只是一个问题,在微软页面上https://learn.microsoft.com/en-us/azure/aks/configure-kubenet#bring-使用kubenet创建自己的子网和路由表上面写着
";使用kubenet,集群子网上必须存在路由表。AKS支持自带现有子网和路由表。如果您的自定义子网不包含路由表,AKS会为您创建一个路由表,并在整个集群生命周期中为其添加规则。如果在创建集群时,您的自定义子网包含路由表,则AKS会在集群操作期间确认现有路由表,并相应地添加/更新云提供商操作的规则">
此外,对于带有Appgateway的AGIC,如果它是kubenet,则还需要将此路由表链接到应用网关子网https://learn.microsoft.com/en-us/azure/application-gateway/configuration-infrastructure
";如果您将kubenet与Azure Kubernetes服务(AKS(和应用网关入口控制器(AGIC(一起使用,则需要一个路由表,以允许从应用网关发送到pod的流量路由到正确的节点。如果您使用Azure CNI,则无需执行此操作">
所以这带来了一个有趣的问题,如果我的客户端想要从AKS子网0.0.0.0/0到NVA(如Azure防火墙(的默认流量,我认为这并不罕见。然而,这似乎打破了应用网关子网,因为应用网关子网上,不允许默认路由到NVA。
如何绕过它?也许有两条路线,但我想知道AKS是否可以同时更新这两条路线?
嘿,OP这是一个棘手的问题,但微软确实有一些文档。应用网关需要能够路由到互联网和后端集群。(https://learn.microsoft.com/en-us/azure/architecture/example-scenario/gateway/firewall-application-gateway)我使用以下配置:
路由表#1
路线1
Name: All
Address Prefix: 0.0.0.0/0
Hop Type: Virtual Appliance
Hop IP Address: Firewall Private IP
路线2
Name: AppGw
Address Prefix: App Gateway Subnet CIDR
Next Hop Type: Virtual Appliance
Next Hop IP Address: Firewall Private IP
关联子网:AKS群集子网
路由表#2
路线1
Name: AppGw-To-Backend-Pool
Address Prefix: Whole VNet CIDR
Hop Type: Virtual Appliance
Next Hop IP Address: Firewall Private IP
路线2
Name: Internet
Address Prefix: 0.0.0.0/0
Hop Type: Internet
关联子网-应用网关子网