Personalizar a saída do cluster com uma tabela de encaminhamento definida pelo utilizador no Azure Kubernetes Service (AKS)
Pode personalizar a saída dos clusters do Azure Kubernetes Service (AKS) para se ajustarem a cenários específicos. O AKS aprovisiona um Standard
balanceador de carga de SKU para saída por predefinição. No entanto, a configuração predefinida pode não cumprir os requisitos de todos os cenários se os IPs públicos não forem permitidos ou se o cenário exigir saltos adicionais para a saída.
Este artigo explica como personalizar a rota de saída de um cluster para suportar cenários de rede personalizados. Estes cenários incluem os que não permitem IPs públicos e exigem que o cluster fique atrás de uma aplicação virtual de rede (NVA).
Pré-requisitos
- Versão 2.0.81 ou superior da CLI do Azure. Executar
az --version
para localizar a versão. Se precisar de instalar ou atualizar, veja Install Azure CLI (Instalar o Azure CLI). - Versão
2020-01-01
da API ou superior.
Requisitos e limitações
Utilizar o tipo de saída é um cenário de rede avançado e requer uma configuração de rede adequada. Os seguintes requisitos e limitações aplicam-se à utilização do tipo de saída:
- A definição
outboundType
requer clusters do AKS com umvm-set-type
deVirtualMachineScaleSets
e umload-balancer-sku
deStandard
. - Definir
outboundType
para um valor deUDR
requer uma rota definida pelo utilizador com conectividade de saída válida para o cluster. - Definir
outboundType
para um valor de implica que o IP deUDR
origem de entrada encaminhado para o balanceador de carga pode não corresponder ao endereço de destino de saída do cluster.
Descrição geral da personalização da saída com uma tabela de encaminhamento definida pelo utilizador
O AKS não configura automaticamente caminhos de saída se userDefinedRouting
estiver definido, o que significa que tem de configurar a saída.
Quando não utiliza a arquitetura do balanceador de carga padrão (SLB), tem de estabelecer saída explícita. Tem de implementar o cluster do AKS numa rede virtual existente com uma sub-rede que tenha sido configurada anteriormente. Esta arquitetura requer o envio explícito de tráfego de saída para uma aplicação, como uma firewall, gateway ou proxy, para que um IP público atribuído ao balanceador de carga ou aplicação padrão possa processar a Tradução de Endereços de Rede (NAT).
Criação do balanceador de carga com userDefinedRouting
Os clusters do AKS com um tipo de saída de UDR obtêm um balanceador de carga padrão apenas quando o primeiro serviço kubernetes do tipo loadBalancer
é implementado. O balanceador de carga está configurado com um endereço IP público para pedidos de entrada e um conjunto de back-end para pedidos de entrada . O fornecedor de cloud do Azure configura regras de entrada, mas não configura o endereço IP público de saída nem as regras de saída. A UDR é a única origem para o tráfego de saída.
Nota
Os balanceadores de carga do Azure não incorrem num custo até que seja colocada uma regra.
Implementar um cluster com o tipo de saída de UDR e Azure Firewall
Para ver uma aplicação de um cluster com o tipo de saída através de uma rota definida pelo utilizador, veja este exemplo restringir o tráfego de saída com a firewall do Azure.
Importante
O tipo de saída de UDR requer uma rota para 0.0.0.0/0 e um destino de próximo salto da NVA na tabela de rotas. A tabela de rotas já tem uma predefinição 0.0.0.0/0 para a Internet. Sem um endereço IP público para o Azure utilizar para Tradução de Endereços de Rede de Origem (SNAT), simplesmente adicionar esta rota não lhe fornecerá conectividade à Internet de saída. O AKS valida que não cria uma rota 0.0.0.0/0 que aponte para a Internet, mas sim para um gateway, NVA, etc. Ao utilizar um tipo de saída de UDR, não é criado um endereço IP público do balanceador de carga para pedidos de entrada , a menos que configure um serviço do tipo loadbalancer. O AKS nunca cria um endereço IP público para pedidos de saída se definir um tipo de saída de UDR.
Passos seguintes
Para obter mais informações sobre rotas definidas pelo utilizador e redes do Azure, consulte:
Azure Kubernetes Service
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários