Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Atenção
A Rede SIG Kubernetes e o Comité de Resposta à Segurança anunciaram a próxima retirada do projeto Ingress NGINX, com a manutenção a terminar em março de 2026. Hoje em dia, não é necessária uma ação imediata para clusters AKS que utilizam o complemento de encaminhamento de aplicações com NGINX. A Microsoft fornecerá suporte oficial para patches de segurança críticos para recursos adicionais NGINX Ingress de encaminhamento de aplicações até novembro de 2026.
O AKS está a alinhar-se com o Kubernetes upstream ao adotar a API Gateway como padrão de longo prazo para a gestão de tráfego de entrada e L7. Recomendamos que comece a planear o seu percurso de migração com base na sua configuração atual:
- Utilizadores de complementos de roteamento de aplicações: As cargas de trabalho de produção continuam totalmente suportadas até novembro de 2026. Migre para a implementação da API de Gateway de roteamento de aplicações para uma experiência de gestão de tráfego de entrada baseada na API de Gateway.
-
Os utilizadores do OSS NGINX têm várias opções:
- Migre para o complemento de encaminhamento de aplicações com NGINX para beneficiar de suporte oficial até novembro de 2026 enquanto planeia a sua migração a longo prazo da API Gateway.
- Migre para a implementação da API de Gateway de roteamento de aplicações para uma experiência de gestão de tráfego de entrada baseada na API de Gateway.
- Migrar para o Application Gateway for Containers, que suporta tanto a API Ingress como a API do Gateway.
- Utilizadores de malha de serviço: Se planeia adotar uma malha de serviço, considere o complemento de malha de serviço baseado em Istio. Utilize o Istio Ingress hoje e planeie migrar para o suporte da API do Istio Gateway quando se tornar GA.
O ingresso no AKS é um recurso do Kubernetes que gerencia o acesso ao tráfego externo semelhante ao HTTP a serviços dentro de um cluster. Uma entrada AKS pode fornecer serviços como balanceamento de carga, terminação SSL e hospedagem virtual baseada em nome. Para obter mais informações sobre o Kubernetes Ingress, consulte a documentação do Kubernetes Ingress.
Controladores de entrada
Ao gerenciar o tráfego de aplicativos, os controladores Ingress fornecem recursos avançados operando na camada 7. Eles podem rotear o tráfego HTTP para diferentes aplicativos com base na URL de entrada, permitindo regras de distribuição de tráfego mais inteligentes e flexíveis. Por exemplo, um controlador de entrada pode direcionar o tráfego para diferentes microsserviços, dependendo do caminho da URL, melhorando a eficiência e a organização dos seus serviços.
Por outro lado, um serviço do tipo LoadBalancer, quando criado, configura um recurso subjacente do balanceador de carga do Azure. Este balanceador de carga funciona na camada 4, distribuindo o tráfego para os pods no seu Serviço em uma porta especificada. No entanto, os serviços de camada 4 não estão cientes dos aplicativos reais e não podem implementar esses tipos de regras de roteamento complexas.
Compreender a distinção entre estas duas abordagens ajuda a selecionar a ferramenta certa para as suas necessidades de gestão de tráfego.
Comparar opções de entrada
A tabela a seguir lista as diferenças de recursos entre as diferentes opções do controlador de ingresso:
| Caraterística | Complemento de roteamento de aplicativos | Porta de entrada de aplicativos para contentores | Azure Service Mesh / Istio service mesh |
|---|---|---|---|
| Controlador de Ingresso/Gateway | Controlador de entrada NGINX | Gateway de Aplicação do Azure para Contentores | Istio Ingress Gateway |
| API | API de Ingress | API de Ingresso e API de Gateway | Istio Ingress API |
| Alojamento | No cluster | Azure hospedado | No cluster |
| Dimensionamento | Dimensionamento automático | Dimensionamento automático | Dimensionamento automático |
| Balanceamento de carga | Interno/Externo | Externa | Interno/Externo |
| Terminação SSL | No cluster | Sim: Descarregamento e E2E SSL | No cluster |
| mTLS | N/A | Sim: frontend e backend | Sim |
| Endereço IP estático | Sim | FQDN (sem IP estático) | N/A |
| Certificados SSL armazenados do Azure Key Vault | Sim | Sim | N/A |
| Integração do DNS do Azure para gerenciamento de zona DNS | Sim | Sim | N/A |
A tabela a seguir lista os diferentes cenários em que você pode usar cada controlador de entrada:
| Opção de ingresso | Quando utilizar |
|---|---|
| NGINX gerenciado - complemento de roteamento de aplicativos | • Controladores de entrada NGINX hospedados, personalizáveis e escaláveis no cluster. • Capacidades básicas de balanceamento de carga e roteamento. • Configuração interna e externa do balanceador de carga. • Configuração de endereço IP estático. • Integração com o Azure Key Vault para gestão de certificados. • Integração com DNS do Azure Zones para gestão de DNS público e privado. • Suporta a API Ingress. |
| Gateway de aplicação para contentores | • Gateway de entrada hospedado no Azure. • Estratégias de implementação flexíveis geridas pelo controlador ou com utilização do seu próprio Application Gateway for Containers. • Funcionalidades avançadas de gestão de tráfego, como novas tentativas automáticas, resiliência entre zonas de disponibilidade, autenticação mútua (mTLS) ao sistema de backend de destino, distribuição de tráfego / distribuição circular ponderada e dimensionamento automático. • Integração com o Azure Key Vault para gestão de certificados. • Integração com DNS do Azure Zones para gestão de DNS público e privado. • Suporta as APIs de entrada e gateway. |
| Istio Ingress Gateway | • Com base no Envoy, ao utilizar com o Istio para uma malha de serviços. • Funcionalidades avançadas de gestão de tráfego, como limitação de taxa e interrupção de circuitos. • Suporte para mTLS. |
Nota
A API de gateway para tráfego de entrada do Istio ainda não é suportada para o complemento Istio, mas está atualmente em desenvolvimento ativo.
Criar um recurso de Ingresso
O complemento de roteamento de aplicativos é a maneira recomendada de configurar um controlador Ingress no AKS. O complemento de roteamento de aplicativo é um controlador de entrada totalmente gerenciado para o Serviço Kubernetes do Azure (AKS) que fornece os seguintes recursos:
Fácil configuração de controladores NGINX Ingress gerenciados baseados no controlador Kubernetes NGINX Ingress.
Integração com o DNS do Azure para gestão de zonas públicas e privadas.
Terminação SSL com certificados armazenados no Cofre da Chave do Azure.
Para mais informações sobre o complemento de roteamento de aplicação, consulte Ingresso NGINX gerido com o complemento de roteamento de aplicação.
Preservação do IP de origem do cliente
Configure seu controlador de entrada para preservar o IP de origem do cliente em solicitações para contêineres em seu cluster AKS. Quando o controlador de entrada roteia a solicitação de um cliente para um contêiner no cluster AKS, o IP de origem original dessa solicitação não está disponível para o contêiner de destino. Quando você habilita a preservação do IP de origem do cliente, o IP de origem do cliente está disponível no cabeçalho da solicitação em X-Forwarded-For.
Se você estiver usando a preservação de IP de origem do cliente em seu controlador de entrada, não poderá usar a passagem TLS. A preservação do IP de origem do cliente e a passagem TLS podem ser usadas com outros serviços, como o tipo LoadBalancer .
Para saber mais sobre a preservação do IP de origem do cliente, consulte Como funciona a preservação do IP de origem do cliente para os Serviços LoadBalancer no AKS.