开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在AKS中为出口流量保留pod IP地址？

在AKS（Azure Kubernetes Service）中，可以通过使用Azure CNI（Container Network Interface）插件来为出口流量保留Pod的IP地址。

Azure CNI是一种网络插件，它将为每个Pod分配一个唯一的IP地址，并通过Azure虚拟网络来路由流量。为了在AKS中为出口流量保留Pod的IP地址，可以按照以下步骤操作：

创建AKS集群时，确保使用Azure CNI网络插件。在创建集群的过程中，可以通过指定--network-plugin azure来选择使用Azure CNI。
在部署应用程序之前，需要创建一个公共IP地址对象。可以使用Azure CLI命令或Azure门户进行创建。
创建一个标记（tag），用于标识需要保留Pod IP地址的服务。可以使用Kubernetes的kubectl命令行工具来创建标记，例如：
创建一个标记（tag），用于标识需要保留Pod IP地址的服务。可以使用Kubernetes的kubectl命令行工具来创建标记，例如：
这将为指定的服务添加一个标记，以指示使用内部负载均衡器。
将创建的公共IP地址与标记的服务相关联。可以使用Azure CLI命令或Azure门户进行操作。关联公共IP地址后，出口流量将通过该IP地址进行传出。

通过以上步骤，就可以在AKS中为出口流量保留Pod的IP地址。这样做的优势是可以确保流量出口的IP地址始终保持不变，便于管理和配置相关网络策略。

以下是推荐的腾讯云相关产品和产品介绍链接地址：

腾讯云容器服务（TKE）：https://cloud.tencent.com/product/tke
腾讯云云原生应用平台Serverless Kubernetes（Cloud Base）：https://cloud.tencent.com/product/cloudbase

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

【容器云架构】确定projectcalico最佳网络选项

大图了解 Calico 支持的不同网络选项，以便您可以根据需要选择最佳选项。价值 Calico 灵活的模块化架构支持广泛的部署选项，因此您可以选择适合您特定环境和需求的最佳网络方法。这包括使用各种 CNI 和 IPAM 插件以及底层网络类型以非覆盖或覆盖模式运行的能力，无论是否使用 BGP。概念如果您想全面了解可供您选择的网络，我们建议您确保熟悉并理解以下概念。如果您想跳过学习并直接获得选择和建议，您可以跳到网络选项。 Kubernetes 网络基础知识 Kubernetes 网络模型定义

03

基于 Network Policy 限制服务交互

安全，无论是基于传统的单体服务模型还是当下流行的云原生微服务模型，其自始至终是一个关注度较高的话题。诚然，安全性是一个广泛的概念，但本文更多地将聚焦在微服务架构体系，深入到一个至为关键的层面，即“服务间的交互安全“。

04

Kubernetes 之 Egress 思考

在实际的业务场景中，我们往往会遇到如下场景：无论是基于不同业务之间的相互调度所需、或者是基于非法流量及边界业务管控，我们都需要建立我们自己的出口防火墙，以保障我们的业务能够正常运转。具体如下图所示：

04

Kubernetes插件之ip-masq-agent

ip-masq-agent 配置 iptables 规则以隐藏位于集群节点 IP 地址后面的 pod 的 IP 地址。这通常在将流量发送到集群的 podCIDR范围之外的目的地时使用。

05

通过编辑器创建可视化Kubernetes网络策略

实现网络策略是构建基于kubernetes的安全平台的关键部分，但是从简单的示例到更复杂的现实策略的学习曲线是陡峭的。不仅要使YAML语法和格式正确，而且更重要的是，在网络策略规范的行为中有许多微妙之处(例如默认允许/拒绝、名称空间、通配符、规则组合等)。即使是经验丰富的Kubernetes YAML-wrangler也可以轻松地通过高级网络策略用例进行思考。

04

Antrea Egress用户指南

Egress资源是用来管理集群内Pods出口流量的CRD API。它支持为Pod访问外部网络的流量指定出口IP（SNAT IP）和出口节点。当Egress应用于某个Pod时，它的出口流量将通过隧道传输到配置有对应Egress IP的节点（如果Egress IP所在的节点不同于Pod运行的节点的话），并经过SNAT将数据包源地址转换为Egress IP。

07

「容器平台」Kubernetes网络策略101

什么是Kubernetes网络策略? 有几家公司正在将他们的整个基础设施转移到Kubernetes。Kubernetes的目标是抽象通常在现代IT数据中心中找到的所有组件。因此，pods表示计算实例，

02

如何使用Prometheus和Grafana监控多个Kubernetes集群

为什么要监视多个Kubernetes集群，主要有两个原因。在第一个使用场景中，您拥有集群，每个开发阶段(如开发、阶段化和生产)都有一个集群。另一种情况是运行托管服务，或有运行工作负载的客户机，这些工作负载需要对可靠性进行监控，或作为运行服务的一部分进行使用。

02

Kubernetes 网络模型综合指南

这篇详细的博文探讨了 Kubernetes 网络的复杂性，提供了关于如何在容器化环境中确保高效和安全通信的见解。

01

kubernetes新增和移除节点步骤

在添加节点之前，您需要准备一台新的服务器或虚拟机，并确保它满足Kubernetes节点的要求。具体来说，节点需要运行支持Kubernetes的操作系统（例如Ubuntu、CentOS等），并配置好网络、防火墙等基本环境。

01

使用Cilium和Linkerd执行Kubernetes网络策略

在本教程中，你将学习如何一起运行Linkerd和Cilium，以及如何使用Cilium将L3和L4网络策略应用到运行Linkerd的集群。

02

理解OpenShift（3）：网络之SDN

为了OpenShift 集群中 pod 之间的网络通信，OpenShift 以插件形式提供了三种符合Kubernetes CNI 要求的 SDN实现：

03

谷歌发布数据中心网络架构Aquila：自定义二层和RDMA，交换和网卡同一芯片！

今年的NSDI2022会议上，谷歌发布了其实验性的数据中心网络架构--Aquila，该架构支持谷歌提出的1RMA协议（SIGCOMM'20，解决RDMA用于多租户场景存在的隔离和安全问题），并在网络架构和芯片设计方面有诸多可学习之处，在此将文章翻译为中文，以飨读者。

05

【Kubernetes系列】第11篇网络原理解析（下篇）

覆盖网络(overlay network)是将TCP数据包装在另一种网络包里面进行路由转发和通信的技术。Overlay网络不是默认必须的，但是它们在特定场景下非常有用。比如当我们没有足够的IP空间，或者网络无法处理额外路由，抑或当我们需要Overlay提供的某些额外管理特性。一个常见的场景是当云提供商的路由表能处理的路由数是有限制时，例如AWS路由表最多支持50条路由才不至于影响网络性能。因此如果我们有超过50个Kubernetes节点，AWS路由表将不够。这种情况下，使用Overlay网络将帮到我们。

03

K8s网络模型

k8s网络模型设计基础原则:每个Pod都拥有一个独立的 IP地址，而且假定所有 Pod 都在一个可以直接连通的、扁平的网络空间中。所以不管它们是否运行在同一个 Node (宿主机)中，都要求它们可以直接通过对方的 IP 进行访问。设计这个原则的原因是，用户不需要额外考虑如何建立 Pod 之间的连接，也不需要考虑将容器端口映射到主机端口等问题。

02

Antrea v1.2.0版本发布：支持Egress高可用

Antrea 项目是一个基于 Open vSwitch（OVS）的开源 Kubernetes CNI 网络解决方案，旨在为 Kubernetes 集群提供更高效、更安全的跨平台网络和安全策略。Antrea Github 地址：

03

envoy中的iptable流量劫持

本篇是自己的一篇学习笔记，主要是为了学明白，iptable是如何在envoy里面进行流量劫持的，会从下面几个方面来介绍：

02

使用 KubeSlice 简化混合/多集群、多云 Kubernetes 部署

多云或混合策略使企业可以自由地使用最好的云原生服务。每个云提供商都有独特的工作负载价值主张供企业考虑。例如，Oracle Cloud 除了计算功能之外，还带来了一流的数据库管理功能、分析生态系统以及其他云原生产品。因此，云提供商提供的多样化价值支柱使多云成为对企业有吸引力的选择。然而，简化跨集群部署和连接工作负载的能力仍然是一个巨大的挑战。我们可以借助 Avesha 的 KubeSlice 与托管的 Kubernetes 云基础设施合作，企业将能够解决其多云挑战。

01

HttpDNS介绍

HttpDNS是使用HTTP协议向DNS服务器的80端口进行请求，代替传统的DNS协议向DNS服务器的53端口进行请求。也就是使用Http协议去进行dns解析请求，将服务器返回的解析结果（域名对应的服务器IP），直接向该IP发起对应的API服务请求，代替使用域名。

01

Cilium 1.11：服务网格的未来已来

Cilium 1.11测试版（Beta）为你带来了一系列引人注目的功能和增强功能，包括OpenTelemetry支持、感知拓扑的负载均衡、Kubernetes APIServer策略匹配，以及更多功能。本文将为您详细介绍这个令人振奋的版本，以及它为现代应用程序网络安全和性能带来的突破。

01

【鹅厂网事】全局精确流量调度新思路-HttpDNS服务详解

小编：对于互联网，域名是访问的第一跳，而这一跳很多时候会“失足”，导致访问错误内容，失败连接等，让我们在互联网上畅游的爽快瞬间消失，而对于这关键的第一跳，鹅厂也在持续深入研究和思考对策，今天小编就邀请了我们负责这块域名解析的好伙伴---廖伟健同学跟我们做一个分享。同时，今天小编也非常希望了解大伙对这块内容的感受，所以今天文中加入了投票功能，希望您投上神圣的一票哦。事不延迟，我们启程！但凡使用域名来给用户提供服务的互联网企业，都或多或少地无法避免在有中国特色的互联网环境中遭遇到各种域名被缓存、用户跨网访问

04

通过“服务镜像”实现多集群Kubernetes

在我们之前的文章多集群Kubernetes的架构设计，我们概述了构建一个简单但有弹性的Kubernetes多集群方法的三个要求：支持分层网络、保持集群状态的独立性、不引入共享控制平面。

02

【重识云原生】第六章容器基础6.4.8节—— Network Policy

网络策略（NetworkPolicy）是一种关于 Pod 间及与其他Network Endpoints间所允许的通信规则的规范。NetworkPolicy资源使用标签选择 Pod，并定义选定 Pod 所允许的通信规则。网络策略通过网络插件来实现。要使用网络策略，用户必须使用支持 NetworkPolicy 的网络解决方案。默认情况下，Pod间是非隔离的，它们接受任何来源的流量。Pod 可以通过相关的网络策略进行隔离。一旦命名空间中有网络策略选择了特定的 Pod，该 Pod 会拒绝网络策略所不允许的连接(命名空间下其他未被网络策略所选择的 Pod 会继续接收所有的流量)。网络策略不会冲突，它们是附加的。如果任何一个或多个策略选择了一个 Pod, 则该 Pod 受限于这些策略的 ingress/egress 规则的并集。因此策略的顺序并不会影响策略的结果。

02

Istio 的高级边缘流量控制（一）

在上一篇文章 Istio 出口流量的 TLS 中，我演示了如何在网格内部直接通过 HTTP 协议访问外部加密服务，并揭示了其背后 Envoy 的配置逻辑。

02

弄它！！！2020年了NET地址转换你还不知道么?小小net!小编带你分分钟拿下！

打开你的命令行输入ipconfig查询你的Ip地址打开百度，输入Ip查询，查询你的ip地址你是不是发现了一件很神奇的事情，这两个地址是不一样的。但是我们又经常说每个主机只有一个ip,这个ip是他的身份标识。这完全矛盾啊。这就引出了我们今天要讲的NAT技术其实并不矛盾。这里我们要引入公网ip和私网ip这两个概念，为什么百度查到的ip和ipconfig查到的不一样？大家看完

03

云原生 | k8s网络之calico组件多方式快速部署及使用calicoctl管理维护网络

官网地址: https://www.tigera.io/project-calico/

05

【云安全最佳实践】几分钟实现对恶意IP地址进行拦截，腾讯云Web应用防火墙实在太香了！

在平时上网中，我们经常听到“xxx被拉入黑名单”、“把xxx加入白名单”，黑白名单成了禁止访问和允许访问的代名词，黑白名单是一种常见的安全机制，用于隔离流量，然后对隔离的流量采取特定操作。

几分钟实现对恶意IP地址进行拦截，腾讯云Web防火墙实在太香了！

来源：网络技术联盟站链接：https://www.wljslmz.cn/19806.html

02

全局精确流量调度新思路-HttpDNS服务详解

小编：对于互联网，域名是访问的第一跳，而这一跳很多时候会“失足”，导致访问错误内容，失败连接等，让我们在互联网上畅游的爽快瞬间消失，而对于这关键的第一跳，鹅厂也在持续深入研究和思考对策，今天小编就邀请了我们负责这块域名解析的好伙伴---廖伟健同学跟我们做一个分享。同时，今天小编也非常希望了解大伙对这块内容的感受，所以今天文中加入了投票功能，希望您投上神圣的一票哦。事不延迟，我们启程！但凡使用域名来给用户提供服务的互联网企业，都或多或少地无法避免在有中国特色的互联网环境中遭遇到各种域名被缓存、用户跨网访问

构建高效容器网络：了解常用CNI插件

1、 CNCF 与 Linux 基金会正式发布最新的 KCSA（Kubernetes and Cloud Native Security Associate ) 认证考试上线了。KCSA 认证专为希望于云原生生态系统及安全技术发展的人员而设。获得 KCSA 认证的人员具备 Kubernetes 集群的基线安全配置的能力，并能够乎合合规性的要求，这包括加强安全控制、测试和监控安全性以及参与评估安全威胁和漏洞的能力。 --CNCF社区

01

构建 Kubernetes 集群 — 选择工作节点大小

TL;DR: 在创建Kubernetes集群时，您可能首先要问的一个问题是：“我应该使用哪种类型的工作节点，以及应该有多少个？”

01

容器网络硬核技术内幕 (23) 权利，知识与责任

实际上，networkpolicy是由kubernetes的CNI插件实现的。也就是说，CNI插件的开发者，需要解析yaml描述的networkpolicy，并实现networkpolicy描述的功能。

02

Kubernetes Pod间网络隔离

可以看到上面我们的例子中from的写法是或得关系，如果是 AND 的关系的话写法如下：

03

Tungsten Fabric如何编排

OpenStack是虚拟机和容器的领先的开源编排系统。Tungsten Fabric提供了Neutron网络服务的实现，并提供了许多附加功能。

02

openshift pod对外访问网络解析

openshift封装了k8s，在网络上结合ovs实现了多租户隔离，对外提供服务时报文需要经过ovs的tun0接口。下面就如何通过tun0访问pod(172.30.0.0/16)进行解析(下图来自理解OpenShift（3）：网络之 SDN，删除了原图的IP)

01

K8s中优雅停机和零宕机部署

创建、删除 Pod 是 K8s 中最常见的任务之一。本文介绍了 Pod 在响应创建、删除请求时发生的内部流程，还讨论了如何在 Pod 启动或关闭时防止断开连接，以及如何正常关闭长时间运行的任务。

01

多集群Kubernetes的架构设计

最近，Linkerd社区一直在花时间处理多集群Kubernetes的挑战。如何在多个Kubernetes集群之间应用Linkerd的零配置自动mTLS或流量分割等特性？服务网格应该做什么，而更重要的是：服务网格不应该做什么？

01

「译文」比较开源 k8s LoadBalancer-MetalLB vs PureLB vs OpenELB

在这篇文章中，我们讨论了三个开源的负载平衡器控制器，它们可以与任何Kubernetes的发行版一起使用。

02

几张图彻底搞懂 Kubernetes 的底层网络

如果大家已经使用了 kubernetes技术，并运行了一些测试或生产的服务，可能已经能体会到 K8s 技术带来的革命性变化，如果还没有用过的小伙伴，我建议尽快入坑，毕竟这是技术趋势。

03

数据中心SDN技术发展应用之MP-BGP

当前云计算技术已经成为数据中心基本部署要求，针对云计算中对网络虚拟化的需求，业界厂家提出了各种解决思路，SDN网络技术得到了大力发展，具有资源虚拟化、自动化等特点，成为IT基础架构改革中不可或缺的一部分。早期纯软件的SDN技术虽然可以随云而动实现业务网络自动部署，但在性能、功能、稳定性、可扩展性等方面存在较大的限制。 📷 在数据中心虚拟化多租户环境中部署和配置网络设施是一项复杂的工作，不同租户的网络需求存在差异，且网络租户是虚拟化存在，和物理计算资源位置无固定对应关系。通过传统手段部署物理网络设备

05

Kubernetes中的Service类型，与Pod的通信方式和挑战

在Kubernetes中，Service是用于抽象和提供对Pod集合的访问的一种资源对象。

07

容器网络的访问控制机制分析

随着容器技术成熟和敏捷开发的推广，微服务技术在业界越来越得到普遍的应用，但业务微服务化后又引入了一些新的安全挑战，特别是在访问控制层面。例如：

01

不背锅运维：粗讲：K8S的Service及分享现撸案例

Kubernetes中的Service是一种网络抽象，用于将一组Pod暴露给其他组件，例如其他Pod或外部用户。Service可以作为一个负载均衡器，为一组Pod提供单一的IP地址和DNS名称，并通过选择器来将流量路由到这些Pod。

VRRP多网关实现负载均衡

虚拟路由冗余协议VRRP（Virtual Router Redundancy Protocol）通过把几台路由设备联合组成一台虚拟的路由设备，将虚拟网关设备的IP地址作为用户的默认网关实现与外部网络通信。当网关设备发生故障时，VRRP机制能够选举新的网关设备承担数据流量，从而保障网络的可靠通信。

01

记录一下阿里云ACK的nodeport Local Cluster

很久很近以前（恩200多天前了），创建了一个服务应用，使用了nodeport的方式对外暴露服务，划重点--控制台创建的网络服务：

03

Istio安全-授权(实操三)

部署Bookinfo。由于下例在策略中使用了principal和namespace，因此需要启用mutual TLS。

03

华为防火墙在广电出口安全方案中的应用（方案设计、配置、总结）

广电行业除了提供家庭广播电视业务，还向ISP租用链路开展宽带用户上网、服务器托管等网络接入服务。此时网络出口处通常部署防火墙作为出口网关提供Internet接入及安全保障功能。

04

[译]优雅退出和零停机部署

本文翻译自：https://learnk8s.io/graceful-shutdown

02

Kubernetes(K8s)基础知识(docker容器技术)

一个目标：容器操作；两地三中心；四层服务发现；五种Pod共享资源；六个CNI常用插件；七层负载均衡；八种隔离维度；九个网络模型原则；十类IP地址；百级产品线；千级物理机；万级容器；相如无亿，K8s有亿：亿级日服务人次。

01

如何创建 Azure AKS 集群？

Kubernetes 已经改变了微服务的世界，Azure 通过其 Azure Kubernetes 服务使 Kubernetes 编排变得轻而易举，在本分步教程中，我将向您展示如何在 Azure 上创建您的第一个 Kubernetes 集群。

00

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭