Creare un gateway NAT gestito o assegnato dall'utente per il cluster del servizio Azure Kubernetes (servizio Azure Kubernetes)

Anche se è possibile instradare il traffico in uscita tramite Un servizio di bilanciamento del carico di Azure, esistono limitazioni per il numero di flussi in uscita del traffico che è possibile avere. Il gateway NAT di Azure consente fino a 64.512 flussi di traffico UDP e TCP in uscita per ogni indirizzo IP con un massimo di 16 indirizzi IP.

Questo articolo illustra come creare un cluster servizio Azure Kubernetes (AKS) con un gateway NAT gestito e un gateway NAT assegnato dall'utente per il traffico in uscita. Illustra anche come disabilitare OutboundNAT in Windows.

Operazioni preliminari

  • Assicurarsi di usare la versione più recente dell'interfaccia della riga di comando di Azure.
  • Assicurarsi di usare Kubernetes versione 1.20.x o successiva.
  • Il gateway NAT gestito non è compatibile con le reti virtuali personalizzate.

Creare un cluster del servizio Azure Kubernetes con un gateway NAT gestito

  • Creare un cluster del servizio Azure Kubernetes con un nuovo gateway NAT gestito usando il az aks create comando con i --outbound-type managedNATGatewayparametri , --nat-gateway-managed-outbound-ip-counte --nat-gateway-idle-timeout . Se si vuole che il gateway NAT funzioni da una zona di disponibilità specifica, specificare la zona usando --zones.

  • Se non viene specificata alcuna zona durante la creazione di un gateway NAT gestito, il gateway NAT viene distribuito in "nessuna zona" per impostazione predefinita. Quando il gateway NAT viene inserito in nessuna zona, Azure inserisce la risorsa in una zona. Per altre informazioni sul modello di distribuzione non di zona, vedere Gateway NAT non di zona.

  • Non è possibile usare una risorsa gateway NAT gestita in più zone di disponibilità.

      az aks create \
          --resource-group myResourceGroup \
          --name myNatCluster \
          --node-count 3 \
          --outbound-type managedNATGateway \
          --nat-gateway-managed-outbound-ip-count 2 \
          --nat-gateway-idle-timeout 4
    
    
  • Aggiornare l'indirizzo IP in uscita o il timeout di inattività usando il az aks update comando con il --nat-gateway-managed-outbound-ip-count parametro o --nat-gateway-idle-timeout .

    az aks update \ 
        --resource-group myResourceGroup \
        --name myNatCluster\
        --nat-gateway-managed-outbound-ip-count 5
    

Creare un cluster del servizio Azure Kubernetes con un gateway NAT assegnato dall'utente

Questa configurazione richiede una rete bring-your-own (tramite Kubenet o Azure CNI) e che il gateway NAT sia preconfigurato nella subnet. I comandi seguenti creano le risorse necessarie per questo scenario.

  1. Creare un gruppo di risorse usando il comando az group create.

    az group create --name myResourceGroup \
        --location southcentralus
    
  2. Creare un'identità gestita per le autorizzazioni di rete e archiviare l'ID in $IDENTITY_ID per usarlo in un secondo momento.

    IDENTITY_ID=$(az identity create \
        --resource-group myResourceGroup \
        --name myNatClusterId \
        --location southcentralus \
        --query id \
        --output tsv)
    
  3. Creare un indirizzo IP pubblico per il gateway NAT usando il az network public-ip create comando .

    az network public-ip create \
        --resource-group myResourceGroup \
        --name myNatGatewayPip \
        --location southcentralus \
        --sku standard
    
  4. Creare il gateway NAT usando il az network nat gateway create comando .

    az network nat gateway create \
        --resource-group myResourceGroup \
        --name myNatGateway \
        --location southcentralus \
        --public-ip-addresses myNatGatewayPip
    

    Importante

    Una singola risorsa gateway NAT non può essere usata in più zone di disponibilità. Per garantire la resilienza della zona, è consigliabile distribuire una risorsa gateway NAT in ogni zona di disponibilità e assegnare a subnet contenenti cluster del servizio Azure Kubernetes in ogni zona. Per altre informazioni su questo modello di distribuzione, vedere Gateway NAT per ogni zona. Se non è configurata alcuna zona per il gateway NAT, il posizionamento predefinito della zona è "nessuna zona", in cui Il gateway NAT viene inserito automaticamente in una zona.

  5. Creare una rete virtuale usando il az network vnet create comando .

    az network vnet create \
        --resource-group myResourceGroup \
        --name myVnet \
        --location southcentralus \
        --address-prefixes 172.16.0.0/20 
    
  6. Creare una subnet nella rete virtuale usando il gateway NAT e archiviare l'ID per $SUBNET_ID usarlo in un secondo momento.

    SUBNET_ID=$(az network vnet subnet create \
        --resource-group myResourceGroup \
        --vnet-name myVnet \
        --name myNatCluster \
        --address-prefixes 172.16.0.0/22 \
        --nat-gateway myNatGateway \
        --query id \
        --output tsv)
    
  7. Creare un cluster del servizio Azure Kubernetes usando la subnet con il gateway NAT e l'identità gestita usando il az aks create comando .

    az aks create \
        --resource-group myResourceGroup \
        --name myNatCluster \
        --location southcentralus \
        --network-plugin azure \
        --vnet-subnet-id $SUBNET_ID \
        --outbound-type userAssignedNATGateway \
        --enable-managed-identity \
        --assign-identity $IDENTITY_ID
    

Disabilitare OutboundNAT per Windows (anteprima)

Windows OutboundNAT può causare determinati problemi di connessione e comunicazione con i pod del servizio Azure Kubernetes. Un problema di esempio è il riutilizzo della porta del nodo. In questo esempio Windows OutboundNAT usa le porte per convertire l'IP del pod nell'ip host del nodo Windows, che può causare una connessione instabile al servizio esterno a causa di un problema di esaurimento delle porte.

Windows abilita OutboundNAT per impostazione predefinita. È ora possibile disabilitare manualmente OutboundNAT durante la creazione di nuovi pool di agenti Windows.

Prerequisiti

  • Se si usa Kubernetes versione 1.25 o precedente, è necessario aggiornare la configurazione della distribuzione.

  • È necessario installare o aggiornare e registrare aks-preview il flag di funzionalità.

    1. Installare o aggiornare aks-preview usando il az extension add comando o az extension update .
    # Install aks-preview
    az extension add --name aks-preview
    
    # Update aks-preview
    az extension update --name aks-preview
    
    1. Registrare il flag di funzionalità usando il az feature register comando .
    az feature register --namespace Microsoft.ContainerService --name DisableWindowsOutboundNATPreview
    
    1. Controllare lo stato della registrazione usando il az feature list comando .
    az feature list -o table --query "[?contains(name, 'Microsoft.ContainerService/DisableWindowsOutboundNATPreview')].{Name:name,State:properties.state}"
    
    1. Aggiornare la registrazione del Microsoft.ContainerService provider di risorse usando il az provider register comando .
    az provider register --namespace Microsoft.ContainerService
    

Limiti

  • Non è possibile impostare il tipo in uscita del cluster su LoadBalancer. È possibile impostarlo su Gateway Nat o route definita dall'utente:
    • Gateway NAT: il gateway NAT può gestire automaticamente la connessione NAT ed è più potente di Load Balancer Standard. È possibile che vengano addebitati costi aggiuntivi con questa opzione.
    • Route definita dall'utente (UserDefinedRouting): è necessario tenere presenti le limitazioni delle porte durante la configurazione delle regole di routing.
    • Se è necessario passare da un servizio di bilanciamento del carico al gateway NAT, è possibile aggiungere un gateway NAT nella rete virtuale o eseguire az aks upgrade per aggiornare il tipo in uscita.

Nota

UserDefinedRouting presenta le limitazioni seguenti:

  • SNAT by Load Balancer (must use the default OutboundNAT) has "64 ports on the host IP".
  • SNAT by Firewall di Azure (disable OutboundNAT) has 2496 ports per public IP.SNAT by Firewall di Azure (disable OutboundNAT) has 2496 ports per public IP.
  • SNAT by NAT Gateway (disable OutboundNAT) has 64512 ports per public IP.
  • Se l'intervallo di porte Firewall di Azure non è sufficiente per l'applicazione, è necessario usare il gateway NAT.
  • Firewall di Azure non esegue SNAT con regole di rete quando l'indirizzo IP di destinazione si trova in un intervallo di indirizzi IP privati per ogni IANA RFC 1918 o spazio indirizzi condiviso per IANA RFC 6598.

Disabilitare manualmente OutboundNAT per Windows

  • Disabilitare manualmente OutboundNAT per Windows quando si creano nuovi pool di agenti Di Windows usando il az aks nodepool add comando con il --disable-windows-outbound-nat flag .

    Nota

    È possibile usare un cluster del servizio Azure Kubernetes esistente, ma potrebbe essere necessario aggiornare il tipo in uscita e aggiungere un pool di nodi per abilitare --disable-windows-outbound-nat.

    az aks nodepool add \
        --resource-group myResourceGroup
        --cluster-name myNatCluster
        --name mynodepool
        --node-count 3
        --os-type Windows
        --disable-windows-outbound-nat
    

Passaggi successivi

Per altre informazioni sul gateway NAT di Azure, vedere Gateway NAT di Azure.