¿Qué son los servicios avanzados de redes de contenedores?
Los servicios avanzados de redes de contenedores es un conjunto de servicios diseñados para mejorar las funcionalidades de red de los clústeres de Azure Kubernetes Service (AKS). El conjunto aborda los desafíos de las aplicaciones en contenedores modernas, como la observabilidad, la seguridad y el cumplimiento.
Con los servicios avanzados de redes de contenedores, el enfoque consiste en ofrecer una experiencia perfecta e integrada que le permite mantener sólidas posturas de seguridad y obtener información detallada sobre el tráfico de red y el rendimiento de las aplicaciones. Esto garantiza que las aplicaciones en contenedores no solo sean seguras, sino que también cumplan o superen los objetivos de rendimiento y confiabilidad, lo que le permite administrar y escalar con confianza la infraestructura.
¿Qué se incluye en los servicios avanzados de redes de contenedores?
Los servicios avanzados de redes de contenedores contienen características que se dividen en dos pilares:
Observabilidad: la característica inicial del conjunto de servicios avanzados de redes de contenedores que lleva la potencia del plano de control de Hubble a los planos de datos de Linux Cilium y no Cilium. Estas características tienen como objetivo proporcionar visibilidad sobre las redes y el rendimiento.
Seguridad: en el caso de los clústeres que usan Azure CNI con tecnología de Cilium, las directivas de red incluyen el filtrado de nombre de dominio completo (FQDN) para abordar las complejidades de mantenimiento de la configuración.
Observabilidad de red de contenedor
La observabilidad de la red de contenedores le proporciona herramientas de supervisión y diagnóstico relacionadas con la red, lo que proporciona visibilidad sobre las cargas de trabajo en contenedores. Desbloquea las métricas de Hubble, la interfaz de línea de comandos (CLI) de Hubble y la interfaz de usuario (UI) de Hubble en sus clústeres AKS, lo que proporciona una visión exhaustiva y procesable de sus cargas de trabajo en contenedores y le permite detectar y determinar las causas raíz de los problemas relacionados con la red en AKS. Estas características garantizan que las aplicaciones en contenedores sean seguras y compatibles con el fin de permitirle administrar con confianza la infraestructura.
Para obtener más información acerca de la observabilidad de red de contenedor, consulte ¿Qué es la observabilidad de red de contenedor?.
Seguridad de red de contenedor
Las características de seguridad de red de contenedores dentro de los servicios avanzados de redes de contenedores permiten un mayor control sobre las directivas de seguridad de red para facilitar su uso al implementar entre clústeres. Los clústeres que usan Azure CNI con tecnología de Cilium tienen acceso a directivas basadas en DNS. La facilidad de uso en comparación con las directivas basadas en IP permite restringir el acceso de salida a servicios externos mediante nombres de dominio. La administración de configuración se simplifica mediante el uso de FQDN en lugar de cambiar dinámicamente las direcciones IP.
Para obtener más información sobre la seguridad de red de contenedor y sus funcionalidades, consulte ¿Qué es la seguridad de red de contenedor?.
Precios
Importante
Servicios avanzados de redes de contenedores es una oferta de pago. Para obtener más información sobre los precios, consulte Servicios avanzados de redes de contenedores: precios
Configuración de los servicios avanzados de redes de contenedores en el clúster
Requisitos previos
- Una cuenta de Azure con una suscripción activa. Si no tiene una, cree una cuenta gratuita antes de empezar.
Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.
Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.
Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.
En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.
Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.
- La versión mínima de la CLI de Azure necesaria para los pasos de este artículo es la 2.56.0. Ejecute
az --versionpara encontrar la versión. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure.
Instalación de la versión preliminar de la extensión de la CLI de Azure en versión preliminar de AKS
Instale o actualice la extensión de versión preliminar de la CLI de Azure mediante el comando az extension add o az extension update.
# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview
Crear un grupo de recursos
Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure. Cree un grupo de recursos con el comando az group create.
# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION
Habilitación y deshabilitación de los servicios avanzados de redes de contenedores en el clúster de AKS
Creación de un clúster de AKS con Servicios avanzados de redes de contenedores
El comando az aks create con la marca de los Servicios avanzados de redes de contenedores, --enable-acns, crea un nuevo clúster de AKS con todas las características de los Servicios avanzados de redes de contenedores. Estas características abarcan:
Observabilidad de red de contenedor: Proporciona información sobre el tráfico de red. Para obtener más información, visite Observabilidad de la red de contenedor.
Seguridad de red de contenedor: Ofrece características de seguridad como el filtrado de FQDN. Para más información, visite Seguridad de red de contenedores.
Nota:
Los clústeres con el plano de datos de Cilium admiten la Observabilidad de la red de contenedor y la seguridad de la red de contenedor a partir de la versión 1.29 de Kubernetes.
# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"
# Create an AKS cluster
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--generate-ssh-keys \
--location eastus \
--max-pods 250 \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--node-count 2 \
--pod-cidr 192.168.0.0/16 \
--kubernetes-version 1.29 \
--enable-acns
Habilitación de Servicios avanzados de redes de contenedores en un clúster existente
El comando az aks update con la marca de Servicios avanzados de redes de contenedores, --enable-acns, actualiza un clúster de AKS existente con todas las características de los Servicios avanzados de redes de contenedores, que incluye Observabilidad de red de contenedor y la característica deSeguridad de red de contenedor.
Nota:
Solo los clústeres con el plano de datos de Cilium admiten características de seguridad de red de contenedor de Servicios avanzados de redes de contenedores.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns
Deshabilitar los servicios avanzados de redes de contenedores
La marca --disable-acns deshabilita todas las características avanzadas de los servicios avanzados de redes de contenedores en un clúster de AKS existente, que incluye observabilidad de red de contenedor y seguridad de red de contenedor
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--disable-acns
Deshabilitar seleccione Características avanzadas de los servicios avanzados de redes de contenedores
Deshabilitación de la observabilidad de red de contenedor
Para deshabilitar las características de observabilidad de red de contenedor sin afectar a otras características de los servicios avanzados de redes de contenedores, use --enable-acns y --disable-acns-observability
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-observability
Deshabilitación de la seguridad de red del contenedor
Para deshabilitar las características de Seguridad de red de contenedores sin afectar a otras características avanzadas de Container Networking Services, use --enable-acns y --disable-acns-security
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-security
Pasos siguientes
Para obtener más información sobre la observabilidad de la red de contenedor y sus funcionalidades, consulte ¿Qué es la observabilidad de red de contenedor?.
Para obtener más información sobre la seguridad de red de contenedor y sus funcionalidades, consulte ¿Qué es la seguridad de red de contenedores?
Azure Kubernetes Service