Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Ab March 31, 2026 unterstützt Azure Kubernetes Service (AKS) keinen standardmäßigen ausgehenden Zugriff für virtuelle Computer (VMs). Neue AKS-Cluster, die die Option AKS-verwaltetes virtuelles Netzwerk verwenden, platzieren Cluster-Subnetze standardmäßig in private Subnetze (defaultOutboundAccess = false). Diese Einstellung wirkt sich nicht auf AKS-verwalteten Clusterdatenverkehr aus, der explizit konfigurierte ausgehende Pfade verwendet. Es kann sich auf nicht unterstützte Szenarien auswirken, z. B. das Bereitstellen anderer Ressourcen im selben Subnetz. Cluster, die BYO-VNets verwenden, sind von dieser Änderung nicht betroffen. In unterstützten Konfigurationen ist keine Aktion erforderlich. Weitere Informationen zu dieser Einstellung finden Sie in der Ankündigung zur Einstellung der Azure Updates. Um über Ankündigungen und Updates auf dem Laufenden zu bleiben, folgen Sie den AKS-Versionshinweisen.
Sie können den ausgehenden Datenverkehr eines AKS-Clusters so anpassen, dass er bestimmten Szenarien entspricht. Standardmäßig erstellt AKS einen Load Balancer Standard, der für den Egress eingerichtet und verwendet wird. Das Standardsetup erfüllt aber möglicherweise nicht alle Anforderungen in allen Szenarien, wenn öffentliche IP-Adressen nicht zulässig oder zusätzliche Hops für den ausgehenden Datenverkehr erforderlich sind.
In diesem Artikel werden die verschiedenen Arten der ausgehenden Konnektivität behandelt, die in AKS-Clustern verfügbar sind.
Hinweis
Nach der Clustererstellung können Sie jetzt den outboundType aktualisieren.
Wichtig
In nicht privaten Clustern wird der API-Serverclusterdatenverkehr über den ausgehenden Clustertyp weitergeleitet und verarbeitet. Um zu verhindern, dass API-Serverdatenverkehr als öffentlicher Datenverkehr verarbeitet wird, sollten Sie einen privaten Clusterverwenden oder das Feature API-Server-VNET-Integration ausprobieren.
Einschränkungen
- Für
outboundTypesind AKS-Cluster erforderlich, bei denenvm-set-typealsVirtualMachineScaleSetsundload-balancer-skualsStandardfestgelegt ist.
Ausgehende Verbindungstypen in AKS
Sie können einen AKS-Cluster mithilfe der folgenden ausgehenden Typen konfigurieren: Lastenausgleich, NAT-Gateway oder benutzerdefinierte Routen. Der ausgehende Typ betrifft nur den ausgehenden Datenverkehr Ihres Clusters. Weitere Informationen finden Sie unter Einrichten von Eingangscontrollern.
Ausgehender Typ: Load Balancer
Der Load Balancer wird für Egress über eine von AKS zugewiesene öffentliche IP-Adresse verwendet. Ein ausgehender Typ von loadBalancer unterstützt Kubernetes-Dienste vom Typ loadBalancer, die ausgehenden Datenverkehr von der Lastenausgleichsressource erwarten, der vom AKS-Ressourcenanbieter erstellt wurde.
Wenn loadBalancer festgelegt ist, führt AKS automatisch die folgende Konfiguration durch:
- Für ausgehenden Datenverkehr vom Cluster wird eine öffentliche IP-Adresse erstellt.
- Die öffentliche IP-Adresse ist der Lastenausgleichsressource zugewiesen.
- Back-End-Pools für das Lastenausgleichssystem werden für Agent-Knoten im Cluster eingerichtet.
Weitere Informationen finden Sie unter Verwenden eines standardmäßigen Lastenausgleichs in AKS.
Ausgehender Typ: NAT-Gateway
Wenn managedNATGatewayV2 (Vorschau), managedNATGateway oder userAssignedNATGateway für outboundType ausgewählt sind, verlässt sich AKS auf das Azure Netzwerk-NAT-Gateway für den Cluster-Ausgang.
- Wählen Sie
managedNatGatewayV2odermanagedNatGatewayaus, wenn Sie verwaltete virtuelle Netzwerke verwenden. AKS stellt ein StandardV2-NAT-Gateway mitmanagedNATGatewayV2und ein Standard-NAT-Gateway mitmanagedNATGatewaybereit und fügt es an das Cluster-Subnetz an. StandardV2 NAT-Gateway wird empfohlen, da es standardmäßig zonenredundant ist und eine höhere Bandbreite und einen höheren Durchsatz bietet. Weitere Informationen finden Sie unter StandardV2 NAT-Gateway. - Wählen Sie
userAssignedNATGatewayaus, wenn Sie ein eigenes virtuelles Netzwerk verwenden. Diese Option erfordert, dass Sie vor der Clustererstellung ein NAT-Gateway erstellt haben. Sowohl Standard- als auch StandardV2-NAT-Gateways werden unterstützt.
Wichtig
Der managedNATGatewayV2 ausgehende Typ befindet sich derzeit in der VORSCHAU.
Lesen Sie die Supplemental-Nutzungsbedingungen für Microsoft Azure Previews für rechtliche Bedingungen, die für Azure Features gelten, die sich in der Betaversion, vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden.
Weitere Informationen finden Sie unter Verwenden des NAT Gateways mit AKS.
Ausgehender Typ: Benutzerdefinierte Routen
Hinweis
Der userDefinedRouting ausgehende Typ ist ein erweitertes Netzwerkszenario und erfordert eine ordnungsgemäße Netzwerkkonfiguration.
Wenn userDefinedRouting eingerichtet ist, konfiguriert AKS Egress-Pfade nicht automatisch. Die Egress-Einrichtung wird von Ihnen abgeschlossen.
Sie müssen den AKS-Cluster in einem vorhandenen virtuellen Netzwerk mit einem konfigurierten Subnetz bereitstellen. Da Sie keine Load Balancer Standard-Architektur verwenden, müssen Sie expliziten ausgehenden Datenverkehr herstellen. Diese Architektur erfordert das explizite Senden von ausgehendem Datenverkehr an eine Appliance wie eine Firewall, ein Gateway oder einen Proxy oder das Zulassen der NAT über eine öffentliche IP-Adresse, die dem Load Balancer Standard oder der Appliance zugewiesen ist.
Weitere Informationen finden Sie unter Konfigurieren des ausgehenden Clusters über benutzerdefiniertes Routing.
Outbound-Typ: keiner
Wichtig
Der ausgehende Typ none ist nur mit einem netzwerkisolierten Cluster verfügbar und erfordert eine sorgfältige Planung, um sicherzustellen, dass der Cluster erwartungsgemäß und ohne unbeabsichtigte Abhängigkeiten von externen Diensten funktioniert. Informationen zu vollständig isolierten Clustern finden Sie unter Überlegungen zu isolierten Clustern.
Wenn none festgelegt ist, konfiguriert AKS ausgehende Datenpfade nicht automatisch. Diese Option ähnelt userDefinedRouting, erfordert jedoch keine Standardroute als Teil der Überprüfung.
Der none ausgehende Typ wird sowohl in Bring-Your-Own (BYO) virtuellen Netzwerk-Szenarien als auch in verwalteten VNet-Szenarien unterstützt. Sie müssen jedoch sicherstellen, dass der AKS-Cluster in einer Netzwerkumgebung bereitgestellt wird, in der explizite Ausgangspunkte bei Bedarf definiert werden. Bei BYO-VNet-Szenarien muss der Cluster in einem vorhandenen virtuellen Netzwerk mit einem bereits konfigurierten Subnetz bereitgestellt werden. Da AKS keinen Standardlastenausgleich und keine Ausgangsinfrastruktur erstellt, müssen Sie bei Bedarf explizite Ausgangspfade einrichten. Zu Ausgangsoptionen gehört das Routing des Datenverkehrs an eine Firewall, einen Proxy, ein Gateway oder andere benutzerdefinierte Netzwerkkonfigurationen.
Ausgehender Typ: Block (Vorschau)
Wichtig
Der ausgehende Typ block ist nur mit einem netzwerkisolierten Cluster verfügbar und erfordert eine sorgfältige Planung, um sicherzustellen, dass keine unbeabsichtigten Netzwerkabhängigkeiten vorhanden sind. Informationen zu vollständig isolierten Clustern finden Sie unter Überlegungen zu isolierten Clustern.
Wenn block festgelegt ist, konfiguriert AKS Netzwerkregeln so, dass der gesamte ausgehende Datenverkehr aus dem Cluster aktiv blockiert wird. Diese Option ist nützlich für hochsichere Umgebungen, in denen ausgehende Verbindungen eingeschränkt werden müssen.
Folgendes ist bei Verwendung von block zu beachten:
- AKS stellt sicher, dass kein öffentlicher Internetdatenverkehr den Cluster über NSG-Regeln (Netzwerksicherheitsgruppen) verlassen kann. Der VNet-Datenverkehr ist nicht betroffen.
- Sie müssen explizit sämtlichen erforderlichen ausgehenden Datenverkehr über zusätzliche Netzwerkkonfigurationen zulassen.
Die Option block bietet eine zusätzliche Netzwerkisolationsebene, erfordert jedoch eine sorgfältige Planung, um die Beschädigung von Workloads oder Abhängigkeiten zu vermeiden.
Aktualisieren von outboundType nach der Clustererstellung
Wenn Sie den Egress-Typ nach der Clustererstellung ändern, werden Ressourcen nach Bedarf hinzugefügt oder entfernt, um den Cluster auf die neue Egress-Konfiguration einzustellen.
Die folgenden Tabellen zeigen die unterstützten Migrationspfade zwischen ausgehenden Typen für verwaltete und virtuelle BYO-Netzwerke.
Unterstützte Migrationspfade für verwaltetes VNet
Jede Zeile zeigt an, ob der ausgehende Typ zu den oben aufgelisteten Typen migriert werden kann. "Unterstützt" bedeutet, dass die Migration möglich ist, während "Nicht unterstützt" oder "N/A" bedeutet, dass sie nicht möglich ist. Wenn Sie ein verwaltetes virtuelles Netzwerk verwenden, wird die Migration nur zwischen verwalteten ausgehenden Typen unterstützt – loadBalancerund managedNATGatewayV2managedNATGateway. Bei Verwendung eines benutzerdefinierten/BYO-virtuellen Netzwerks wird die Migration nur zwischen benutzerdefinierten ausgehenden Typen unterstützt – loadBalanceruserAssignedNATGateway und userDefinedRouting.
| Von/Zu | loadBalancer |
managedNATGatewayV2 |
managedNATGateway |
none |
block |
|---|---|---|---|---|---|
loadBalancer |
Nicht zutreffend / Nicht verfügbar | Unterstützt | Unterstützt | Unterstützt | Unterstützt |
managedNATGatewayV2 |
Nicht unterstützt | Nicht zutreffend / Nicht verfügbar | Nicht unterstützt | Nicht unterstützt | Nicht unterstützt |
managedNATGateway |
Nicht unterstützt | Unterstützt | Nicht zutreffend / Nicht verfügbar | Unterstützt | Unterstützt |
none |
Unterstützt | Unterstützt | Unterstützt | Nicht zutreffend / Nicht verfügbar | Unterstützt |
block |
Unterstützt | Unterstützt | Unterstützt | Unterstützt | Nicht zutreffend / Nicht verfügbar |
Unterstützte Migrationspfade für BYO-VNet
| Von/Zu | loadBalancer |
userAssignedNATGateway |
userDefinedRouting |
none |
block |
|---|---|---|---|---|---|
loadBalancer |
Nicht zutreffend / Nicht verfügbar | Unterstützt | Unterstützt | Unterstützt | Nicht unterstützt |
userAssignedNATGateway |
Unterstützt | Nicht zutreffend / Nicht verfügbar | Unterstützt | Unterstützt | Nicht unterstützt |
userDefinedRouting |
Unterstützt | Unterstützt | Nicht zutreffend / Nicht verfügbar | Unterstützt | Nicht unterstützt |
none |
Unterstützt | Unterstützt | Unterstützt | Nicht zutreffend / Nicht verfügbar | Nicht unterstützt |
Warnung
Die Migration des ausgehenden Typs zu managedNATGatewayV2userAssignedNATGateway oder userDefinedRouting ändert die ausgehenden öffentlichen IP-Adressen des Clusters.
Wenn autorisierte IP-Bereiche aktiviert sind, stellen Sie sicher, dass der neue ausgehende IP-Bereich an autorisierte IP-Bereiche angefügt wird.
Warnung
Das Ändern des ausgehenden Typs in einem Cluster führt zu einer Unterbrechung der Netzwerkkonnektivität und zu einer Änderung der ausgehenden IP-Adresse des Clusters. Es umfasst Ausfallzeiten und Auswirkungen auf vorhandene Verbindungen. Wenn Firewallregeln so konfiguriert sind, dass der Datenverkehr aus dem Cluster eingeschränkt wird, müssen Sie sie aktualisieren, damit sie mit der neuen ausgehenden IP-Adresse übereinstimmen.
Aktualisiert den Cluster zur Verwendung eines neuen Outbound-Typs
Hinweis
Sie müssen eine Version >= 2.56 von Azure CLI verwenden, um den ausgehenden Typ zu migrieren. Verwenden Sie az upgrade, um auf die neueste Version von Azure CLI zu aktualisieren.
- Aktualisieren Sie die ausgehende Konfiguration Ihres Clusters mithilfe des Befehls
az aks update.
Aktualisieren des Clusters von loadbalancer zu managedNATGatewayV2
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type managedNATGatewayV2 --nat-gateway-managed-outbound-ipv6-count <number of managed outbound ipv6>
Wichtig
Der managedNATGatewayV2 ausgehende Typ befindet sich derzeit in der VORSCHAU.
Lesen Sie die Supplemental-Nutzungsbedingungen für Microsoft Azure Previews für rechtliche Bedingungen, die für Azure Features gelten, die sich in der Betaversion, vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden. Weitere Informationen zum Registrieren finden Sie unter Verwendung des NAT-Gateways mit AKS.
Aktualisieren des Clusters von managedNATGateway zu loadbalancer
az aks update --resource-group <resourceGroup> --name <clusterName> \
--outbound-type loadBalancer \
<--load-balancer-managed-outbound-ip-count <number of managed outbound ip>| --load-balancer-outbound-ips <outbound ip ids> | --load-balancer-outbound-ip-prefixes <outbound ip prefix ids> >
Warnung
Verwenden Sie keine IP-Adresse, die bereits in früheren ausgehenden Konfigurationen verwendet wird.
Aktualisieren des Clusters von managedNATGateway auf userDefinedRouting
- Fügen Sie die Route
0.0.0.0/0zur Standardroutingtabelle hinzu. Mehr erfahren Sie unter Anpassen des Cluster-Egress mit einer benutzerdefinierten Routing-Tabelle in Azure Kubernetes Service (AKS)
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userDefinedRouting
Aktualisieren des Clusters von loadbalancer auf userAssignedNATGateway im BYO-VNet-Szenario
- Ordnen Sie das NAT-Gateway dem Subnetz zu, dem die Workload zugeordnet ist. Weitere Informationen finden Sie unter Erstellen eines verwalteten oder benutzerseitig zugewiesenen NAT-Gateways für Ihren AKS-Cluster (Azure Kubernetes Service).
az aks update --resource-group <resourceGroup> --name <clusterName> --outbound-type userAssignedNATGateway