Personalizar a saída do cluster com tipos de saída no AKS (Serviço de Kubernetes do Azure)

Importante

A partir do March 31, 2026, AKS (Serviço de Kubernetes do Azure) não dá mais suporte ao acesso de saída padrão para VMs (máquinas virtuais). Novos clusters do AKS que usam a opção de rede virtual gerenciada pelo AKS colocarão suas sub-redes em sub-redes privadas por padrão (). Essa configuração não afeta o tráfego de cluster gerenciado pelo AKS, que usa caminhos de saída explicitamente configurados. Isso pode afetar cenários sem suporte, como a implantação de outros recursos na mesma sub-rede. Os clusters que usam VNets BYO não são afetados por essa alteração. Nas configurações com suporte, nenhuma ação é necessária. Para obter mais informações sobre essa aposentadoria, consulte o comunicado de aposentadoria Azure Updates. Para se manter informado sobre anúncios e atualizações, acompanhe as notas de versão do AKS.

Você pode personalizar a saída para um cluster AKS para se adequar a cenários específicos. Por padrão, o AKS cria um Standard Load Balancer para ser configurado e usado para saída. Contudo, é possível que a configuração padrão não atenda aos requisitos de todos os cenários se os IPs públicos não forem permitidos ou se forem necessários saltos adicionais para a saída.

Este artigo aborda os vários tipos de conectividade de saída que estão disponíveis nos clusters AKS.

Observação

Agora você pode atualizar o outboundType após a criação do cluster.

Importante

Em clusters não privados, o tráfego do cluster do servidor de API é roteado e processado por meio do tipo de saída do cluster. Para impedir que o tráfego do servidor de API seja processado como um tráfego público, considere o uso de um cluster privado ou confira o recurso Integração VNET do servidor de API.

Limitações

  • A configuração outboundType requer clusters do AKS com um vm-set-type de VirtualMachineScaleSets e load-balancer-sku de Standard.

Tipos de saída em AKS

Você pode configurar um cluster do AKS usando os seguintes tipos de saída: balanceador de carga, gateway NAT ou rotas definidas pelo usuário. O tipo de saída afeta apenas o tráfego de saída do seu cluster. Confira mais informações em configurar controladores de entrada.

Tipo de saída: Load Balancer

O balanceador de carga é usado para saída através de um IP público atribuído por AKS. Um tipo de saída de loadBalancer dá suporte aos serviços Kubernetes do tipo loadBalancer, que esperam a saída do balanceador de carga criado pelo provedor de recursos do AKS.

Se loadBalancer for definido, o AKS completa automaticamente a seguinte configuração:

  • Um endereço IP público é criado para a saída do cluster.
  • O endereço IP público é atribuído ao recurso do balanceador de carga.
  • Os pools de back-end para o balanceador de carga são configurados para nós do agente no cluster.

Diagrama mostra IP de entrada e IP de saída, em que o IP de entrada direciona o tráfego para um balanceador de carga, que direciona o tráfego de e para um cluster interno e outro tráfego para o IP de saída, que direciona o tráfego para a Internet, MCR, Azure serviços necessários e o Plano de Controle do AKS.

Para obter mais informações, consulte usando um balanceador de carga padrão no AKS.

Tipo de saída: NAT Gateway

Se o managedNATGatewayV2 (Versão prévia), managedNATGateway ou o userAssignedNATGateway forem selecionados para outboundType, o AKS dependerá do gateway da NAT da Rede do Azure para saída do cluster.

  • Selecione managedNATGatewayV2 ou managedNATGateway ao usar redes virtuais gerenciadas. O AKS provisiona um gateway NAT StandardV2 com managedNATGatewayV2 e um gateway NAT Standard com managedNATGateway, anexando-os à sub-rede do cluster. O gateway NAT StandardV2 é recomendado porque é com redundância de zona por padrão e oferece maior largura de banda e taxa de transferência. Para obter informações, consulte StandardV2 NAT Gateway.
  • Selecione userAssignedNATGateway ao usar rede virtual própria. Essa opção requer que você tenha criado um gateway da NAT antes da criação do cluster. Há suporte para gateways NAT Standard e StandardV2.

Importante

O tipo de saída managedNATGatewayV2 está atualmente em VERSÃO PRÉVIA. Consulte os Termos Suplementares de Uso para Visualizações do Microsoft Azure para termos legais que se aplicam a recursos do Azure que estão em versão beta, prévia, ou ainda não liberados em disponibilidade geral.

Para mais informações, consulte o uso do gateway NAT com AKS.

Tipo de saída: rotas definidas pelo usuário

Observação

O tipo de saída userDefinedRouting é um cenário de rede avançado e requer uma configuração de rede adequada.

Se um userDefinedRouting estiver definido, o AKS não irá configurar os caminhos de saída automaticamente. Você deve realizar a configuração de saída.

Você precisa implantar um cluster do AKS em uma rede virtual existente com uma sub-rede configurada. Como você não está usando uma arquitetura de balanceador de carga padrão (SLB), você deve estabelecer uma saída explícita. Esta arquitetura exige o envio explícito do tráfego de saída para um dispositivo como um firewall, gateway, proxy, ou permite que a NAT seja realizada por um IP público atribuído ao balanceador de carga padrão ou ao dispositivo.

Para obter mais informações, consulte a configuração da saída do cluster através de roteamento definido pelo usuário.

Tipo de saída: nenhum

Importante

O tipo de saída none só está disponível com o Cluster Isolado de Rede e requer um planejamento cuidadoso, para garantir que o cluster opere conforme o esperado sem dependências não intencionais de serviços externos. Para clusters totalmente isolados, confira as considerações sobre clusters isolados.

Se none for definido, o AKS não configurará automaticamente os caminhos de saída. Esta opção é semelhante a userDefinedRouting, mas não requer uma rota padrão como parte da validação.

O tipo de saída none é compatível tanto em cenários de rede virtual de fabricação própria (BYO) quanto em cenários de VNet gerenciada. No entanto, você deve garantir que o cluster do AKS seja implantado em um ambiente de rede em que os caminhos de saída explícitos sejam definidos, se necessário. Para cenários de BYO VNet, o cluster precisa ser implantado em uma rede virtual existente com uma sub-rede já configurada. Como o AKS não cria um Standard Load Balancer nem nenhuma infraestrutura de saída, você precisa estabelecer caminhos de saída explícitos, se necessário. As opções de saída podem incluir o roteamento de tráfego para um firewall, proxy, gateway ou outras configurações de rede personalizadas.

Tipo de saída: bloco (Versão prévia)

Importante

O tipo de saída block só está disponível com o Cluster Isolado de Rede e requer um planejamento cuidadoso para garantir que não exista nenhuma dependência de rede não intencional. Para clusters totalmente isolados, confira as considerações sobre clusters isolados.

Se block estiver definido, o AKS irá configurar regras de rede para bloquear ativamente todo o tráfego de saída partindo do cluster. Esta opção é útil para ambientes altamente seguros em que a conectividade de saída deve ser restrita.

Ao usar block:

  • O AKS garante que nenhum tráfego público de Internet possa deixar o cluster por meio de regras de grupo de segurança de rede (NSG). O tráfego de VNet não é afetado.
  • Você precisa permitir explicitamente qualquer tráfego de saída necessário por meio de configurações de rede adicionais.

A opção block fornece um outro nível de isolamento de rede, mas requer um planejamento cuidadoso para evitar a interrupção de cargas de trabalho ou dependências.

Atualização de outboundType após a criação do cluster

A alteração do tipo de saída após a criação do cluster implanta ou remove os recursos conforme necessário para colocar o cluster na nova configuração de saída.

As tabelas a seguir mostram os caminhos de migração com suporte entre os tipos de saída para redes virtuais gerenciadas e BYO (Traga a Sua Própria). Cada linha mostra se o tipo de saída pode ser migrado para os tipos listados na parte superior. "Com suporte" significa que a migração é possível, enquanto "Sem Suporte" ou "N/A" significa que não é.

Caminhos de migração suportados para VNet gerenciada

De|Para loadBalancer managedNATGatewayV2 managedNATGateway none block
loadBalancer N/D Suportado Suportado Suportado Suportado
managedNATGatewayV2 Sem suporte N/D Sem suporte Sem suporte Sem suporte
managedNATGateway Sem suporte Suportado N/D Suportado Suportado
none Suportado Suportado Suportado N/D Suportado
block Suportado Suportado Suportado Suportado N/D

Caminhos de migração com suporte para VNet BYO

De|Para loadBalancer userAssignedNATGateway userDefinedRouting none block
loadBalancer N/D Suportado Suportado Suportado Sem suporte
userAssignedNATGateway Suportado N/D Suportado Suportado Sem suporte
userDefinedRouting Suportado Suportado N/D Suportado Sem suporte
none Suportado Suportado Suportado N/D Sem suporte

Aviso

Migrar o tipo de saída para managedNATGatewayV2userAssignedNATGateway ou userDefinedRouting alterará os endereços IP públicos de saída do cluster. Se os intervalos de IP autorizados estiverem habilitados, verifique se o novo intervalo de IP de saída será acrescentado ao intervalo de IP autorizado.

Aviso

A alteração do tipo de saída em um cluster causa interrupções de conectividade de rede e resulta em uma alteração do endereço IP de saída do cluster. Isso envolve tempo de inatividade e impacto para conexões existentes. Se alguma regra de firewall estiver configurada para restringir o tráfego do cluster, você precisará atualizá-la para que corresponda ao novo endereço IP de saída.

Atualizar cluster para usar um novo tipo de saída

Observação

Você deve usar uma versão >= 2.56 de CLI do Azure para migrar o tipo de tráfego de saída. Use az upgrade para atualizar para a versão mais recente do CLI do Azure.

Atualize a configuração de saída do seu cluster usando o comando az aks update.

Atualizar o cluster de loadBalancer para managedNATGatewayV2

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGatewayV2 --nat-gateway-managed-outbound-ipv6-count <number of managed outbound ipv6>

Importante

O tipo de saída managedNATGatewayV2 está atualmente em VERSÃO PRÉVIA. Consulte os Termos Suplementares de Uso para Visualizações do Microsoft Azure para termos legais que se aplicam a recursos do Azure que estão em versão beta, prévia, ou ainda não liberados em disponibilidade geral. Para mais informações, consulte o uso do gateway NAT com AKS.

Atualizar o cluster de managedNATGateway para loadBalancer

az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
< --load-balancer-managed-outbound-ip-count <number of managed outbound ip> | --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >

Aviso

Não reutilize um endereço IP que já esteja em uso em configurações de saída anteriores.

Atualizar o cluster de managedNATGateway para userDefinedRouting

Adicione a rota 0.0.0.0/0 à tabela de rotas padrão. Consulte Personalize a saída do cluster com uma tabela de roteamento definida pelo usuário no AKS (Serviço de Kubernetes do Azure)

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting

Atualizar o cluster de loadBalancer para userAssignedNATGateway no cenário de BYO VNet

Associe o gateway NAT à sub-rede à qual a carga de trabalho está associada. Consulte Criar um gateway NAT gerenciado ou designado pelo usuário

az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway

Conteúdo relacionado

  • Last updated on