Menyesuaikan egress kluster dengan tabel perutean yang ditentukan pengguna di Azure Kubernetes Service (AKS)

Anda dapat menyesuaikan egress untuk kluster Azure Kubernetes Service (AKS) agar sesuai dengan skenario tertentu. AKS menyediakan load Standard balancer SKU untuk keluar secara default. Namun, pengaturan default mungkin tidak memenuhi persyaratan semua skenario jika IP publik tidak diizinkan atau skenario memerlukan hop tambahan untuk keluar.

Artikel ini menjelaskan cara menyesuaikan rute keluar kluster untuk mendukung skenario jaringan kustom. Skenario ini termasuk yang melarang IP publik dan mengharuskan kluster untuk duduk di belakang appliance virtual jaringan (NVA).

Prasyarat

• Azure CLI versi 2.0.81 atau yang lebih tinggi. Jalankan az --version untuk menemukan versinya. Jika Anda perlu memasang atau meningkatkan, lihat Pasang CLI Azure.
• Versi 2020-01-01 API atau yang lebih tinggi.

Persyaratan dan batasan

Menggunakan jenis keluar adalah skenario jaringan tingkat lanjut dan memerlukan konfigurasi jaringan yang tepat. Persyaratan dan batasan berikut berlaku untuk menggunakan jenis keluar:

• Pengaturan outboundType memerlukan kluster AKS dengan vm-set-type dari VirtualMachineScaleSets dan load-balancer-sku dari Standard.
• Pengaturan outboundType ke nilai UDR memerlukan rute yang ditentukan pengguna dengan konektivitas keluar yang valid untuk kluster.
• Pengaturan outboundType ke nilai UDR menyiratkan IP sumber masuk yang dirutekan ke load-balancer mungkin tidak cocok dengan alamat tujuan keluar kluster.

Gambaran umum penyesuaian egress dengan tabel perutean yang ditentukan pengguna

AKS tidak secara otomatis mengonfigurasi jalur keluar jika userDefinedRouting diatur, yang berarti Anda harus mengonfigurasi jalan keluar.

Ketika Anda tidak menggunakan arsitektur load balancer standar (SLB), Anda harus menetapkan jalan keluar eksplisit. Anda harus menyebarkan kluster AKS ke jaringan virtual yang ada dengan subnet yang telah dikonfigurasi sebelumnya. Arsitektur ini memerlukan pengiriman lalu lintas keluar secara eksplisit ke appliance seperti firewall, gateway, atau proksi, sehingga IP publik yang ditetapkan ke load balancer standar atau appliance dapat menangani Network Address Translation (NAT).

Pembuatan load balancer dengan userDefinedRouting

Kluster AKS dengan jenis keluar UDR mendapatkan load balancer standar hanya ketika layanan Kubernetes pertama dari jenis loadBalancer disebarkan. Load balancer dikonfigurasi dengan alamat IP publik untuk permintaan masuk dan kumpulan backend untuk permintaan masuk. Penyedia cloud Azure mengonfigurasi aturan masuk, tetapi tidak mengonfigurasi alamat IP publik keluar atau aturan keluar. UDR Anda adalah satu-satunya sumber untuk lalu lintas keluar.

Catatan

Azure load balancer tidak dikenakan biaya hingga aturan ditentukan.

Menyebarkan kluster dengan jenis keluar UDR dan Azure Firewall

Untuk melihat aplikasi kluster dengan jenis keluar menggunakan rute yang ditentukan pengguna, lihat ini membatasi lalu lintas keluar dengan contoh firewall Azure.

Penting

Jenis keluar UDR memerlukan rute untuk 0.0.0.0/0 dan tujuan hop NVA berikutnya dalam tabel rute. Tabel rute sudah memiliki default 0.0.0.0/0 ke Internet. Tanpa alamat IP publik untuk digunakan Azure untuk Source Network Address Translation (SNAT), hanya menambahkan rute ini tidak akan memberi Anda konektivitas Internet keluar. AKS memvalidasi bahwa Anda tidak membuat rute 0.0.0.0/0 yang menunjuk ke Internet tetapi sebaliknya ke gateway, NVA, dll. Saat menggunakan jenis UDR keluar, alamat IP publik load balancer untuk permintaan masuk tidak dibuat kecuali Anda mengonfigurasi layanan jenis loadbalancer. AKS tidak pernah membuat alamat IP publik untuk permintaan keluar jika Anda menetapkan jenis UDR keluar.

Langkah berikutnya

Untuk informasi selengkapnya tentang rute yang ditentukan pengguna dan jaringan Azure, lihat:

• Gambaran umum UDR jaringan Azure
• Cara membuat, mengubah, atau menghapus tabel rute.