Que sont les services avancés de mise en réseau de conteneurs ?

Advanced Container Azure Networking Services est une suite de services conçus pour améliorer les capacités réseau des clusters Azure Kubernetes Service (AKS). La suite répond aux défis des applications conteneurisées modernes, tels que l'observabilité, la sécurité et la conformité.

Avec Advanced Container Azure Networking Services, l'accent est mis sur la fourniture d'une expérience transparente et intégrée qui vous permet de maintenir des postures de sécurité robustes et d'obtenir des informations approfondies sur le trafic de votre réseau et les performances de vos applications. Cela garantit que vos applications conteneurisées ne sont pas seulement sécurisées, mais aussi répondent ou dépassent vos objectifs de performances et de fiabilité, ce qui vous permet de gérer et de mettre à l’échelle votre infrastructure en toute confiance.

Que contiennent les services avancés de mise en réseau de conteneurs ?

Le services avancés de mise en réseau de conteneurs contient des fonctionnalités divisées en deux piliers :

• Observabilité : la fonctionnalité qui inaugure la suite des services avancés de mise en réseau de conteneurs et qui apporte la puissance du plan de contrôle de Hubble aux plans de données Cilium et non-Cilium Linux. Ces fonctionnalités visent à fournir une visibilité sur la mise en réseau et les performances.

• Sécurité : pour les clusters utilisant Azure CNI optimisé par Cilium, les stratégies réseau incluent le filtrage de nom de domaine complet (FQDN) pour résoudre les complexités de la maintenance de la configuration.

Observabilité du réseau de conteneurs

L’observabilité du réseau de conteneurs dans Azure Kubernetes Service (AKS) est un ensemble complet de fonctionnalités dans Advanced Container Networking Services, conçu pour fournir des insights approfondis sur le trafic réseau et les performances dans les environnements conteneurisés. Il fonctionne en toute transparence sur les plans de données Cilium et non-Cilium, offrant une flexibilité pour divers besoins en réseau. Grâce à eBPF, cette fonctionnalité améliore l’extensibilité et les performances en identifiant les goulots d’étranglement potentiels et la congestion du réseau avant d’affecter les applications.

Les principaux avantages incluent la compatibilité avec toutes les variantes Azure CNI, une visibilité détaillée des métriques au niveau du nœud et des métriques Hubble pour la résolution DNS, la communication pod-à-pod et les interactions de service. Les journaux réseau de conteneurs capturent les métadonnées essentielles telles que les adresses IP, les ports et le flux de trafic, ce qui permet de résoudre les problèmes, de surveiller et d’appliquer la sécurité.

En outre, il s’intègre à Azure Managed Prometheus et Grafana pour simplifier le stockage et la visualisation des métriques. Que vous utilisiez des services managés ou une infrastructure contrôlée par l’utilisateur, cette solution d’observabilité garantit un environnement réseau hautement performant, sécurisé et conforme pour les charges de travail AKS.

Métriques du réseau de conteneurs

Cette fonctionnalité collecte les métriques au niveau du nœud, notamment le processeur, la mémoire et les performances réseau, pour surveiller l’intégrité des nœuds de cluster. Pour obtenir des insights plus approfondis, les métriques Hubble fournissent des données sur les temps de résolution DNS, la communication de service à service et le comportement réseau au niveau du pod. Ces métriques permettent aux utilisateurs d’analyser les performances des applications, de détecter les anomalies et d’optimiser les charges de travail.

Pour plus d’informations, consultez la documentation Vue d’ensemble des métriques .

Journaux du réseau de conteneurs

Les journaux de réseau de conteneurs fournissent des insights détaillés sur le trafic au sein et entre les clusters en capturant des métadonnées telles que les adresses IP source/destination, les ports, les protocoles et le sens du flux. Ces journaux permettent de surveiller le comportement du réseau, de résoudre les problèmes de connectivité et d’appliquer des stratégies de sécurité. Les options de journalisation persistantes et en temps réel garantissent une observabilité réseau complète et exploitable.

Pour plus d’informations, consultez la documentation vue d’ensemble des journaux de réseau de conteneurs.

Sécurité du réseau de conteneurs

La sécurisation de vos applications conteneurisées est essentielle dans les environnements cloud dynamiques d’aujourd’hui. Advanced Container Networking Services fournit des fonctionnalités pour renforcer la sécurité réseau de votre cluster.

Filtrage basé sur FQDN

Améliorez le contrôle des sorties avec les stratégies Azure CNI avec Cilium basées sur le DNS. Simplifiez la configuration à l’aide de noms de domaine (FQDN) au lieu de gérer les adresses IP dynamiques. Pour plus d’informations, consultez la documentation vue d’ensemble du filtrage basé sur le nom de domaine complet .

Stratégie de la couche 7 (L7) (préversion)

Bénéficiez d’un contrôle granulaire sur le trafic au niveau de l’application. Implémentez des stratégies basées sur des protocoles tels que HTTP, gRPC et kafka, en sécurisant vos applications avec une visibilité approfondie et un contrôle d’accès affiné. Pour plus d’informations, consultez la documentation vue d’ensemble de la stratégie L7 .

Tarification

Important

Advanced Container Azure Networking Services est une offre payante. Pour plus d’informations sur la tarification, consultez Tarification des services avancés de mise en réseau de conteneurs.

Configurez les services de mise en Azure Networking de conteneurs avancés sur votre cluster

Prérequis

• Compte Azure avec un abonnement actif. Si vous n’en avez pas, créez un compte gratuit avant de commencer.

• Utilisez l’environnement Bash dans Azure Cloud Shell. Pour obtenir plus d’informations, consultez Démarrage d’Azure Cloud Shell.

  

• Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.

  • Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour obtenir d’autres options de connexion, consultez S’authentifier auprès d’Azure à l’aide d’Azure CLI.

  • Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser et gérer des extensions avec Azure CLI.

  • Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.

• La version minimale d’Azure CLI requise pour les étapes décrites dans cet article est 2.71.0. Exécutez az --version pour trouver la version. Si vous devez installer ou mettre à niveau, voir Installer Azure CLI.

Installer l’extension Azure CLI aks-preview

Installez ou mettez à jour l’extension Azure CLI en préversion à l’aide de la commande az extension add ou az extension update.

La version minimale de l’extension Azure CLI aks-preview est 14.0.0b6

# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

Inscrire l’indicateur de fonctionnalité AdvancedNetworkingL7PolicyPreview

Remarque

Les fonctionnalités de sécurité du réseau de conteneurs sont uniquement prises en charge sur Azure CNI, alimenté par des clusters basés sur Cilium.

Inscrivez l’indicateur de fonctionnalité AdvancedNetworkingL7PolicyPreview à l’aide de la commande az feature register.

az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

Vérifiez la réussite de l’inscription à l’aide de la az feature show commande. L’inscription peut prendre quelques minutes.

az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

Créer un groupe de ressources

Un groupe de ressources est un conteneur logique dans lequel les ressources Azure sont déployées et gérées. Créez un groupe de ressources avec la commande az group create.

# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION

Activez et désactivez les services de mise en Azure Networking de conteneurs avancés dans le cluster AKS

Créer un cluster AKS avec les services avancés de mise en réseau de conteneurs

La commande az aks create avec l'indicateur Advanced Container Azure Networking Services, --enable-acns, crée un nouveau cluster AKS avec toutes les fonctionnalités Advanced Container Networking Services. Ces fonctionnalités comprennent :

• Observabilité du réseau de conteneurs : fournit des informations sur votre trafic réseau. Pour en savoir plus, visitez Observabilité du réseau de conteneurs.

• Sécurité du réseau de conteneurs : offre des fonctionnalités de sécurité telles que le filtrage FQDN. Pour en savoir plus, consultez Sécurité du réseau de conteneurs.

Cilium

Remarque

Les clusters avec le plan de données Cilium prennent en charge l'observabilité du réseau de conteneurs et la sécurité du réseau de conteneurs à partir de la version 1.29 de Kubernetes.

Lorsque le --acns-advanced-networkpolicies paramètre est défini sur « L7 », les stratégies de filtrage L7 et FQDN sont activées. Si vous souhaitez uniquement activer le filtrage FQDN, définissez le paramètre sur « FQDN ». Pour désactiver les deux fonctionnalités, vous pouvez suivre les instructions fournies dans Désactiver la sécurité réseau du conteneur.

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --kubernetes-version 1.29 \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

Non-Cilium

Remarque

La fonctionnalité de sécurité réseau de conteneur n’est pas disponible pour les clusters non cilium

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --enable-acns

Les services avancés de mise en réseau de conteneurs sur un cluster existant

La commande az aks update avec l'indicateur Services avancés de mise en réseau de conteneurs, --enable-acns, met à jour un cluster AKS existant avec toutes les fonctionnalités des services avancés de mise en réseau de conteneurs, qui incluent Observabilité du réseau de conteneurs et Sécurité du réseau de conteneurs.

Cilium

Remarque

Les clusters avec le plan de données Cilium prennent en charge l'observabilité du réseau de conteneurs et la sécurité du réseau de conteneurs à partir de la version 1.29 de Kubernetes.

Lorsque le --acns-advanced-networkpolicies paramètre est défini sur « L7 », les stratégies de filtrage L7 et FQDN sont activées. Si vous souhaitez uniquement activer le filtrage FQDN, définissez le paramètre sur « FQDN ». Pour désactiver les deux fonctionnalités, vous pouvez suivre les instructions fournies dans Désactiver la sécurité réseau du conteneur.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

Non-Cilium

Remarque

Seuls les clusters avec le plan de données Cilium prennent en charge les fonctionnalités Container Network Security d'Advanced Container Azure Networking Services.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

Désactiver les services avancés de mise en réseau de conteneurs

L'indicateur --disable-acns désactive toutes les fonctionnalités Advanced Container Azure Networking Services sur un cluster AKS existant, qui incluent Container Network Observability et Container Network Security

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

---

Désactivez certaines fonctionnalités des services de mise en Azure Networking de conteneurs avancés

Désactivez l'observabilité du réseau de conteneurs

Cilium

Pour désactiver les fonctionnalités d'observabilité d’Azure Networking de conteneurs sans affecter les autres fonctionnalités des services de mise en réseau de conteneurs avancés, utilisez --enable-acns et --disable-acns-observability

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability 

Non-Cilium

Étant donné que seule l'observabilité du réseau de conteneurs est la seule fonctionnalité disponible pour les clusters non cilium, vous pouvez utiliser --disable-acns pour désactiver la fonctionnalité

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns 

Désactivez la sécurité du réseau de conteneurs

Pour désactiver les fonctionnalités de sécurité du réseau de conteneurs sans affecter les autres fonctionnalités des services d’Azure Networking de conteneurs avancés, utilisez --enable-acns et --disable-acns-security

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security

---

Étapes suivantes

• Pour plus d’informations sur l’observabilité du réseau de conteneurs et ses fonctionnalités, consultez Qu’est-ce que l’observabilité du réseau de conteneurs ?

• Pour plus d’informations sur la sécurité réseau de conteneurs et ses fonctionnalités, consultez Qu’est-ce que la sécurité réseau de conteneurs ?