培训
模块
保护 Azure VMware 解决方案的出站 Internet 连接 - Training
使用 Azure 路由服务器、Azure 防火墙和第三方 NVA 保护 Azure VMware 解决方案的出站 Internet 连接
认证
Microsoft Certified: Azure Network Engineer Associate - Certifications
展示 Azure 网络基础结构、负载均衡流量、网络路由等的设计、实现和维护。
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
可以自定义 Azure Kubernetes 服务 (AKS) 群集的出口,以适应特定方案。 AKS 默认为出口预配 Standard
SKU 负载均衡器。 但是,如果不允许公共 IP,或者方案需要额外跃点进行流出,则默认设置可能无法满足所有方案的要求。
本文详细介绍了如何自定义群集的出口路由以支持自定义网络方案。 这些方案包括不允许公共 IP,并要求群集位于网络虚拟设备 (NVA) 后面的方案。
az --version
即可查找版本。 如果需要进行安装或升级,请参阅安装 Azure CLI。2020-01-01
或更高版本。使用出站类型是一种高级网络方案,需要正确配置网络。 以下要求和限制适用于使用出站类型:
outboundType
要求 AKS 群集具有 vm-set-type
的 VirtualMachineScaleSets
和 Standard
的 load-balancer-sku
。outboundType
设置为 UDR
值需要用户定义的路由以及群集的有效出站连接。outboundType
设置为 UDR
的值,则意味着路由到负载均衡器的流入量源 IP 可能与群集的流出量目标地址不匹配。如果设置了 userDefinedRouting
(这意味着必须配置出口),则 AKS 不会自动配置出口路径。
如果不使用标准负载均衡器 (SLB) 体系结构,必须建立显式出口。 必须将 AKS 群集部署到先前已配置子网的现有虚拟网络中。 此体系结构要求将出口流量显式发送到防火墙、网关或代理等设备,以便分配给标准负载均衡器或设备的公共 IP 可以处理网络地址转换 (NAT)。
只有在部署了 loadBalancer
类型的第一个 Kubernetes 服务时,出站类型为 UDR 的 AKS 群集才会获得标准负载均衡器。 负载均衡器配置了用于入站请求的公共 IP 地址以及用于入站请求的后端池 。 Azure 云提供商配置入站规则,但不配置出站公共 IP 地址和出站规则。 你的 UDR 是出口流量的唯一来源。
备注
Azure 负载均衡器在设置规则之后才会产生费用。
若要查看出站类型使用用户定义的路由的群集的应用程序,请参阅此使用 Azure 防火墙限制出口流量示例。
重要
UDR 的出站类型要求路由表中有 0.0.0.0/0 的路由和 NVA 的下一个跃点目标。 路由表已具有指向 Internet 的默认 0.0.0.0/0。 如果 Azure 没有用于源网络地址转换 (SNAT) 的公共 IP 地址,只需添加此路由将无法提供出站 Internet 连接。 AKS 将验证你没有创建指向 Internet 的 0.0.0.0/0 路由,而是创建了指向网关、NVA 等的路由。使用 UDR 出站类型时,不会创建用于入站请求的负载均衡器公共 IP 地址,除非配置了 loadbalancer 类型的服务。 如果设置了 UDR 的出站类型,则 AKS 永远不会为出站请求创建公共 IP 地址。
有关用户定义的路由和 Azure 网络的详细信息,请参阅:
培训
模块
保护 Azure VMware 解决方案的出站 Internet 连接 - Training
使用 Azure 路由服务器、Azure 防火墙和第三方 NVA 保护 Azure VMware 解决方案的出站 Internet 连接
认证
Microsoft Certified: Azure Network Engineer Associate - Certifications
展示 Azure 网络基础结构、负载均衡流量、网络路由等的设计、实现和维护。