Best Practices für Netzwerkkonnektivität und Sicherheit in Azure Kubernetes Service (AKS)Best practices for network connectivity and security in Azure Kubernetes Service (AKS)

Beim Erstellen und Verwalten von Clustern in Azure Kubernetes Service (AKS) stellen Sie die Netzwerkkonnektivität für Ihre Knoten und Anwendungen bereit.As you create and manage clusters in Azure Kubernetes Service (AKS), you provide network connectivity for your nodes and applications. Die Netzwerkressourcen umfassen IP-Adressbereiche, Lastenausgleichsmodule und Controller für eingehenden Datenverkehr.These network resources include IP address ranges, load balancers, and ingress controllers. Um eine hohe Servicequalität für Ihre Anwendungen zu gewährleisten, müssen Sie diese Ressourcen planen und konfigurieren.To maintain a high quality of service for your applications, you need to plan for and then configure these resources.

In diesem Artikel zu bewährten Methoden liegt der Schwerpunkt auf der Netzwerkkonnektivität und der Sicherheit für Clusteroperatoren.This best practices article focuses on network connectivity and security for cluster operators. In diesem Artikel werden folgende Vorgehensweisen behandelt:In this article, you learn how to:

  • Vergleichen der Netzwerkmodi „kubenet“ und „Azure CNI“ in AKSCompare the kubenet and Azure CNI network modes in AKS
  • Planen der erforderlichen IP-Adressierung und -KonnektivitätPlan for required IP addressing and connectivity
  • Verteilen von Datenverkehr mit Lastenausgleichsmodulen, Controllern für eingehenden Datenverkehr oder einer Web Application Firewall (WAF)Distribute traffic using load balancers, ingress controllers, or a web application firewall (WAF)
  • Herstellen sicherer Verbindungen mit ClusterknotenSecurely connect to cluster nodes

Auswählen des geeigneten NetzwerkmodellsChoose the appropriate network model

Best Practice-Anleitung – Für die Integration in bestehende virtuelle Netzwerke oder lokale Netzwerke verwenden Sie Azure CNI-Netzwerke in AKS.Best practice guidance - For integration with existing virtual networks or on-premises networks, use Azure CNI networking in AKS. Dieses Netzwerkmodell ermöglicht zudem eine stärkere Trennung von Ressourcen und Steuerelementen in einer Unternehmensumgebung.This network model also allows greater separation of resources and controls in an enterprise environment.

Virtuelle Netzwerke bieten die grundlegende Konnektivität für AKS-Knoten und Kunden für den Zugriff auf Ihre Anwendungen.Virtual networks provide the basic connectivity for AKS nodes and customers to access your applications. Es gibt zwei verschiedene Möglichkeiten, AKS-Cluster in virtuellen Netzwerken bereitzustellen:There are two different ways to deploy AKS clusters into virtual networks:

  • kubenet-Netzwerk: Azure verwaltet die virtuellen Netzwerkressourcen während der Bereitstellung des Clusters und verwendet das Kubernetes-Plug-In kubenet.Kubenet networking - Azure manages the virtual network resources as the cluster is deployed and uses the kubenet Kubernetes plugin.
  • Azure CNI-Netzwerk: Führt die Bereitstellung in einem bestehenden virtuellen Netzwerk aus und verwendet das Kubernetes-Plug-In Azure Container Networking Interface (CNI).Azure CNI networking - Deploys into an existing virtual network, and uses the Azure Container Networking Interface (CNI) Kubernetes plugin. Pods erhalten einzelne IP-Adressen, die an anderen Netzwerkdienste oder lokale Ressourcen weitergeleitet werden können.Pods receive individual IPs that can route to other network services or on-premises resources.

Die Container Networking Interface (CNI) ist ein herstellerneutrales Protokoll, mit dem die Containerlaufzeit Anfragen an einen Netzwerkanbieter richten kann.The Container Networking Interface (CNI) is a vendor-neutral protocol that lets the container runtime make requests to a network provider. Azure CNI weist Pods und Knoten IP-Adressen zu und stellt Features zur IP-Adressverwaltung (IPAM) bereit, wenn Sie die Verbindung zu bestehenden virtuellen Azure-Netzwerken herstellen.The Azure CNI assigns IP addresses to pods and nodes, and provides IP address management (IPAM) features as you connect to existing Azure virtual networks. Jeder Knoten und jede Podressource erhält eine IP-Adresse im virtuellen Azure-Netzwerk, und es ist kein zusätzliches Routing erforderlich, um mit anderen Ressourcen oder Diensten zu kommunizieren.Each node and pod resource receives an IP address in the Azure virtual network, and no additional routing is needed to communicate with other resources or services.

Diagramm mit zwei Knoten jeweils mit Bridges für die Verbindungsherstellung mit einem Azure VNET

Bei Produktionsbereitstellungen sind sowohl kubenet als auch Azure CNI gültige Optionen.For production deployments, both kubenet and Azure CNI are valid options.

Ein beachtlicher Vorteil des Azure CNI-Netzwerks besteht darin, dass das Netzwerkmodell eine Trennung von Steuerung und Verwaltung von Ressourcen ermöglicht.A notable benefit of Azure CNI networking for production is the network model allows for separation of control and management of resources. Aus Sicherheitssicht möchten Sie diese Ressourcen oft von verschiedenen Teams verwalten und absichern lassen.From a security perspective, you often want different teams to manage and secure those resources. Mit Azure CNI-Netzwerken können Sie die Verbindung zu vorhandenen Azure-Ressourcen, lokalen Ressourcen oder anderen Diensten direkt über die jedem Pod zugeordneten IP-Adressen herstellen.Azure CNI networking lets you connect to existing Azure resources, on-premises resources, or other services directly via IP addresses assigned to each pod.

Wenn Sie Azure CNI-Netzwerke verwenden, befindet sich die virtuelle Netzwerkressource in einer vom AKS-Cluster getrennten Ressourcengruppe.When you use Azure CNI networking, the virtual network resource is in a separate resource group to the AKS cluster. Delegieren Sie Berechtigungen für den AKS-Dienstprinzipal, um auf diese Ressourcen zuzugreifen und sie zu verwalten.Delegate permissions for the AKS service principal to access and manage these resources. Der vom AKS-Cluster verwendete Dienstprinzipal muss zumindest über Berechtigungen Netzwerkmitwirkender für das Subnetz in Ihrem virtuellen Netzwerk verfügen.The service principal used by the AKS cluster must have at least Network Contributor permissions on the subnet within your virtual network. Wenn Sie eine benutzerdefinierte Rolle anstelle der integrierten Rolle des Netzwerkmitwirkenden definieren möchten, sind die folgenden Berechtigungen erforderlich:If you wish to define a custom role instead of using the built-in Network Contributor role, the following permissions are required:

  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Network/virtualNetworks/subnets/read

Weitere Informationen zur AKS-Dienstprinzipaldelegierung finden Sie unter Delegieren des Zugriffs auf andere Azure-Ressourcen.For more information about AKS service principal delegation, see Delegate access to other Azure resources. Anstelle eines Dienstprinzipals können Sie für Berechtigungen auch die vom System zugewiesene verwaltete Identität verwenden.Instead of a service principal, you can also use the system assigned managed identity for permissions. Weitere Informationen finden Sie unter Verwenden verwalteter Identitäten.For more information, see Use managed identities.

Da jeder Knoten und Pod seine eigene IP-Adresse erhält, planen Sie die Adressbereiche für die AKS-Subnetze.As each node and pod receive its own IP address, plan out the address ranges for the AKS subnets. Das Subnetz muss groß genug sein, um IP-Adressen für jeden Knoten, jeden Pod und jede bereitgestellte Netzwerkressource zu bieten.The subnet must be large enough to provide IP addresses for every node, pods, and network resources that you deploy. Jeder AKS-Cluster muss in einem eigenen Subnetz platziert werden.Each AKS cluster must be placed in its own subnet. Um die Konnektivität zu lokalen oder Peernetzwerken in Azure zu ermöglichen, sollten Sie keine IP-Adressbereiche verwenden, die sich mit bestehenden Netzwerkressourcen überschneiden.To allow connectivity to on-premises or peered networks in Azure, don't use IP address ranges that overlap with existing network resources. Es gibt Standardbegrenzungen für die Anzahl der Pods, die jeder Knoten in einem kubernet- bzw. Azure CNI-Netzwerk ausführen kann.There are default limits to the number of pods that each node runs with both kubenet and Azure CNI networking. Um Aufskalierungsereignisse oder Clusterupgrades behandeln zu können, benötigen Sie außerdem zusätzliche IP-Adressen, die für die Verwendung im zugewiesenen Subnetz zur Verfügung stehen.To handle scale out events or cluster upgrades, you also need additional IP addresses available for use in the assigned subnet. Dieser zusätzliche Adressraum ist besonders wichtig, wenn Sie Windows Server-Container verwenden, da diese Knotenpools ein Upgrade erfordern, damit die neuesten Sicherheitspatches angewandt werden.This additional address space is especially important if you use Windows Server containers, as those node pools require an upgrade to apply the latest security patches. Weitere Informationen zu Windows Server-Knoten finden Sie unter Durchführen eines Upgrades für einen Knotenpool in AKS.For more information on Windows Server nodes, see Upgrade a node pool in AKS.

Informationen zum Berechnen der erforderlichen IP-Adresse finden Sie unter Konfigurieren von Azure CNI-Netzwerken in AKS.To calculate the IP address required, see Configure Azure CNI networking in AKS.

Kubenet-NetzwerkeKubenet networking

Für „kubernet“ ist es zwar nicht erforderlich, dass Sie die virtuellen Netzwerke vor der Bereitstellung des Clusters einrichten, aber es gibt Nachteile:Although kubenet doesn't require you to set up the virtual networks before the cluster is deployed, there are disadvantages:

  • Knoten und Pods werden in unterschiedliche IP-Subnetze platziert.Nodes and pods are placed on different IP subnets. Benutzerdefiniertes Routing (UDR) und IP-Weiterleitung werden verwendet, um den Datenverkehr zwischen Pods und Knoten zu routen.User Defined Routing (UDR) and IP forwarding is used to route traffic between pods and nodes. Dieses zusätzliche Routing kann die Netzwerkleistung reduzieren.This additional routing may reduce network performance.
  • Verbindungen zu bestehenden lokalen Netzwerken oder das Peering mit anderen virtuellen Netzwerken von Azure können komplex sein.Connections to existing on-premises networks or peering to other Azure virtual networks can be complex.

„Kubernet“ eignet sich für kleine Entwicklungs- oder Testworkloads, da Sie das virtuelle Netzwerk und die Subnetze nicht getrennt vom AKS-Cluster erstellen müssen.Kubenet is suitable for small development or test workloads, as you don't have to create the virtual network and subnets separately from the AKS cluster. Einfache Websites mit geringem Datenverkehr oder das Verschieben von Workloads in Container per Lift & Shift können ebenfalls von der Einfachheit der mit kubernet-Netzwerken bereitgestellten AKS-Cluster profitieren.Simple websites with low traffic, or to lift and shift workloads into containers, can also benefit from the simplicity of AKS clusters deployed with kubenet networking. Für die meisten Produktionsbereitstellungen sollten Sie Azure CNI-Netzwerke planen und verwenden.For most production deployments, you should plan for and use Azure CNI networking. Sie können auch Ihre eigenen IP-Adressbereiche und virtuellen Netzwerke mit kubenet konfigurieren.You can also configure your own IP address ranges and virtual networks using kubenet.

Verteilen des EingangsdatenverkehrsDistribute ingress traffic

Best Practice-Anleitung – Um HTTP- oder HTTPS-Datenverkehr an Ihre Anwendungen zu verteilen, verwenden Sie Eingangsressourcen und -controller.Best practice guidance - To distribute HTTP or HTTPS traffic to your applications, use ingress resources and controllers. Eingangscontroller bieten zusätzliche Features gegenüber einem normalen Azure Load Balancer und können als native Kubernetes-Ressourcen verwaltet werden.Ingress controllers provide additional features over a regular Azure load balancer, and can be managed as native Kubernetes resources.

Ein Azure Load Balancer kann den Kundendatenverkehr auf Anwendungen in Ihrem AKS-Cluster verteilen, aber er ist in seinem Verständnis dieses Datenverkehrs eingeschränkt.An Azure load balancer can distribute customer traffic to applications in your AKS cluster, but it's limited in what it understands about that traffic. Eine Lastenausgleichsressource wird auf Ebene 4 ausgeführt und verteilt den Datenverkehr basierend auf dem Protokoll oder den Ports.A load balancer resource works at layer 4, and distributes traffic based on protocol or ports. Die meisten Webanwendungen, die HTTP oder HTTPS verwenden, sollten Kubernetes-Eingangsressourcen und -controller verwenden, die auf Ebene 7 ausgeführt werden.Most web applications that use HTTP or HTTPS should use Kuberenetes ingress resources and controllers, which work at layer 7. Eingangsdatenverkehr kann den Datenverkehr basierend auf der URL der Anwendung verteilen und die TLS/SSL-Terminierung behandeln.Ingress can distribute traffic based on the URL of the application and handle TLS/SSL termination. Diese Fähigkeit reduziert auch die Anzahl der IP-Adressen, die Sie freigeben und zuordnen.This ability also reduces the number of IP addresses you expose and map. Bei einem Load Balancer benötigt jede Anwendung typischerweise eine öffentliche IP-Adresse, die dem Dienst im AKS-Cluster zugewiesen und zugeordnet wird.With a load balancer, each application typically needs a public IP address assigned and mapped to the service in the AKS cluster. Bei Verwendung einer Eingangsressource kann eine einzige IP-Adresse den Datenverkehr auf mehrere Anwendungen verteilen.With an ingress resource, a single IP address can distribute traffic to multiple applications.

Diagramm mit Eingangsdatenverkehrsfluss in einem AKS-Cluster

Es gibt zwei Komponenten für den Eingangsdatenverkehr:There are two components for ingress:

  • Eine Eingangsressource undAn ingress resource, and
  • Ein EingangscontrollerAn ingress controller

Die Eingangsressource ist ein YAML-Manifest von kind: Ingress, das den Host, die Zertifikate und die Regeln zum Weiterleiten von Datenverkehr an die in Ihrem AKS-Cluster ausgeführten Dienste definiert.The ingress resource is a YAML manifest of kind: Ingress that defines the host, certificates, and rules to route traffic to services that run in your AKS cluster. Das folgende YAML-Beispielmanifest verteilt Datenverkehr für myapp.com an einen von zwei Diensten, blogservice oder storeservice.The following example YAML manifest would distribute traffic for myapp.com to one of two services, blogservice or storeservice. Der Kunde wird basierend auf der URL, auf die zugegriffen wird, an den einen oder anderen Dienst weitergeleitet.The customer is directed to one service or the other based on the URL they access.

kind: Ingress
metadata:
 name: myapp-ingress
   annotations: kubernetes.io/ingress.class: "PublicIngress"
spec:
 tls:
 - hosts:
   - myapp.com
   secretName: myapp-secret
 rules:
   - host: myapp.com
     http:
      paths:
      - path: /blog
        backend:
         serviceName: blogservice
         servicePort: 80
      - path: /store
        backend:
         serviceName: storeservice
         servicePort: 80

Ein Eingangscontroller ist ein Daemon, der auf einem AKS-Knoten ausgeführt wird und diesen auf eingehende Anforderungen überwacht.An ingress controller is a daemon that runs on an AKS node and watches for incoming requests. Datenverkehr wird dann entsprechend den in der Eingangsressource definierten Regeln verteilt.Traffic is then distributed based on the rules defined in the ingress resource. Der am häufigsten verwendete Eingangscontroller basiert auf NGINX.The most common ingress controller is based on NGINX. AKS beschränkt Sie nicht auf einen bestimmten Controller, Sie können daher auch andere Controller wie Contour, HAProxy oder Traefik verwenden.AKS doesn't restrict you to a specific controller, so you can use other controllers such as Contour, HAProxy, or Traefik.

Eingangscontroller müssen auf einem Linux-Knoten geplant werden.Ingress controllers must be scheduled on a Linux node. Windows Server-Knoten dürfen nicht auf dem Eingangscontroller ausgeführt werden.Windows Server nodes shouldn't run the ingress controller. Verwenden Sie einen Knotenselektor in Ihrem YAML-Manifest oder der Bereitstellung des Helm-Charts, um anzugeben, dass die Ressource auf einem Linux-basierten Knoten ausgeführt werden soll.Use a node selector in your YAML manifest or Helm chart deployment to indicate that the resource should run on a Linux-based node. Weitere Informationen finden Sie unter Verwenden von Knotenselektoren, um zu steuern, wo Pods in AKS geplant werden.For more information, see Use node selectors to control where pods are scheduled in AKS.

Es gibt viele Szenarien für Eingangsdatenverkehr, einschließlich der folgenden Anleitungen:There are many scenarios for ingress, including the following how-to guides:

Absichern des Datenverkehrs mit einer Web Application Firewall (WAF)Secure traffic with a web application firewall (WAF)

Best Practices-Anleitung: Verwenden Sie eine Web Application Firewall (WAF) wie Barracuda WAF für Azure oder Azure Application Gateway, um eingehenden Datenverkehr auf mögliche Angriffe zu überprüfen.Best practice guidance - To scan incoming traffic for potential attacks, use a web application firewall (WAF) such as Barracuda WAF for Azure or Azure Application Gateway. Diese fortschrittlicheren Netzwerkressourcen können den Datenverkehr auch über reine HTTP- und HTTPS-Verbindungen oder eine einfache TLS-Terminierung hinaus routen.These more advanced network resources can also route traffic beyond just HTTP and HTTPS connections or basic TLS termination.

Ein Eingangscontroller, der den Datenverkehr an Dienste und Anwendungen verteilt, ist normalerweise eine Kubernetes-Ressource in Ihrem AKS-Cluster.An ingress controller that distributes traffic to services and applications is typically a Kubernetes resource in your AKS cluster. Der Controller wird als Daemon auf einem AKS-Knoten ausgeführt und verbraucht einige der Ressourcen des Knotens wie CPU, Speicher und Netzwerkbandbreite.The controller runs as a daemon on an AKS node, and consumes some of the node's resources such as CPU, memory, and network bandwidth. In größeren Umgebungen möchten Sie einen Teil dieses Datenverkehrsroutings oder der TLS-Terminierung häufig auf eine Netzwerkressource außerhalb des AKS-Clusters auslagern.In larger environments, you often want to offload some of this traffic routing or TLS termination to a network resource outside of the AKS cluster. Zudem möchten Sie den eingehenden Datenverkehr auf mögliche Angriffe überprüfen.You also want to scan incoming traffic for potential attacks.

Eine Web Application Firewall (WAF) wie Azure App Gateway kann den Datenverkehr für Ihren AKS-Cluster schützen und verteilen.

Eine Web Application Firewall (WAF) bietet eine zusätzliche Sicherheitsebene, indem sie den eingehenden Datenverkehr filtert.A web application firewall (WAF) provides an additional layer of security by filtering the incoming traffic. Das Open Web Application Security Project (OWASP) bietet eine Reihe von Regeln, um den Datenverkehr auf Angriffe wie websiteübergreifende Skripts oder Cookie-Poisoning zu überwachen.The Open Web Application Security Project (OWASP) provides a set of rules to watch for attacks like cross site scripting or cookie poisoning. Azure Application Gateway (aktuell in AKS in der Vorschauphase) ist eine WAF, die in AKS-Cluster integriert werden kann, um diese Sicherheitsfeatures bereitzustellen, bevor der Datenverkehr Ihren AKS-Cluster und Ihre Anwendungen erreicht.Azure Application Gateway (currently in preview in AKS) is a WAF that can integrate with AKS clusters to provide these security features, before the traffic reaches your AKS cluster and applications. Auch andere Lösungen von Drittanbietern bieten diese Funktionen, sodass Sie bestehende Investitionen in ein bestimmtes Produkt oder vorhandenes Know-how weiterhin nutzen können.Other third-party solutions also perform these functions, so you can continue to use existing investments or expertise in a given product.

Load Balancer oder Eingangsressourcen werden in Ihrem AKS-Cluster weiterhin ausgeführt, um die Verteilung des Datenverkehrs weiter zu optimieren.Load balancer or ingress resources continue to run in your AKS cluster to further refine the traffic distribution. App Gateway kann zentral als Eingangscontroller mit einer Ressourcendefinition verwaltet werden.App Gateway can be centrally managed as an ingress controller with a resource definition. Erstellen Sie zunächst einen Application Gateway-Eingangscontroller.To get started, create an Application Gateway Ingress controller.

Steuern des Datenverkehrsflusses mit NetzwerkrichtlinienControl traffic flow with network policies

Best Practice-Anleitung: Verwenden Sie Netzwerkrichtlinien, um Datenverkehr zu den Pods zuzulassen oder zu verweigern.Best practice guidance - Use network policies to allow or deny traffic to pods. Standardmäßig ist der gesamte Datenverkehr zwischen den Pods in einem Cluster zulässig.By default, all traffic is allowed between pods within a cluster. Aus Sicherheitsgründen sollten Sie Regeln definieren, um die Kommunikation zwischen den Pods einzuschränken.For improved security, define rules that limit pod communication.

Netzwerkrichtlinien sind ein Kubernetes-Feature, mit dem Sie den Datenverkehrsfluss zwischen Pods steuern können.Network policy is a Kubernetes feature that lets you control the traffic flow between pods. Anhand von Einstellungen wie zugewiesene Bezeichnungen, Namespace oder Port für den Datenverkehr können Sie Datenverkehr zulassen oder verweigern.You can choose to allow or deny traffic based on settings such as assigned labels, namespace, or traffic port. Die Verwendung von Netzwerkrichtlinien ist eine cloudnative Möglichkeit, den Datenverkehrsfluss zu steuern.The use of network policies gives a cloud-native way to control the flow of traffic. Wenn Pods in einem AKS-Cluster dynamisch erstellt werden, können automatisch die erforderlichen Netzwerkrichtlinien angewendet werden.As pods are dynamically created in an AKS cluster, the required network policies can be automatically applied. Verwenden Sie zum Steuern der Kommunikation zwischen den Pods keine Azure-Netzwerksicherheitsgruppen, sondern Netzwerkrichtlinien.Don't use Azure network security groups to control pod-to-pod traffic, use network policies.

Um Netzwerkrichtlinien verwenden zu können, muss das Feature beim Erstellen eines AKS-Clusters aktiviert werden.To use network policy, the feature must be enabled when you create an AKS cluster. Ohne einen vorhandenen AKS-Cluster können Sie keine Netzwerkrichtlinie aktivieren.You can't enable network policy on an existing AKS cluster. Planen Sie im Voraus, und stellen Sie sicher, dass Sie in den Clustern Netzwerkrichtlinien aktivieren und diese bei Bedarf verwenden können.Plan ahead to make sure that you enable network policy on clusters and can use them as needed. Netzwerkrichtlinien sollten nur für Linux-basierte Knoten und Pods in AKS verwendet werden.Network policy should only be used for Linux-based nodes and pods in AKS.

Eine Netzwerkrichtlinie wird mit einem YAML-Manifest als Kubernetes-Ressource erstellt.A network policy is created as a Kubernetes resource using a YAML manifest. Die Richtlinien werden auf definierte Pods angewendet. Regeln für den ein- und ausgehenden Datenverkehr definieren dann, wie der Datenverkehr fließen kann.The policies are applied to defined pods, then ingress or egress rules define how the traffic can flow. Im folgenden Beispiel wird eine Netzwerkrichtlinie auf Pods mit der zugewiesenen Bezeichnung app: backend angewendet.The following example applies a network policy to pods with the app: backend label applied to them. Die Eingangsregel erlaubt dann nur Datenverkehr von Pods mit der Bezeichnung app: frontend:The ingress rule then only allows traffic from pods with the app: frontend label:

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: backend-policy
spec:
  podSelector:
    matchLabels:
      app: backend
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend

Eine Anleitung für die ersten Schritte mit Richtlinien finden Sie unter Sicherer Datenverkehr zwischen Pods durch Netzwerkrichtlinien in Azure Kubernetes Service (AKS).To get started with policies, see Secure traffic between pods using network policies in Azure Kubernetes Service (AKS).

Herstellen einer sicheren Verbindung zu Knoten über einen BastionhostSecurely connect to nodes through a bastion host

Best Practice-Anleitung – Machen Sie für Ihre AKS-Knoten keine Remotekonnektivität verfügbar.Best practice guidance - Don't expose remote connectivity to your AKS nodes. Erstellen Sie einen Bastionhost oder eine Jumpbox in einem virtuellen Verwaltungsnetzwerk.Create a bastion host, or jump box, in a management virtual network. Verwenden Sie den Bastionhost, um den Datenverkehr sicher in Ihren AKS-Cluster für Remoteverwaltungsaufgaben zu routen.Use the bastion host to securely route traffic into your AKS cluster to remote management tasks.

Die meisten Operationen in AKS können mit den Azure-Verwaltungstools oder über den Kubernetes API-Server ausgeführt werden.Most operations in AKS can be completed using the Azure management tools or through the Kubernetes API server. AKS-Knoten sind nicht mit dem öffentlichen Internet verbunden und nur in einem privaten Netzwerk verfügbar.AKS nodes aren't connected to the public internet, and are only available on a private network. Um eine Verbindung zu Knoten herzustellen und Wartungsarbeiten durchzuführen oder Probleme zu beheben, leiten Sie Ihre Verbindungen über einen Bastionhost oder eine Jumpbox weiter.To connect to nodes and perform maintenance or troubleshoot issues, route your connections through a bastion host, or jump box. Dieser Host sollte sich in einem separaten virtuellen Verwaltungsnetzwerk befinden, das sicher per Peering mit dem virtuellen AKS-Clusternetzwerk verbunden ist.This host should be in a separate management virtual network that is securely peered to the AKS cluster virtual network.

Verbinden mit AKS-Knoten über einen Bastionhost oder eine Jumpbox

Auch das Verwaltungsnetzwerk für den Bastionhost sollte abgesichert sein.The management network for the bastion host should be secured, too. Verwenden Sie ein Azure ExpressRoute oder VPN-Gateway, um sich mit einem lokalen Netzwerk zu verbinden und den Zugriff über Netzwerksicherheitsgruppen zu steuern.Use an Azure ExpressRoute or VPN gateway to connect to an on-premises network, and control access using network security groups.

Nächste SchritteNext steps

Dieser Artikel konzentriert sich auf Netzwerkkonnektivität und Sicherheit.This article focused on network connectivity and security. Weitere Informationen zu Netzwerkgrundlagen in Kubernetes finden Sie unter Netzwerkkonzepte für Anwendungen in Azure Kubernetes Service (AKS).For more information about network basics in Kubernetes, see Network concepts for applications in Azure Kubernetes Service (AKS)