Personalizar a saída do cluster com tipos de saída no AKS (Serviço de Kubernetes do Azure)
Você pode personalizar a saída para um cluster AKS para se adequar a cenários específicos. Por padrão, o AKS provisiona um balanceador de carga de SKU padrão a ser configurado e usado para saída. Contudo, é possível que a configuração padrão não atenda aos requisitos de todos os cenários se os IPs públicos não forem permitidos ou se forem necessários saltos adicionais para a saída.
Este artigo aborda os vários tipos de conectividade de saída que estão disponíveis nos clusters AKS.
Observação
Agora você pode atualizar o outboundType após a criação do cluster.
Limitações
- A configuração
outboundTyperequer clusters do AKS com umvm-set-typedeVirtualMachineScaleSetseload-balancer-skudeStandard.
Tipos de saída em AKS
Você pode configurar um cluster AKS usando os seguintes tipos de saída: balanceador de carga, gateway NAT ou roteamento definido pelo usuário. O tipo de saída afeta apenas o tráfego de saída do seu cluster. Confira mais informações em configurar controladores de entrada.
Observação
Você pode usar sua própria [tabela de roteamento] com UDR e a sistema de rede kubenet. Verifique se a identidade do cluster (entidade de serviço ou identidade gerenciada) tem permissões de Colaborador para a tabela de rotas personalizada.
Tipo de saída de loadBalancer
O balanceador de carga é usado para saída através de um IP público atribuído por AKS. Um tipo de saída de loadBalancer dá suporte aos serviços Kubernetes do tipo loadBalancer, que esperam a saída do balanceador de carga criado pelo provedor de recursos do AKS.
Se loadBalancer for definido, o AKS completa automaticamente a seguinte configuração:
- Um endereço IP público é provisionado para a saída do cluster.
- O endereço IP público é atribuído ao recurso do balanceador de carga.
- Os pools de back-end para o balanceador de carga são configurados para nós do agente no cluster.
Para obter mais informações, consulte usando um balanceador de carga padrão no AKS.
Tipo de saída de managedNatGateway ou userAssignedNatGateway
Se managedNatGateway ou userAssignedNatGateway estiverem selecionados para outboundType, o AKS dependerá do gateway da NAT da Rede do Azure para saída do cluster.
- Selecione
managedNatGatewayao usar redes virtuais gerenciadas. O AKS provisionará um gateway NAT e o anexa à sub-rede do cluster. - Selecione
userAssignedNatGatewayao usar ‘trazer sua própria rede virtual’. Esta opção requer que você tenha provisionado um gateway NAT antes da criação do cluster.
Para saber mais, consulte usando gateway NAT com AKS.
Tipo de saída de userDefinedRouting
Observação
O tipo de saída userDefinedRouting é um cenário de rede avançado e requer uma configuração de rede adequada.
Se userDefinedRouting for definido, o AKS não configurará automaticamente os caminhos de saída. A configuração de saída deve ser feita por você.
Você deve implantar um cluste AKS em uma rede virtual existente com uma sub-rede que foi previamente configurada. Como você não está usando uma arquitetura de balanceador de carga padrão (SLB), você deve estabelecer uma saída explícita. Esta arquitetura exige explicitamente o tráfego de saída para um dispositivo como um firewall, gateway, proxy, ou para permitir que a NAT seja feita por um IP público atribuído ao balanceador de carga padrão ou ao dispositivo.
Para obter mais informações, consulte a configuração da saída do cluster através de roteamento definido pelo usuário.
Atualização de outboundType após a criação do cluster
A alteração do tipo de saída após a criação do cluster implantará ou removerá os recursos conforme necessário para colocar o cluster na nova configuração de saída.
As tabelas a seguir mostram os caminhos de migração com suporte entre os tipos de saída para redes virtuais gerenciadas e BYO (Traga a Sua Própria).
Caminhos de migração com suporte para VNet Gerenciada
| VNet Gerenciada | loadBalancer | managedNATGateway | userAssignedNATGateway | userDefinedRouting |
|---|---|---|---|---|
| loadBalancer | N/D | Com suporte | Sem suporte | Sem suporte |
| managedNATGateway | Com suporte | N/D | Sem suporte | Sem suporte |
| userAssignedNATGateway | Sem suporte | Sem suporte | N/D | Sem suporte |
| userDefinedRouting | Com suporte | Compatível | Sem suporte | N/D |
Caminhos de migração com suporte para BYO VNet
| VNet BYO | loadBalancer | managedNATGateway | userAssignedNATGateway | userDefinedRouting |
|---|---|---|---|---|
| loadBalancer | N/D | Sem suporte | Com suporte | Com suporte |
| managedNATGateway | Sem suporte | N/D | Sem suporte | Sem suporte |
| userAssignedNATGateway | Com suporte | Sem suporte | N/D | Com suporte |
| userDefinedRouting | Com suporte | Sem suporte | Com suporte | N/D |
A migração só tem suporte entre loadBalancer, managedNATGateway (se estiver usando uma rede virtual gerenciada), userAssignedNATGateway e userDefinedRouting (se estiver usando uma rede virtual personalizada).
Aviso
Migrar o tipo de saída para tipos gerenciados pelo usuário (userAssignedNATGateway e userDefinedRouting) alterará os endereços IP públicos de saída do cluster.
se Intervalos de IP autorizados estiver habilitado, verifique se o novo intervalo de IP de saída está acrescentado ao intervalo de IP autorizado.
Aviso
A alteração do tipo de saída em um cluster interrompe a conectividade de rede e resultará em uma alteração do endereço IP de saída do cluster. Se alguma regra de firewall foi configurada para restringir o tráfego do cluster, você precisa atualizá-las para corresponder ao novo endereço IP de saída.
Atualizar cluster para usar um novo tipo de saída
Observação
É preciso usar uma versão >= 2.56 da CLI do Azure para migrar o tipo de saída. Use az upgrade para atualizar para a última versão da CLI do Azure.
- Atualize a configuração de saída do seu cluster usando o comando
az aks update.
Atualizar o cluster de loadbalancer para o managedNATGateway
az aks update -g <resourceGroup> -n <clusterName> --outbound-type managedNATGateway --nat-gateway-managed-outbound-ip-count <number of managed outbound ip>
Atualizar o cluster de managedNATGateway para loadbalancer
az aks update -g <resourceGroup> -n <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >
Aviso
Não reutilize um endereço IP que já esteja em uso em configurações de saída anteriores.
Atualizar o cluster de managedNATGateway para userDefinedRouting
- Adicione a rota
0.0.0.0/0à tabela de rotas padrão. Confira Personalizar a saída do cluster com uma tabela de roteamento definida pelo usuário no Serviço de Kubernetes do Azure (AKS)
az aks update -g <resourceGroup> -n <clusterName> --outbound-type userDefinedRouting
Atualizar o cluster de loadbalancer para userAssignedNATGateway no cenário de VNet BYO
- Associe o gateway da NAT à sub-rede à qual a carga de trabalho está associada. Consulte Criar um gateway NAT gerenciado ou atribuído pelo usuário
az aks update -g <resourceGroup> -n <clusterName> --outbound-type userAssignedNATGateway