Bagikan melalui

Menyesuaikan egress kluster dengan jenis keluar di Azure Kubernetes Service (AKS)

  • Artikel

Anda dapat menyesuaikan egress untuk kluster AKS agar sesuai dengan skenario tertentu. Secara default, AKS menyediakan load balancer SKU standar yang akan disiapkan dan digunakan untuk keluar. Namun, pengaturan default mungkin tidak memenuhi persyaratan semua skenario jika IP publik tidak diizinkan atau hop tambahan diperlukan untuk keluar.

Artikel ini membahas berbagai jenis konektivitas keluar yang tersedia di kluster AKS.

Catatan

Anda sekarang dapat memperbarui outboundType setelah pembuatan kluster.

Penting

Dalam kluster non-privat, lalu lintas kluster server API dirutekan dan diproses melalui jenis keluar kluster. Untuk mencegah lalu lintas server API diproses sebagai lalu lintas publik, pertimbangkan untuk menggunakan kluster privat, atau lihat fitur Integrasi VNet API Server.

Batasan

  • Pengaturan outboundType memerlukan kluster AKS dengan vm-set-type dari VirtualMachineScaleSets dan load-balancer-sku dari Standard.

Jenis keluar di AKS

Anda dapat mengonfigurasi kluster AKS menggunakan jenis keluar berikut: load balancer, gateway NAT, atau perutean yang ditentukan pengguna. Jenis keluar hanya memengaruhi lalu lintas keluar kluster Anda. Untuk informasi selengkapnya, lihat menyiapkan pengontrol masuk.

Catatan

Anda dapat menggunakan [tabel rute][byo-route-table] Anda sendiri dengan jaringan UDR dan kubenet. Pastikan identitas kluster Anda (perwakilan layanan atau identitas terkelola) memiliki izin Kontributor ke tabel rute kustom.

Jenis keluar dari loadBalancer

Load balancer digunakan untuk keluar melalui IP publik yang ditetapkan AKS. Jenis outbound dari loadBalancer mendukung layanan Kubernetes jenis loadBalancer, yang mengharapkan proses keluar dari load balancer yang dibuat oleh penyedia sumber daya AKS.

Jika loadBalancer diatur, AKS secara otomatis menyelesaikan konfigurasi berikut:

  • Alamat IP publik disediakan untuk keluar kluster.
  • Alamat IP publik ditetapkan ke sumber daya load balancer.
  • Kumpulan backend untuk load balancer disiapkan untuk simpul agen di kluster.

Diagram menunjukkan jalan masuk I P dan jalan keluar I P, di mana jalan masuk I P mengarahkan lalu lintas ke load balancer, yang mengarahkan lalu lintas ke dan dari kluster internal dan lalu lintas lainnya ke jalan keluar I P, yang mengarahkan lalu lintas ke Internet, M C R, layanan yang diperlukan Azure, dan A K S Control Plane.

Untuk informasi selengkapnya, lihat menggunakan load balancer standar di AKS.

Jenis keluar dari managedNatGateway atau userAssignedNatGateway

Jika managedNatGateway atau userAssignedNatGateway dipilih untuk outboundType, AKS bergantung pada gateway NAT Jaringan Azure untuk keluarnya kluster.

  • Pilih managedNatGateway saat menggunakan jaringan virtual terkelola. AKS menyediakan gateway NAT dan melampirkannya ke subnet kluster.
  • Pilih userAssignedNatGateway saat menggunakan jaringan virtual bring-your-own. Opsi ini mengharuskan Anda telah menyediakan gateway NAT sebelum pembuatan kluster.

Untuk informasi selengkapnya, lihat menggunakan gateway NAT dengan AKS.

Jenis keluar dari userDefinedRouting

Catatan

Jenis userDefinedRouting keluar adalah skenario jaringan tingkat lanjut dan memerlukan konfigurasi jaringan yang tepat.

Jika userDefinedRouting diatur, AKS tidak akan mengonfigurasi jalur keluar secara otomatis. Pengaturan jalan keluar harus dilakukan oleh Anda.

Anda harus menyebarkan kluster AKS ke jaringan virtual yang ada dengan subnet yang telah dikonfigurasi sebelumnya. Karena Anda tidak menggunakan arsitektur load balancer (SLB) standar, Anda harus menetapkan egress eksplisit. Arsitektur ini mengharuskan pengiriman lalu lintas keluar secara eksplisit ke appliance seperti firewall, gateway, proksi, atau untuk memungkinkan NAT dilakukan oleh IP publik yang ditetapkan ke load balancer atau appliance standar.

Untuk informasi selengkapnya, lihat mengonfigurasi keluarnya kluster melalui perutean yang ditentukan pengguna.

Memperbarui outboundType setelah pembuatan kluster

Mengubah jenis keluar setelah pembuatan kluster akan menyebarkan atau menghapus sumber daya sesuai kebutuhan untuk memasukkan kluster ke dalam konfigurasi keluar baru.

Tabel berikut menunjukkan jalur migrasi yang didukung antara jenis keluar untuk jaringan virtual terkelola dan BYO.

Jalur Migrasi yang Didukung untuk VNet Terkelola

Setiap baris memperlihatkan apakah jenis keluar dapat dimigrasikan ke jenis yang tercantum di bagian atas. "Didukung" berarti migrasi dimungkinkan, sementara "Tidak Didukung" atau "N/A" berarti tidak.

Dari|Ke loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting
loadBalancer T/A Didukung Tidak Didukung Tidak Didukung
managedNATGateway Didukung T/A Tidak Didukung Tidak Didukung
userAssignedNATGateway Tidak Didukung Tidak Didukung T/A Tidak Didukung

Jalur Migrasi yang Didukung untuk BYO VNet

Dari|Ke loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting
loadBalancer T/A Tidak Didukung Didukung Didukung
managedNATGateway Tidak Didukung T/A Tidak Didukung Tidak Didukung
userAssignedNATGateway Didukung Tidak Didukung T/A Didukung
userDefinedRouting Didukung Tidak Didukung Didukung T/A

Migrasi hanya didukung antara loadBalancer, managedNATGateway (jika menggunakan jaringan virtual terkelola), userAssignedNATGateway dan userDefinedRouting (jika menggunakan jaringan virtual kustom).

Peringatan

Memigrasikan jenis keluar ke jenis yang dikelola pengguna (userAssignedNATGateway dan userDefinedRouting) akan mengubah alamat IP publik keluar kluster. jika Rentang IP resmi diaktifkan, pastikan rentang ip keluar baru ditambahkan ke rentang ip resmi.

Peringatan

Mengubah jenis keluar pada kluster mengganggu konektivitas jaringan dan akan mengakibatkan perubahan alamat IP keluar kluster. Jika ada aturan firewall yang telah dikonfigurasi untuk membatasi lalu lintas dari kluster, Anda perlu memperbaruinya agar sesuai dengan alamat IP keluar baru.

Memperbarui kluster untuk menggunakan jenis keluar baru

Catatan

Anda harus menggunakan versi >= 2.56 Azure CLI untuk memigrasikan jenis keluar. Gunakan az upgrade untuk memperbarui ke versi terbaru Azure CLI.

  • Perbarui konfigurasi keluar kluster Anda menggunakan az aks update perintah .

Memperbarui kluster dari loadbalancer ke managedNATGateway

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>

Memperbarui kluster dari managedNATGateway ke loadbalancer

az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >

Peringatan

Jangan gunakan kembali alamat IP yang sudah digunakan dalam konfigurasi keluar sebelumnya.

Memperbarui kluster dari managedNATGateway ke userDefinedRouting

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting

Memperbarui kluster dari loadbalancer ke userAssignedNATGateway dalam skenario byo vnet

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway

Langkah berikutnya