Baca dalam bahasa Inggris

Bagikan melalui


Menyesuaikan egress kluster dengan tabel perutean yang ditentukan pengguna di Azure Kubernetes Service (AKS)

Anda dapat menyesuaikan egress untuk kluster Azure Kubernetes Service (AKS) agar sesuai dengan skenario tertentu. AKS menyediakan Standard load balancer SKU untuk keluar secara default. Namun, pengaturan default mungkin tidak memenuhi persyaratan semua skenario jika IP publik tidak diizinkan atau skenario memerlukan hop tambahan untuk keluar.

Artikel ini menjelaskan cara menyesuaikan rute keluar kluster untuk mendukung skenario jaringan kustom. Skenario ini mencakup skenario yang melarang IP publik dan mengharuskan kluster duduk di belakang appliance virtual jaringan (NVA).

Prasyarat

  • Azure CLI versi 2.0.81 atau lebih tinggi. Jalankan az --version untuk menemukan versinya. Jika Anda perlu memasang atau meningkatkan, lihat Memasang Azure CLI.
  • Versi 2020-01-01 API atau lebih besar.

Persyaratan dan batasan

Menggunakan jenis keluar adalah skenario jaringan tingkat lanjut dan memerlukan konfigurasi jaringan yang tepat. Persyaratan dan batasan berikut berlaku untuk menggunakan jenis keluar:

  • Pengaturan outboundType memerlukan kluster AKS dengan vm-set-type dari VirtualMachineScaleSets dan dari load-balancer-sku Standard.
  • Pengaturan outboundType ke nilai UDR memerlukan rute yang ditentukan pengguna dengan konektivitas keluar yang valid untuk kluster.
  • Pengaturan outboundType ke nilai UDR menyiratkan IP sumber masuk yang dirutekan ke load-balancer mungkin tidak cocok dengan alamat tujuan keluar kluster.

Gambaran umum penyesuaian keluar dengan tabel perutean yang ditentukan pengguna

AKS tidak secara otomatis mengonfigurasi jalur keluar jika userDefinedRouting diatur, yang berarti Anda harus mengonfigurasi egress.

Saat Anda tidak menggunakan arsitektur load balancer (SLB) standar, Anda harus menetapkan egress eksplisit. Anda harus menyebarkan kluster AKS ke jaringan virtual yang ada dengan subnet yang telah dikonfigurasi sebelumnya. Arsitektur ini mengharuskan pengiriman lalu lintas keluar secara eksplisit ke appliance seperti firewall, gateway, atau proksi, sehingga IP publik yang ditetapkan ke load balancer standar atau appliance dapat menangani Network Address Translation (NAT).

Pembuatan load balancer dengan userDefinedRouting

Kluster AKS dengan jenis keluar UDR mendapatkan load balancer standar hanya ketika layanan Kubernetes pertama dari jenis loadBalancer disebarkan. Load balancer dikonfigurasi dengan alamat IP publik untuk permintaan masuk dan kumpulan backend untuk permintaan masuk. Penyedia cloud Azure mengonfigurasi aturan masuk, tetapi tidak mengonfigurasi alamat IP publik keluar atau aturan keluar. UDR Anda adalah satu-satunya sumber untuk lalu lintas keluar.

Catatan

Azure load balancer tidak dikenakan biaya hingga aturan ditentukan.

Menyebarkan kluster dengan jenis keluar UDR dan Azure Firewall

Untuk melihat aplikasi kluster dengan jenis keluar menggunakan rute yang ditentukan pengguna, lihat ini membatasi lalu lintas keluar dengan contoh firewall Azure.

Penting

Jenis keluar UDR memerlukan rute untuk 0.0.0.0/0 dan tujuan hop NVA berikutnya dalam tabel rute. Tabel rute sudah memiliki default 0.0.0.0/0 ke Internet. Tanpa alamat IP publik untuk digunakan Azure untuk Penerjemahan Alamat Jaringan Sumber (SNAT), cukup menambahkan rute ini tidak akan memberi Anda konektivitas Internet keluar. AKS memvalidasi bahwa Anda tidak membuat rute 0.0.0.0/0 yang menunjuk ke Internet tetapi sebaliknya ke gateway, NVA, dll. Saat menggunakan jenis UDR keluar, alamat IP publik load balancer untuk permintaan masuk tidak dibuat kecuali Anda mengonfigurasi layanan jenis loadbalancer. AKS tidak pernah membuat alamat IP publik untuk permintaan keluar jika Anda menetapkan jenis UDR keluar.

Langkah berikutnya

Untuk informasi selengkapnya tentang rute yang ditentukan pengguna dan jaringan Azure, lihat: