un equilibrador de carga estándar en AKS.

Tipo de salida de managedNatGateway o userAssignedNatGateway

Si se selecciona managedNatGateway o userAssignedNatGateway para outboundType, AKS se basa en NAT Gateway de Redes de Azure para la salida del clúster.

  • Seleccione managedNatGateway al usar redes virtuales administradas. AKS aprovisionará una puerta de enlace NAT y la adjuntará a la subred del clúster.
  • Seleccione userAssignedNatGateway al usar traiga sus propias redes virtuales. Esta opción requiere que haya aprovisionado una puerta de enlace NAT antes de crear el clúster.

Para obtener más información, consulte usar puerta de enlace NAT con AKS.

Tipo de salida de userDefinedRouting

Nota

El tipo de salida de userDefinedRouting es un escenario de redes avanzado y requiere una configuración de red adecuada.

Si se establece userDefinedRouting, AKS no configurará automáticamente las rutas de salida. El usuario debe encargarse de la configuración de salida.

El clúster de AKS se debe implementar en una red virtual existente con una subred que se haya configurado previamente. Cuando no se usa una arquitectura de Standard Load Balancer (SLB), debe establecer salidas explícitas. Esta arquitectura requiere el envío explícito del tráfico de salida a un dispositivo, como un firewall, una puerta de enlace o un proxy, o para permitir que NAT se realice mediante una dirección IP pública asignada al equilibrador de carga estándar o dispositivo.

Para más información, consulte Configuración de la salida del clúster a través del enrutamiento definido por el usuario.

Actualización de outboundType después de la creación del clúster

El cambio del tipo de salida después de la creación del clúster implementará o quitará los recursos según sea necesario para colocar el clúster en la nueva configuración de salida.

En las tablas siguientes, se muestran las rutas de migración admitidas entre los tipos de salida para las redes virtuales administradas y propias.

Rutas de migración admitidas para una red virtual administrada

En cada fila se muestra si el tipo de salida se puede migrar a los tipos enumerados en la parte superior. "Compatible" significa que la migración es posible, mientras que "No compatible" o "N/D" significa que no lo es.

Desde|A loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting
loadBalancer N/D Compatible No compatible No compatible
managedNATGateway Compatible N/D No compatible No compatible
userAssignedNATGateway No compatible No compatible N/D No compatible

Rutas de migración admitidas para la red virtual propia

Desde|A loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting
loadBalancer N/D No compatible Compatible Admitido
managedNATGateway No compatible N/D No compatible No compatible
userAssignedNATGateway Compatible No compatible N/D Compatible
userDefinedRouting Admitido No compatible Compatible N/D

La migración solo se admite entre loadBalancer, managedNATGateway (si se usa una red virtual administrada) userAssignedNATGateway y userDefinedRouting (si se usa una red virtual personalizada).

Advertencia

La migración del tipo de salida a tipos administrados por el usuario (userAssignedNATGateway y userDefinedRouting) cambiará las IP públicas salientes del clúster. Si los intervalos IP autorizados están habilitados, asegúrese de que se anexa un nuevo intervalo IP saliente al intervalo IP autorizado.

Advertencia

El cambio del tipo de salida de un clúster es perjudicial para la conectividad de red y dará lugar a un cambio de la dirección IP de salida del clúster. Si se han configurado reglas de firewall para restringir el tráfico del clúster, deben actualizarse para que coincidan con la nueva dirección IP de salida.

Actualizar un clúster para usar un nuevo tipo de salida

Nota:

Debe usar una versión >= 2.56 de la CLI de Azure para migrar el tipo de salida. Use az upgrade para actualizar a la versión más reciente de la CLI de Azure.

  • Actualice la configuración de salida del clúster mediante el comando az aks update.

Actualizar el clúster de loadbalancer a managedNATGateway

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>

Actualizar el clúster de managedNATGateway a loadbalancer

az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >

Advertencia

No reutilice una dirección IP que ya esté en uso en configuraciones de salida anteriores.

Actualizar el clúster de managedNATGateway a userDefinedRouting

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting

Actualizar el clúster de loadbalancer a userAssignedNATGateway en el escenario de red virtual BYO

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway

Pasos siguientes