Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En un enfoque de microservicios basado en contenedores para desarrollar aplicaciones, los componentes de la aplicación funcionan juntos para procesar sus tareas. Kubernetes proporciona varios recursos que permiten esta cooperación:
- Puede conectarse a aplicaciones y exponer estas de forma interna o externa.
- Puede equilibrar la carga de sus aplicaciones para compilar aplicaciones de alta disponibilidad.
- Para mayor seguridad, puede restringir el flujo de tráfico entre los pods y los nodos.
- Para aplicaciones más complejas, puede configurar el tráfico de entrada para la terminación SSL/TLS o el enrutamiento de varios componentes.
En este artículo se presentan los conceptos básicos que proporcionan redes para sus aplicaciones en AKS:
Conceptos básicos de redes de Kubernetes
Kubernetes emplea una capa de red virtual para administrar el acceso dentro y entre las aplicaciones o sus componentes:
Nodos y red virtual de Kubernetes: los nodos de Kubernetes están conectados a una red virtual. Esta configuración permite que los pods (unidades básicas de implementación en Kubernetes) tengan conectividad entrante y saliente.
Componente kube-proxy: kube-proxy se ejecuta en cada nodo y es responsable de proporcionar las características de red necesarias.
Con respecto a las funcionalidades específicas de Kubernetes:
- Equilibrador de carga: puede usar un equilibrador de carga para distribuir el tráfico de red uniformemente entre varios recursos.
- Controladores de entrada: facilitan el enrutamiento de capa 7, que es esencial para dirigir el tráfico de la aplicación.
- Control del tráfico de salida: Kubernetes permite administrar y controlar el tráfico saliente de los nodos del clúster.
- Directivas de red: estas directivas permiten establecer medidas de seguridad y el filtrado del tráfico de red en los pods.
En el contexto de la plataforma Azure:
- Azure simplifica las redes virtuales para clústeres de AKS (Azure Kubernetes Service).
- La creación de un equilibrador de carga de Kubernetes en Azure configura simultáneamente el recurso del equilibrador de carga Azure correspondiente.
- A medida que abre puertos de red a los pods, Azure configura automáticamente las reglas necesarias de grupo de seguridad de red.
- Azure también puede administrar configuraciones DNS externas para el enrutamiento de aplicaciones HTTP a medida que se establecen nuevas rutas de entrada.
redes virtuales de Azure
En AKS, puede implementar un clúster que use uno de los siguientes modelos de red:
- Modelo de red de superposición: las redes de superposición son el modelo de red más común que se usa en Kubernetes. A los pods se les asigna una dirección IP de un CIDR privado e independiente lógicamente de la subred de red virtual Azure donde se implementan los nodos de AKS. Este modelo permite una escalabilidad más sencilla y mejorada en comparación con el modelo de red plana.
- Modelo de red plana: un modelo de red plana en AKS asigna direcciones IP a pods desde una subred desde la misma red virtual de Azure que los nodos de AKS. El tráfico que sale de sus clústeres no se somete a SNAT y la dirección IP del pod se expone directamente al destino. Este modelo puede ser útil para escenarios como exponer direcciones IP de pod a servicios externos.
Para obtener más información sobre los modelos de red en AKS, consulte Redes de CNI en AKS.
Control del tráfico de salida
Los clústeres de AKS se implementan en una red virtual y tienen dependencias de salida de los servicios fuera de esa red virtual, que se definen casi por completo con nombres de dominio completos (FQDN). AKS proporciona varias opciones de configuración de salida que permiten personalizar la forma en que se accede a estos recursos externos.
Importante
A partir de March 31, 2026, Azure Kubernetes Service (AKS) ya no admite el acceso saliente predeterminado para las máquinas virtuales (VM). Los nuevos clústeres de AKS que usan la opción de red virtual administrada por AKS colocarán subredes de clúster en subredes privadas de forma predeterminada (defaultOutboundAccess = false). Esta configuración no afecta al tráfico de clúster administrado por AKS, que usa rutas de acceso de salida configuradas explícitamente. Puede afectar a escenarios no admitidos, como la implementación de otros recursos en la misma subred. Los clústeres que usan redes virtuales BYO no se ven afectados por este cambio. En las configuraciones admitidas, no se requiere ninguna acción. Para obtener más información sobre esta descontinuación, consulte el anuncio de descontinuación de Azure Updates. Para estar informado sobre anuncios y actualizaciones, remítase a las Notas de la versión de AKS.
Opciones de configuración de salida
Para obtener más información sobre los tipos de configuración de salida de clúster de AKS admitidos, consulte Personalizar el tráfico de salida del clúster con tipos de salida en Azure Kubernetes Service (AKS).
De forma predeterminada, los clústeres de AKS tienen acceso de salida a Internet sin restricciones, lo que permite que los nodos y servicios que ejecute accedan a los recursos externos necesarios. Si lo desea, puede restringir el tráfico de salida.
Para obtener más información sobre cómo restringir el tráfico saliente desde el clúster, consulte Control del tráfico de salida para los nodos de clúster en AKS.
Grupos de seguridad de red
Un grupo de seguridad de red filtra el tráfico de las máquinas virtuales, como los nodos de AKS. Al crear servicios, como un LoadBalancer, la plataforma Azure configura automáticamente las reglas de grupo de seguridad de red necesarias.
No necesita configurar manualmente las reglas del grupo de seguridad de red para filtrar el tráfico de los pods en un clúster de AKS. Puede definir los puertos necesarios y el reenvío como parte de los manifiestos del servicio de Kubernetes y permitir que la plataforma de Azure cree o actualice las reglas adecuadas.
También puede usar directivas de red para aplicar automáticamente las reglas de filtro de tráfico a los pods.
Para más información, consulte Cómo filtran el tráfico de red los grupos de seguridad de red.
Requisitos de red virtual personalizados
Al usar una red virtual personalizada con clústeres de AKS, si ha agregado reglas de grupo de seguridad de red (NSG) para restringir el tráfico entre diferentes subredes, asegúrese de que las reglas de seguridad de NSG permiten los siguientes tipos de comunicación:
| Destino | Fuente | Protocolo | Puerto | Use |
|---|---|---|---|---|
| CIDR de subred de APIServer | Subred de clúster | TCP | 443 y 4443 | Necesario para habilitar la comunicación entre nodos y el servidor de API. |
| CIDR de subred de APIServer | Azure Load Balancer | TCP | 9988 | Necesario para habilitar la comunicación entre Azure Load Balancer y el servidor de API. También puede habilitar toda la comunicación entre el Azure Load Balancer y el CIDR de subred del servidor de API. |
| CIDR de nodo | CIDR de nodo | Todos los protocolos | Todos los puertos | Necesario para habilitar la comunicación entre nodos. |
| CIDR de nodo | Pod CIDR | Todos los protocolos | Todos los puertos | Necesario para el enrutamiento del tráfico del servicio. |
| Pod CIDR | Pod CIDR | Todos los protocolos | Todos los puertos | Necesario para pod a pod y pod al tráfico de servicio, incluido DNS. |
Estos requisitos se aplican tanto a los clústeres estándar de AKS como a los automáticos de AKS cuando se usan redes virtuales personalizadas.
Resolución DNS
La resolución DNS es esencial para la detección y comunicación de servicios en AKS. De forma predeterminada, AKS usa CoreDNS para proporcionar resolución de nombres internos para pods y servicios.
Para mejorar el rendimiento y la confiabilidad de DNS, AKS ofrece LocalDNS, que implementa un proxy DNS en cada nodo. LocalDNS resuelve las consultas localmente, lo que reduce la latencia y elimina conntrack la presión de tabla del tráfico DNS. También admite el servicio de respuestas almacenadas en caché durante las interrupciones de DNS ascendentes, lo que mejora la resistencia de la carga de trabajo. LocalDNS es especialmente beneficioso en clústeres o entornos grandes con grandes volúmenes de consultas DNS. Para obtener más información sobre la configuración, consulte Configuración de LocalDNS.
Directivas de red
De forma predeterminada, todos los pods de un clúster de AKS pueden enviar y recibir tráfico sin limitaciones. Para mejorar la seguridad, defina reglas que controlen el flujo de tráfico, como:
- Las aplicaciones back-end solo se exponen a los servicios de front-end necesarios.
- Los componentes de base de datos solo son accesibles para las capas de aplicación que se conectan a ellos.
La directiva de red es una característica de Kubernetes disponible en AKS que permite controlar el flujo de tráfico entre pods. Según la configuración como las etiquetas asignadas, el espacio de nombres o el puerto de tráfico, puede permitir o denegar el tráfico al pod. Aunque los grupos de seguridad de red son mejores para los nodos de AKS, las directivas de red son una manera más adecuada y nativa de la nube para controlar el flujo de tráfico de los pods. Como los pods se crean dinámicamente en un clúster de AKS, se pueden aplicar automáticamente las directivas de red necesarias.
Para obtener más información, consulte Tráfico seguro entre pods mediante directivas de red en Azure Kubernetes Service (AKS).
Pasos siguientes
Para comenzar a trabajar con redes de AKS, cree y configure un clúster de AKS con sus propios intervalos de direcciones IP mediante Azure CNI Overlay o Azure CNI.
Para los procedimientos recomendados asociados, consulte Procedimientos recomendados con la conectividad de red y la seguridad en Azure Kubernetes Service (AKS).
Para obtener más información sobre los conceptos básicos de Kubernetes y AKS, consulte los artículos siguientes: