Creare un gateway NAT gestito o assegnato dall'utente per il cluster del servizio Azure Kubernetes
Anche se è possibile instradare il traffico in uscita tramite un servizio di bilanciamento del carico di Azure: esistono limitazioni per il numero di flussi in uscita del traffico che è possibile avere. Il gateway NAT di Azure consente fino a 64.512 flussi di traffico UDP e TCP in uscita per ogni indirizzo IP con un massimo di 16 indirizzi IP.
Questo articolo illustra come creare un cluster del servizio Azure Kubernetes con un gateway NAT gestito e un gateway NAT assegnato dall'utente per il traffico in uscita. Illustra anche come disabilitare OutboundNAT in Windows.
Operazioni preliminari
- Assicurarsi di usare la versione più recente dell’interfaccia della riga di comando di Azure.
- Assicurarsi di usare Kubernetes versione 1.20.x o successiva.
- Il gateway NAT gestito non è compatibile con le reti virtuali personalizzate.
Importante
Nei cluster non privati il traffico del cluster del server API viene instradato ed elaborato tramite il tipo in uscita dei cluster. Per evitare che il traffico del server API venga elaborato come traffico pubblico, prendere in considerazione l'uso di un cluster privato o consultare la funzionalità Integrazione rete virtuale del server API.
Creare un cluster del servizio Azure Kubernetes con un gateway NAT gestito
Creare un cluster del servizio Azure Kubernetes con un nuovo gateway NAT gestito usando il comando
az aks create
con i parametri--outbound-type managedNATGateway
,--nat-gateway-managed-outbound-ip-count
e--nat-gateway-idle-timeout
. Se si vuole che il gateway NAT funzioni da una zona di disponibilità specifica, specificare la zona usando--zones
.Se non viene specificata alcuna zona durante la creazione di un gateway NAT gestito, il gateway NAT viene distribuito in "nessuna zona" per impostazione predefinita. Quando il gateway NAT viene inserito in nessuna zona, Azure inserisce la risorsa in una zona. Per altre informazioni sul modello di distribuzione non di zona, vedere gateway NAT non di zona.
Non è possibile usare una risorsa gateway NAT gestita in più zone di disponibilità.
az aks create \ --resource-group myResourceGroup \ --name myNatCluster \ --node-count 3 \ --outbound-type managedNATGateway \ --nat-gateway-managed-outbound-ip-count 2 \ --nat-gateway-idle-timeout 4 \ --generate-ssh-keys
Aggiornare l'indirizzo IP in uscita o il timeout di inattività usando il comando
az aks update
con il parametro--nat-gateway-managed-outbound-ip-count
o--nat-gateway-idle-timeout
.az aks update \ --resource-group myResourceGroup \ --name myNatCluster\ --nat-gateway-managed-outbound-ip-count 5
Creare un cluster del servizio Azure Kubernetes con un gateway NAT assegnato dall'utente
Questa configurazione richiede una rete bring-your-own (tramite Kubenet o Azure CNI) e che il gateway NAT sia preconfigurato nella subnet. I comandi seguenti creano le risorse necessarie per questo scenario.
Creare un gruppo di risorse usando il comando
az group create
.az group create --name myResourceGroup \ --location southcentralus
Creare un'identità gestita per le autorizzazioni di rete e archiviare l'ID in
$IDENTITY_ID
per usarlo in un secondo momento.IDENTITY_ID=$(az identity create \ --resource-group myResourceGroup \ --name myNatClusterId \ --location southcentralus \ --query id \ --output tsv)
Creare un indirizzo IP pubblico per il gateway NAT usando il comando
az network public-ip create
.az network public-ip create \ --resource-group myResourceGroup \ --name myNatGatewayPip \ --location southcentralus \ --sku standard
Creare il gateway NAT usando il comando
az network nat gateway create
.az network nat gateway create \ --resource-group myResourceGroup \ --name myNatGateway \ --location southcentralus \ --public-ip-addresses myNatGatewayPip
Importante
Una singola risorsa gateway NAT non può essere usata in più zone di disponibilità. Per garantire la resilienza della zona, è consigliabile distribuire una risorsa gateway NAT in ogni zona di disponibilità e assegnare a subnet contenenti cluster del servizio Azure Kubernetes in ogni zona. Per altre informazioni su questo modello di distribuzione, vedere Gateway NAT per ogni zona. Se non è configurata alcuna zona per il gateway NAT, il posizionamento predefinito della zona è "nessuna zona", in cui Il gateway NAT viene inserito automaticamente in una zona.
Creare una rete virtuale usando il comando
az network vnet create
.az network vnet create \ --resource-group myResourceGroup \ --name myVnet \ --location southcentralus \ --address-prefixes 172.16.0.0/20
Creare una subnet nella rete virtuale usando il gateway NAT e archiviare l'ID per
$SUBNET_ID
per un uso successivo.SUBNET_ID=$(az network vnet subnet create \ --resource-group myResourceGroup \ --vnet-name myVnet \ --name myNatCluster \ --address-prefixes 172.16.0.0/22 \ --nat-gateway myNatGateway \ --query id \ --output tsv)
Creare un cluster del servizio Azure Kubernetes usando la subnet con il gateway NAT e l'identità gestita usando il comando
az aks create
.az aks create \ --resource-group myResourceGroup \ --name myNatCluster \ --location southcentralus \ --network-plugin azure \ --vnet-subnet-id $SUBNET_ID \ --outbound-type userAssignedNATGateway \ --assign-identity $IDENTITY_ID \ --generate-ssh-keys
Disabilitare OutboundNAT per Windows
Windows OutboundNAT può causare determinati problemi di connessione e comunicazione con i pod del servizio Azure Kubernetes. Un problema di esempio è il riutilizzo della porta del nodo. In questo esempio, Windows OutboundNAT usa le porte per convertire l'IP del pod nell'IP host del nodo Windows, che può causare una connessione instabile al servizio esterno a causa di un problema di esaurimento delle porte.
Windows abilita OutboundNAT per impostazione predefinita. È ora possibile disabilitare manualmente OutboundNAT durante la creazione di nuovi pool di agenti Windows.
Prerequisiti
- Cluster del servizio Azure Kubernetes esistente con versione 1.26 o successiva. Se si usa Kubernetes versione 1.25 o precedente, è necessario aggiornare la configurazione della distribuzione.
Limiti
- Non è possibile impostare il tipo in uscita del cluster su LoadBalancer. È possibile impostarlo su Gateway Nat o route definita dall'utente:
- Gateway NAT: il gateway NAT può gestire automaticamente la connessione NAT ed è più potente di Load Balancer Standard. È possibile che vengano addebitati costi aggiuntivi con questa opzione.
- Route definita dall'utente (UserDefinedRouting): è necessario tenere presenti le limitazioni delle porte durante la configurazione delle regole di routing.
- Se è necessario passare da un servizio di bilanciamento del carico al gateway NAT, è possibile aggiungere un gateway NAT nella rete virtuale o eseguire
az aks upgrade
per aggiornare il tipo in uscita.
Nota
UserDefinedRouting presenta le limitazioni seguenti:
- SNAT di Load Balancer (deve utilizzare l’OutboundNAT predefinito) ha "64 porte sull'IP dell'host".
- SNAT di Azure Firewall (disabilitare OutboundNAT) ha 2496 porte per IP pubblico.
- SNAT di NAT Gateway (disattivare OutboundNAT) ha 64512 porte per IP pubblico.
- Se l'intervallo di porte di Firewall di Azure non è sufficiente per l'applicazione, è necessario usare il gateway NAT.
- Il Firewall di Azure non esegue SNAT con regole di rete quando l'indirizzo IP di destinazione si trova in un intervallo di indirizzi IP privati per IANA RFC 1918 o spazio indirizzi condiviso per IANA RFC 6598.
Disabilitare manualmente OutboundNAT per Windows
Disabilitare manualmente OutboundNAT per Windows durante la creazione di nuovi pool di agenti di Windows usando il comando
az aks nodepool add
con il flag--disable-windows-outbound-nat
.Nota
È possibile usare un cluster del servizio Azure Kubernetes esistente, ma potrebbe essere necessario aggiornare il tipo in uscita e aggiungere un pool di nodi per abilitare
--disable-windows-outbound-nat
.az aks nodepool add \ --resource-group myResourceGroup \ --cluster-name myNatCluster \ --name mynp \ --node-count 3 \ --os-type Windows \ --disable-windows-outbound-nat
Passaggi successivi
Per altre informazioni sul gateway NAT di Azure, vedere gateway NAT di Azure.
Azure Kubernetes Service