Dostosowywanie ruchu wychodzącego klastra przy użyciu tabeli routingu zdefiniowanego przez użytkownika w usłudze Azure Kubernetes Service (AKS)

Możesz dostosować ruch wychodzący dla klastrów Azure Kubernetes Service (AKS), aby dopasować je do określonych scenariuszy. Usługa AKS domyślnie aprowizuje moduł równoważenia Standard obciążenia jednostki SKU dla ruchu wychodzącego. Jednak domyślna konfiguracja może nie spełniać wymagań wszystkich scenariuszy, jeśli publiczne adresy IP są niedozwolone lub scenariusz wymaga dodatkowych przeskoków dla ruchu wychodzącego.

W tym artykule opisano sposób dostosowywania trasy ruchu wychodzącego klastra w celu obsługi niestandardowych scenariuszy sieciowych. Te scenariusze obejmują te, które nie zezwalają na publiczne adresy IP i wymagają, aby klaster siedział za wirtualnym urządzeniem sieciowym (WUS).

Wymagania wstępne

• Interfejs wiersza polecenia platformy Azure w wersji 2.0.81 lub nowszej. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
• Wersja interfejsu API lub nowsza 2020-01-01 .

Wymagania i ograniczenia

Korzystanie z typu ruchu wychodzącego jest zaawansowanym scenariuszem sieciowym i wymaga odpowiedniej konfiguracji sieci. Do korzystania z typu ruchu wychodzącego mają zastosowanie następujące wymagania i ograniczenia:

• Ustawienie outboundType wymaga klastrów usługi AKS z wartością i vm-set-typeVirtualMachineScaleSets typu Standardload-balancer-sku .
• Ustawienie outboundType wartości UDR wymaga trasy zdefiniowanej przez użytkownika z prawidłową łącznością wychodzącą dla klastra.
• Ustawienie outboundType wartości oznacza źródłowy adres IP ruchu przychodzącego UDR kierowany do modułu równoważenia obciążenia może nie być zgodny z adresem docelowym wychodzącego ruchu wychodzącego klastra.

Omówienie dostosowywania ruchu wychodzącego za pomocą tabeli routingu zdefiniowanego przez użytkownika

Usługa AKS nie konfiguruje automatycznie ścieżek ruchu wychodzącego, jeśli userDefinedRouting jest ustawiona, co oznacza, że musisz skonfigurować ruch wychodzący.

Jeśli nie używasz standardowej architektury modułu równoważenia obciążenia (SLB), musisz ustanowić jawny ruch wychodzący. Klaster usługi AKS należy wdrożyć w istniejącej sieci wirtualnej z wcześniej skonfigurowaną podsiecią. Ta architektura wymaga jawnego wysyłania ruchu wychodzącego do urządzenia, takiego jak zapora, brama lub serwer proxy, dlatego publiczny adres IP przypisany do standardowego modułu równoważenia obciążenia lub urządzenia może obsługiwać translator adresów sieciowych (NAT).

Tworzenie modułu równoważenia obciążenia za pomocą polecenia userDefinedRouting

Klastry AKS z typem wychodzącym trasy zdefiniowanej przez użytkownika uzyskują standardowy moduł równoważenia obciążenia tylko wtedy, gdy zostanie wdrożona pierwsza usługa Kubernetes.loadBalancer Moduł równoważenia obciążenia jest skonfigurowany przy użyciu publicznego adresu IP dla żądań przychodzących i puli zaplecza dla żądań przychodzących . Dostawca usług w chmurze platformy Azure konfiguruje reguły ruchu przychodzącego, ale nie konfiguruje wychodzącego publicznego adresu IP ani reguł ruchu wychodzącego. Trasa zdefiniowana przez użytkownika jest jedynym źródłem ruchu wychodzącego.

Uwaga

Moduły równoważenia obciążenia platformy Azure nie generują opłat, dopóki reguła nie zostanie umieszczona.

Wdrażanie klastra z typem ruchu wychodzącego trasy zdefiniowanej przez użytkownika i Azure Firewall

Aby wyświetlić aplikację klastra z typem wychodzącym przy użyciu trasy zdefiniowanej przez użytkownika, zobacz ten przykład ograniczania ruchu wychodzącego za pomocą usługi Azure Firewall.

Ważne

Typ ruchu wychodzącego trasy zdefiniowanej przez użytkownika wymaga trasy dla 0.0.0.0/0 i miejsca docelowego następnego przeskoku urządzenia WUS w tabeli tras. Tabela tras ma już domyślną wartość 0.0.0.0/0 do Internetu. Bez publicznego adresu IP dla platformy Azure do użycia na potrzeby translacji adresów sieciowych (SNAT) po prostu dodanie tej trasy nie zapewni wychodzącej łączności z Internetem. Usługa AKS sprawdza, czy nie utworzono trasy 0.0.0.0/0 wskazującej na Internet, ale zamiast bramy, urządzenia WUS itp. W przypadku korzystania z typu ruchu wychodzącego trasy zdefiniowanej przez użytkownika publiczny adres IP modułu równoważenia obciążenia dla żądań przychodzących nie jest tworzony, chyba że skonfigurowano usługę typu loadbalancer. Usługa AKS nigdy nie tworzy publicznego adresu IP dla żądań wychodzących , jeśli ustawiono typ ruchu wychodzącego trasy zdefiniowanej przez użytkownika.

Następne kroki

Aby uzyskać więcej informacji na temat tras zdefiniowanych przez użytkownika i sieci platformy Azure, zobacz:

• Omówienie trasy zdefiniowanej przez użytkownika sieci platformy Azure
• Jak utworzyć, zmienić lub usunąć tabelę tras.