Udostępnij za pośrednictwem

Dostosowywanie ruchu wychodzącego klastra przy użyciu tabeli routingu zdefiniowanej przez użytkownika w usłudze Azure Kubernetes Service (AKS)

  • Artykuł

Możesz dostosować ruch wychodzący dla klastrów usługi Azure Kubernetes Service (AKS), aby dopasować je do określonych scenariuszy. Usługa AKS domyślnie aprowizuje moduł równoważenia Standard obciążenia jednostki SKU dla ruchu wychodzącego. Jednak domyślna konfiguracja może nie spełniać wymagań wszystkich scenariuszy, jeśli publiczne adresy IP są niedozwolone lub scenariusz wymaga dodatkowych przeskoków dla ruchu wychodzącego.

W tym artykule opisano sposób dostosowywania trasy ruchu wychodzącego klastra w celu obsługi niestandardowych scenariuszy sieciowych. Te scenariusze obejmują te, które nie zezwalają na publiczne adresy IP i wymagają, aby klaster siedział za wirtualnym urządzeniem sieciowym (WUS).

Wymagania wstępne

  • Interfejs wiersza polecenia platformy Azure w wersji 2.0.81 lub nowszej. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
  • Wersja interfejsu API lub nowsza 2020-01-01 .

Wymagania i ograniczenia

Używanie typu ruchu wychodzącego jest zaawansowanym scenariuszem sieciowym i wymaga odpowiedniej konfiguracji sieci. Następujące wymagania i ograniczenia dotyczą używania typu ruchu wychodzącego:

  • Ustawienie outboundType wymaga klastrów usługi AKS z wartością vm-set-type VirtualMachineScaleSets i .Standardload-balancer-sku
  • Ustawienie outboundType wartości UDR wymaga trasy zdefiniowanej przez użytkownika z prawidłową łącznością wychodzącą dla klastra.
  • Ustawienie outboundType wartości oznacza, że źródłowy adres IP ruchu przychodzącego UDR kierowany do modułu równoważenia obciążenia może nie być zgodny z wychodzącym adresem docelowym ruchu wychodzącego klastra.

Omówienie dostosowywania ruchu wychodzącego przy użyciu tabeli routingu zdefiniowanej przez użytkownika

Usługa AKS nie konfiguruje automatycznie ścieżek ruchu wychodzącego, jeśli userDefinedRouting jest ustawiona, co oznacza, że musisz skonfigurować ruch wychodzący.

Jeśli nie używasz standardowej architektury modułu równoważenia obciążenia (SLB), musisz ustanowić jawny ruch wychodzący. Klaster usługi AKS należy wdrożyć w istniejącej sieci wirtualnej z wcześniej skonfigurowaną podsiecią. Ta architektura wymaga jawnego wysyłania ruchu wychodzącego do urządzenia, takiego jak zapora, brama lub serwer proxy, więc publiczny adres IP przypisany do standardowego modułu równoważenia obciążenia lub urządzenia może obsługiwać translatora adresów sieciowych (NAT).

Tworzenie modułu równoważenia obciążenia za pomocą polecenia userDefinedRouting

Klastry AKS z typem ruchu wychodzącego trasy zdefiniowanej przez użytkownika uzyskują standardowy moduł równoważenia obciążenia tylko wtedy, gdy zostanie wdrożona pierwsza usługa Kubernetes typu loadBalancer . Moduł równoważenia obciążenia jest skonfigurowany przy użyciu publicznego adresu IP dla żądań przychodzących i puli zaplecza dla żądań przychodzących. Dostawca usług w chmurze platformy Azure konfiguruje reguły ruchu przychodzącego, ale nie konfiguruje wychodzącego publicznego adresu IP ani reguł ruchu wychodzącego. Trasa zdefiniowana przez użytkownika jest jedynym źródłem ruchu wychodzącego.

Uwaga

Moduły równoważenia obciążenia platformy Azure nie generują opłat, dopóki reguła nie zostanie umieszczona.

Wdrażanie klastra z typem wychodzącym trasy zdefiniowanej przez użytkownika i usługą Azure Firewall

Aby wyświetlić aplikację klastra z typem wychodzącym przy użyciu trasy zdefiniowanej przez użytkownika, zobacz ten przykład ograniczania ruchu wychodzącego za pomocą usługi Azure Firewall.

Ważne

Typ ruchu wychodzącego trasy zdefiniowanej przez użytkownika wymaga trasy dla 0.0.0.0/0 i miejsca docelowego następnego przeskoku urządzenia WUS w tabeli tras. Tabela tras ma już domyślną 0.0.0.0/0 do Internetu. Bez publicznego adresu IP dla platformy Azure do użycia na potrzeby tłumaczenia adresów sieciowych źródła (SNAT), po prostu dodanie tej trasy nie zapewni wychodzącej łączności z Internetem. Usługa AKS sprawdza, czy nie utworzysz trasy 0.0.0.0/0 wskazującej Internet, ale zamiast bramy, urządzenia WUS itp. W przypadku korzystania z typu ruchu wychodzącego trasy zdefiniowanej przez użytkownika publiczny adres IP modułu równoważenia obciążenia dla żądań przychodzących nie jest tworzony, chyba że skonfigurowano usługę typu loadbalancer. Usługa AKS nigdy nie tworzy publicznego adresu IP dla żądań wychodzących, jeśli ustawisz typ ruchu wychodzącego trasy zdefiniowanej przez użytkownika.

Następne kroki

Aby uzyskać więcej informacji na temat tras zdefiniowanych przez użytkownika i sieci platformy Azure, zobacz: