Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Vanaf March 31, 2026 biedt Azure Kubernetes Service (AKS) geen ondersteuning meer voor standaard uitgaande toegang voor virtuele machines (VM's). Nieuwe AKS-clusters die gebruikmaken van de optie voor het virtuele AKS-netwerk plaatsen clustersubnetten standaard in privésubnetten (defaultOutboundAccess = false). Deze instelling heeft geen invloed op door AKS beheerd clusterverkeer, dat expliciet geconfigureerde uitgaande paden gebruikt. Dit kan van invloed zijn op niet-ondersteunde scenario's, zoals het implementeren van andere resources in hetzelfde subnet. Clusters die gebruikmaken van BYO-VNets, worden niet beïnvloed door deze wijziging. In ondersteunde configuraties is geen actie vereist. Voor meer informatie over deze buitengebruikstelling, zie de Azure Updates aankondiging van de pensionering. Als u op de hoogte wilt blijven van aankondigingen en updates, volgt u de releaseopmerkingen van AKS.
U kunt het uitgaand verkeer van een AKS-cluster aanpassen voor specifieke scenario's. AKS maakt standaard een Standard Load Balancer aan, die voor uitgaand verkeer wordt ingesteld en gebruikt. De standaardinstelling voldoet echter mogelijk niet aan de vereisten van alle scenario's als openbare IP-adressen niet zijn toegestaan of extra hops zijn vereist voor uitgaand verkeer.
In dit artikel worden de verschillende typen uitgaande connectiviteit besproken die beschikbaar zijn in AKS-clusters.
Notitie
U kunt het outboundType nu bijwerken nadat het cluster is gemaakt.
Belangrijk
In niet-private clusters wordt API-serververkeer gerouteerd en verwerkt via het uitgaande type van de clusters. Als u wilt voorkomen dat API-serververkeer als openbaar verkeer wordt verwerkt, kunt u overwegen een privécluster te gebruiken of de functie VNet-integratie van API Server te bekijken.
Beperkingen
- Voor de instelling
outboundTypezijn AKS-clusters met eenvm-set-typevanVirtualMachineScaleSetsenload-balancer-skuvanStandardvereist.
Uitgaande typen in AKS
U kunt een AKS-cluster configureren met behulp van de volgende uitgaande typen: load balancer, NAT-gateway of door de gebruiker gedefinieerde routes. Het outbound type beïnvloedt alleen het uitgaande verkeer van uw cluster. Zie ingress controllers instellen voor meer informatie.
Uitgaand type: Load Balancer
De load balancer wordt gebruikt voor uitgaand verkeer via een door AKS toegewezen openbaar IP-adres. Een uitgaand type van loadBalancer ondersteunt Kubernetes-services van het type loadBalancer, die uitgaande verbindingen verwachten van de load balancer die is gemaakt door de AKS-resourceprovider.
Als loadBalancer dit is ingesteld, voltooit AKS automatisch de volgende configuratie:
- Er wordt een openbaar IP-adres gemaakt voor uitgaand clusterverkeer.
- Het openbare IP-adres wordt toegewezen aan de load balancer-resource.
- Backend-pools voor de load balancer worden ingesteld voor agent-nodes in het cluster.
Zie voor meer informatie het gebruik van een standard load balancer in AKS.
Uitgaand type: NAT-gateway
Als managedNATGatewayV2 (Preview), managedNATGateway of userAssignedNATGateway zijn geselecteerd voor outboundType, is AKS afhankelijk van de NAT-gateway van Azure Networking voor het uitgaande verkeer van de cluster.
- Selecteer
managedNATGatewayV2ofmanagedNATGatewaywanneer u beheerde virtuele netwerken gebruikt. AKS richt een StandardV2 NAT-gateway metmanagedNATGatewayV2en een Standard NAT-gateway metmanagedNATGatewayen koppelt deze aan het clustersubnet. StandaardV2 NAT-gateway wordt aanbevolen omdat deze standaard zone-redundant is en hogere bandbreedte en doorvoer biedt. Zie StandardV2 NAT Gateway voor meer informatie. - Selecteer
userAssignedNATGatewaywanneer u een eigen virtueel netwerk gebruikt. Voor deze optie moet u een NAT-gateway hebben gemaakt voordat het cluster wordt gemaakt. Zowel Standard- als StandardV2 NAT-gateways worden ondersteund.
Belangrijk
Het managedNATGatewayV2 uitgaande type bevindt zich momenteel in PREVIEW.
Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure previews voor juridische voorwaarden die van toepassing zijn op Azure functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn voor algemene beschikbaarheid.
Zie nat-gateway gebruiken met AKS voor meer informatie.
Uitgaand type: Door de gebruiker gedefinieerde routes
Notitie
Het userDefinedRouting uitgaande type is een geavanceerd netwerkscenario en vereist de juiste netwerkconfiguratie.
Als userDefinedRouting deze optie is ingesteld, configureert AKS niet automatisch uitgaande paden. De installatie van uitgaand verkeer wordt door u voltooid.
U moet het AKS-cluster implementeren in een bestaand virtueel netwerk met een subnet dat is geconfigureerd. Omdat u geen SLB-architectuur (Standard Load Balancer) gebruikt, moet u expliciet uitgaand verkeer tot stand brengen. Voor deze architectuur moet expliciet uitgaand verkeer naar een apparaat zoals een firewall, gateway of proxy worden verzonden, of moet NAT worden uitgevoerd via een openbaar IP-adres dat is toegewezen aan de standaard loadbalancer of een ander apparaat.
Zie voor meer informatie het configureren van uitgaande clusters via door de gebruiker gedefinieerde routering.
Uitgaand type: geen
Belangrijk
Het none uitgaande type is alleen beschikbaar met netwerkisolatiecluster en vereist zorgvuldige planning om ervoor te zorgen dat het cluster werkt zoals verwacht zonder onbedoelde afhankelijkheden van externe services. Zie overwegingen voor geïsoleerde clusters voor volledig geïsoleerde clusters.
Als none deze optie is ingesteld, configureert AKS niet automatisch uitgaande paden. Deze optie is vergelijkbaar met userDefinedRouting maar vereist geenstandaardroute als onderdeel van de validatie.
Het none uitgaande type wordt ondersteund in zowel BYO-scenario's (Bring Your Own) voor virtuele netwerken als in beheerde VNet-scenario's. U moet er echter voor zorgen dat het AKS-cluster wordt geïmplementeerd in een netwerkomgeving waar indien nodig expliciete uitgaande paden worden gedefinieerd. Voor BYO-VNet-scenario's moet het cluster worden geïmplementeerd in een bestaand virtueel netwerk met een subnet dat al is geconfigureerd. Omdat AKS geen standaard load balancer of een egress-infrastructuur maakt, moet u indien nodig expliciete uitgaande paden instellen. Opties voor uitgaand verkeer kunnen bestaan uit het routeren van verkeer naar een firewall, proxy, gateway of andere aangepaste netwerkconfiguraties.
Uitgaand type: blok (Preview)
Belangrijk
Het block uitgaande type is alleen beschikbaar met netwerkisolatiecluster en vereist zorgvuldige planning om ervoor te zorgen dat er geen onbedoelde netwerkafhankelijkheden bestaan. Zie overwegingen voor geïsoleerde clusters voor volledig geïsoleerde clusters.
Als block dit is ingesteld, configureert AKS netwerkregels om al het uitgaand verkeer van het cluster actief te blokkeren. Deze optie is handig voor zeer veilige omgevingen waarbij uitgaande connectiviteit moet worden beperkt.
Wanneer u het volgende gebruikt block:
- AKS zorgt ervoor dat geen openbaar internetverkeer het cluster kan verlaten via NSG-regels (netwerkbeveiligingsgroep). VNet-verkeer wordt niet beïnvloed.
- U moet elk vereist uitgaand verkeer expliciet toestaan via extra netwerkconfiguraties.
De block optie biedt een ander niveau van netwerkisolatie, maar vereist zorgvuldige planning om te voorkomen dat workloads of afhankelijkheden worden onderbroken.
Bijwerken outboundType na het maken van het cluster
Als u het uitgaande type wijzigt nadat het cluster is gemaakt, worden bronnen geïmplementeerd of verwijderd, indien nodig om het cluster naar de nieuwe uitgaande configuratie aan te passen.
In de volgende tabellen ziet u de ondersteunde migratiepaden tussen uitgaande typen voor beheerde en virtuele BYO-netwerken. Elke rij geeft aan of het uitgaand type kan worden gemigreerd naar de typen die bovenaan staan. 'Ondersteund' betekent dat migratie mogelijk is, terwijl 'Niet ondersteund' of 'N/B' betekent dat dit niet zo is.
Ondersteunde migratiepaden voor beheerd VNet
| Van | Aan | loadBalancer |
managedNATGatewayV2 |
managedNATGateway |
none |
block |
|---|---|---|---|---|---|
loadBalancer |
N.v.t. | Ondersteund | Ondersteund | Ondersteund | Ondersteund |
managedNATGatewayV2 |
Niet ondersteund | N.v.t. | Niet ondersteund | Niet ondersteund | Niet ondersteund |
managedNATGateway |
Niet ondersteund | Ondersteund | N.v.t. | Ondersteund | Ondersteund |
none |
Ondersteund | Ondersteund | Ondersteund | N.v.t. | Ondersteund |
block |
Ondersteund | Ondersteund | Ondersteund | Ondersteund | N.v.t. |
Ondersteunde migratiepaden voor BYO VNet
| Van | Aan | loadBalancer |
userAssignedNATGateway |
userDefinedRouting |
none |
block |
|---|---|---|---|---|---|
loadBalancer |
N.v.t. | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund |
userAssignedNATGateway |
Ondersteund | N.v.t. | Ondersteund | Ondersteund | Niet ondersteund |
userDefinedRouting |
Ondersteund | Ondersteund | N.v.t. | Ondersteund | Niet ondersteund |
none |
Ondersteund | Ondersteund | Ondersteund | N.v.t. | Niet ondersteund |
Waarschuwing
Als u het uitgaande type migreert naar managedNATGatewayV2userAssignedNATGateway of userDefinedRouting wijzigt u de uitgaande openbare IP-adressen van het cluster.
Als geautoriseerde IP-bereiken zijn ingeschakeld, moet u ervoor zorgen dat er een nieuw uitgaand IP-bereik wordt toegevoegd aan het geautoriseerde IP-bereik.
Waarschuwing
Het wijzigen van het uitgaande type op een cluster is verstorend voor de netwerkverbinding en resulteert in een wijziging van het uitgaande IP-adres van het cluster. Dit omvat downtime en impact op bestaande verbindingen. Als er firewallregels zijn geconfigureerd om verkeer van het cluster te beperken, moet u deze bijwerken zodat deze overeenkomen met het nieuwe UITGAANDE IP-adres.
Cluster bijwerken om een nieuw uitgaand type te gebruiken
Notitie
U moet een versie >= 2.56 van Azure CLI gebruiken om het uitgaande type te migreren. Gebruik az upgrade om bij te werken naar de nieuwste versie van Azure CLI.
Werk de uitgaande configuratie van uw cluster bij met behulp van de az aks update opdracht.
Cluster bijwerken van loadBalancer naar managedNATGatewayV2
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGatewayV2 --nat-gateway-managed-outbound-ipv6-count <number of managed outbound ipv6>
Belangrijk
Het managedNATGatewayV2 uitgaande type bevindt zich momenteel in PREVIEW.
Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure previews voor juridische voorwaarden die van toepassing zijn op Azure functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn voor algemene beschikbaarheid. Zie nat-gateway gebruiken met AKS voor meer informatie.
Cluster bijwerken van managedNATGateway naar loadBalancer
az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
< --load-balancer-managed-outbound-ip-count <number of managed outbound ip> | --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >
Waarschuwing
Gebruik geen IP-adres dat al wordt gebruikt in eerdere uitgaande configuraties.
Cluster bijwerken van managedNATGateway naar userDefinedRouting
Voeg standaardroutetabel 0.0.0.0/0 toe. Zie Pas de cluster-egress aan met een door de gebruiker bepaalde routeringstabel in Azure Kubernetes Service (AKS)
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting
Cluster bijwerken van loadBalancer naar userAssignedNATGateway in BYO VNet-scenario
Koppel de NAT-gateway aan subnet waaraan de workload is gekoppeld. Raadpleeg Een beheerde of door de gebruiker toegewezen NAT-gateway maken
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway