Поделиться через

Настройка исходящего трафика кластера с исходящими типами в Azure Kubernetes Service (AKS)

Внимание

Начиная с Мarch 31, 2026 Azure Kubernetes Service (AKS) больше не поддерживает исходящий доступ по умолчанию для виртуальных машин. Новые кластеры AKS, использующие параметр виртуальной сети, управляемый AKS, по умолчанию помещает подсети кластера в частные подсети.defaultOutboundAccess = false Этот параметр не влияет на трафик управляемого AKS кластера, который использует явно настроенные исходящие пути. Это может повлиять на неподдерживаемые сценарии, например развертывание других ресурсов в той же подсети. Кластеры, использующие виртуальные сети BYO, не влияют на это изменение. В поддерживаемых конфигурациях никаких действий не требуется. Дополнительные сведения об этом выводе из эксплуатации см. в объявлении о прекращении поддержки обновлений Azure. Чтобы оставаться в курсе объявлений и обновлений, следуйте заметкам о выпуске AKS.

Вы можете настроить исходящий трафик для кластера AKS в соответствии с конкретными сценариями. По умолчанию AKS создает Load Balancer (цен. категория "Стандартный") для настройки и использования для исходящего трафика. Однако настройка по умолчанию может не соответствовать требованиям всех сценариев, если общедоступные IP-адреса запрещены или необходимы дополнительные этапы для исходящего трафика.

В этой статье рассматриваются различные типы исходящего подключения, доступные в кластерах AKS.

Примечание.

Теперь можно обновить outboundType после создания кластера.

Внимание

В неприватных кластерах трафик сервера API направляется и обрабатывается на уровне исходящего трафика кластеров. Чтобы предотвратить обработку трафика сервера API в качестве общедоступного трафика, рассмотрите возможность использования частного кластера или ознакомьтесь с функцией интеграции виртуальной сети СЕРВЕРА API .

Ограничения

  • Для настройки outboundType требуются кластеры AKS с vm-set-typeVirtualMachineScaleSets и load-balancer-skuStandard.

Исходящие типы в AKS

Кластер AKS можно настроить с помощью следующих исходящих типов: подсистема балансировки нагрузки, шлюз NAT или определяемые пользователем маршруты. Исходящий тип влияет только на исходящий трафик кластера. Дополнительные сведения см. в разделе о настройке контроллеров входящего трафика.

Тип исходящего трафика: Балансировщик нагрузки

Подсистема балансировки нагрузки используется для исходящего трафика через общедоступный IP-адрес, назначенный AKS. Тип исходящего трафика loadBalancer поддерживает службы Kubernetes типа loadBalancer, которые ожидают исходящий трафик из балансировщика нагрузки, созданного поставщиком ресурсов AKS.

Если loadBalancer задано, AKS автоматически завершает следующую конфигурацию:

  • Общедоступный IP-адрес создается для исходящего трафика кластера.
  • Общедоступный IP-адрес назначается ресурсу балансировщика нагрузки.
  • Серверные пулы для подсистемы балансировки нагрузки настраиваются для агентских узлов в кластере.

Диаграмма показывает входящий I P и исходящий I P, где входящий I P направляет трафик на балансировщик нагрузки, который направляет трафик во внутренний кластер, а другой трафик на исходящий I P, который направляет трафик в Интернет, M C R, необходимые службы Azure, и на контрольную плоскость A K S.

Дополнительные сведения см. в статье об использовании стандартной подсистемы балансировки нагрузки в AKS.

Тип исходящего трафика: шлюз NAT

Если выбраны managedNATGatewayV2 (в режиме "Предварительная версия"), managedNATGateway или userAssignedNATGateway для outboundType, AKS использует сетевой шлюз NAT Azure для исходящего трафика кластера.

  • Выберите managedNatGatewayV2 или managedNatGateway при использовании управляемых виртуальных сетей. AKS подготавливает шлюз NAT StandardV2 с managedNATGatewayV2 и шлюз NAT Стандартного уровня с managedNATGateway, и подключает их к подсети кластера. Шлюз NAT StandardV2 рекомендуется, так как по умолчанию он является устойчивым к сбоям в зоне и предлагает более высокую пропускную способность и производительность. Дополнительные сведения см. в статье "Шлюз NAT StandardV2".
  • Выберите userAssignedNATGateway, когда используете виртуальную сеть по модели «принеси свою сеть». Для этого параметра требуется, чтобы перед созданием кластера был создан шлюз NAT. Поддерживаются шлюзы NAT standard и StandardV2.

Внимание

Исходящий managedNATGatewayV2 тип в настоящее время находится в предварительной версии. Ознакомьтесь с дополнительными условиями использования для предварительных версий Microsoft Azure для получения информации о юридических условиях, которые применяются к функциям Azure, находящимся в стадии бета-тестирования, предварительного просмотра или еще не выпущенными в широкую доступность.

Дополнительные сведения см. в статье об использовании шлюза NAT с AKS.

Исходящий тип: маршруты, заданные пользователем

Примечание.

Тип userDefinedRouting исходящего трафика — это расширенный сетевой сценарий и требует надлежащей конфигурации сети.

Если userDefinedRouting задано, AKS не настраивает пути исходящего трафика автоматически. Настройка выхода завершена вами.

Кластер AKS необходимо развернуть в существующей виртуальной сети с настроенной подсетью. Так как вы не используете стандартную архитектуру подсистемы балансировки нагрузки (SLB), необходимо установить явный исходящий трафик. Эта архитектура требует явной отправки исходящего трафика на устройство, например брандмауэр, шлюз, прокси-сервер или разрешить NAT выполнять общедоступным IP-адресом, назначенным стандартной подсистеме балансировки нагрузки или устройству.

Дополнительные сведения см. в статье о настройке исходящего трафика кластера с помощью определяемой пользователем маршрутизации.

Исходящий тип: нет

Внимание

Исходящий none тип доступен только с Сетью Изолированного Кластера и требует тщательного планирования, чтобы кластер работал должным образом без непреднамеренных зависимостей от внешних служб. Сведения о полностью изолированных кластерах см. в рекомендациях по изолированным кластерам.

Если задан параметр none, AKS не будет автоматически настраивать пути исходящего трафика. Этот параметр аналогичен, userDefinedRouting но не требует маршрута по умолчанию в рамках проверки.

Тип none исходящего трафика поддерживается как в сценариях собственной виртуальной сети (BYO), так и в сценариях управляемой виртуальной сети. Однако при необходимости необходимо убедиться, что кластер AKS развертывается в сетевой среде, где явные пути исходящего трафика определяются при необходимости. Для сценариев виртуальной сети BYO кластер должен быть развернут в существующей виртуальной сети с уже настроенной подсетью. Так как AKS не создает стандартную подсистему балансировки нагрузки или инфраструктуру исходящего трафика, при необходимости необходимо установить явные пути исходящего трафика. Параметры исходящего трафика могут включать маршрутизацию трафика в брандмауэр, прокси-сервер, шлюз или другие пользовательские конфигурации сети.

Тип исходящего трафика: блок (предварительная версия)

Внимание

Исходящий block тип доступен только в изолированном кластере сети и требует тщательного планирования, чтобы гарантировать отсутствие непреднамеренных зависимостей сети. Сведения о полностью изолированных кластерах см. в рекомендациях по изолированным кластерам.

Если block задано, AKS настраивает сетевые правила для активного блокировки всего исходящего трафика из кластера. Этот параметр полезен для высокозащищенных сред, где необходимо ограничить исходящее подключение.

Применяя block, помните следующие правила.

  • AKS гарантирует, что общедоступный интернет-трафик не может покидать кластер через правила группы безопасности сети (NSG). Трафик виртуальной сети не затронут.
  • Необходимо явно разрешить любой необходимый исходящий трафик через дополнительные конфигурации сети.

Этот block параметр предоставляет другой уровень сетевой изоляции, но требует тщательного планирования, чтобы избежать нарушения рабочих нагрузок или зависимостей.

Обновление outboundType после создания кластера

Изменение типа исходящего трафика после создания кластера развертывает или удаляет ресурсы, чтобы адаптировать кластер к новой конфигурации выхода.

В следующих таблицах показаны поддерживаемые пути миграции между исходящими типами для управляемых виртуальных сетей и виртуальных сетей BYO.

Поддерживаемые пути миграции для управляемой виртуальной сети

Каждая строка показывает, можно ли перенести исходящий тип в типы, перечисленные в верхней части. "Поддерживаемый" означает, что миграция возможна, а "Не поддерживается" или "N/A" означает, что это не так. При использовании управляемой виртуальной сети миграция поддерживается только между управляемыми исходящими типами — loadBalancermanagedNATGatewayV2и managedNATGateway. При использовании пользовательской виртуальной сети BYO миграция поддерживается только между определяемыми пользователем типами исходящего трафика — loadBalanceruserAssignedNATGateway и userDefinedRouting.

От |Кому loadBalancer managedNATGatewayV2 managedNATGateway none block
loadBalancer Н/П Поддерживается Поддерживается Поддерживается Поддерживается
managedNATGatewayV2 Не поддерживается Н/П Не поддерживается Не поддерживается Не поддерживается
managedNATGateway Не поддерживается Поддерживается Н/П Поддерживается Поддерживается
none Поддерживается Поддерживается Поддерживается Н/П Поддерживается
block Поддерживается Поддерживается Поддерживается Поддерживается Н/П

Поддерживаемые пути миграции для виртуальной сети BYO

От |Кому loadBalancer userAssignedNATGateway userDefinedRouting none block
loadBalancer Н/П Поддерживается Поддерживается Поддерживается Не поддерживается
userAssignedNATGateway Поддерживается Н/П Поддерживается Поддерживается Не поддерживается
userDefinedRouting Поддерживается Поддерживается Н/П Поддерживается Не поддерживается
none Поддерживается Поддерживается Поддерживается Н/П Не поддерживается

Предупреждение

Перенос исходящего типа на managedNATGatewayV2, userAssignedNATGateway или userDefinedRouting изменит общедоступные IP-адреса кластера. Если включены разрешенные диапазоны IP-адресов , убедитесь, что новый диапазон исходящих IP-адресов добавляется к авторизованному диапазону IP-адресов.

Предупреждение

Изменение исходящего типа в кластере нарушает сетевое подключение и приводит к изменению исходящего IP-адреса кластера. Это сопровождается простоем и влиянием на текущие подключения. Если какие-либо правила брандмауэра настроены для ограничения трафика из кластера, необходимо обновить их, чтобы соответствовать новому IP-адресу исходящего трафика.

Обновление кластера для использования нового типа исходящих сообщений

Примечание.

Для переноса типа направления исходящих данных необходимо использовать версию >= 2.56 Azure CLI. Используйте az upgrade для обновления до последней версии Azure CLI.

  • Обновите исходящую конфигурацию кластера с помощью az aks update команды.

Обновление кластера из loadbalancer на managedNATGatewayV2

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGatewayV2 --nat-gateway-managed-outbound-ipv6-count <number of managed outbound ipv6>

Внимание

Исходящий managedNATGatewayV2 тип в настоящее время находится в предварительной версии. Ознакомьтесь с дополнительными условиями использования для предварительных версий Microsoft Azure для получения информации о юридических условиях, которые применяются к функциям Azure, находящимся в стадии бета-тестирования, предварительного просмотра или еще не выпущенными в широкую доступность. Дополнительные сведения о регистрации см. в статье об использовании шлюза NAT с AKS.

Обновление кластера с managedNATGateway на loadbalancer

az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >

Предупреждение

Не используйте IP-адрес, который уже используется в предыдущих исходящих конфигурациях.

Обновление кластера от managedNATGateway до userDefinedRouting

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting

Обновление кластера от loadbalancer до userAssignedNATGateway в сценарии виртуальной сети BYO

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway

Следующие шаги

  • Last updated on