Bejövő forgalom az Azure Kubernetes Service-ben (AKS)
Az AKS-ben a bejövő forgalom egy Kubernetes-erőforrás, amely a fürt szolgáltatásaihoz való külső HTTP-szerű forgalomhoz való hozzáférést kezeli. Az AKS-bemenők olyan szolgáltatásokat nyújthatnak, mint a terheléselosztás, az SSL leállítása és a névalapú virtuális üzemeltetés. A Kubernetes Bejövő forgalomról további információt a Kubernetes Bejövő forgalom dokumentációjában talál.
Bemeneti vezérlők
Az alkalmazásforgalom kezelésekor a bejövőforgalom-vezérlők speciális képességeket biztosítanak a 7. rétegben való működéssel. A HTTP-forgalmat a bejövő URL-cím alapján különböző alkalmazásokhoz irányíthatják, így intelligensebb és rugalmasabb forgalomelosztási szabályokat tesznek lehetővé. A bejövőforgalom-vezérlők például az URL-útvonaltól függően különböző mikroszolgáltatásokba irányíthatják a forgalmat, ami növeli a szolgáltatások hatékonyságát és rendszerezését.
Másrészt egy LoadBalancer típusú szolgáltatás létrehozásakor beállít egy mögöttes Azure Load Balancer-erőforrást. Ez a terheléselosztó a 4. rétegben működik, és egy adott porton osztja el a forgalmat a szolgáltatás podjaihoz. A 4. rétegbeli szolgáltatások azonban nem ismerik a tényleges alkalmazásokat, és nem tudják implementálni az ilyen típusú összetett útválasztási szabályokat.
A két megközelítés közötti különbség megértése segít kiválasztani a forgalomkezelési igényeknek megfelelő eszközt.
Bejövő forgalom beállításainak összehasonlítása
Az alábbi táblázat a különböző bejövőforgalom-vezérlők beállításai közötti funkcióbeli különbségeket sorolja fel:
| Szolgáltatás | Alkalmazás-útválasztási bővítmény | Application Gateway tárolókhoz | Azure Service Mesh/Istio-alapú szolgáltatásháló |
|---|---|---|---|
| Bejövő/átjáróvezérlő | NGINX bejövőforgalom-vezérlő | tárolókhoz készült átjáró Azure-alkalmazás | Istio Bejövő átjáró |
| API | Bejövő API | Bejövő API és átjáró API | Istio Ingress API |
| Üzemeltetés | Fürtben | Üzemeltetett Azure | Fürtben |
| Méretezés | Automatikus skálázás | Automatikus skálázás | Automatikus skálázás |
| Terheléselosztás | Belső/külső | Külső | Belső/külső |
| SSL-leállítás | Fürtben | Igen: Kiszervezés és E2E SSL | Fürtben |
| mTLS | n/a | Igen a háttérrendszerhez | n/a |
| Statikus IP-cím | n/a | FQDN | n/a |
| Az Azure Key Vault által tárolt SSL-tanúsítványok | Igen | Igen | n/a |
| Azure DNS-integráció a DNS-zónakezeléshez | Igen | Igen | n/a |
Az alábbi táblázat felsorolja azokat a forgatókönyveket, amelyekben az egyes bejövőforgalom-vezérlőket használhatja:
| Bejövő forgalom beállítás | Mikor érdemes használni? |
|---|---|
| Felügyelt NGINX – Alkalmazás-útválasztási bővítmény | • Fürtön belüli üzemeltetett, testre szabható és méretezhető NGINX bejövőforgalom-vezérlők. • Alapszintű terheléselosztási és útválasztási képességek. • Belső és külső terheléselosztó konfigurálása. • Statikus IP-címkonfiguráció. • Integráció az Azure Key Vaulttal a tanúsítványkezeléshez. • Integráció az Azure DNS-zónákkal a nyilvános és privát DNS-kezeléshez. • Támogatja a bejövő API-t. |
| Application Gateway tárolókhoz | • Azure-beli bejövő átjáró. • A vezérlő által felügyelt rugalmas üzembehelyezési stratégiák, vagy saját Application Gateway for Containers használata. • Speciális forgalomkezelési funkciók, például az automatikus újrapróbálkozások, a rendelkezésre állási zóna rugalmassága, a háttérbeli célhoz való kölcsönös hitelesítés (mTLS), a forgalom felosztása / súlyozott kerek időszeletelés és automatikus skálázás. • Integráció az Azure Key Vaulttal a tanúsítványkezeléshez. • Integráció az Azure DNS-zónákkal a nyilvános és privát DNS-kezeléshez. • Támogatja a bejövő és az átjáró API-kat. |
| Istio Bejövő átjáró | • Megbízott alapján, ha az Istio-val használ egy szolgáltatáshálót. • Speciális forgalomkezelési funkciók, például sebességkorlátozás és kapcsolatcsoportok megszakadása. • Az mTLS támogatása |
Feljegyzés
Az Istio bejövő forgalmához készült Átjáró API még nem támogatott az Istio bővítményhez, de jelenleg aktív fejlesztés alatt áll.
Bejövő erőforrás létrehozása
Az alkalmazás-útválasztási bővítmény ajánlott módja egy bejövőforgalom-vezérlő konfigurálásának az AKS-ben. Az alkalmazás-útválasztási bővítmény az Azure Kubernetes Service (AKS) teljes körűen felügyelt bejövőforgalom-vezérlője, amely a következő funkciókat biztosítja:
Felügyelt NGINX bejövőforgalom-vezérlők egyszerű konfigurálása Kubernetes NGINX bejövőforgalom-vezérlő alapján.
Integráció az Azure DNS-sel a nyilvános és privát zónakezeléshez.
SSL-leállítás az Azure Key Vaultban tárolt tanúsítványokkal.
További információ az alkalmazás-útválasztási bővítményről: Felügyelt NGINX-bejövő forgalom az alkalmazás-útválasztási bővítményrel.
Ügyfélforrás IP-címének megőrzése
Konfigurálja a bejövőforgalom-vezérlőt, hogy megőrizze az ügyfél forrás IP-címét az AKS-fürt tárolóinak kérései esetén. Amikor a bejövőforgalom-vezérlő átirányítja egy ügyfél kérését az AKS-fürt egy tárolójához, a kérés eredeti forrás IP-címe nem érhető el a céltároló számára. Ha engedélyezi az ügyfél forrás IP-címének megőrzését, az ügyfél forrás IP-címe az X-Forwarded-For kérelem fejlécében érhető el.
Ha ügyféloldali IP-címmegőrzést használ a bejövőforgalom-vezérlőn, nem használhat TLS-továbbítást. Az ügyfélforrás IP-címének megőrzése és a TLS-továbbítás más szolgáltatásokkal, például a LoadBalancer típusával is használható.
Az ügyfélforrás IP-címének megőrzésével kapcsolatos további információkért lásd : Hogyan működik az ügyfélforrás IP-megőrzése a LoadBalancer Servicesben az AKS-ben.
Azure Kubernetes Service