Uitgaand cluster aanpassen met een door de gebruiker gedefinieerde routeringstabel in Azure Kubernetes Service (AKS)

U kunt het uitgaand verkeer voor uw AKS-clusters (Azure Kubernetes Service) aanpassen aan specifieke scenario's. AKS richt standaard een Standard SKU-load balancer in voor uitgaand verkeer. De standaardinstelling voldoet echter mogelijk niet aan de vereisten van alle scenario's als openbare IP-adressen niet zijn toegestaan of als het scenario extra hops vereist voor uitgaand verkeer.

In dit artikel wordt uitgelegd hoe u de uitgaande route van een cluster kunt aanpassen om aangepaste netwerkscenario's te ondersteunen. Deze scenario's omvatten scenario's die openbare IP-adressen niet toestaan en vereisen dat het cluster zich achter een virtueel netwerkapparaat (NVA) bevindt.

Vereisten

• Azure CLI versie 2.0.81 of hoger. Voer az --version uit om de versie te bekijken. Zie Azure CLI installeren als u de CLI wilt installeren of een upgrade wilt uitvoeren.
• API-versie 2020-01-01 of hoger.

Vereisten en beperkingen

Het gebruik van uitgaand type is een geavanceerd netwerkscenario en vereist de juiste netwerkconfiguratie. De volgende vereisten en beperkingen zijn van toepassing op het gebruik van het uitgaande type:

• Voor de instelling outboundType zijn AKS-clusters met een vm-set-type van VirtualMachineScaleSets en een load-balancer-sku van vereist Standard.
• Als u outboundType instelt op een waarde van UDR , is een door de gebruiker gedefinieerde route met geldige uitgaande connectiviteit voor het cluster vereist.
• Als outboundType u de waarde instelt op een waarde van UDR , betekent dit dat het bron-IP-adres voor inkomend verkeer dat naar de load balancer wordt gerouteerd , mogelijk niet overeenkomt met het doeladres voor uitgaand verkeer van het cluster.

Overzicht van het aanpassen van uitgaand verkeer met een door de gebruiker gedefinieerde routeringstabel

AKS configureert niet automatisch uitgaande paden als userDefinedRouting is ingesteld, wat betekent dat u het uitgaand verkeer moet configureren.

Wanneer u geen SLB-architectuur (Standard Load Balancer) gebruikt, moet u expliciet uitgaand verkeer instellen. U moet uw AKS-cluster implementeren in een bestaand virtueel netwerk met een subnet dat eerder is geconfigureerd. Deze architectuur vereist dat uitgaand verkeer expliciet wordt verzonden naar een apparaat zoals een firewall, gateway of proxy, zodat een openbaar IP-adres dat is toegewezen aan de standaard load balancer of het apparaat, de Network Address Translation (NAT) kan verwerken.

Load balancer maken met userDefinedRouting

AKS-clusters met een uitgaand type UDR krijgen alleen een standaard load balancer wanneer de eerste Kubernetes-service van het type loadBalancer wordt geïmplementeerd. De load balancer is geconfigureerd met een openbaar IP-adres voor binnenkomende aanvragen en een back-endpool voor binnenkomende aanvragen. De Azure-cloudprovider configureert binnenkomende regels, maar configureert geen uitgaand openbaar IP-adres of regels voor uitgaand verkeer. Uw UDR is de enige bron voor uitgaand verkeer.

Notitie

Voor Azure Load Balancers worden geen kosten in rekening gebracht totdat een regel is geplaatst.

Een cluster implementeren met het uitgaande type UDR en Azure Firewall

Als u een toepassing van een cluster met een uitgaand type wilt zien met behulp van een door de gebruiker gedefinieerde route, raadpleegt u dit voorbeeld uitgaand verkeer beperken met Azure Firewall.

Belangrijk

Uitgaand type UDR vereist een route voor 0.0.0.0/0 en een volgende hopbestemming van NVA in de routetabel. De routetabel heeft al een standaardwaarde 0.0.0.0/0 voor internet. Zonder een openbaar IP-adres voor Azure om te gebruiken voor Source Network Address Translation (SNAT), biedt het toevoegen van deze route geen uitgaande internetverbinding. AKS valideert dat u geen 0.0.0.0/0-route maakt die naar internet wijst, maar naar een gateway, NVA, enzovoort. Wanneer u een uitgaand type UDR gebruikt, wordt er geen openbaar IP-adres van de load balancer voor binnenkomende aanvragen gemaakt, tenzij u een service van het type loadbalancer configureert. AKS maakt nooit een openbaar IP-adres voor uitgaande aanvragen als u een uitgaand type UDR instelt.

Volgende stappen

Zie voor meer informatie over door de gebruiker gedefinieerde routes en Azure-netwerken:

• Overzicht van UDR voor Azure-netwerken
• Een routetabel maken, wijzigen of verwijderen.