Dostosowywanie ruchu wychodzącego klastra przy użyciu typów wychodzących w usłudze Azure Kubernetes Service (AKS)

  • Artykuł

Możesz dostosować ruch wychodzący dla klastra usługi AKS, aby dopasować je do określonych scenariuszy. Domyślnie usługa AKS aprowizuje standardowy moduł równoważenia obciążenia jednostki SKU do skonfigurowania i użycia na potrzeby ruchu wychodzącego. Jednak domyślna konfiguracja może nie spełniać wymagań wszystkich scenariuszy, jeśli publiczne adresy IP są niedozwolone lub dodatkowe przeskoki są wymagane dla ruchu wychodzącego.

W tym artykule opisano różne typy łączności wychodzącej, które są dostępne w klastrach usługi AKS.

Uwaga

Teraz można zaktualizować po utworzeniu klastra outboundType .

Ograniczenia

  • Ustawienie outboundType wymaga klastrów usługi AKS z wartością vm-set-typeVirtualMachineScaleSets i Standardload-balancer-sku .

Typy ruchu wychodzącego w usłudze AKS

Klaster usługi AKS można skonfigurować przy użyciu następujących typów ruchu wychodzącego: moduł równoważenia obciążenia, brama translatora adresów sieciowych lub routing zdefiniowany przez użytkownika. Typ ruchu wychodzącego ma wpływ tylko na ruch wychodzący klastra. Aby uzyskać więcej informacji, zobacz Konfigurowanie kontrolerów ruchu przychodzącego.

Uwaga

Możesz użyć własnej tabeli tras[byo-route-table] z trasą zdefiniowaną przez użytkownika i siecią kubenet. Upewnij się, że tożsamość klastra (jednostka usługi lub tożsamość zarządzana) ma uprawnienia Współautor do niestandardowej tabeli tras.

Typ ruchu wychodzącego loadBalancer

Moduł równoważenia obciążenia jest używany do ruchu wychodzącego za pośrednictwem publicznego adresu IP przypisanego przez usługę AKS. Typ ruchu wychodzącego loadBalancer obsługuje usługi Kubernetes typu loadBalancer, które oczekują ruchu wychodzącego z modułu równoważenia obciążenia utworzonego przez dostawcę zasobów usługi AKS.

W przypadku loadBalancer ustawienia usługa AKS automatycznie ukończy następującą konfigurację:

  • Publiczny adres IP jest aprowizowany dla ruchu wychodzącego klastra.
  • Publiczny adres IP jest przypisywany do zasobu modułu równoważenia obciążenia.
  • Pule zaplecza dla modułu równoważenia obciążenia są konfigurowane dla węzłów agenta w klastrze.

Diagram shows ingress I P and egress I P, where the ingress I P directs traffic to a load balancer, which directs traffic to and from an internal cluster and other traffic to the egress I P, which directs traffic to the Internet, M C R, Azure required services, and the A K S Control Plane.

Aby uzyskać więcej informacji, zobacz używanie standardowego modułu równoważenia obciążenia w usłudze AKS.

Typ ruchu wychodzącego managedNatGateway lub userAssignedNatGateway

Jeśli managedNatGateway dla usługi aKS wybrano outboundTypeopcję userAssignedNatGateway , usługa AKS korzysta z bramy translatora adresów sieciowych platformy Azure na potrzeby ruchu wychodzącego klastra.

  • Wybierz managedNatGateway w przypadku korzystania z zarządzanych sieci wirtualnych. Usługa AKS aprowizować bramę translatora adresów sieciowych i dołączać ją do podsieci klastra.
  • Wybierz userAssignedNatGateway w przypadku korzystania z własnej sieci wirtualnej. Ta opcja wymaga aprowizowania bramy translatora adresów sieciowych przed utworzeniem klastra.

Aby uzyskać więcej informacji, zobacz używanie bramy translatora adresów sieciowych z usługą AKS.

Typ ruchu wychodzącego userDefinedRouting

Uwaga

Typ userDefinedRouting ruchu wychodzącego jest zaawansowanym scenariuszem sieciowym i wymaga odpowiedniej konfiguracji sieci.

W przypadku userDefinedRouting ustawienia usługa AKS nie będzie automatycznie konfigurować ścieżek ruchu wychodzącego. Konfiguracja ruchu wychodzącego musi być wykonywana przez Ciebie.

Klaster usługi AKS należy wdrożyć w istniejącej sieci wirtualnej z wcześniej skonfigurowaną podsiecią. Ponieważ nie używasz standardowej architektury modułu równoważenia obciążenia (SLB), musisz ustanowić jawny ruch wychodzący. Ta architektura wymaga jawnego wysyłania ruchu wychodzącego do urządzenia, takiego jak zapora, brama, serwer proxy lub zezwalanie na translator adresów sieciowych przez publiczny adres IP przypisany do standardowego modułu równoważenia obciążenia lub urządzenia.

Aby uzyskać więcej informacji, zobacz konfigurowanie ruchu wychodzącego klastra za pomocą routingu zdefiniowanego przez użytkownika.

Aktualizowanie outboundType po utworzeniu klastra

Zmiana typu ruchu wychodzącego po utworzeniu klastra spowoduje wdrożenie lub usunięcie zasobów zgodnie z wymaganiami, aby umieścić klaster w nowej konfiguracji ruchu wychodzącego.

W poniższych tabelach przedstawiono obsługiwane ścieżki migracji między typami ruchu wychodzącego dla zarządzanych i zarządzanych sieci wirtualnych BYO.

Obsługiwane ścieżki migracji dla zarządzanej sieci wirtualnej

Zarządzana sieć wirtualna loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting
loadBalancer Nie dotyczy Obsługiwane Nieobsługiwany Obsługiwane
managedNATGateway Obsługiwane Nie dotyczy Nieobsługiwany Obsługiwane
userAssignedNATGateway Nieobsługiwany Nieobsługiwany Nie dotyczy Nieobsługiwany
userDefinedRouting Obsługiwane Obsługiwane Nieobsługiwany Nie dotyczy

Obsługiwane ścieżki migracji dla sieci wirtualnej BYO

Sieć wirtualna BYO loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting
loadBalancer Nie dotyczy Nieobsługiwany Obsługiwane Obsługiwane
managedNATGateway Nieobsługiwany Nie dotyczy Nieobsługiwany Nieobsługiwany
userAssignedNATGateway Obsługiwane Nieobsługiwany Nie dotyczy Obsługiwane
userDefinedRouting Obsługiwane Nieobsługiwany Obsługiwane Nie dotyczy

Migracja jest obsługiwana tylko między elementami loadBalancermanagedNATGateway (w przypadku korzystania z zarządzanej sieci wirtualnej) userAssignedNATGateway i userDefinedRouting (jeśli używasz niestandardowej sieci wirtualnej).

Ostrzeżenie

Migracja typu ruchu wychodzącego do typów zarządzanych przez użytkownika (userAssignedNATGateway i userDefinedRouting) spowoduje zmianę wychodzących publicznych adresów IP klastra. Jeśli włączone są autoryzowane zakresy adresów IP, upewnij się, że nowy zakres adresów IP dla ruchu wychodzącego jest dołączany do autoryzowanego zakresu adresów IP.

Ostrzeżenie

Zmiana typu ruchu wychodzącego w klastrze jest destrukcyjna dla łączności sieciowej i spowoduje zmianę adresu IP wychodzącego klastra. Jeśli skonfigurowano jakiekolwiek reguły zapory w celu ograniczenia ruchu z klastra, należy je zaktualizować, aby były zgodne z nowym adresem IP ruchu wychodzącego.

Aktualizowanie klastra w celu użycia nowego typu ruchu wychodzącego

Uwaga

Aby przeprowadzić migrację typu wychodzącego, musisz użyć wersji >= 2.56 interfejsu wiersza polecenia platformy Azure. Użyj az upgrade polecenia , aby zaktualizować do najnowszej wersji interfejsu wiersza polecenia platformy Azure.

  • Zaktualizuj konfigurację ruchu wychodzącego klastra przy użyciu az aks update polecenia .

Aktualizowanie klastra z modułu równoważenia obciążenia do elementu managedNATGateway

az aks update -g <resourceGroup> -n <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>

Aktualizowanie klastra z elementu managedNATGateway do modułu równoważenia obciążenia

az aks update -g <resourceGroup> -n <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >

Ostrzeżenie

Nie używaj ponownie adresu IP, który jest już używany w poprzednich konfiguracjach ruchu wychodzącego.

Aktualizowanie klastra z elementu managedNATGateway do userDefinedRouting

az aks update -g <resourceGroup> -n <clusterName> --outbound-type userDefinedRouting

Aktualizowanie klastra z modułu równoważenia obciążenia do elementu userAssignedNATGateway w scenariuszu sieci wirtualnej BYO

az aks update -g <resourceGroup> -n <clusterName> --outbound-type userAssignedNATGateway

Następne kroki