Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Kebijakan jaringan sangat penting untuk mengamankan kluster Kubernetes dengan menentukan dan mengontrol komunikasi pod. Mereka mengurangi akses yang tidak sah dan potensi pelanggaran keamanan dengan mengatur arus lalu lintas. Layanan Jaringan Kontainer Tingkat Lanjut memperkuat keamanan dengan kebijakan jaringan berbasis FQDN. Memperluas fondasi ini, Advanced Container Networking Services sekarang menyediakan dukungan kebijakan L7, memungkinkan inspeksi terperinci dan manajemen lalu lintas tingkat aplikasi. Kemajuan ini meningkatkan keamanan dan efisiensi komunikasi jaringan dalam kluster AKS. Penawaran ini mencakup dukungan komprehensif untuk protokol yang diadopsi secara luas, termasuk HTTP, gRPC, dan Kafka.
Komponen kebijakan L7
Envoy proxy: Envoy, bagian dari agen keamanan ACNS, bertindak sebagai titik penegakan untuk kebijakan L7. TPROXY memeriksa lalu lintas aplikasi, membandingkannya dengan kebijakan L7 yang ditentukan. Untuk meningkatkan skalabilitas dan manajemen sumber daya, Envoy disebarkan sebagai DaemonSet terpisah, dipisahkan dari Agen Cilium.
Cara kerja kebijakan L7
Ketika penegakan kebijakan L7 diaktifkan untuk aplikasi atau pod, lalu lintas jaringan keluar pertama kali dievaluasi untuk menentukan kepatuhan dengan aturan tingkat aplikasi yang dikonfigurasi. Probe eBPF yang dilampirkan ke antarmuka jaringan pod sumber menandai paket-paket, yang kemudian dialihkan ke Envoy Proxy lokal pada node. Pengalihan ini hanya terjadi untuk pod yang menerapkan kebijakan L7, di mana penegakan kebijakan diterapkan secara selektif.
Proksi Envoy, yang ditambah dengan filter jaringan Cilium, kemudian memutuskan apakah akan meneruskan lalu lintas ke pod tujuan berdasarkan kriteria kebijakan. Jika diizinkan, lalu lintas berlanjut; jika tidak, Envoy mengembalikan kode kesalahan yang sesuai ke pod asal. Setelah otorisasi berhasil, proksi Envoy memfasilitasi arus lalu lintas, memberikan visibilitas dan kontrol tingkat aplikasi. Ini memungkinkan agen Cilium untuk menerapkan kebijakan jaringan terperinci dalam mesin kebijakan. Diagram berikut mengilustrasikan alur penegakan kebijakan L7 tingkat tinggi.
Memantau lalu lintas L7 dengan Hubble dan Grafana
Untuk mendapatkan wawasan tentang arus lalu lintas L7, khususnya HTTP, gRPC, dan Kafka, Azure CNI Powered by Cilium memanfaatkan agen Hubble, yang diaktifkan secara default dengan Advanced Container Networking Services. Hubble menyediakan metrik tingkat alur terperinci.
Untuk menyederhanakan analisis metrik L7 ini, kami menyediakan dasbor Azure Managed Grafana yang telah dikonfigurasi sebelumnya. Anda dapat menemukannya di bawah folder Dasbor > Azure Managed Prometheus , dengan nama file seperti "Kubernetes/Networking/L7 (Namespace)" dan "Kubernetes/Networking/L7 (Workload)".
Dasbor ini menawarkan visibilitas terperinci ke dalam data aliran L7 di tingkat kluster, namespace, dan beban kerja.
Nota
Dasbor ini hanya akan menampilkan data jika Anda mengaktifkan fitur ini pada kluster Anda dan menerapkan kebijakan yang relevan. Selain itu, metrik pemantauan tidak diperlukan untuk mengalir melalui Envoy, komponen agen keamanan ACNS. Sebaliknya, metrik ini dikumpulkan oleh agen Hubble, yang diinstal pada kluster Anda sebagai bagian dari fitur pengamatan Layanan Jaringan Kontainer Tingkat Lanjut.
Manfaat utama
Pengendalian Application-Level Terperinci: Kebijakan L7 memungkinkan pengendalian terperinci atas lalu lintas jaringan berdasarkan atribut spesifik aplikasi, seperti metode HTTP, jalur gRPC, dan topik Kafka. Ini melampaui alamat IP dasar dan kontrol berbasis port dari kebijakan jaringan tradisional.
Keamanan yang Ditingkatkan: Dengan memeriksa lalu lintas tingkat aplikasi, kebijakan L7 dapat mencegah serangan yang mengeksploitasi kerentanan di lapisan aplikasi. Ini termasuk memblokir akses tidak sah ke API atau layanan tertentu. Selain itu, kebijakan L7 adalah komponen penting dari strategi keamanan Zero Trust, memungkinkan penegakan prinsip hak istimewa paling sedikit pada lapisan aplikasi.
Penanganan Kesalahan yang Anggun: Tidak seperti kebijakan L3/L4 yang biasanya menghilangkan lalu lintas yang tidak sah secara diam-diam, kebijakan L7 dapat mengembalikan kode kesalahan tingkat aplikasi (misalnya, HTTP 403, kegagalan otorisasi Kafka), memungkinkan aplikasi untuk menangani kesalahan dengan lebih anggun.
Pengamatan: Dengan pengamatan yang diaktifkan untuk Layanan Jaringan Kontainer Tingkat Lanjut dan kebijakan L7 yang diterapkan pada kluster AKS Anda, Anda dapat memantau lalu lintas dan efektivitas kebijakan menggunakan dasbor Grafana.
Batasan dan pertimbangan
- Dukungan fitur saat ini bergantung pada penegakan kebijakan Lapisan 7 Cilium berdasarkan HTTP, HTTPS, gRPC, dan Kafka.
- Dalam pratinjau, ukuran kluster maksimum yang didukung adalah hingga 1.000 simpul atau 40.000 pod, mana pun yang lebih besar.
- Lalu lintas yang melewati proksi Envoy memang mengalami latensi. Pengguna mungkin mengalami penurunan latensi yang terlihat di luar 3.000 permintaan per detik.
- Sebagai bagian dari solusi pengamatan kami, kami menyediakan metrik envoy_http_rq_total. Metrik ini memberikan jumlah permintaan total, yang dapat digunakan untuk mendapatkan permintaan per detik (rp).
- Selama peningkatan atau peluncuran Cilium, sesi yang ada dapat ditutup dengan mulus. Aplikasi diharapkan dapat menangani gangguan ini dengan anggun—biasanya dengan menerapkan mekanisme coba lagi di tingkat koneksi atau permintaan. Koneksi baru yang dimulai selama peluncuran tidak terpengaruh.
- Kebijakan L7 melalui Advanced Container Networking Services (ACNS) tidak kompatibel dengan kebijakan L7 yang diterapkan melalui metode alternatif seperti Istio. Tabel berikut ini meringkas skenario yang didukung.
| Fitur/Komponen | Kebijakan L7 menggunakan AKS, Istio - Addon terkelola |
|---|---|
| Kebijakan jaringan K8s oleh Azure CNI yang didukung oleh Cilium | Didukung |
| Kebijakan L4 (FQDN) oleh Azure CNI yang didukung oleh Cilium dan ACNS | Didukung |
| Kebijakan L7 (HTTP/GRPC/Kafka) oleh Azure CNI yang didukung oleh Cilium dan ACNS | Tidak Didukung |
Penetapan Harga
Penting
Layanan Jaringan Kontainer Tingkat Lanjut adalah penawaran berbayar. Untuk informasi selengkapnya tentang harga, lihat Layanan Jaringan Kontainer Tingkat Lanjut - Harga.
Langkah selanjutnya
Pelajari cara menerapkan kebijakan L7 pada AKS.
Jelajahi bagaimana komunitas sumber terbuka membangun Kebijakan Jaringan Cilium.
Untuk informasi selengkapnya tentang Layanan Jaringan Kontainer Tingkat Lanjut untuk Azure Kubernetes Service (AKS), lihat Apa itu Layanan Jaringan Kontainer Tingkat Lanjut untuk Azure Kubernetes Service (AKS)?.
Jelajahi fitur Observabilitas Jaringan Kontainer di Layanan Jaringan Kontainer Tingkat Lanjut di Apa itu Observabilitas Jaringan Kontainer?
Berkolaborasi dengan kami di GitHub
Sumber untuk konten ini dapat ditemukan di GitHub, yang juga dapat Anda gunakan untuk membuat dan meninjau masalah dan menarik permintaan. Untuk informasi selengkapnya, lihat panduan kontributor kami.
Azure Kubernetes Service