Menyesuaikan egress kluster dengan tabel perutean yang ditentukan pengguna di Azure Kubernetes Service (AKS)
Artikel
Anda dapat menyesuaikan egress untuk kluster Azure Kubernetes Service (AKS) agar sesuai dengan skenario tertentu. AKS menyediakan Standard load balancer SKU untuk keluar secara default. Namun, pengaturan default mungkin tidak memenuhi persyaratan semua skenario jika IP publik tidak diizinkan atau skenario memerlukan hop tambahan untuk keluar.
Artikel ini menjelaskan cara menyesuaikan rute keluar kluster untuk mendukung skenario jaringan kustom. Skenario ini mencakup skenario yang melarang IP publik dan mengharuskan kluster duduk di belakang appliance virtual jaringan (NVA).
Prasyarat
Azure CLI versi 2.0.81 atau lebih tinggi. Jalankan az --version untuk menemukan versinya. Jika Anda perlu memasang atau meningkatkan, lihat Memasang Azure CLI.
Versi 2020-01-01 API atau lebih besar.
Persyaratan dan batasan
Menggunakan jenis keluar adalah skenario jaringan tingkat lanjut dan memerlukan konfigurasi jaringan yang tepat. Persyaratan dan batasan berikut berlaku untuk menggunakan jenis keluar:
Pengaturan outboundType memerlukan kluster AKS dengan vm-set-type dari VirtualMachineScaleSets dan dari load-balancer-skuStandard.
Pengaturan outboundType ke nilai UDR memerlukan rute yang ditentukan pengguna dengan konektivitas keluar yang valid untuk kluster.
Pengaturan outboundType ke nilai UDR menyiratkan IP sumber masuk yang dirutekan ke load-balancer mungkin tidak cocok dengan alamat tujuan keluar kluster.
Gambaran umum penyesuaian keluar dengan tabel perutean yang ditentukan pengguna
AKS tidak secara otomatis mengonfigurasi jalur keluar jika userDefinedRouting diatur, yang berarti Anda harus mengonfigurasi egress.
Saat Anda tidak menggunakan arsitektur load balancer (SLB) standar, Anda harus menetapkan egress eksplisit. Anda harus menyebarkan kluster AKS ke jaringan virtual yang ada dengan subnet yang telah dikonfigurasi sebelumnya. Arsitektur ini mengharuskan pengiriman lalu lintas keluar secara eksplisit ke appliance seperti firewall, gateway, atau proksi, sehingga IP publik yang ditetapkan ke load balancer standar atau appliance dapat menangani Network Address Translation (NAT).
Pembuatan load balancer dengan userDefinedRouting
Kluster AKS dengan jenis keluar UDR mendapatkan load balancer standar hanya ketika layanan Kubernetes pertama dari jenis loadBalancer disebarkan. Load balancer dikonfigurasi dengan alamat IP publik untuk permintaan masuk dan kumpulan backend untuk permintaan masuk. Penyedia cloud Azure mengonfigurasi aturan masuk, tetapi tidak mengonfigurasi alamat IP publik keluar atau aturan keluar. UDR Anda adalah satu-satunya sumber untuk lalu lintas keluar.
Jenis keluar UDR memerlukan rute untuk 0.0.0.0/0 dan tujuan hop NVA berikutnya dalam tabel rute.
Tabel rute sudah memiliki default 0.0.0.0/0 ke Internet. Tanpa alamat IP publik untuk digunakan Azure untuk Penerjemahan Alamat Jaringan Sumber (SNAT), cukup menambahkan rute ini tidak akan memberi Anda konektivitas Internet keluar. AKS memvalidasi bahwa Anda tidak membuat rute 0.0.0.0/0 yang menunjuk ke Internet tetapi sebaliknya ke gateway, NVA, dll. Saat menggunakan jenis UDR keluar, alamat IP publik load balancer untuk permintaan masuk tidak dibuat kecuali Anda mengonfigurasi layanan jenis loadbalancer. AKS tidak pernah membuat alamat IP publik untuk permintaan keluar jika Anda menetapkan jenis UDR keluar.
Langkah berikutnya
Untuk informasi selengkapnya tentang rute yang ditentukan pengguna dan jaringan Azure, lihat:
Sumber untuk konten ini dapat ditemukan di GitHub, yang juga dapat Anda gunakan untuk membuat dan meninjau masalah dan menarik permintaan. Untuk informasi selengkapnya, lihat panduan kontributor kami.
Umpan balik Azure Kubernetes Service
Azure Kubernetes Service adalah proyek sumber terbuka. Pilih tautan untuk memberikan umpan balik: