Personalizar a saída do cluster com uma tabela de encaminhamento definida pelo utilizador no Azure Kubernetes Service (AKS)

Pode personalizar a saída dos clusters do Azure Kubernetes Service (AKS) para se ajustarem a cenários específicos. O AKS aprovisiona um Standard balanceador de carga de SKU para saída por predefinição. No entanto, a configuração predefinida pode não cumprir os requisitos de todos os cenários se os IPs públicos não forem permitidos ou se o cenário exigir saltos adicionais para a saída.

Este artigo explica como personalizar a rota de saída de um cluster para suportar cenários de rede personalizados. Estes cenários incluem os que não permitem IPs públicos e exigem que o cluster fique atrás de uma aplicação virtual de rede (NVA).

Pré-requisitos

• Versão 2.0.81 ou superior da CLI do Azure. Executar az --version para localizar a versão. Se precisar de instalar ou atualizar, veja Install Azure CLI (Instalar o Azure CLI).
• Versão 2020-01-01 da API ou superior.

Requisitos e limitações

Utilizar o tipo de saída é um cenário de rede avançado e requer uma configuração de rede adequada. Os seguintes requisitos e limitações aplicam-se à utilização do tipo de saída:

• A definição outboundType requer clusters do AKS com um vm-set-type de VirtualMachineScaleSets e um load-balancer-sku de Standard.
• Definir outboundType para um valor de UDR requer uma rota definida pelo utilizador com conectividade de saída válida para o cluster.
• Definir outboundType para um valor de implica que o IP de UDR origem de entrada encaminhado para o balanceador de carga pode não corresponder ao endereço de destino de saída do cluster.

Descrição geral da personalização da saída com uma tabela de encaminhamento definida pelo utilizador

O AKS não configura automaticamente caminhos de saída se userDefinedRouting estiver definido, o que significa que tem de configurar a saída.

Quando não utiliza a arquitetura do balanceador de carga padrão (SLB), tem de estabelecer saída explícita. Tem de implementar o cluster do AKS numa rede virtual existente com uma sub-rede que tenha sido configurada anteriormente. Esta arquitetura requer o envio explícito de tráfego de saída para uma aplicação, como uma firewall, gateway ou proxy, para que um IP público atribuído ao balanceador de carga ou aplicação padrão possa processar a Tradução de Endereços de Rede (NAT).

Criação do balanceador de carga com userDefinedRouting

Os clusters do AKS com um tipo de saída de UDR obtêm um balanceador de carga padrão apenas quando o primeiro serviço kubernetes do tipo loadBalancer é implementado. O balanceador de carga está configurado com um endereço IP público para pedidos de entrada e um conjunto de back-end para pedidos de entrada . O fornecedor de cloud do Azure configura regras de entrada, mas não configura o endereço IP público de saída nem as regras de saída. A UDR é a única origem para o tráfego de saída.

Nota

Os balanceadores de carga do Azure não incorrem num custo até que seja colocada uma regra.

Implementar um cluster com o tipo de saída de UDR e Azure Firewall

Para ver uma aplicação de um cluster com o tipo de saída através de uma rota definida pelo utilizador, veja este exemplo restringir o tráfego de saída com a firewall do Azure.

Importante

O tipo de saída de UDR requer uma rota para 0.0.0.0/0 e um destino de próximo salto da NVA na tabela de rotas. A tabela de rotas já tem uma predefinição 0.0.0.0/0 para a Internet. Sem um endereço IP público para o Azure utilizar para Tradução de Endereços de Rede de Origem (SNAT), simplesmente adicionar esta rota não lhe fornecerá conectividade à Internet de saída. O AKS valida que não cria uma rota 0.0.0.0/0 que aponte para a Internet, mas sim para um gateway, NVA, etc. Ao utilizar um tipo de saída de UDR, não é criado um endereço IP público do balanceador de carga para pedidos de entrada , a menos que configure um serviço do tipo loadbalancer. O AKS nunca cria um endereço IP público para pedidos de saída se definir um tipo de saída de UDR.

Passos seguintes

Para obter mais informações sobre rotas definidas pelo utilizador e redes do Azure, consulte:

• Descrição geral da UDR de rede do Azure
• Como criar, alterar ou eliminar uma tabela de rotas.