Compartilhar via

Personalizar a saída do cluster com tipos de saída no AKS (Serviço de Kubernetes do Azure)

  • Artigo

Você pode personalizar a saída para um cluster AKS para se adequar a cenários específicos. Por padrão, o AKS provisiona um balanceador de carga de SKU padrão a ser configurado e usado para saída. Contudo, é possível que a configuração padrão não atenda aos requisitos de todos os cenários se os IPs públicos não forem permitidos ou se forem necessários saltos adicionais para a saída.

Este artigo aborda os vários tipos de conectividade de saída que estão disponíveis nos clusters AKS.

Observação

Agora você pode atualizar o outboundType após a criação do cluster.

Importante

Em clusters não privados, o tráfego de cluster do servidor de API é roteado e processado por meio do tipo de saída de clusters. Para impedir que o tráfego do servidor de API seja processado como um tráfego público, considere o uso de um cluster privado ou confira o recurso Integração VNET do servidor de API.

Limitações

  • A configuração outboundType requer clusters do AKS com um vm-set-type de VirtualMachineScaleSets e load-balancer-sku de Standard.

Tipos de saída em AKS

Você pode configurar um cluster AKS usando os seguintes tipos de saída: balanceador de carga, gateway NAT ou roteamento definido pelo usuário. O tipo de saída afeta apenas o tráfego de saída do seu cluster. Confira mais informações em configurar controladores de entrada.

Observação

Você pode usar sua própria [tabela de roteamento] com UDR e a sistema de rede kubenet. Verifique se a identidade do cluster (entidade de serviço ou identidade gerenciada) tem permissões de Colaborador para a tabela de rotas personalizada.

Tipo de saída de loadBalancer

O balanceador de carga é usado para saída através de um IP público atribuído por AKS. Um tipo de saída de loadBalancer dá suporte aos serviços Kubernetes do tipo loadBalancer, que esperam a saída do balanceador de carga criado pelo provedor de recursos do AKS.

Se loadBalancer for definido, o AKS completa automaticamente a seguinte configuração:

  • Um endereço IP público é provisionado para a saída do cluster.
  • O endereço IP público é atribuído ao recurso do balanceador de carga.
  • Os pools de back-end para o balanceador de carga são configurados para nós do agente no cluster.

O diagrama mostra a entrada IP e a saída IP, em que a entrada IP direciona o tráfego para um balanceador de carga, que direciona o tráfego de ida e volta em um cluster interno e outro tráfego para a saída IP, que direciona o tráfego para a Internet, o MCR, os serviços exigidos pelo Azure e o painel de controle do AKS.

Para obter mais informações, consulte usando um balanceador de carga padrão no AKS.

Tipo de saída de managedNatGateway ou userAssignedNatGateway

Se managedNatGateway ou userAssignedNatGateway estiverem selecionados para outboundType, o AKS dependerá do gateway da NAT da Rede do Azure para saída do cluster.

  • Selecione managedNatGateway ao usar redes virtuais gerenciadas. O AKS provisionará um gateway NAT e o anexa à sub-rede do cluster.
  • Selecione userAssignedNatGateway ao usar ‘trazer sua própria rede virtual’. Esta opção requer que você tenha provisionado um gateway NAT antes da criação do cluster.

Para saber mais, consulte usando gateway NAT com AKS.

Tipo de saída de userDefinedRouting

Observação

O tipo de saída userDefinedRouting é um cenário de rede avançado e requer uma configuração de rede adequada.

Se userDefinedRouting for definido, o AKS não configurará automaticamente os caminhos de saída. A configuração de saída deve ser feita por você.

Você deve implantar um cluste AKS em uma rede virtual existente com uma sub-rede que foi previamente configurada. Como você não está usando uma arquitetura de balanceador de carga padrão (SLB), você deve estabelecer uma saída explícita. Esta arquitetura exige explicitamente o tráfego de saída para um dispositivo como um firewall, gateway, proxy, ou para permitir que a NAT seja feita por um IP público atribuído ao balanceador de carga padrão ou ao dispositivo.

Para obter mais informações, consulte a configuração da saída do cluster através de roteamento definido pelo usuário.

Atualização de outboundType após a criação do cluster

A alteração do tipo de saída após a criação do cluster implantará ou removerá os recursos conforme necessário para colocar o cluster na nova configuração de saída.

As tabelas a seguir mostram os caminhos de migração com suporte entre os tipos de saída para redes virtuais gerenciadas e BYO (Traga a Sua Própria).

Caminhos de migração com suporte para VNet Gerenciada

Cada linha mostra se o tipo de saída pode ser migrado para os tipos listados na parte superior. "Com suporte" significa que a migração é possível, enquanto "Sem Suporte" ou "N/A" significa que não é.

De|Para loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting
loadBalancer N/D Com suporte Sem suporte Sem suporte
managedNATGateway Com suporte N/D Sem suporte Sem suporte
userAssignedNATGateway Sem suporte Sem suporte N/D Sem suporte

Caminhos de migração com suporte para BYO VNet

De|Para loadBalancer managedNATGateway userAssignedNATGateway userDefinedRouting
loadBalancer N/D Sem suporte Com suporte Compatível
managedNATGateway Sem suporte N/D Sem suporte Sem suporte
userAssignedNATGateway Com suporte Sem suporte N/D Com suporte
userDefinedRouting Compatível Sem suporte Com suporte N/D

A migração só tem suporte entre loadBalancer, managedNATGateway (se estiver usando uma rede virtual gerenciada), userAssignedNATGateway e userDefinedRouting (se estiver usando uma rede virtual personalizada).

Aviso

Migrar o tipo de saída para tipos gerenciados pelo usuário (userAssignedNATGateway e userDefinedRouting) alterará os endereços IP públicos de saída do cluster. se Intervalos de IP autorizados estiver habilitado, verifique se o novo intervalo de IP de saída está acrescentado ao intervalo de IP autorizado.

Aviso

A alteração do tipo de saída em um cluster interrompe a conectividade de rede e resultará em uma alteração do endereço IP de saída do cluster. Se alguma regra de firewall foi configurada para restringir o tráfego do cluster, você precisa atualizá-las para corresponder ao novo endereço IP de saída.

Atualizar cluster para usar um novo tipo de saída

Observação

É preciso usar uma versão >= 2.56 da CLI do Azure para migrar o tipo de saída. Use az upgrade para atualizar para a última versão da CLI do Azure.

  • Atualize a configuração de saída do seu cluster usando o comando az aks update.

Atualizar o cluster de loadbalancer para o managedNATGateway

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>

Atualizar o cluster de managedNATGateway para loadbalancer

az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >

Aviso

Não reutilize um endereço IP que já esteja em uso em configurações de saída anteriores.

Atualizar o cluster de managedNATGateway para userDefinedRouting

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting

Atualizar o cluster de loadbalancer para userAssignedNATGateway no cenário de VNet BYO

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway

Próximas etapas