Azure Kubernetes Service'teki (AKS) uygulamalar için ağ kavramları
Uygulama geliştirmeye yönelik kapsayıcı tabanlı mikro hizmetler yaklaşımında, uygulama bileşenleri görevlerini işlemek için birlikte çalışır. Kubernetes bu işbirliğini sağlayan çeşitli kaynaklar sağlar:
- Uygulamalara şirket içinde veya dışında bağlanabilir ve bunları kullanıma salayabilirsiniz.
- Uygulamalarınızın yük dengelemesini yaparak yüksek oranda kullanılabilir uygulamalar oluşturabilirsiniz.
- Güvenliği artırmak için podlar ve düğümler arasında ağ trafiğinin akışını kısıtlayabilirsiniz.
- Daha karmaşık uygulamalarınız için SSL/TLS sonlandırması veya birden çok bileşenin yönlendirilmesi için Giriş trafiğini yapılandırabilirsiniz.
Bu makalede, AKS'deki uygulamalarınıza ağ sağlayan temel kavramlar açıklanır:
Kubernetes ağ ile ilgili temel bilgiler
Kubernetes, uygulamalarınız veya bileşenleri arasında ve içindeki erişimi yönetmek için bir sanal ağ katmanından oluşur:
Kubernetes düğümleri ve sanal ağ: Kubernetes düğümleri bir sanal ağa bağlanır. Bu kurulum, podların (Kubernetes'te temel dağıtım birimleri) hem gelen hem de giden bağlantıya sahip olmasını sağlar.
Kube-proxy bileşeni: kube-proxy her düğümde çalışır ve gerekli ağ özelliklerini sağlamakla sorumludur.
Belirli Kubernetes işlevleriyle ilgili olarak:
- Yük dengeleyici: Ağ trafiğini çeşitli kaynaklar arasında eşit bir şekilde dağıtmak için yük dengeleyici kullanabilirsiniz.
- Giriş denetleyicileri: Bunlar, uygulama trafiğini yönlendirmek için gerekli olan Katman 7 yönlendirmesini kolaylaştırır.
- Çıkış trafiği denetimi: Kubernetes, küme düğümlerinden giden trafiği yönetmenize ve denetlemenize olanak tanır.
- Ağ ilkeleri: Bu ilkeler podlardaki ağ trafiği için güvenlik ölçülerini ve filtrelemeyi etkinleştirir.
Azure platformu bağlamında:
- Azure, AKS (Azure Kubernetes Service) kümeleri için sanal ağı kolaylaştırır.
- Azure'da bir Kubernetes yük dengeleyici oluşturma aynı anda ilgili Azure yük dengeleyici kaynağını ayarlar.
- Podlara ağ bağlantı noktalarını açtığınızda, Azure gerekli ağ güvenlik grubu kurallarını otomatik olarak yapılandırıyor.
- Azure, yeni Giriş yolları oluşturulduktan sonra HTTP uygulama yönlendirmesi için dış DNS yapılandırmalarını da yönetebilir.
Azure sanal ağları
AKS'de, aşağıdaki ağ modellerinden birini kullanan bir küme dağıtabilirsiniz:
- Katman ağ modeli: Katman ağı, Kubernetes'te kullanılan en yaygın ağ modelidir. Podlara, AKS düğümlerinin dağıtıldığı Azure sanal ağ alt ağından özel, mantıksal olarak ayrı bir CIDR'den bir IP adresi verilir. Bu model, düz ağ modeline kıyasla daha basit ve geliştirilmiş ölçeklenebilirlik sağlar.
- Düz ağ modeli: AKS'deki düz ağ modeli, AKS düğümleriyle aynı Azure sanal ağından bir alt ağdan podlara IP adresleri atar. Kümelerinizden çıkan trafik SNAT'd değildir ve pod IP adresi doğrudan hedefe gösterilir. Bu model, pod IP adreslerini dış hizmetlere sunma gibi senaryolar için yararlı olabilir.
AKS'deki ağ modelleri hakkında daha fazla bilgi için bkz . AKS'de CNI Ağı.
Giden (çıkış) trafiğini denetleme
AKS kümeleri bir sanal ağa dağıtılır ve bu sanal ağın dışındaki hizmetlere giden bağımlılıkları vardır. Bu giden bağımlılıklar neredeyse tamamen tam etki alanı adlarıyla (FQDN' ler) tanımlanır. Varsayılan olarak AKS kümeleri, çalıştırdığınız düğümlerin ve hizmetlerin gerektiğinde dış kaynaklara erişmesini sağlayan sınırsız giden (çıkış) İnternet erişimine sahiptir. İsterseniz giden trafiği kısıtlayabilirsiniz.
Daha fazla bilgi için bkz. AKS'de küme düğümleri için çıkış trafiğini denetleme.
Ağ güvenlik grupları
Ağ güvenlik grubu, AKS düğümleri gibi VM'ler için trafiği filtreler. Siz LoadBalancer gibi Hizmetler oluştururken, Azure platformu gerekli ağ güvenlik grubu kurallarını otomatik olarak yapılandırıyor.
AKS kümesindeki podların trafiğini filtrelemek için ağ güvenlik grubu kurallarını el ile yapılandırmanız gerekmez. Kubernetes Service bildirimlerinizin bir parçası olarak gerekli bağlantı noktalarını ve iletmeyi tanımlayabilir ve Azure platformunun uygun kuralları oluşturmasına veya güncelleştirmesine izin vekleyebilirsiniz.
Ayrıca trafik filtresi kurallarının podlara otomatik olarak uygulanması için ağ ilkelerini de kullanabilirsiniz.
Daha fazla bilgi için bkz . Ağ güvenlik gruplarının ağ trafiğini filtreleme.
Ağ ilkeleri
Varsayılan olarak, AKS kümesindeki tüm podlar herhangi bir sınırlama olmadan trafik gönderebilir ve alabilir. Gelişmiş güvenlik için trafik akışını denetleyebilen kurallar tanımlayın, örneğin:
- Arka uç uygulamaları yalnızca gerekli ön uç hizmetlerine sunulur.
- Veritabanı bileşenlerine yalnızca bunlara bağlanan uygulama katmanları erişebilir.
Ağ ilkesi, AKS'de bulunan ve podlar arasındaki trafik akışını denetlemenize olanak tanıyan bir Kubernetes özelliğidir. Atanan etiketler, ad alanı veya trafik bağlantı noktası gibi ayarlara göre pod trafiğine izin verebilir veya trafiği reddedebilirsiniz. Ağ güvenlik grupları AKS düğümleri için daha iyi olsa da, ağ ilkeleri podlar için trafik akışını denetlemenin daha uygun, bulutta yerel bir yoludur. Podlar AKS kümesinde dinamik olarak oluşturulduğu için gerekli ağ ilkeleri otomatik olarak uygulanabilir.
Daha fazla bilgi için bkz . Azure Kubernetes Service'te (AKS) ağ ilkelerini kullanarak podlar arasındaki trafiğin güvenliğini sağlama.
Sonraki adımlar
AKS ağını kullanmaya başlamak için Azure CNI Katmanı veya Azure CNI kullanarak kendi IP adresi aralıklarınızla bir AKS kümesi oluşturun ve yapılandırın.
İlişkili en iyi yöntemler için bkz . AKS'de ağ bağlantısı ve güvenlik için en iyi yöntemler.
Temel Kubernetes ve AKS kavramları hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
Azure Kubernetes Service