Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Uygulama geliştirmeye yönelik kapsayıcı tabanlı mikro hizmetler yaklaşımında, uygulama bileşenleri görevlerini işlemek için birlikte çalışır. Kubernetes bu işbirliğini sağlayan çeşitli kaynaklar sağlar:
- Uygulamalara şirket içinde veya dışında bağlanabilir ve bunları kullanıma salayabilirsiniz.
- Uygulamalarınızın yük dengelemesini yaparak yüksek oranda kullanılabilir uygulamalar oluşturabilirsiniz.
- Güvenliği artırmak için podlar ve düğümler arasında ağ trafiğinin akışını kısıtlayabilirsiniz.
- Daha karmaşık uygulamalarınız için SSL/TLS sonlandırması veya birden çok bileşenin yönlendirilmesi için Giriş trafiğini yapılandırabilirsiniz.
Bu makalede, AKS'deki uygulamalarınıza ağ sağlayan temel kavramlar açıklanır:
Kubernetes ağ ile ilgili temel bilgiler
Kubernetes, uygulamalarınız veya bileşenleri arasında ve içindeki erişimi yönetmek için bir sanal ağ katmanından oluşur:
Kubernetes düğümleri ve sanal ağ: Kubernetes düğümleri bir sanal ağa bağlanır. Bu kurulum, podların (Kubernetes'te temel dağıtım birimleri) hem gelen hem de giden bağlantıya sahip olmasını sağlar.
Kube-proxy bileşeni: kube-proxy her düğümde çalışır ve gerekli ağ özelliklerini sağlamakla sorumludur.
Belirli Kubernetes işlevleriyle ilgili olarak:
- Yük dengeleyici: Ağ trafiğini çeşitli kaynaklar arasında eşit bir şekilde dağıtmak için yük dengeleyici kullanabilirsiniz.
- Giriş denetleyicileri: Bunlar, uygulama trafiğini yönlendirmek için gerekli olan Katman 7 yönlendirmesini kolaylaştırır.
- Çıkış trafiği denetimi: Kubernetes, küme düğümlerinden giden trafiği yönetmenize ve denetlemenize olanak tanır.
- Ağ ilkeleri: Bu ilkeler podlardaki ağ trafiği için güvenlik ölçülerini ve filtrelemeyi etkinleştirir.
Azure platformu bağlamında:
- Azure, AKS (Azure Kubernetes Service) kümeleri için sanal ağı kolaylaştırır.
- Azure'da bir Kubernetes yük dengeleyici oluşturma aynı anda ilgili Azure yük dengeleyici kaynağını ayarlar.
- Podlara ağ bağlantı noktalarını açtığınızda, Azure gerekli ağ güvenlik grubu kurallarını otomatik olarak yapılandırıyor.
- Azure, yeni Giriş yolları oluşturulduktan sonra HTTP uygulama yönlendirmesi için dış DNS yapılandırmalarını da yönetebilir.
Azure sanal ağları
AKS'de, aşağıdaki ağ modellerinden birini kullanan bir küme dağıtabilirsiniz:
- Katman ağ modeli: Katman ağı, Kubernetes'te kullanılan en yaygın ağ modelidir. Podlara, AKS düğümlerinin dağıtıldığı Azure sanal ağ alt ağından özel, mantıksal olarak ayrı bir CIDR'den bir IP adresi verilir. Bu model, düz ağ modeline kıyasla daha basit ve geliştirilmiş ölçeklenebilirlik sağlar.
- Düz ağ modeli: AKS'deki düz ağ modeli, AKS düğümleriyle aynı Azure sanal ağından bir alt ağdan podlara IP adresleri atar. Kümelerinizden çıkan trafiğe SNAT uygulanmaz ve pod IP adresi doğrudan hedefe iletilir. Bu model, pod IP adreslerini dış hizmetlere sunma gibi senaryolar için yararlı olabilir.
AKS'deki ağ modelleri hakkında daha fazla bilgi için bkz. AKS'de CNI Ağı.
Giden (çıkış) trafiğini denetleme
AKS kümeleri bir sanal ağa dağıtılır ve neredeyse tamamen tam etki alanı adlarıyla (FQDN' ler) tanımlanan bu sanal ağın dışındaki hizmetlere giden bağımlılıkları vardır. AKS, bu dış kaynaklara erişim şeklini özelleştirmenizi sağlayan çeşitli giden yapılandırma seçenekleri sağlar.
Uyarı
31 Mart 2026'nın ardından AKS tarafından yönetilen sanal ağ seçeneğini kullanan yeni AKS kümeleri, küme alt ağlarını varsayılan olarak özel alt ağlara (defaultOutboundAccess = false ) yerleştirir.
Bu ayar, açıkça yapılandırılmış giden yolları kullanan AKS tarafından yönetilen küme trafiğini etkilemez. Aynı alt ağa başka kaynaklar (örn. VM' ler) dağıtmak gibi desteklenmeyen senaryoları etkileyebilir.
KCG sanal ağlarını kullanan kümeler bu değişiklikten etkilenmez . Desteklenen yapılandırmalarda eylem gerekmez.
Giden yapılandırma seçenekleri
Daha fazla bilgi için desteklenen AKS kümesi çıkış yapılandırma türlerine ilişkin, bkz. Azure Kubernetes Service (AKS) üzerinde giden türlerle küme çıkışını özelleştirme.
Varsayılan olarak AKS kümeleri, çalıştırdığınız düğümlerin ve hizmetlerin gerektiğinde dış kaynaklara erişmesini sağlayan sınırsız giden (çıkış) İnternet erişimine sahiptir. İsterseniz giden trafiği kısıtlayabilirsiniz.
Kümenizden giden trafiği kısıtlama hakkında daha fazla bilgi için bkz. AKS'de küme düğümleri için çıkış trafiğini denetleme.
Ağ güvenlik grupları
Ağ güvenlik grubu, AKS düğümleri gibi VM'ler için trafiği filtreler. Siz LoadBalancer gibi Hizmetler oluştururken, Azure platformu gerekli ağ güvenlik grubu kurallarını otomatik olarak yapılandırıyor.
AKS kümesindeki podların trafiğini filtrelemek için ağ güvenlik grubu kurallarını el ile yapılandırmanız gerekmez. Kubernetes Service bildirimlerinizin bir parçası olarak gerekli bağlantı noktalarını ve iletmeyi tanımlayabilir ve Azure platformunun uygun kuralları oluşturmasına veya güncelleştirmesine izin vekleyebilirsiniz.
Podlara otomatik olarak trafik filtresi kuralları uygulamak için ağ ilkelerini de kullanabilirsiniz.
Daha fazla bilgi için bkz. Ağ güvenlik gruplarının ağ trafiğini filtreleme.
Özel sanal ağ gereksinimleri
AKS kümeleri ile özel bir sanal ağ kullanırken, farklı alt ağlar arasındaki trafiği kısıtlamak için Ağ Güvenlik Grubu (NSG) kuralları eklediyseniz, NSG güvenlik kurallarının aşağıdaki iletişim türlerine izin ettiğinden emin olun:
| Varış Yeri | Kaynak | Protokol | Liman | Kullan |
|---|---|---|---|---|
| APIServer Alt Ağ CIDR | Küme Alt Ağı | TCP | 443 ve 4443 | Düğümler ile API sunucusu arasındaki iletişimi etkinleştirmek için gereklidir. |
| APIServer Alt Ağ CIDR | Azure Yük Dengeleyici | TCP | 9988 | Azure Load Balancer ile API sunucusu arasındaki iletişimi etkinleştirmek için gereklidir. Ayrıca Azure Load Balancer ile API Server Alt Ağ CIDR arasındaki tüm iletişimi etkinleştirebilirsiniz. |
| Düğüm CIDR | Düğüm CIDR | Tüm Protokoller | Tüm Bağlantı Noktaları | Düğümler arasında iletişimi sağlamak için gereklidir. |
| Düğüm CIDR | Pod CIDR | Tüm Protokoller | Tüm Bağlantı Noktaları | Hizmet trafiğinin yönlendirilmesi için gereklidir. |
| Pod CIDR | Pod CIDR | Tüm Protokoller | Tüm Bağlantı Noktaları | DNS de dahil olmak üzere Pod'dan Pod'a ve Pod'dan Hizmete trafik için gereklidir. |
Bu gereksinimler, özel sanal ağlar kullanılırken hem AKS Standard hem de AKS Otomatik kümeleri için geçerlidir.
Ağ ilkeleri
Varsayılan olarak, AKS kümesindeki tüm podlar herhangi bir sınırlama olmadan trafik gönderebilir ve alabilir. Gelişmiş güvenlik için trafik akışını denetleyebilen kurallar tanımlayın, örneğin:
- Arka uç uygulamaları yalnızca gerekli ön uç hizmetlerine sunulur.
- Veritabanı bileşenlerine yalnızca bunlara bağlanan uygulama katmanları erişebilir.
Ağ ilkesi, AKS'de bulunan ve podlar arasındaki trafik akışını denetlemenize olanak tanıyan bir Kubernetes özelliğidir. Atanan etiketler, ad alanı veya trafik bağlantı noktası gibi ayarlara göre pod trafiğine izin verebilir veya trafiği reddedebilirsiniz. Ağ güvenlik grupları AKS düğümleri için daha iyi olsa da, ağ ilkeleri podlar için trafik akışını denetlemenin daha uygun, bulutta yerel bir yoludur. Podlar AKS kümesinde dinamik olarak oluşturulduğu için gerekli ağ ilkeleri otomatik olarak uygulanabilir.
Daha fazla bilgi için bkz . Azure Kubernetes Service'te (AKS) ağ ilkelerini kullanarak podlar arasındaki trafiğin güvenliğini sağlama.
Sonraki Adımlar
AKS ağını kullanmaya başlamak için Azure CNI Katmanı veya Azure CNI kullanarak kendi IP adresi aralıklarınızla bir AKS kümesi oluşturun ve yapılandırın.
İlişkili en iyi yöntemler için bkz . AKS'de ağ bağlantısı ve güvenlik için en iyi yöntemler.
Temel Kubernetes ve AKS kavramları hakkında daha fazla bilgi için aşağıdaki makalelere bakın: