ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تعد نهج الشبكة ضرورية لتأمين مجموعات Kubernetes من خلال تحديد الاتصال بالجراب والتحكم فيه. وهي تخفف من الوصول غير المصرح به والخروقات الأمنية المحتملة من خلال تنظيم تدفق حركة المرور. تعزز خدمات شبكات الحاويات المتقدمة الأمان باستخدام نهج الشبكة المستندة إلى FQDN. وبالتوسع على هذا الأساس، توفر خدمات شبكات الحاويات المتقدمة الآن دعم نهج L7، ما يتيح الفحص التفصيلي وإدارة حركة المرور على مستوى التطبيق. يعزز هذا التقدم كلا من أمان وكفاءة اتصالات الشبكة داخل مجموعات AKS. يتضمن العرض دعما شاملا للبروتوكولات المعتمدة على نطاق واسع، بما في ذلك HTTP وgRPC وKafka.
مكونات نهج L7
وكيل Envoy: يعمل Envoy، وهو جزء من وكيل أمان ACNS كنقطة إنفاذ لسياسات L7. يقوم TPROXY بفحص حركة مرور التطبيق، ومقارنتها بنهج L7 المحددة. لتعزيز قابلية التوسع وإدارة الموارد، يتم نشر Envoy ك DaemonSet منفصلة، منفصلة عن وكيل Cilium.
كيفية عمل نهج L7
عند تمكين فرض نهج L7 لتطبيق أو جراب، يتم أولا تقييم حركة مرور الشبكة الصادرة لتحديد التوافق مع القواعد المكونة على مستوى التطبيق. يحدد مسبار eBPF المرفق بواجهة شبكة pod المصدر الحزم، والتي تتم إعادة توجيهها بعد ذلك إلى وكيل Envoy المحلي للعقدة. تحدث إعادة التوجيه هذه فقط لوحدات الجراب التي تفرض نهج L7، ما يضمن تطبيق تطبيق النهج بشكل انتقائي.
ثم يقرر وكيل Envoy، المعزز بعوامل تصفية شبكة Cilium، ما إذا كان سيوجه حركة المرور إلى حاوية الوجهة استنادا إلى معايير النهج. وإذا سمح بذلك، تستمر حركة المرور؛ إذا لم يكن الأمر كما هو، يقوم Envoy بإرجاع رمز خطأ مناسب إلى الحاوية الأصلية. بناء على تفويض ناجح، يسهل وكيل Envoy تدفق حركة المرور، ما يوفر رؤية على مستوى التطبيق والتحكم فيه. يسمح هذا لعامل Cilium بفرض نهج شبكة الاتصال التفصيلية داخل محرك النهج. يوضح الرسم التخطيطي التالي التدفق عالي المستوى لفرض نهج L7.
مراقبة حركة مرور L7 باستخدام Hubble وGrafana
للحصول على رؤى حول تدفقات نسبة استخدام الشبكة L7، وتحديدا HTTP وgRPC وKafka، يستفيد Azure CNI المشغل بواسطة Cilium من عامل Hubble، والذي يتم تمكينه افتراضيا باستخدام Advanced Container Networking Services. يوفر Hubble مقاييس مفصلة على مستوى التدفق.
لتبسيط تحليل مقاييس L7 هذه، نقدم لوحات معلومات Azure Managed Grafana المكونة مسبقا. يمكنك العثور عليها ضمن مجلد لوحات المعلومات > Azure Managed Prometheus ، مع أسماء ملفات مثل "Kubernetes/Networking/L7 (Namespace)" و "Kubernetes/Networking/L7 (Workload)".
توفر لوحات المعلومات هذه رؤية دقيقة لبيانات تدفق L7 على مستويات نظام المجموعة ومساحة الاسم وأحمال العمل.
ملاحظه
ستعرض لوحات المعلومات هذه البيانات فقط إذا تم تمكين هذه الميزة على نظام المجموعة لديك وتطبيق النهج ذات الصلة. بالإضافة إلى ذلك، لا يلزم مقاييس المراقبة للتدفق عبر Envoy، وهو مكون من عامل أمان ACNS. بدلا من ذلك، يتم جمع هذه المقاييس بواسطة عامل Hubble، الذي تم تثبيته على نظام المجموعة كجزء من ميزة مراقبة خدمة شبكات الحاويات المتقدمة.
المزايا الرئيسية
التحكم Application-Level متعدد المستويات: تسمح نهج L7 بالتحكم الدقيق في نسبة استخدام الشبكة استنادا إلى السمات الخاصة بالتطبيق، مثل أساليب HTTP ومسارات gRPC وموضوعات Kafka. يمتد هذا إلى ما هو أبعد من عنوان IP الأساسي والتحكم المستند إلى المنفذ لنهج الشبكة التقليدية.
الأمان المحسن: من خلال فحص نسبة استخدام الشبكة على مستوى التطبيق، يمكن لنهج L7 منع الهجمات التي تستغل الثغرات الأمنية في طبقة التطبيق. يتضمن ذلك حظر الوصول غير المصرح به إلى واجهات برمجة التطبيقات أو الخدمات المحددة. علاوة على ذلك، تعد نهج L7 مكونا مهما لاستراتيجية أمان الثقة المعدومة، ما يتيح فرض مبدأ الامتياز الأقل في طبقة التطبيق.
معالجة الأخطاء بأمان: على عكس نهج L3/L4 التي عادة ما تسقط حركة المرور غير المصرح بها بصمت، يمكن لنهج L7 إرجاع رموز الخطأ على مستوى التطبيق (على سبيل المثال، فشل تخويل HTTP 403، Kafka)، ما يسمح للتطبيقات بمعالجة الأخطاء بأمان أكبر.
إمكانية المراقبة: مع تمكين إمكانية المراقبة لخدمات شبكات الحاويات المتقدمة ونهج L7 المطبقة على نظام مجموعة AKS، يمكنك مراقبة حركة المرور وفعالية النهج باستخدام لوحات معلومات Grafana.
تحديد الخدمة واعتباراتها
- يعتمد دعم الميزات الحالية على فرض نهج الطبقة 7 من Cilium استنادا إلى HTTP وHTTPS وgRPC وKafka.
- في المعاينة، الحد الأقصى لحجم نظام المجموعة المدعوم يصل إلى 1000 عقدة أو 40000 حاوية، أيهما أكبر.
- تأتي حركة المرور التي تعبر وكلاء Envoy مع زمن الانتقال. قد يواجه المستخدمون تدهورا ملحوظا في زمن الانتقال يتجاوز 3000 طلب في الثانية.
- كجزء من حل إمكانية المراقبة لدينا، نقدم مقاييس envoy_http_rq_total. تعطي هذه المقاييس إجمالي عدد الطلبات، والذي يمكن استخدامه لاشتقاق الطلبات في الثانية (rps).
- أثناء ترقية Cilium أو إطلاقه، يمكن إغلاق الجلسات الحالية بأمان. من المتوقع أن تتعامل التطبيقات مع هذه الانقطاعات بأمان - عادة عن طريق تنفيذ آليات إعادة المحاولة على مستوى الاتصال أو الطلب. لا تتأثر الاتصالات الجديدة التي تم بدؤها أثناء الإطلاق.
- لا يتوافق نهج L7 من خلال خدمات شبكات الحاويات المتقدمة (ACNS) مع نهج L7 التي يتم تنفيذها عبر أساليب بديلة مثل Istio. يلخص الجدول التالي السيناريوهات المدعومة.
ميزة/مكون | نهج L7 باستخدام AKS، Istio - إضافة مدارة |
---|---|
نهج شبكة K8s بواسطة Azure CNI المشغل بواسطة Cilium | مدعوم |
نهج L4 (FQDN) بواسطة Azure CNI مدعومة من Cilium و ACNS | مدعوم |
نهج L7 (HTTP(s)/GRPC/Kafka) بواسطة Azure CNI المشغل بواسطة Cilium و ACNS | غير معتمد |
التسعير
هام
خدمات شبكات الحاويات المتقدمة هي عرض مدفوع. لمزيد من المعلومات حول التسعير، راجع خدمات شبكات الحاويات المتقدمة - التسعير.
الخطوات التالية
تعرف على كيفية تطبيق نهج L7 على AKS.
استكشف كيفية إنشاء مجتمع المصدر المفتوح لنهج شبكة Cilium.
لمزيد من المعلومات حول خدمات شبكات الحاويات المتقدمة لخدمة Azure Kubernetes (AKS)، راجع ما هي خدمات شبكات الحاويات المتقدمة لخدمة Azure Kubernetes (AKS)؟.
استكشاف ميزات مراقبة شبكة الحاوية في خدمات شبكات الحاويات المتقدمة في ما هي مراقبة شبكة الحاوية؟
Azure Kubernetes Service