Netzwerkkonzepte für Anwendungen in Azure Kubernetes Service (AKS)Network concepts for applications in Azure Kubernetes Service (AKS)

In einem containergestützten Microservice-Ansatz für die Anwendungsentwicklung müssen die Anwendungskomponenten zusammenarbeiten, um ihre Aufgaben zu verarbeiten.In a container-based microservices approach to application development, application components must work together to process their tasks. Kubernetes stellt verschiedene Ressourcen bereit, die diese Anwendungskommunikation ermöglichen.Kubernetes provides various resources that enable this application communication. Sie können eine Verbindung mit Anwendungen herstellen und diese intern oder extern verfügbar machen.You can connect to and expose applications internally or externally. Zum Erstellen hochverfügbarer Anwendungen können Sie für Ihre Anwendungen einen Lastenausgleich vornehmen.To build highly available applications, you can load balance your applications. Bei komplexeren Anwendungen ist möglicherweise die Konfiguration des eingehenden Datenverkehrs für die SSL/TLS-Terminierung oder ein Weiterleiten mehrerer Komponenten erforderlich.More complex applications may require configuration of ingress traffic for SSL/TLS termination or routing of multiple components. Aus Sicherheitsgründen müssen Sie möglicherweise auch den Netzwerkdatenverkehrsfluss in oder zwischen Pods und Knoten beschränken.For security reasons, you may also need to restrict the flow of network traffic into or between pods and nodes.

In diesem Artikel werden die wichtigsten Konzepte vorgestellt, mit denen Sie Netzwerke für Ihre Anwendungen in AKS bereitstellen:This article introduces the core concepts that provide networking to your applications in AKS:

Kubernetes-GrundlagenKubernetes basics

Um den Zugriff auf Ihre Anwendungen oder die gegenseitige Kommunikation von Anwendungskomponenten zu erlauben, stellt Kubernetes eine Abstraktionsschicht für virtuelle Netzwerke bereit.To allow access to your applications, or for application components to communicate with each other, Kubernetes provides an abstraction layer to virtual networking. Kubernetes-Knoten sind mit einem virtuellen Netzwerk verbunden und können eingehende und ausgehende Konnektivität für Pods bereitstellen.Kubernetes nodes are connected to a virtual network, and can provide inbound and outbound connectivity for pods. Die Komponente kube-proxy, die auf jedem Knoten ausgeführt wird, stellt diese Netzwerkfunktionen bereit.The kube-proxy component runs on each node to provide these network features.

In Kubernetes werden Pods von Diensten logisch gruppiert, um den direkten Zugriff über eine IP-Adresse oder einen DNS-Namen und an einem bestimmten Port zu erlauben.In Kubernetes, Services logically group pods to allow for direct access via an IP address or DNS name and on a specific port. Sie können Datenverkehr auch über einen Lastenausgleich verteilen.You can also distribute traffic using a load balancer. Ein komplexeres Routing von Anwendungsdatenverkehr kann auch mit Eingangscontrollern erzielt werden.More complex routing of application traffic can also be achieved with Ingress Controllers. Die Sicherheit und das Filtern des Netzwerkdatenverkehrs für Pods kann mit Kubernetes-Netzwerkrichtlinien (in AKS in der Vorschauversion) ermöglicht werden.Security and filtering of the network traffic for pods is possible with Kubernetes network policies (in preview in AKS).

Außerdem trägt die Azure-Plattform zur Vereinfachung der virtuellen Netzwerke für AKS-Cluster bei.The Azure platform also helps to simplify virtual networking for AKS clusters. Wenn Sie einen Kubernetes-Lastenausgleich erstellen, wird die zugrunde liegende Azure Load Balancer-Ressource erstellt und konfiguriert.When you create a Kubernetes load balancer, the underlying Azure load balancer resource is created and configured. Wenn Sie Netzwerkports für Pods öffnen, werden die entsprechenden Regeln für Azure-Netzwerksicherheitsgruppen konfiguriert.As you open network ports to pods, the corresponding Azure network security group rules are configured. Für das HTTP-Anwendungsrouting kann Azure auch externes DNS konfigurieren, wenn neue Eingangsrouten konfiguriert werden.For HTTP application routing, Azure can also configure external DNS as new ingress routes are configured.

DiensteServices

Kubernetes verwendet Dienste, um die Netzwerkkonfiguration für Anwendungsworkloads zu vereinfachen. Dabei werden eine Reihe von Pods logisch miteinander gruppiert und Netzwerkkonnektivität bereitgestellt.To simplify the network configuration for application workloads, Kubernetes uses Services to logically group a set of pods together and provide network connectivity. Folgende Arten von Diensten sind verfügbar:The following Service types are available:

  • Cluster IP: Erstellt eine interne IP-Adresse zur Verwendung innerhalb des AKS-Clusters.Cluster IP - Creates an internal IP address for use within the AKS cluster. Ideal für rein interne Anwendungen, die andere Workloads im Cluster unterstützen.Good for internal-only applications that support other workloads within the cluster.

    Diagramm mit Cluster IP-Datenverkehrsfluss in einem AKS-Cluster

  • NodePort: Erstellt eine Port-Zuordnung auf dem zugrunde liegenden Knoten, über die mithilfe von Knoten-IP-Adresse und Port der direkte Zugriff auf die Anwendung erfolgen kann.NodePort - Creates a port mapping on the underlying node that allows the application to be accessed directly with the node IP address and port.

    Diagramm mit NodePort-Datenverkehrsfluss in einem AKS-Cluster

  • LoadBalancer: Erstellt eine Azure Load Balancer-Ressource, konfiguriert eine externe IP-Adresse und verbindet die angeforderten Pods mit dem Back-End-Pool des Load Balancer.LoadBalancer - Creates an Azure load balancer resource, configures an external IP address, and connects the requested pods to the load balancer backend pool. An den gewünschten Ports werden Regeln für den Lastenausgleich erstellt, damit der Datenverkehr der Kunden die Anwendung erreichen kann.To allow customers traffic to reach the application, load balancing rules are created on the desired ports.

    Diagramm mit Load Balancer-Datenverkehrsfluss in einem AKS-Cluster

    Als zusätzliche Steuerung und für das Routing des eingehenden Datenverkehrs können Sie auch einen Eingangscontroller verwenden.For additional control and routing of the inbound traffic, you may instead use an Ingress controller.

  • ExternalName: Erstellt einen bestimmten DNS-Eintrag für einen einfacheren Anwendungszugriff.ExternalName - Creates a specific DNS entry for easier application access.

Die IP-Adresse für Lastenausgleichsmodule und Dienste kann dynamisch zugewiesen werden. Sie können aber auch eine vorhandene statische IP-Adresse angeben.The IP address for load balancers and services can be dynamically assigned, or you can specify an existing static IP address to use. Zugewiesen werden können sowohl interne als auch externe statische IP-Adressen.Both internal and external static IP addresses can be assigned. Diese vorhandene statische IP-Adresse ist häufig an einen DNS-Eintrag gebunden.This existing static IP address is often tied to a DNS entry.

Es können sowohl interne als auch externe Lastenausgleichsmodule erstellt werden.Both internal and external load balancers can be created. Internen Lastenausgleichsmodulen wird nur eine private IP-Adresse zugeordnet. Daher kann über das Internet nicht darauf zugegriffen werden.Internal load balancers are only assigned a private IP address, so can't be accessed from the Internet.

Virtuelle Azure-NetzwerkeAzure virtual networks

In AKS können Sie einen Cluster bereitstellen, der eines der beiden folgenden Netzwerkmodelle verwendet:In AKS, you can deploy a cluster that uses one of the following two network models:

  • Kubenet-Netzwerke: Die Netzwerkressourcen werden normalerweise bei der Bereitstellung des AKS-Clusters erstellt und konfiguriert.Kubenet networking - The network resources are typically created and configured as the AKS cluster is deployed.
  • Azure Container Networking Interface (CNI) -Netzwerke: Der AKS-Cluster wird mit vorhandenen virtuellen Netzwerkressourcen und -konfigurationen verbunden.Azure Container Networking Interface (CNI) networking - The AKS cluster is connected to existing virtual network resources and configurations.

Kubenet-Netzwerke – „Basic“ (Grundlegend)Kubenet (basic) networking

Die Netzwerkoption kubenet ist die Standardkonfiguration für die AKS-Clustererstellung.The kubenet networking option is the default configuration for AKS cluster creation. Mit kubenet erhalten Knoten eine IP-Adresse aus dem Azure Virtual Network-Subnetz.With kubenet, nodes get an IP address from the Azure virtual network subnet. Pods erhalten eine IP-Adresse von einem logisch unterschiedlichen Adressraum zum Subnetz des virtuellen Azure-Netzwerks der Knoten.Pods receive an IP address from a logically different address space to the Azure virtual network subnet of the nodes. Die Netzwerkadressübersetzung (NAT, Network Address Translation) wird dann so konfiguriert, dass die Pods Ressourcen im virtuellen Azure-Netzwerk erreichen können.Network address translation (NAT) is then configured so that the pods can reach resources on the Azure virtual network. Die Quell-IP-Adresse des Datenverkehrs wird mit NAT in die primäre IP-Adresse des Knotens übersetzt.The source IP address of the traffic is NAT'd to the node's primary IP address.

Knoten verwenden das Kubernetes-Plug-In kubenet.Nodes use the kubenet Kubernetes plugin. Sie können die Azure-Plattform die virtuellen Netzwerke für Sie erstellen und konfigurieren lassen oder Ihren AKS-Cluster in einem bestehenden Subnetz des virtuellen Netzwerks bereitstellen.You can let the Azure platform create and configure the virtual networks for you, or choose to deploy your AKS cluster into an existing virtual network subnet. Auch hier wird NAT nur von den Knoten, die eine routingfähige IP-Adresse erhalten, und den Pods verwendet, um mit anderen Ressourcen außerhalb des AKS-Clusters zu kommunizieren.Again, only the nodes receive a routable IP address, and the pods use NAT to communicate with other resources outside the AKS cluster. Dieser Ansatz reduziert die Anzahl der IP-Adressen, die Sie in Ihrem Netzwerkadressraum für die Verwendung von Pods reservieren müssen, erheblich.This approach greatly reduces the number of IP addresses that you need to reserve in your network space for pods to use.

Weitere Informationen finden Sie unter Konfigurieren von kubernet-Netzwerken für AKS-Cluster.For more information, see Configure kubenet networking for an AKS cluster.

Azure CNI-Netzwerke – „Advanced“ (Erweitert)Azure CNI (advanced) networking

Mit Azure CNI erhält jeder Pod eine IP-Adresse aus dem Subnetz und kann direkt angesprochen werden.With Azure CNI, every pod gets an IP address from the subnet and can be accessed directly. Diese IP-Adressen müssen in Ihrem Netzwerkadressraum eindeutig sein und im Voraus geplant werden.These IP addresses must be unique across your network space, and must be planned in advance. Jeder Knoten verfügt über einen Konfigurationsparameter für die maximale Anzahl von Pods, die er unterstützt.Each node has a configuration parameter for the maximum number of pods that it supports. Die entsprechende Anzahl von IP-Adressen pro Knoten wird dann im Voraus für diesen Knoten reserviert.The equivalent number of IP addresses per node are then reserved up front for that node. Dieser Ansatz erfordert mehr Planung, da andernfalls die IP-Adressen ausgehen können oder der Cluster in einem größeren Subnetz neu erstellt werden muss, wenn die Anforderungen Ihrer Anwendung zunehmen.This approach requires more planning, as can otherwise lead to IP address exhaustion or the need to rebuild clusters in a larger subnet as your application demands grow.

Knoten verwenden das Kubernetes-Plug-In Azure Container Networking Interface (CNI).Nodes use the Azure Container Networking Interface (CNI) Kubernetes plugin.

Diagramm mit zwei Knoten jeweils mit Bridges für die Verbindungsherstellung mit einem Azure VNET

Weitere Informationen finden Sie unter Konfigurieren der Azure CNI für einen AKS-Cluster.For more information, see Configure Azure CNI for an AKS cluster.

Vergleich der NetzwerkmodelleCompare network models

Sowohl kubenet als auch Azure CNI bieten Netzwerkkonnektivität für Ihre AKS-Cluster.Both kubenet and Azure CNI provide network connectivity for your AKS clusters. Es gibt jedoch jeweils Vor- und Nachteile.However, there are advantages and disadvantages to each. Ganz allgemein gelten die folgenden Überlegungen:At a high level, the following considerations apply:

  • kubenetkubenet
    • Spart IP-AdressraumConserves IP address space.
    • Verwendet den internen oder externen Lastenausgleich von Kubernetes, um die Pods von außerhalb des Clusters zu erreichenUses Kubernetes internal or external load balancer to reach pods from outside of the cluster.
    • Erfordert eine manuelle Verwaltung und Wartung von benutzerdefinierten Routen (UDRs)You must manually manage and maintain user-defined routes (UDRs).
    • Maximal 400 Knoten pro ClusterMaximum of 400 nodes per cluster.
  • Azure CNIAzure CNI
    • Pods erhalten vollständige virtuelle Netzwerkkonnektivität und können direkt von außerhalb des Clusters erreicht werden.Pods get full virtual network connectivity and can be directly reached from outside of the cluster.
    • Erfordert mehr IP-AdressraumRequires more IP address space.

Folgende Unterschiede treten im Verhalten von kubenet und Azure CNI auf:The following behavior differences exist between kubenet and Azure CNI:

FunktionCapability KubenetKubenet Azure CNIAzure CNI
Bereitstellen von Clustern in vorhandenen oder neuen virtuellen NetzwerkenDeploy cluster in existing or new virtual network Unterstützt – benutzerdefinierte Routen werden manuell angewandt.Supported - UDRs manually applied UnterstütztSupported
Pod-Pod-KonnektivitätPod-pod connectivity UnterstütztSupported UnterstütztSupported
Pod-VM-Konnektivität; VM im gleichen virtuellen NetzwerkPod-VM connectivity; VM in the same virtual network Funktioniert, wenn vom Pod initiiertWorks when initiated by pod Funktioniert in beide RichtungenWorks both ways
Pod-VM-Konnektivität; VM in virtuellem PeernetzwerkPod-VM connectivity; VM in peered virtual network Funktioniert, wenn vom Pod initiiertWorks when initiated by pod Funktioniert in beide RichtungenWorks both ways
Lokaler Zugriff per VPN oder ExpressRouteOn-premises access using VPN or Express Route Funktioniert, wenn vom Pod initiiertWorks when initiated by pod Funktioniert in beide RichtungenWorks both ways
Zugriff auf Ressourcen, die von Dienstendpunkten geschützt werdenAccess to resources secured by service endpoints UnterstütztSupported UnterstütztSupported
Verfügbarmachen von Kubernetes-Diensten über einen Lastenausgleichsdienst, App Gateway oder einen EingangscontrollerExpose Kubernetes services using a load balancer service, App Gateway, or ingress controller UnterstütztSupported UnterstütztSupported
Standard: Azure DNS und private ZonenDefault Azure DNS and Private Zones UnterstütztSupported UnterstütztSupported

Supportumfang der NetzwerkmodelleSupport scope between network models

Unabhängig vom verwendeten Netzwerkmodell können kubenet und Azure CNI mit einer der folgenden Methoden bereitgestellt werden:Regardless of the network model you use, both kubenet and Azure CNI can be deployed in one of the following ways:

  • Die Azure-Plattform kann die Ressourcen des virtuellen Netzwerks automatisch erstellen und konfigurieren, wenn Sie einen AKS-Cluster erstellen.The Azure platform can automatically create and configure the virtual network resources when you create an AKS cluster.
  • Sie können die Ressourcen des virtuellen Netzwerks manuell erstellen und konfigurieren und an diese Ressourcen anfügen, wenn Sie Ihren AKS-Cluster erstellen.You can manually create and configure the virtual network resources and attach to those resources when you create your AKS cluster.

Auch wenn Funktionen wie Dienstendpunkte oder benutzerdefinierte Routen (UDRs) mit kubenet und Azure CNI unterstützt werden, legen die Supportrichtlinien für AKS fest, welche Änderungen Sie vornehmen können.Although capabilities like service endpoints or UDRs are supported with both kubenet and Azure CNI, the support policies for AKS define what changes you can make. Beispiel:For example:

  • Wenn Sie die Ressourcen des virtuellen Netzwerks für einen AKS-Cluster manuell erstellen, werden Sie unterstützt, wenn Sie Ihre eigenen benutzerdefinierten Routen oder Dienstendpunkte konfigurieren.If you manually create the virtual network resources for an AKS cluster, you are supported when configuring your own UDRs or service endpoints.
  • Wenn die Azure-Plattform die Ressourcen des virtuellen Netzwerks automatisch für Ihren AKS-Cluster erstellt, werden manuelle Änderungen an diesen von AKS verwalteten Ressourcen zum Konfigurieren Ihrer eigenen benutzerdefinierten Routen oder Dienstendpunkte nicht unterstützt.If the Azure platform automatically creates the virtual network resources for your AKS cluster, it is not supported to manually change those AKS-managed resources to configure your own UDRs or service endpoints.

EingangscontrollerIngress controllers

Wenn Sie einen Dienst des Typs "LoadBalancer" erstellen, wird eine zugrunde liegende Azure Load Balancer-Ressource erstellt.When you create a LoadBalancer type Service, an underlying Azure load balancer resource is created. Der Load Balancer wird zum Verteilen von Datenverkehr an die Pods in Ihrem Dienst an einem bestimmten Port konfiguriert.The load balancer is configured to distribute traffic to the pods in your Service on a given port. Der Load Balancer arbeitet nur auf Schicht 4. Der Dienst hat keine Kenntnis von den tatsächlichen Anwendungen und kann keine zusätzlichen Überlegungen zum Netzwerkrouting vornehmen.The LoadBalancer only works at layer 4 - the Service is unaware of the actual applications, and can't make any additional routing considerations.

Eingangscontroller fungieren auf Schicht 7 und können intelligentere Regeln zum Verteilen des Anwendungsdatenverkehrs verwenden.Ingress controllers work at layer 7, and can use more intelligent rules to distribute application traffic. Die übliche Aufgabe eines Eingangscontroller ist das Routing von HTTP-Datenverkehr an verschiedene Anwendungen anhand der eingehenden URL.A common use of an Ingress controller is to route HTTP traffic to different applications based on the inbound URL.

Diagramm mit Eingangsdatenverkehrsfluss in einem AKS-Cluster

In AKS können Sie mit NGINX (oder ähnlich) eine Dateneingangsressource erstellen oder die AKS-Funktion für das HTTP-Anwendungsrouting verwenden.In AKS, you can create an Ingress resource using something like NGINX, or use the AKS HTTP application routing feature. Wenn Sie das HTTP-Anwendungsrouting für einen AKS-Cluster aktivieren, erstellt die Azure-Plattform den Eingangscontroller und einen externen DNS-Controller.When you enable HTTP application routing for an AKS cluster, the Azure platform creates the Ingress controller and an External-DNS controller. Wenn in Kubernetes neue Eingangsressourcen erstellt werden, werden in einer clusterspezifischen DNS-Zone die erforderlichen DNS-A-Einträge erstellt.As new Ingress resources are created in Kubernetes, the required DNS A records are created in a cluster-specific DNS zone. Weitere Informationen finden Sie unter Bereitstellen von HTTP-Anwendungsrouting.For more information, see deploy HTTP application routing.

Ein weiteres allgemeines Feature des Dateneingangs ist die SSL/TLS-Terminierung.Another common feature of Ingress is SSL/TLS termination. Bei großen Webanwendungen, auf die über HTTPS zugegriffen wird, kann die TLS-Terminierung durch die Eingangsressource erfolgen und braucht nicht innerhalb der Anwendung verarbeitet zu werden.On large web applications accessed via HTTPS, the TLS termination can be handled by the Ingress resource rather than within the application itself. Um die automatische Generierung und Konfiguration der TLS-Zertifizierung bereitzustellen, können Sie die Eingangsressource für die Verwendung von Anbietern wie Let's Encrypt konfigurieren.To provide automatic TLS certification generation and configuration, you can configure the Ingress resource to use providers such as Let's Encrypt. Weitere Informationen zum Konfigurieren eines NGINX-Eingangscontrollers mit Let's Encrypt finden Sie unter Eingang und TLS.For more information on configuring an NGINX Ingress controller with Let's Encrypt, see Ingress and TLS.

Sie können den Eingangscontroller auch so konfigurieren, dass die Quell-IP des Clients bei Anforderungen an Container im AKS-Cluster beibehalten wird.You can also configure your ingress controller to preserve the client source IP on requests to containers in your AKS cluster. Wenn die Anforderung eines Clients über den Eingangscontroller an einen Container im AKS-Cluster weitergeleitet wird, ist die ursprüngliche Quell-IP dieser Anforderung für den Zielcontainer nicht verfügbar.When a client's request is routed to a container in your AKS cluster via your ingress controller, the original source ip of that request will not be available to the target container. Wenn Sie die Beibehaltung der Clientquell-IP aktivieren, ist die Quell-IP für den Client im Anforderungsheader unter X-Forwarded-For verfügbar.When you enable client source IP preservation, the source IP for the client is available in the request header under X-Forwarded-For. Wenn Sie die Beibehaltung der Clientquell-ID auf dem Eingangscontroller verwenden, können Sie kein SSL-Pass-Through verwenden.If you are using client source IP preservation on your ingress controller, you cannot use SSL pass-through. Die Beibehaltung der Clientquell-ID und SSL-Pass-Through-können mit anderen Diensten verwendet werden, z. B. dem LoadBalancer-Typ.Client source IP preservation and SSL pass-through can be used with other services, such as the LoadBalancer type.

NetzwerksicherheitsgruppenNetwork security groups

Eine Netzwerksicherheitsgruppe filtert Datenverkehr für virtuelle Computer wie beispielsweise die AKS-Knoten.A network security group filters traffic for VMs, such as the AKS nodes. Beim Erstellen von Diensten (z. B. LoadBalancer) konfiguriert die Azure-Plattform automatisch alle erforderlichen Netzwerksicherheitsgruppen-Regeln.As you create Services, such as a LoadBalancer, the Azure platform automatically configures any network security group rules that are needed. Sie sollten keine Netzwerksicherheitsgruppen-Regeln manuell konfigurieren, um Datenverkehr für Pods in einem AKS-Cluster zu filtern.Don't manually configure network security group rules to filter traffic for pods in an AKS cluster. Definieren Sie alle erforderlichen Ports und die Weiterleitung im Rahmen Ihrer Kubernetes-Dienstmanifeste, und überlassen Sie das Erstellen oder Aktualisieren der entsprechenden Regeln der Azure-Plattform.Define any required ports and forwarding as part of your Kubernetes Service manifests, and let the Azure platform create or update the appropriate rules. Sie können auch Netzwerkrichtlinien verwenden, wie im nächsten Abschnitt erläutert, um automatisch auf Pods Filterregeln für den Datenverkehr anzuwenden.You can also use network policies, as discussed in the next section, to automatically apply traffic filter rules to pods.

NetzwerkrichtlinienNetwork policies

Standardmäßig können alle Pods in einem AKS-Cluster Datenverkehr ohne Einschränkungen senden und empfangen.By default, all pods in an AKS cluster can send and receive traffic without limitations. Aus Sicherheitsgründen möchten Sie möglicherweise Regeln definieren, die den Datenverkehrsfluss steuern.For improved security, you may want to define rules that control the flow of traffic. Back-End-Anwendungen werden häufig nur für erforderlichen Front-End-Dienste verfügbar gemacht, oder Datenbankkomponenten sind nur für die Anwendungsebenen zugänglich, die eine Verbindung zu ihnen herstellen.Backend applications are often only exposed to required frontend services, or database components are only accessible to the application tiers that connect to them.

Netzwerkrichtlinien sind ein in AKS verfügbares Kubernetes-Feature, mit dem Sie den Datenverkehrsfluss zwischen Pods steuern können.Network policy is a Kubernetes feature available in AKS that lets you control the traffic flow between pods. Anhand von Einstellungen wie zugewiesene Bezeichnungen, Namespace oder Port für den Datenverkehr können Sie Datenverkehr zulassen oder verweigern.You can choose to allow or deny traffic based on settings such as assigned labels, namespace, or traffic port. Netzwerksicherheitsgruppen sind eher für die AKS-Knoten und nicht für Pods bestimmt.Network security groups are more for the AKS nodes, not pods. Die Verwendung von Netzwerkrichtlinien ist eine besser geeignete, cloudnative Möglichkeit, den Datenverkehrsfluss zu steuern.The use of network policies is a more suitable, cloud-native way to control the flow of traffic. Wenn Pods in einem AKS-Cluster dynamisch erstellt werden, können automatisch die erforderlichen Netzwerkrichtlinien angewendet werden.As pods are dynamically created in an AKS cluster, the required network policies can be automatically applied.

Weitere Informationen finden Sie unter Sicherer Datenverkehr zwischen Pods durch Netzwerkrichtlinien in Azure Kubernetes Service (AKS).For more information, see Secure traffic between pods using network policies in Azure Kubernetes Service (AKS).

Nächste SchritteNext steps

Um mit AKS-Netzwerken zu beginnen, erstellen und konfigurieren Sie einen AKS-Cluster mit Ihren eigenen IP-Adressbereichen unter Verwendung von kubenet oder Azure CNI.To get started with AKS networking, create and configure an AKS cluster with your own IP address ranges using kubenet or Azure CNI.

Entsprechende bewährte Methoden finden Sie unter Best Practices für Netzwerkkonnektivität und Sicherheit in AKS.For associated best practices, see Best practices for network connectivity and security in AKS.

Weitere Informationen zu den wesentlichen Konzepten von Kubernetes und AKS finden Sie in den folgenden Artikeln:For additional information on core Kubernetes and AKS concepts, see the following articles: