Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Advanced Container Networking Services je sada služeb navržených k vylepšení síťových schopností clusterů Azure Kubernetes Service (AKS). Sada řeší problémy v moderních kontejnerizovaných aplikacích, jako je pozorovatelnost, zabezpečení a dodržování předpisů.
Pokročilé služby Container Networking Services se zaměřují na zajištění bezproblémového a integrovaného prostředí, které pomáhá udržovat robustní stav zabezpečení a získat podrobné přehledy o síťovém provozu a výkonu aplikací. Pomáhá zajistit, aby kontejnerizované aplikace byly nejen zabezpečené, ale také aby splňovaly nebo překročily vaše cíle výkonu a spolehlivosti. Pokročilé služby Container Networking Services vám pomohou s jistotou spravovat a škálovat infrastrukturu.
Co je součástí Advanced Container Networking Services?
Advanced Container Networking Services nabízí dvě klíčové funkce:
Pozorovatelnost kontejnerové sítě: Úvodní funkce sady Advanced Container Networking Services, která přináší sílu řídicí roviny Hubble do datových rovin Cilium i jiných než Cilium Linux. Cílem těchto funkcí je poskytnout přehled o sítích a výkonu.
Zabezpečení sítě kontejneru: Pro clustery, které používají Azure CNI Powered by Cilium, zahrnují zásady sítě filtrování plně kvalifikovaného názvu domény (FQDN) pro řešení složitosti údržby konfigurace.
Výkon sítě kontejnerů: U clusterů, které používají Azure CNI s technologií Cilium, je možné povolit sadu funkcí výkonu sítě, jako je směrování hostitele eBPF, aby se snížila latence a zvýšila propustnost.
Pozorovatelnost kontejnerové sítě
Pozorovatelnost kontejnerové sítě v AKS je komplexní sada funkcí v rámci Advanced Container Networking Services navržená tak, aby poskytovala podrobné přehledy o síťovém provozu a výkonu napříč kontejnerizovanými prostředími. Bez problémů funguje v datových rovinách Cilium i mimo Cilium a nabízí flexibilitu pro různé potřeby sítí. Tato funkce využívá eBPF k vylepšení škálovatelnosti a výkonu tím, že identifikuje potenciální kritické body a zahlcení sítě před ovlivněním aplikací.
Mezi klíčové výhody patří kompatibilita se všemi variantami rozhraní CNI (Container Networking Interface) v Azure, podrobný přehled o metrikách na úrovni uzlů a metrikami Hubble pro překlad DNS (Domain Name System), komunikaci mezi pody a interakce se službami. Protokoly sítě kontejnerů zaznamenávají důležitá metadata, jako jsou IP adresy, porty a tok provozu pro řešení potíží, monitorování a vynucování zabezpečení.
Integruje se také se spravovanou službou pro Prometheus ve službě Azure Monitor a službou Azure Managed Grafana pro zjednodušené úložiště a vizualizaci metrik. Ať už používáte spravované služby nebo vlastní infrastrukturu, toto řešení pozorovatelnosti pomáhá zajistit vysoce výkonné, zabezpečené a vyhovující síťové prostředí pro úlohy AKS.
Metriky sítě kontejnerů
Tato funkce shromažďuje metriky na úrovni uzlů, včetně procesoru, paměti a výkonu sítě, za účelem monitorování stavu uzlů clusteru. V případě hlubších přehledů poskytují metriky Hubble data o časech překladu DNS, komunikaci mezi službami a chování sítě na úrovni podů. Tyto metriky vám pomůžou analyzovat výkon aplikace, zjišťovat anomálie a optimalizovat úlohy.
Další informace najdete v přehledu metrik.
Protokoly sítě kontejnerů
Protokoly sítě kontejnerů poskytují podrobný přehled o provozu v rámci clusterů a napříč clustery zachytáváním metadat, jako jsou zdrojové a cílové IP adresy, porty, protokoly a směr toku. Tyto protokoly umožňují monitorování chování sítě, řešení potíží s připojením a vynucování zásad zabezpečení. Trvalé a v reálném čase protokolování zajišťuje komplexní a akceschopnou pozorovatelnost sítě.
Další informace najdete v přehledu protokolů sítě kontejnerů.
Zabezpečení sítě kontejneru
Zabezpečení kontejnerizovaných aplikací je nezbytné v dnešních dynamických cloudových prostředích. Advanced Container Networking Services poskytuje funkce pro posílení zabezpečení sítě clusteru.
Filtrování na základě plně kvalifikovaného názvu domény
Vylepšete výstupní řízení s Azure CNI poháněným Cilium pomocí zásad založených na DNS. Zjednodušte konfiguraci pomocí plně kvalifikovaných názvů domén místo správy dynamických IP adres.
Další informace najdete v Přehledu filtrování podle FQDN.
Zásady vrstvy 7
Získejte podrobnou kontrolu nad provozem na úrovni aplikace. Implementujte zásady založené na protokolech, jako je HTTP, gRPC a kafka, a zabezpečte své aplikace s hloubkovou viditelností a jemně odstupňovaným řízením přístupu. Další informace najdete v dokumentaci k přehledu zásad vrstvy 7 .
WireGuard Encryption (Preview)
Zabezpečte provoz úloh pomocí WireGuardu. Zajišťuje, že veškerá komunikace mezi koncovými body spravovanými ciliumm v různých uzlech v clusteru AKS je ve výchozím nastavení šifrovaná a chráněná bez větší složitosti. Další informace najdete v dokumentaci k přehledu šifrování WireGuard .
Výkon sítě kontejnerů
Konfigurační profil využívající cilium s funkcemi eBPF k optimalizaci propustnosti, snížení latence a minimalizaci režie procesoru pro kontejnerizované úlohy v clusterech AKS.
Směrování hostitele eBPF
Další informace najdete v přehledu směrování hostitelů eBPF.
Ceny
Důležité
Pokročilé služby kontejnerové sítě jsou placená nabídka.
Informace o cenách najdete v tématu Advanced Container Networking Services – Ceny.
Nastavení pokročilých služeb Container Networking Services v clusteru
Požadavky
- Účet Azure s aktivním předplatným. Pokud ho nemáte, vytvořte si bezplatný účet před tím, než začnete.
Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Začínáme s Azure Cloud Shellem.
Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Ověřování v Azure pomocí Azure CLI.
Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Použití a správa rozšíření pomocí Azure CLI.
Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.
- Minimální verze Azure CLI vyžadovaná pro kroky v tomto článku je 2.71.0. Pokud chcete najít svou verzi, spusťte
az --versionpříkaz . Pokud chcete nainstalovat nebo upgradovat, přečtěte si téma Instalace Azure CLI.
Instalace rozšíření Azure CLI aks-Preview
Nainstalujte nebo aktualizujte rozšíření Azure CLI ve verzi Preview pomocí az extension add příkazu nebo az extension update příkazu.
Minimální verze aks-preview rozšíření Azure CLI je 14.0.0b6.
# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview
Zaregistrujte příznak funkce AdvancedNetworkingL7PolicyPreview
Poznámka:
Funkce Container Network Security podporované pouze v rámci Azure CNI využívají clustery založené na Cilium.
Pomocí příkazu AdvancedNetworkingL7PolicyPreview zaregistrujte příznak az feature register funkce.
az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"
Pomocí příkazu ověřte úspěšnou az feature show registraci. Dokončení registrace trvá několik minut.
az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"
Vytvoření skupiny zdrojů
Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí příkazu az group create vytvořte skupinu prostředků.
# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION
Povolení a zakázání pokročilých síťových služeb kontejneru v clusteru AKS
Vytvoření clusteru AKS se službami Advanced Container Networking Services
Příkaz az aks create s příznakem --enable-acns Advanced Container Networking Services vytvoří nový cluster AKS, který má všechny funkce Advanced Container Networking Services, včetně pozorovatelnosti kontejnerové sítě a zabezpečení sítě kontejnerů.
Poznámka:
Clustery, které mají rovinu dat Cilium, podporují pozorovatelnost kontejnerové sítě a zabezpečení kontejnerové sítě v Kubernetes verze 1.29 a novější.
Pokud je parametr --acns-advanced-networkpolicies nastavený na L7, povolí se zásady filtrování L7 i FQDN. Pokud chcete povolit pouze filtrování plně kvalifikovaného názvu domény, nastavte parametr na FQDN.
Pokud chcete obě funkce zakázat, proveďte kroky popsané v tématu Zakázání zabezpečení sítě kontejneru.
# Set an environment variable for the AKS cluster name. Make sure you replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"
# Create an AKS cluster
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--kubernetes-version 1.29 \
--enable-acns \
--acns-advanced-networkpolicies <L7/FQDN>
Aktivace pokročilých služeb síťování kontejnerů v existujícím clusteru
Příkaz az aks update s příznakem --enable-acns aktualizuje existující cluster AKS se všemi funkcemi Advanced Container Networking Services, včetně Container Network Observability a Container Network Security.
Poznámka:
Clustery, které mají rovinu dat Cilium, podporují pozorovatelnost kontejnerové sítě a zabezpečení sítě kontejnerů v Kubernetes verze 1.29 a novější.
--acns-advanced-networkpolicies Pokud je parametr nastavený na L7, jsou povoleny zásady filtrování vrstvy 7 i plně kvalifikovaného názvu domény. Pokud chcete povolit pouze filtrování plně kvalifikovaného názvu domény, nastavte parametr na FQDN.
Pokud chcete obě funkce zakázat, proveďte kroky popsané v tématu Zakázání zabezpečení sítě kontejneru.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--acns-advanced-networkpolicies <L7/FQDN>
Zakázání pokročilých síťových služeb kontejneru
Příznak --disable-acns zakáže všechny funkce Advanced Container Networking Services v existujícím clusteru AKS. Pozorovatelnost kontejnerové sítě a zabezpečení sítě kontejnerů jsou také zakázány.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--disable-acns
Zakázání pokročilých funkcí služby Container Networking Services
Zakázání pozorovatelnosti kontejnerové sítě
Pokud chcete zakázat funkci Pozorovatelnost kontejnerové sítě, aniž by to mělo vliv na další funkce služby Advanced Container Networking Services, spusťte:
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-observability
Zakázání zabezpečení sítě kontejneru
Pokud chcete zakázat funkci zabezpečení sítě kontejneru, aniž by to ovlivnilo další funkce služby Advanced Container Networking Services, spusťte následující příkaz:
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-security
Související obsah
Spolupracujte s námi na GitHubu
Zdroj tohoto obsahu najdete na GitHubu, kde můžete také vytvářet a kontrolovat problémy a žádosti o přijetí změn. Další informace najdete v našem průvodci pro přispěvatele.
Azure Kubernetes Service