Menyesuaikan egress kluster dengan jenis keluar di Azure Kubernetes Service (AKS)
Anda dapat menyesuaikan egress untuk kluster AKS agar sesuai dengan skenario tertentu. Secara default, AKS menyediakan load balancer SKU standar yang akan disiapkan dan digunakan untuk keluar. Namun, pengaturan default mungkin tidak memenuhi persyaratan semua skenario jika IP publik tidak diizinkan atau hop tambahan diperlukan untuk keluar.
Artikel ini membahas berbagai jenis konektivitas keluar yang tersedia di kluster AKS.
Catatan
Anda sekarang dapat memperbarui outboundType
setelah pembuatan kluster.
Penting
Dalam kluster non-privat, lalu lintas kluster server API dirutekan dan diproses melalui jenis keluar kluster. Untuk mencegah lalu lintas server API diproses sebagai lalu lintas publik, pertimbangkan untuk menggunakan kluster privat, atau lihat fitur Integrasi VNet API Server.
- Pengaturan
outboundType
memerlukan kluster AKS denganvm-set-type
dariVirtualMachineScaleSets
danload-balancer-sku
dariStandard
.
Anda dapat mengonfigurasi kluster AKS menggunakan jenis keluar berikut: load balancer, gateway NAT, atau perutean yang ditentukan pengguna. Jenis keluar hanya memengaruhi lalu lintas keluar kluster Anda. Untuk informasi selengkapnya, lihat menyiapkan pengontrol masuk.
Load balancer digunakan untuk keluar melalui IP publik yang ditetapkan AKS. Jenis outbound dari loadBalancer
mendukung layanan Kubernetes jenis loadBalancer
, yang mengharapkan proses keluar dari load balancer yang dibuat oleh penyedia sumber daya AKS.
Jika loadBalancer
diatur, AKS secara otomatis menyelesaikan konfigurasi berikut:
- Alamat IP publik disediakan untuk keluar kluster.
- Alamat IP publik ditetapkan ke sumber daya load balancer.
- Kumpulan backend untuk load balancer disiapkan untuk simpul agen di kluster.
Untuk informasi selengkapnya, lihat menggunakan load balancer standar di AKS.
Jika managedNatGateway
atau userAssignedNatGateway
dipilih untuk outboundType
, AKS bergantung pada gateway NAT Jaringan Azure untuk keluarnya kluster.
- Pilih
managedNatGateway
saat menggunakan jaringan virtual terkelola. AKS menyediakan gateway NAT dan melampirkannya ke subnet kluster. - Pilih
userAssignedNatGateway
saat menggunakan jaringan virtual bring-your-own. Opsi ini mengharuskan Anda telah menyediakan gateway NAT sebelum pembuatan kluster.
Untuk informasi selengkapnya, lihat menggunakan gateway NAT dengan AKS.
Catatan
Jenis userDefinedRouting
keluar adalah skenario jaringan tingkat lanjut dan memerlukan konfigurasi jaringan yang tepat.
Jika userDefinedRouting
diatur, AKS tidak akan mengonfigurasi jalur keluar secara otomatis. Pengaturan jalan keluar harus dilakukan oleh Anda.
Anda harus menyebarkan kluster AKS ke jaringan virtual yang ada dengan subnet yang telah dikonfigurasi sebelumnya. Karena Anda tidak menggunakan arsitektur load balancer (SLB) standar, Anda harus menetapkan egress eksplisit. Arsitektur ini mengharuskan pengiriman lalu lintas keluar secara eksplisit ke appliance seperti firewall, gateway, proksi, atau untuk memungkinkan NAT dilakukan oleh IP publik yang ditetapkan ke load balancer atau appliance standar.
Untuk informasi selengkapnya, lihat mengonfigurasi keluarnya kluster melalui perutean yang ditentukan pengguna.
Mengubah jenis keluar setelah pembuatan kluster akan menyebarkan atau menghapus sumber daya sesuai kebutuhan untuk memasukkan kluster ke dalam konfigurasi keluar baru.
Tabel berikut menunjukkan jalur migrasi yang didukung antara jenis keluar untuk jaringan virtual terkelola dan BYO.
Setiap baris memperlihatkan apakah jenis keluar dapat dimigrasikan ke jenis yang tercantum di bagian atas. "Didukung" berarti migrasi dimungkinkan, sementara "Tidak Didukung" atau "N/A" berarti tidak.
Dari|Ke | loadBalancer |
managedNATGateway |
userAssignedNATGateway |
userDefinedRouting |
---|---|---|---|---|
loadBalancer |
T/A | Didukung | Tidak Didukung | Tidak Didukung |
managedNATGateway |
Didukung | T/A | Tidak Didukung | Tidak Didukung |
userAssignedNATGateway |
Tidak Didukung | Tidak Didukung | T/A | Tidak Didukung |
Dari|Ke | loadBalancer |
managedNATGateway |
userAssignedNATGateway |
userDefinedRouting |
---|---|---|---|---|
loadBalancer |
T/A | Tidak Didukung | Didukung | Didukung |
managedNATGateway |
Tidak Didukung | T/A | Tidak Didukung | Tidak Didukung |
userAssignedNATGateway |
Didukung | Tidak Didukung | T/A | Didukung |
userDefinedRouting |
Didukung | Tidak Didukung | Didukung | T/A |
Migrasi hanya didukung antara loadBalancer
, managedNATGateway
(jika menggunakan jaringan virtual terkelola), userAssignedNATGateway
dan userDefinedRouting
(jika menggunakan jaringan virtual kustom).
Peringatan
Memigrasikan jenis keluar ke jenis yang dikelola pengguna (userAssignedNATGateway
dan userDefinedRouting
) akan mengubah alamat IP publik keluar kluster.
jika Rentang IP resmi diaktifkan, pastikan rentang ip keluar baru ditambahkan ke rentang ip resmi.
Peringatan
Mengubah jenis keluar pada kluster mengganggu konektivitas jaringan dan akan mengakibatkan perubahan alamat IP keluar kluster. Jika ada aturan firewall yang telah dikonfigurasi untuk membatasi lalu lintas dari kluster, Anda perlu memperbaruinya agar sesuai dengan alamat IP keluar baru.
Catatan
Anda harus menggunakan versi >= 2.56 Azure CLI untuk memigrasikan jenis keluar. Gunakan az upgrade
untuk memperbarui ke versi terbaru Azure CLI.
- Perbarui konfigurasi keluar kluster Anda menggunakan
az aks update
perintah .
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>
az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >
Peringatan
Jangan gunakan kembali alamat IP yang sudah digunakan dalam konfigurasi keluar sebelumnya.
- Tambahkan rute
0.0.0.0/0
ke tabel rute default. Lihat Menyesuaikan egress kluster dengan tabel perutean yang ditentukan pengguna di Azure Kubernetes Service (AKS)
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting
- Kaitkan gateway nat dengan subnet tempat beban kerja dikaitkan. Lihat Membuat gateway NAT terkelola atau ditetapkan pengguna
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway
Umpan balik Azure Kubernetes Service
Azure Kubernetes Service adalah proyek sumber terbuka. Pilih tautan untuk memberikan umpan balik: