Co je Advanced Container Networking Services?

Advanced Container Networking Services je sada služeb navržených k vylepšení síťových schopností clusterů Azure Kubernetes Service (AKS). Sada řeší problémy v moderních kontejnerizovaných aplikacích, jako je pozorovatelnost, zabezpečení a dodržování předpisů.

Díky pokročilým službám Container Networking Services se zaměřujeme na zajištění bezproblémového a integrovaného prostředí, které vám umožní udržovat robustní stav zabezpečení a získat podrobné přehledy o síťovém provozu a výkonu aplikací. Tím zajistíte, že kontejnerizované aplikace budou nejen zabezpečené, ale také splňují nebo překračují vaše cíle výkonu a spolehlivosti, což vám umožní s jistotou spravovat a škálovat infrastrukturu.

Co je součástí Advanced Container Networking Services?

Advanced Container Networking Services obsahuje funkce rozdělené do dvou pilířů:

• Pozorovatelnost: Úvodní funkce sady Advanced Container Networking Services, která přináší výkon řídicí roviny Hubble do roviny dat Cilium i non-Cilium Linux. Cílem těchto funkcí je poskytnout přehled o sítích a výkonu.

• Zabezpečení: U clusterů využívajících Azure CNI Powered by Cilium zahrnují zásady sítě plně kvalifikované filtrování názvu domény (FQDN) pro řešení složitosti údržby konfigurace.

Pozorovatelnost kontejnerové sítě

Pozorovatelnost služby Container Network vám poskytne monitorovací a diagnostické nástroje související se sítí a poskytuje přehled o kontejnerizovaných úlohách. Odemkne metriky Hubble, rozhraní příkazového řádku (CLI) Hubble a uživatelské rozhraní Hubble ve vašich clusterech AKS, které poskytují podrobné přehledy o kontejnerizovaných úlohách a umožňují zjišťovat a určovat původní příčiny problémů souvisejících se sítí v AKS. Tyto funkce zajišťují, aby kontejnerizované aplikace byly zabezpečené a vyhovující, abyste mohli s jistotou spravovat infrastrukturu.

Další informace o pozorovatelnosti služby Container Network naleznete v tématu Co je Pozorovatelnost sítě kontejnerů?.

Zabezpečení sítě kontejneru

Funkce zabezpečení sítě kontejnerů v rámci Advanced Container Networking Services umožňují lepší kontrolu nad zásadami zabezpečení sítě, aby bylo možné snadno používat při implementaci napříč clustery. Clustery využívající Azure CNI Powered by Cilium mají přístup k zásadám založeným na DNS. Snadné použití v porovnání se zásadami založenými na IP adresách umožňuje omezit výchozí přístup k externím službám pomocí názvů domén. Správa konfigurace se zjednoduší pomocí plně kvalifikovaného názvu domény místo dynamické změny IP adres.

Další informace o službě Container Network Security a jejích možnostech najdete v tématu Co je Container Network Security?

Ceny

Důležité

Advanced Container Networking Services je placená nabídka. Další informace o cenách najdete v tématu Advanced Container Networking Services – Ceny

Nastavení pokročilých služeb Container Networking Services v clusteru

Požadavky

• Účet Azure s aktivním předplatným. Pokud ho nemáte, vytvořte si bezplatný účet před tím, než začnete.

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

• Minimální verze Azure CLI vyžadovaná pro kroky v tomto článku je 2.61.0. Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.

Instalace rozšíření Azure CLI aks-Preview

Nainstalujte nebo aktualizujte rozšíření Azure CLI ve verzi Preview pomocí az extension add příkazu nebo az extension update příkazu.

# Install the aks-preview extension
az extension add --name aks-preview

# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

Vytvoření skupiny zdrojů

Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí příkazu vytvořte skupinu az group create prostředků.

# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION

Povolení a zakázání pokročilých síťových služeb kontejneru v clusteru AKS

Vytvoření clusteru AKS s pokročilými službami Container Networking Services

Příkaz az aks create s příznakem --enable-acnsAdvanced Container Networking Services vytvoří nový cluster AKS se všemi funkcemi Advanced Container Networking Services. Mezi tyto funkce patří:

• Pozorovatelnost služby Container Network: Poskytuje přehled o síťovém provozu. Další informace najdete v tématu Pozorovatelnost služby Container Network.

• Zabezpečení sítě kontejnerů: Nabízí funkce zabezpečení, jako je filtrování plně kvalifikovaných názvů domén. Další informace najdete v tématu Container Network Security.

Řasa

Poznámka:

Clustery s rovinou dat Cilium podporují zabezpečení Container Network Observability a Container Network počínaje Kubernetes verze 1.29.

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --generate-ssh-keys \
    --location eastus \
    --max-pods 250 \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --node-count 2 \
    --pod-cidr 192.168.0.0/16 \
    --kubernetes-version 1.29 \
    --enable-acns

Non-Cilium

Poznámka:

Funkce Zabezpečení sítě kontejnerů není k dispozici pro clustery bez cilia

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --generate-ssh-keys \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --pod-cidr 192.168.0.0/16 \
    --enable-acns

Povolení pokročilých služeb Container Networking Services v existujícím clusteru

Příkaz az aks update s příznakem --enable-acnsAdvanced Container Networking Services aktualizuje existující cluster AKS se všemi funkcemi Advanced Container Networking Services, které zahrnují pozorovatelnost služby Container Network a funkci Zabezpečení sítě kontejnerů.

Poznámka:

Pouze clustery s rovinou dat Cilium podporují funkce zabezpečení kontejnerové sítě služby Advanced Container Networking Services.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

Zakázání pokročilých síťových služeb kontejneru

Příznak --disable-acns zakáže všechny funkce Advanced Container Networking Services v existujícím clusteru AKS, který zahrnuje pozorovatelnost kontejnerové sítě a zabezpečení sítě kontejnerů.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

---

Zakázat výběr funkcí Advanced Container Networking Services

Zakázání pozorovatelnosti kontejnerové sítě

Řasa

Zakázání funkcí pozorovatelnosti služby Container Network, aniž by to mělo vliv na jiné funkce služby Advanced Container Networking Services, použijte --enable-acns a --disable-acns-observability

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability 

Non-Cilium

Vzhledem k tomu, že jedinou funkcí, která je k dispozici pro cluster bez cilia, je jediná funkce, která je k dispozici pro cluster bez cilia, můžete tuto funkci zakázat pomocí příkazu --disable-acns.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns 

Zakázání zabezpečení sítě kontejneru

Řasa

Zakázání funkcí zabezpečení sítě kontejneru, aniž by to mělo vliv na jiné funkce služby Advanced Container Networking Services, použijte --enable-acns a --disable-acns-security

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security 

Non-Cilium

Zabezpečení kontejnerové sítě se v současné době nepodporuje u clusterů, které nejsou cilium. Pokud chcete tuto funkci využít a povolit Azure CNI využívající Cilium, projděte si dokumentaci k Azure CNI s využitím cilia.

Další kroky

• Další informace o pozorovatelnosti služby Container Network a jejích možnostech najdete v tématu Co je pozorovatelnost služby Container Network?.

• Další informace o službě Container Network Security a jejích možnostech najdete v tématu Co je Container Network Security?