你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在基于容器的微服务应用程序开发方法中,应用程序组件会协同工作以处理其任务。 Kubernetes 提供了各种资源来促成这种合作:
本文介绍了为 AKS 中的应用程序提供网络的核心概念:
Kubernetes 使用虚拟网络层来管理应用程序或其组件之内和之间的访问:
Kubernetes 节点和虚拟网络:Kubernetes 节点连接到虚拟网络。 此设置使得 Pod(Kubernetes 中的基本部署单元)具有入站和出站连接性。
Kube-proxy 组件:kube-proxy 在每个节点上运行,并负责提供必要网络功能。
有关特定的 Kubernetes 功能:
在 Azure 平台的上下文中:
在 AKS 中,可以部署使用以下网络模型之一的群集:
有关 AKS 中的网络模型的详细信息,请参阅 AKS 中的CNI 网络。
AKS 群集部署在虚拟网络上,并且对该虚拟网络之外的服务具有出站依赖关系,这些服务几乎完全通过完全限定的域名 (FQDN) 定义。 AKS 提供多个出站配置选项,这些选项允许你自定义访问这些外部资源的方式。
有关受支持的 AKS 群集出站配置类型的详细信息,请参阅在 Azure Kubernetes 服务 (AKS) 中使用出站类型自定义群集出口。
默认情况下,AKS 群集提供不受限制的出站(出口)Internet 访问,允许运行的节点和服务根据需要访问外部资源。 如果需要,可以限制出站流量。
若要详细了解如何限制群集出站流量,请参阅控制 AKS 中群集节点的出口流量。
网络安全组筛选 VM(例如 AKS 节点)的流量。 创建服务(如 LoadBalancer)时,Azure 平台会自动配置任何必需的网络安全组规则。
无需手动配置网络安全组规则,以筛选 AKS 群集中 Pod 的流量。 你可以定义任何所需端口并将其作为 Kubernetes 服务清单的一部分进行转发,让 Azure 平台创建或更新相应的规则。
还可以使用网络策略自动向 Pod 应用流量筛选器规则。
有关详细信息,请参阅网络安全组如何筛选网络流量。
默认情况下,AKS 群集中的所有 Pod 都可以无限制地发送和接收流量。 为了提高安全性,可定义用来控制流量流的规则,如:
网络策略是 AKS 中提供的一项 Kubernetes 功能,允许你控制 Pod 之间的流量流。 你可以基于分配的标签、命名空间或流量端口等设置来允许或拒绝到 Pod 的流量。 虽然网络安全组更适用于 AKS 节点,不过网络策略是一种更适合于的云原生方式,可控制 pod 的流量流。 因为 Pod 是在 AKS 群集中动态创建的,则可以动态应用所需的网络策略。
有关详细信息,请参阅在 Azure Kubernetes 服务 (AKS) 中使用网络策略保护 Pod 之间的流量。
若要开始使用 AKS 网络,请使用 Azure CNI 叠加网络或 Azure CNI 创建和配置具有自己的 IP 地址范围的 AKS 群集。
如需相关的最佳做法,请参阅 AKS 中的网络连接和安全性的最佳做法。
有关核心 Kubernetes 和 AKS 概念的详细信息,请参阅以下文章:
培训
模块
将网络概念应用于在 Azure Kubernetes 服务 (AKS) 和 AKS 混合上运行的 Windows 容器 - Training
了解有助于解决在 Azure Kubernetes 服务 (AKS) 和 AKS 混合上运行的 Windows 容器实际问题的网络概念。
认证
Microsoft Certified: Azure Network Engineer Associate - Certifications
展示 Azure 网络基础结构、负载均衡流量、网络路由等的设计、实现和维护。
