Pojęcia dotyczące sieci dla aplikacji w usłudze Azure Kubernetes Service (AKS)Network concepts for applications in Azure Kubernetes Service (AKS)

W przypadku mikrousług opartych na kontenerach do tworzenia aplikacji składniki aplikacji muszą współpracować ze sobą, aby przetwarzać swoje zadania.In a container-based microservices approach to application development, application components must work together to process their tasks. Kubernetes udostępnia różne zasoby, które umożliwiają komunikację z tą aplikacją.Kubernetes provides various resources that enable this application communication. Możesz łączyć się z aplikacjami i udostępniać je wewnętrznie lub zewnętrznie.You can connect to and expose applications internally or externally. W celu utworzenia aplikacji o wysokiej dostępności można równoważyć obciążenie aplikacji.To build highly available applications, you can load balance your applications. Bardziej złożone aplikacje mogą wymagać konfiguracji ruchu przychodzącego dla zakończenia protokołu SSL/TLS lub routingu wielu składników.More complex applications may require configuration of ingress traffic for SSL/TLS termination or routing of multiple components. Ze względów bezpieczeństwa może być również konieczne ograniczenie przepływu ruchu sieciowego do lub między nazwami i węzłami.For security reasons, you may also need to restrict the flow of network traffic into or between pods and nodes.

W tym artykule przedstawiono podstawowe koncepcje zapewniające obsługę sieci dla aplikacji w programie AKS:This article introduces the core concepts that provide networking to your applications in AKS:

Podstawy platformy KubernetesKubernetes basics

Aby zezwolić na dostęp do aplikacji lub do komunikacji między składnikami aplikacji, Kubernetes zapewnia warstwę abstrakcji dla sieci wirtualnych.To allow access to your applications, or for application components to communicate with each other, Kubernetes provides an abstraction layer to virtual networking. Węzły Kubernetes są połączone z siecią wirtualną i mogą zapewniać łączność ruchu przychodzącego i wychodzącego w przypadku zasobników.Kubernetes nodes are connected to a virtual network, and can provide inbound and outbound connectivity for pods. Składnik polecenia-proxy działa w każdym węźle, aby udostępnić te funkcje sieciowe.The kube-proxy component runs on each node to provide these network features.

W programie Kubernetes usługi logicznie grupują elementy w celu umożliwienia bezpośredniego dostępu za pośrednictwem adresu IP lub nazwy DNS i określonego portu.In Kubernetes, Services logically group pods to allow for direct access via an IP address or DNS name and on a specific port. Ruch można także dystrybuować przy użyciu modułu równoważenia obciążenia.You can also distribute traffic using a load balancer. Bardziej skomplikowany Routing ruchu aplikacji można również uzyskać za pomocą kontrolerówtransferu danych przychodzących.More complex routing of application traffic can also be achieved with Ingress Controllers. Zabezpieczenia i filtrowanie ruchu sieciowego dla każdego z nich jest możliwe przy użyciu zasad sieciowychKubernetes.Security and filtering of the network traffic for pods is possible with Kubernetes network policies.

Platforma Azure pomaga również uprościć sieci wirtualne klastrów AKS.The Azure platform also helps to simplify virtual networking for AKS clusters. Podczas tworzenia modułu równoważenia obciążenia Kubernetes zostanie utworzony i skonfigurowany źródłowy zasób modułu równoważenia obciążenia platformy Azure.When you create a Kubernetes load balancer, the underlying Azure load balancer resource is created and configured. Podczas otwierania portów sieciowych do zasobników, są konfigurowane odpowiednie reguły grupy zabezpieczeń sieci platformy Azure.As you open network ports to pods, the corresponding Azure network security group rules are configured. W przypadku routingu aplikacji HTTP platforma Azure może również skonfigurować zewnętrzny system DNS jako nowe trasy transferu danych przychodzących.For HTTP application routing, Azure can also configure external DNS as new ingress routes are configured.

UsługiServices

Aby uprościć konfigurację sieci dla obciążeń aplikacji, Kubernetes używa usług do logicznego grupowania zestawu i zapewnienia łączności sieciowej.To simplify the network configuration for application workloads, Kubernetes uses Services to logically group a set of pods together and provide network connectivity. Dostępne są następujące typy usług:The following Service types are available:

  • IP klastra — tworzy wewnętrzny adres IP do użycia w klastrze AKS.Cluster IP - Creates an internal IP address for use within the AKS cluster. Dobre dla aplikacji tylko wewnętrznych, które obsługują inne obciążenia w klastrze.Good for internal-only applications that support other workloads within the cluster.

    Diagram przedstawiający przepływ ruchu IP klastra w klastrze AKS

  • NodePort — tworzy mapowanie portów w podstawowym węźle, który umożliwia dostęp do aplikacji bezpośrednio z adresem IP i portem węzła.NodePort - Creates a port mapping on the underlying node that allows the application to be accessed directly with the node IP address and port.

    Diagram przedstawiający przepływ ruchu NodePort w klastrze AKS

  • Moduł równoważenia obciążenia — tworzy zasób usługi Azure Load, konfiguruje zewnętrzny adres IP i łączy żądaną pulę zasobów z pulą zaplecza modułu równoważenia obciążenia.LoadBalancer - Creates an Azure load balancer resource, configures an external IP address, and connects the requested pods to the load balancer backend pool. Aby umożliwić klientom dostęp do aplikacji, reguły równoważenia obciążenia są tworzone na odpowiednich portach.To allow customers' traffic to reach the application, load balancing rules are created on the desired ports.

    Diagram przedstawiający przepływ ruchu Load Balancer w klastrze AKS

    W celu uzyskania dodatkowej kontroli i routingu ruchu przychodzącego można użyć kontroleratransferu danych przychodzących.For additional control and routing of the inbound traffic, you may instead use an Ingress controller.

  • Externalname — tworzy określony wpis DNS w celu ułatwienia dostępu do aplikacji.ExternalName - Creates a specific DNS entry for easier application access.

Adres IP dla modułów równoważenia obciążenia i usług może być dynamicznie przypisywany lub można określić istniejący statyczny adres IP do użycia.The IP address for load balancers and services can be dynamically assigned, or you can specify an existing static IP address to use. Można przypisać zarówno wewnętrzne, jak i zewnętrzne statyczne adresy IP.Both internal and external static IP addresses can be assigned. Ten istniejący statyczny adres IP jest często powiązany z wpisem DNS.This existing static IP address is often tied to a DNS entry.

Można utworzyć wewnętrzne i zewnętrzne usługi równoważenia obciążenia.Both internal and external load balancers can be created. Do wewnętrznych modułów równoważenia obciążenia przypisany jest tylko prywatny adres IP, dlatego nie można uzyskać do nich dostępu z Internetu.Internal load balancers are only assigned a private IP address, so they can't be accessed from the Internet.

Sieci wirtualne platformy AzureAzure virtual networks

W usłudze AKS można wdrożyć klaster, który jest oparty na jednym z następujących modeli sieciowych:In AKS, you can deploy a cluster that uses one of the following two network models:

  • Korzystającą wtyczki kubenet Networking — zasoby sieciowe są zwykle tworzone i konfigurowane jako wdrożony klaster AKS.Kubenet networking - The network resources are typically created and configured as the AKS cluster is deployed.
  • Sieć Azure Container Networking Interface (CNI) — klaster AKS jest połączony z istniejącymi zasobami i konfiguracjami sieci wirtualnej.Azure Container Networking Interface (CNI) networking - The AKS cluster is connected to existing virtual network resources and configurations.

Sieć korzystającą wtyczki kubenet (podstawowa)Kubenet (basic) networking

Opcja sieci korzystającą wtyczki kubenet jest konfiguracją domyślną dla tworzenia klastra AKS.The kubenet networking option is the default configuration for AKS cluster creation. W przypadku korzystającą wtyczki kubenetwęzły uzyskują adres IP z podsieci sieci wirtualnej platformy Azure.With kubenet, nodes get an IP address from the Azure virtual network subnet. Zasobniki uzyskują adresy IP z przestrzeni adresowej, która jest logicznie różna od podsieci sieci wirtualnej platformy Azure, używanej przez węzły.Pods receive an IP address from a logically different address space to the Azure virtual network subnet of the nodes. Dzięki skonfigurowaniu translatora adresów sieciowych (NAT) zasobniki mogą uzyskać dostęp do zasobów w sieci wirtualnej platformy Azure.Network address translation (NAT) is then configured so that the pods can reach resources on the Azure virtual network. Źródłowy adres IP ruchu to NAT do podstawowego adresu IP węzła.The source IP address of the traffic is NAT'd to the node's primary IP address.

Węzły korzystają z wtyczki korzystającą wtyczki kubenet Kubernetes.Nodes use the kubenet Kubernetes plugin. Możesz zezwolić na platformę Azure, aby utworzyć i skonfigurować sieci wirtualne, lub wybrać wdrożenie klastra AKS w istniejącej podsieci sieci wirtualnej.You can let the Azure platform create and configure the virtual networks for you, or choose to deploy your AKS cluster into an existing virtual network subnet. Ponownie tylko węzły odbierają adres IP z obsługą routingu, a w przypadku korzystania z translatora adresów sieciowych w celu komunikowania się z innymi zasobami poza klastrem AKS.Again, only the nodes receive a routable IP address, and the pods use NAT to communicate with other resources outside the AKS cluster. Takie podejście znacznie zmniejsza liczbę adresów IP, które należy zarezerwować w przestrzeni sieciowej, aby można było użyć używanych przez nią zasobników.This approach greatly reduces the number of IP addresses that you need to reserve in your network space for pods to use.

Aby uzyskać więcej informacji, zobacz Konfigurowanie sieci korzystającą wtyczki kubenet dla klastra AKS.For more information, see Configure kubenet networking for an AKS cluster.

Azure CNI (Advanced) — siećAzure CNI (advanced) networking

W sieci Azure CNI każdy zasobnik uzyskuje adres IP z podsieci i jest dostępny bezpośrednio.With Azure CNI, every pod gets an IP address from the subnet and can be accessed directly. Te adresy IP muszą być unikatowe w przestrzeni sieci i muszą być planowane z wyprzedzeniem.These IP addresses must be unique across your network space, and must be planned in advance. Każdy węzeł ma parametr konfiguracji dla maksymalnej liczby obsługiwanych przez nią zasobników.Each node has a configuration parameter for the maximum number of pods that it supports. Równoważna liczba adresów IP na węzeł jest następnie rezerwowana na początku dla tego węzła.The equivalent number of IP addresses per node are then reserved up front for that node. Takie podejście wymaga większego planowania, ponieważ w przeciwnym razie może prowadzić do wyczerpania adresów IP lub trzeba ponownie skompilować klastry w większej podsieci, w miarę wzrostu wymagań aplikacji.This approach requires more planning, as can otherwise lead to IP address exhaustion or the need to rebuild clusters in a larger subnet as your application demands grow.

W przeciwieństwie do korzystającą wtyczki kubenet, ruch do punktów końcowych w tej samej sieci wirtualnej nie jest NAT do podstawowego adresu IP węzła.Unlike kubenet, traffic to endpoints in the same virtual network isn't NAT'd to the node's primary IP. Adres źródłowy ruchu w sieci wirtualnej jest adresem IP pod.The source address for traffic inside the virtual network is the pod IP. Ruch zewnętrzny do sieci wirtualnej nadal jest NAT na podstawowym adresie IP węzła.Traffic that's external to the virtual network still NATs to the node's primary IP.

W węzłach jest używany dodatek Azure Container Network Interface (CNI) Kubernetes.Nodes use the Azure Container Networking Interface (CNI) Kubernetes plugin.

Diagram przedstawiający dwa węzły z mostkami łączącymi każdy z jedną siecią wirtualną platformy Azure

Aby uzyskać więcej informacji, zobacz Konfigurowanie platformy Azure CNI dla klastra AKS.For more information, see Configure Azure CNI for an AKS cluster.

Porównanie modeli sieciCompare network models

Zarówno korzystającą wtyczki kubenet, jak i Azure CNI zapewniają łączność sieciową dla klastrów AKS.Both kubenet and Azure CNI provide network connectivity for your AKS clusters. Istnieją jednak zalety i wady każdej z nich.However, there are advantages and disadvantages to each. Na wysokim poziomie są stosowane następujące zagadnienia:At a high level, the following considerations apply:

  • korzystającą wtyczki kubenetkubenet
    • Zachowuje przestrzeń adresów IP.Conserves IP address space.
    • Używa wewnętrznego lub zewnętrznego modułu równoważenia obciążenia Kubernetes w celu uzyskania dostępu do elementów z zewnątrz klastra.Uses Kubernetes internal or external load balancer to reach pods from outside of the cluster.
    • Należy ręcznie zarządzać i obsługiwać trasy zdefiniowane przez użytkownika (UDR).You must manually manage and maintain user-defined routes (UDRs).
    • Maksymalnie 400 węzłów na klaster.Maximum of 400 nodes per cluster.
  • Azure CNIAzure CNI
    • W celu uzyskania pełnej łączności między sieciami wirtualnymi i można je uzyskać bezpośrednio z połączonych sieci.Pods get full virtual network connectivity and can be directly reached via their private IP address from connected networks.
    • Wymaga więcej przestrzeni adresów IP.Requires more IP address space.

Między korzystającą wtyczki kubenet i Azure CNI istnieją następujące różnice dotyczące zachowań:The following behavior differences exist between kubenet and Azure CNI:

MożliwośćCapability Korzystającą wtyczki kubenetKubenet Azure CNIAzure CNI
Wdróż klaster w istniejącej lub nowej sieci wirtualnejDeploy cluster in existing or new virtual network Obsługiwane — UDR ręcznieSupported - UDRs manually applied ObsługiwaneSupported
Łączność pod kątemPod-pod connectivity ObsługiwaneSupported ObsługiwaneSupported
Łączność z maszyną wirtualną; Maszyna wirtualna w tej samej sieci wirtualnejPod-VM connectivity; VM in the same virtual network Działa po zainicjowaniu przezWorks when initiated by pod Działa w obu kierunkachWorks both ways
Łączność z maszyną wirtualną; Maszyna wirtualna w równorzędnej sieci wirtualnejPod-VM connectivity; VM in peered virtual network Działa po zainicjowaniu przezWorks when initiated by pod Działa w obu kierunkachWorks both ways
Dostęp lokalny przy użyciu sieci VPN lub usługi Express RouteOn-premises access using VPN or Express Route Działa po zainicjowaniu przezWorks when initiated by pod Działa w obu kierunkachWorks both ways
Dostęp do zasobów zabezpieczonych przez punkty końcowe usługiAccess to resources secured by service endpoints ObsługiwaneSupported ObsługiwaneSupported
Uwidacznianie usług Kubernetes Services za pomocą usługi równoważenia obciążenia, bramy aplikacji lub kontrolera transferu danych przychodzącychExpose Kubernetes services using a load balancer service, App Gateway, or ingress controller ObsługiwaneSupported ObsługiwaneSupported
Domyślne Azure DNS i strefy prywatneDefault Azure DNS and Private Zones ObsługiwaneSupported ObsługiwaneSupported

W przypadku systemu DNS, z dodatkiem korzystającą wtyczki kubenet i usługą Azure CNI w systemie DNS jest oferowana przez CoreDNS, wdrożenie działające w AKS ze swoim własnym skalowaniem automatycznym.Regarding DNS, with both kubenet and Azure CNI plugins DNS is offered by CoreDNS, a deployment running in AKS with its own autoscaler. Aby uzyskać więcej informacji na temat CoreDNS na Kubernetes, zobacz Dostosowywanie usługi DNS.For more information on CoreDNS on Kubernetes see Customizing DNS Service. CoreDNS jest domyślnie skonfigurowany do przesyłania nieznanych domen do serwerów DNS węzłów, innymi słowy, do funkcji DNS Virtual Network platformy Azure, w której wdrożono klaster AKS.CoreDNS is configured per default to forward unknown domains to the node DNS servers, in other words, to the DNS functionality of the Azure Virtual Network where the AKS cluster is deployed. W związku z tym strefy Azure DNS i prywatne będą działać w przypadku zasobników z systemem AKS.Hence, Azure DNS and Private Zones will work for pods running in AKS.

Zakres pomocy technicznej między modelami sieciSupport scope between network models

Niezależnie od modelu sieci, z którego korzystasz, zarówno korzystającą wtyczki kubenet, jak i Azure CNI można wdrożyć w jeden z następujących sposobów:Regardless of the network model you use, both kubenet and Azure CNI can be deployed in one of the following ways:

  • Platforma Azure może automatycznie tworzyć i konfigurować zasoby sieci wirtualnej podczas tworzenia klastra AKS.The Azure platform can automatically create and configure the virtual network resources when you create an AKS cluster.
  • Możesz ręcznie utworzyć i skonfigurować zasoby sieci wirtualnej i dołączyć je do tych zasobów podczas tworzenia klastra AKS.You can manually create and configure the virtual network resources and attach to those resources when you create your AKS cluster.

Mimo że funkcje, takie jak punkty końcowe usługi lub UDR, są obsługiwane zarówno w korzystającą wtyczki kubenet, jak i na platformie Azure CNI, zasady pomocy technicznej dla AKS określają, jakie zmiany można wprowadzić.Although capabilities like service endpoints or UDRs are supported with both kubenet and Azure CNI, the support policies for AKS define what changes you can make. Na przykład:For example:

  • Jeśli ręcznie utworzysz zasoby sieci wirtualnej dla klastra AKS, jest ono obsługiwane podczas konfigurowania własnych UDR lub punktów końcowych usługi.If you manually create the virtual network resources for an AKS cluster, you're supported when configuring your own UDRs or service endpoints.
  • Jeśli platforma Azure automatycznie tworzy zasoby sieci wirtualnej dla klastra AKS, nie jest obsługiwane ręczne zmienianie tych zasobów zarządzanych przez AKS w celu skonfigurowania własnych UDR lub punktów końcowych usługi.If the Azure platform automatically creates the virtual network resources for your AKS cluster, it isn't supported to manually change those AKS-managed resources to configure your own UDRs or service endpoints.

Kontrolery ruchu przychodzącegoIngress controllers

Podczas tworzenia usługi typu modułu równoważenia obciążenia tworzony jest podstawowy zasób usługi Azure load module.When you create a LoadBalancer type Service, an underlying Azure load balancer resource is created. Moduł równoważenia obciążenia jest skonfigurowany do dystrybucji ruchu do zasobników w usłudze na dany port.The load balancer is configured to distribute traffic to the pods in your Service on a given port. Moduł równoważenia obciążenia działa tylko w warstwie 4 — usługa nie rozpoznaje rzeczywistych aplikacji i nie może dokonywać żadnych dodatkowych zagadnień związanych z routingiem.The LoadBalancer only works at layer 4 - the Service is unaware of the actual applications, and can't make any additional routing considerations.

Kontrolery transferu danych przychodzących działają w warstwie 7 i mogą używać bardziej inteligentnych reguł do dystrybucji ruchu aplikacji.Ingress controllers work at layer 7, and can use more intelligent rules to distribute application traffic. Typowym zastosowaniem kontrolera transferu danych przychodzących jest kierowanie ruchu HTTP do różnych aplikacji na podstawie przychodzącego adresu URL.A common use of an Ingress controller is to route HTTP traffic to different applications based on the inbound URL.

Diagram przedstawiający przepływ ruchu przychodzącego w klastrze AKS

W programie AKS można utworzyć zasób transferu danych przychodzących przy użyciu elementu like NGINX lub użyć funkcji routingu aplikacji HTTP AKS.In AKS, you can create an Ingress resource using something like NGINX, or use the AKS HTTP application routing feature. Po włączeniu routingu aplikacji protokołu HTTP dla klastra AKS platforma Azure tworzy kontroler transferu danych przychodzących i zewnętrzny kontroler DNS .When you enable HTTP application routing for an AKS cluster, the Azure platform creates the Ingress controller and an External-DNS controller. Ponieważ nowe zasoby związane z ruchem przychodzącym są tworzone w Kubernetes, wymagane są rekordy A DNS w strefie DNS.As new Ingress resources are created in Kubernetes, the required DNS A records are created in a cluster-specific DNS zone. Aby uzyskać więcej informacji, zobacz wdrażanie aplikacji http Routing.For more information, see deploy HTTP application routing.

Dodatek Application Gateway transferu danych przychodzących (AGIC) umożliwia klientom AKS korzystanie z usługi równoważenia obciążenia na poziomie macierzystym Application Gateway w systemie Azure w celu udostępnienia oprogramowania chmury do Internetu.The Application Gateway Ingress Controller (AGIC) add-on allows AKS customers to leverage Azure's native Application Gateway level 7 load-balancer to expose cloud software to the Internet. AGIC monitoruje klaster Kubernetes, na którym jest on hostowany, i ciągle aktualizuje Application Gateway, dzięki czemu wybrane usługi są dostępne w Internecie.AGIC monitors the Kubernetes cluster it is hosted on and continuously updates an Application Gateway, so that selected services are exposed to the Internet. Aby dowiedzieć się więcej na temat dodatku AGIC dla AKS, zobacz co to jest Application Gateway kontroler transferu danych przychodzących?To learn more about the AGIC add-on for AKS, see What is Application Gateway Ingress Controller?

Inną wspólną funkcją transferu danych przychodzących jest protokół SSL/TLS.Another common feature of Ingress is SSL/TLS termination. W przypadku dużych aplikacji sieci Web, do których uzyskuje się dostęp za pośrednictwem protokołu HTTPS, zakończenie protokołu TLS może być obsługiwane przez zasób transferu danych przychodzących, a nie w samej aplikacji.On large web applications accessed via HTTPS, the TLS termination can be handled by the Ingress resource rather than within the application itself. Aby zapewnić automatyczną generację i konfigurację certyfikacji TLS, można skonfigurować zasób transferu danych przychodzących tak, aby korzystał z dostawców, takich jak szyfrowanie.To provide automatic TLS certification generation and configuration, you can configure the Ingress resource to use providers such as Let's Encrypt. Aby uzyskać więcej informacji na temat konfigurowania kontrolera NGINX ingresing z szyfrowaniem, zobacz artykuł dotyczący protokołów przychodzących i TLS.For more information on configuring an NGINX Ingress controller with Let's Encrypt, see Ingress and TLS.

Możesz również skonfigurować kontroler transferu danych przychodzących, aby zachować źródłowy adres IP klienta w przypadku żądań do kontenerów w klastrze AKS.You can also configure your ingress controller to preserve the client source IP on requests to containers in your AKS cluster. Gdy żądanie klienta jest kierowane do kontenera w klastrze AKS za pośrednictwem kontrolera transferu danych przychodzących, oryginalny źródłowy adres IP tego żądania nie będzie dostępny dla kontenera docelowego.When a client's request is routed to a container in your AKS cluster via your ingress controller, the original source IP of that request won't be available to the target container. Po włączeniu zachowywania źródłowego adresu IP klientajest dostępny źródłowy adres IP klienta w nagłówku żądania w obszarze X-forwardd-for.When you enable client source IP preservation, the source IP for the client is available in the request header under X-Forwarded-For. W przypadku korzystania z funkcji zachowywania źródłowych adresów IP klienta na kontrolerze transferu danych przychodzących nie można używać przekazywania protokołu TLS.If you're using client source IP preservation on your ingress controller, you can't use TLS pass-through. Przechowywanie źródłowych adresów IP klienta i przekazywanie protokołu TLS mogą być używane z innymi usługami, takimi jak typ modułu równoważenia obciążenia .Client source IP preservation and TLS pass-through can be used with other services, such as the LoadBalancer type.

Grupy zabezpieczeń sieciNetwork security groups

Sieciowa Grupa zabezpieczeń filtruje ruch dla maszyn wirtualnych, takich jak węzły AKS.A network security group filters traffic for VMs, such as the AKS nodes. Podczas tworzenia usług, takich jak moduł równoważenia obciążenia, platforma Azure automatycznie konfiguruje wszystkie potrzebne reguły sieciowej grupy zabezpieczeń.As you create Services, such as a LoadBalancer, the Azure platform automatically configures any network security group rules that are needed. Nie należy ręcznie konfigurować zasad sieciowych grup zabezpieczeń w celu filtrowania ruchu dla zasobników w klastrze AKS.Don't manually configure network security group rules to filter traffic for pods in an AKS cluster. Zdefiniuj wszystkie wymagane porty i przekazanie w ramach manifestów usługi Kubernetes, a platforma Azure umożliwia tworzenie i aktualizowanie odpowiednich reguł.Define any required ports and forwarding as part of your Kubernetes Service manifests, and let the Azure platform create or update the appropriate rules. Możesz również użyć zasad sieciowych, jak opisano w następnej sekcji, aby automatycznie zastosować reguły filtru ruchu do zasobników.You can also use network policies, as discussed in the next section, to automatically apply traffic filter rules to pods.

Zasady siecioweNetwork policies

Domyślnie wszystkie zasobniki w klastrze AKS mogą wysyłać i odbierać ruch bez ograniczeń.By default, all pods in an AKS cluster can send and receive traffic without limitations. W celu zwiększenia bezpieczeństwa warto zdefiniować reguły sterujące przepływem ruchu.For improved security, you may want to define rules that control the flow of traffic. Aplikacje zaplecza często są udostępniane wymaganym usługom frontonu lub składniki bazy danych są dostępne tylko dla warstw aplikacji, które się z nimi łączą.Backend applications are often only exposed to required frontend services, or database components are only accessible to the application tiers that connect to them.

Zasady sieciowe to funkcja Kubernetes dostępna w AKS, która umożliwia sterowanie przepływem ruchu między zasobnikami.Network policy is a Kubernetes feature available in AKS that lets you control the traffic flow between pods. Możesz zezwalać na ruch lub odmawiać go na podstawie ustawień, takich jak przypisane etykiety, przestrzeń nazw lub port ruchu.You can choose to allow or deny traffic based on settings such as assigned labels, namespace, or traffic port. Sieciowe grupy zabezpieczeń są bardziej przeznaczone dla węzłów AKS, a nie do zasobników.Network security groups are more for the AKS nodes, not pods. Korzystanie z zasad sieciowych jest bardziej odpowiednim, natywnym sposobem na sterowanie przepływem ruchu.The use of network policies is a more suitable, cloud-native way to control the flow of traffic. Ponieważ w klastrze AKS są tworzone w sposób dynamiczny, wymagane zasady sieciowe mogą być automatycznie stosowane.As pods are dynamically created in an AKS cluster, the required network policies can be automatically applied.

Aby uzyskać więcej informacji, zobacz bezpieczny ruch między różnymi elementami sieciowymi przy użyciu zasad sieciowych w usłudze Azure Kubernetes Service (AKS).For more information, see Secure traffic between pods using network policies in Azure Kubernetes Service (AKS).

Następne krokiNext steps

Aby rozpocząć pracę z usługą AKS Networking, Utwórz i skonfiguruj klaster AKS z własnymi zakresami adresów IP przy użyciu korzystającą wtyczki kubenet lub Azure CNI.To get started with AKS networking, create and configure an AKS cluster with your own IP address ranges using kubenet or Azure CNI.

W przypadku skojarzonych najlepszych rozwiązań należy zapoznać się z najlepszymi rozwiązaniami dotyczącymi łączności sieciowej i zabezpieczeń w AKS.For associated best practices, see Best practices for network connectivity and security in AKS.

Aby uzyskać dodatkowe informacje na temat podstawowych pojęć związanych z Kubernetes i AKS, zobacz następujące artykuły:For additional information on core Kubernetes and AKS concepts, see the following articles: