Che cosa sono i servizi avanzati di rete per contenitori?

Advanced Container Networking Services è una suite di servizi progettati per migliorare le funzionalità di rete dei cluster servizio Azure Kubernetes (servizio Azure Kubernetes). La famiglia di prodotti risolve i problemi delle applicazioni in contenitori moderne, ad esempio osservabilità, sicurezza e conformità.

Con Advanced Container Networking Services, l'obiettivo è offrire un'esperienza semplice e integrata che consente di mantenere posizioni di sicurezza affidabili e ottenere informazioni approfondite sul traffico di rete e sulle prestazioni dell'applicazione. Ciò garantisce che le applicazioni in contenitori non siano solo sicure, ma soddisfino o superino gli obiettivi di prestazioni e affidabilità, consentendo di gestire e ridimensionare in modo sicuro l'infrastruttura.

Che cos'è incluso nei servizi avanzati di rete per contenitori?

Advanced Container Networking Services contiene funzionalità suddivise in due pilastri:

• Osservabilità: la funzionalità inaugurale della suite Advanced Container Networking Services che porta la potenza del piano di controllo di Hubble sia ai piani dati Cilium che non Cilium Linux. Queste funzionalità mirano a fornire visibilità sulle reti e sulle prestazioni.

• Sicurezza: per i cluster che usano Azure CNI con tecnologia Cilium, i criteri di rete includono filtri FQDN (Domain Name) completi per affrontare le complessità della gestione della configurazione.

Osservabilità della Rete dei Container

L'osservabilità della rete dei contenitori nel servizio Azure Kubernetes è un set completo di funzionalità all'interno di Advanced Container Networking Services, progettato per fornire informazioni approfondite sul traffico di rete e sulle prestazioni in ambienti in contenitori. Funziona perfettamente in entrambi i piani dati Cilium e non Cilium, offrendo flessibilità per esigenze di rete diverse. Sfruttando eBPF, questa funzionalità migliora la scalabilità e le prestazioni identificando potenziali colli di bottiglia e congestione della rete prima di influire sulle applicazioni.

I vantaggi principali includono la compatibilità con tutte le varianti CNI di Azure, la visibilità dettagliata sulle metriche a livello di nodo e le metriche hubble per la risoluzione DNS, la comunicazione da pod a pod e le interazioni con i servizi. I log di rete dei contenitori acquisisce metadati essenziali, ad esempio indirizzi IP, porte e flusso del traffico, consentendo la risoluzione dei problemi, il monitoraggio e l'applicazione della sicurezza.

Inoltre, si integra con Azure Managed Prometheus e Grafana per semplificare l'archiviazione e la visualizzazione delle metriche. Se si usano servizi gestiti o un'infrastruttura controllata dall'utente, questa soluzione di osservabilità garantisce un ambiente di rete altamente efficiente, sicuro e conforme per i carichi di lavoro del servizio Azure Kubernetes.

Metriche di rete dei contenitori

Questa funzionalità raccoglie le metriche a livello di nodo, tra cui CPU, memoria e prestazioni di rete, per monitorare l'integrità dei nodi del cluster. Per informazioni più approfondite, le metriche hubble forniscono dati sui tempi di risoluzione DNS, sulla comunicazione da servizio a servizio e sul comportamento di rete a livello di pod. Queste metriche consentono agli utenti di analizzare le prestazioni dell'applicazione, rilevare anomalie e ottimizzare i carichi di lavoro.

Per altre informazioni, vedere La documentazione panoramica delle metriche .

Log di rete dei container

I log di rete dei contenitori forniscono informazioni dettagliate sul traffico all'interno e tra cluster acquisendo metadati come indirizzi IP di origine/destinazione, porte, protocolli e direzione del flusso. Questi log consentono il monitoraggio del comportamento di rete, la risoluzione dei problemi di connettività e l'applicazione dei criteri di sicurezza. Le opzioni di registrazione persistenti e in tempo reale garantiscono un'osservabilità completa e pratica della rete.

Per ulteriori informazioni, vedere la documentazione Panoramica dei log di rete dei contenitori.

Sicurezza di rete dei contenitori

La protezione delle applicazioni in contenitori è essenziale negli ambienti cloud dinamici di oggi. Advanced Container Networking Services offre funzionalità per rafforzare la sicurezza di rete del cluster.

Filtro basato su FQDN

Migliora il controllo in uscita con Azure CNI alimentato dalle politiche DNS di Cilium. Semplificare la configurazione usando nomi di dominio (FQDN) anziché gestire indirizzi IP dinamici. Per altre informazioni, vedere la documentazione panoramica del filtro basato su FQDN .

Politica di Livello 7 (L7) (Anteprima)

Ottenere un controllo granulare sul traffico a livello di applicazione. Implementare criteri basati su protocolli come HTTP, gRPC e kafka, proteggendo le applicazioni con visibilità approfondita e controllo di accesso con granularità fine. Per altre informazioni, vedere la documentazione panoramica dei criteri L7 .

Prezzi

Importante

Servizi avanzati di rete per contenitori è un'offerta a pagamento. Per altre informazioni sui prezzi, vedere Servizi di rete dei contenitori avanzati - Prezzi.

Configurare Advanced Container Networking Services nel cluster

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Se non se ne dispone, creare un account gratuito prima di iniziare.

• Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Introduzione ad Azure Cloud Shell.

  

• Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.

  • Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Eseguire l'autenticazione ad Azure con l'interfaccia della riga di comando di Azure.

  • Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare e gestire le estensioni con l'interfaccia della riga di comando di Azure.

  • Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

• La versione minima dell'interfaccia della riga di comando di Azure necessaria per i passaggi descritti in questo articolo è 2.71.0. Eseguire az --version per trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure.

Installare l'estensione aks-preview dell'interfaccia della riga di comando di Azure.

Installare o aggiornare l'estensione di anteprima dell'interfaccia della riga di comando di Azure usando i comandi az extension add o az extension update.

La versione minima dell'estensione dell'interfaccia della riga di comando di Azure aks-preview è 14.0.0b6

# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

Registrare il flag di funzionalità AdvancedNetworkingL7PolicyPreview

Nota

Funzionalità di sicurezza di rete dei contenitori supportate solo in Azure CNI basato su cluster basati su Cilium.

Registrare il flag della funzionalità AdvancedNetworkingL7PolicyPreview usando il comando az feature register.

az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

Verificare la corretta registrazione usando il az feature show comando . Per completare la registrazione sono necessari alcuni minuti.

az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

Creare un gruppo di risorse

Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. Creare un gruppo di risorse usando il comando az group create.

# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION

Abilitare e disabilitare Advanced Container Networking Services nel cluster del servizio Azure Kubernetes

Creare un cluster del servizio Azure Kubernetes con Servizi di rete dei contenitori avanzati

Il az aks create comando con il flag Advanced Container Networking Services, --enable-acns, crea un nuovo cluster del servizio Azure Kubernetes con tutte le funzionalità di Advanced Container Networking Services. Queste funzionalità includono:

• Osservabilità della rete dei contenitori: fornisce informazioni dettagliate sul traffico di rete. Per altre informazioni, vedere Container Network Observability (Osservabilità della rete contenitori).

• Sicurezza di rete dei contenitori: offre funzionalità di sicurezza come il filtro FQDN. Per altre informazioni, vedere Sicurezza di rete dei contenitori.

Cilio

Nota

I cluster con il piano dati Cilium supportano la sicurezza container Network Observability and Container Network a partire da Kubernetes versione 1.29.

Quando il --acns-advanced-networkpolicies parametro è impostato su "L7", i criteri di filtro L7 e FQDN sono abilitati. Se si vuole abilitare solo il filtro FQDN, impostare il parametro su "FQDN". Per disabilitare entrambe le funzionalità, è possibile seguire le istruzioni fornite in Disabilitare la sicurezza di rete dei contenitori.

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --kubernetes-version 1.29 \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

Non-Cilium

Nota

La funzionalità Sicurezza della rete del container non è disponibile per i cluster non Cilium.

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --enable-acns

Abilitare Advanced Container Networking Services in un cluster esistente

Il az aks update comando con il flag Advanced Container Networking Services, --enable-acns, aggiorna un cluster del servizio Azure Kubernetes esistente con tutte le funzionalità di Advanced Container Networking Services che includono l'osservabilità della rete dei contenitori e la funzionalità Sicurezza di rete dei contenitori.

Cilio

Nota

I cluster con il piano dati Cilium supportano la sicurezza container Network Observability and Container Network a partire da Kubernetes versione 1.29.

Quando il --acns-advanced-networkpolicies parametro è impostato su "L7", i criteri di filtro L7 e FQDN sono abilitati. Se si vuole abilitare solo il filtro FQDN, impostare il parametro su "FQDN". Per disabilitare entrambe le funzionalità, è possibile seguire le istruzioni fornite in Disabilitare la sicurezza di rete dei contenitori.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

Non-Cilium

Nota

Solo i cluster con il piano dati Cilium supportano le funzionalità di sicurezza di rete dei contenitori di Advanced Container Networking Services.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

Disabilitare Advanced Container Networking Services

Il --disable-acns flag disabilita tutte le funzionalità di Advanced Container Networking Services in un cluster del servizio Azure Kubernetes esistente che include l'osservabilità della rete dei contenitori e la sicurezza di rete dei contenitori

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

---

Disabilitare selezionare Funzionalità avanzate di Servizi di rete contenitori

Disabilitare l'osservabilità della rete dei contenitori

Cilio

Per disabilitare le funzionalità di Osservabilità della rete dei contenitori senza influire su altre funzionalità di Servizi di rete dei contenitori avanzati, usare --enable-acns e --disable-acns-observability

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability 

Non-Cilium

Poiché solo Container Network Observability è l'unica funzionalità disponibile per il cluster non cilium, è possibile usare --disable-acns per disabilitare la funzionalità

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns 

Disabilitare la sicurezza di rete dei contenitori

Per disabilitare le funzionalità di sicurezza di rete dei contenitori senza influire su altre funzionalità di Servizi di rete dei contenitori avanzati, usare --enable-acns e --disable-acns-security

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security

---

Passaggi successivi

• Per altre informazioni su Container Network Observability e sulle relative funzionalità, vedere Che cos'è l'osservabilità della rete dei contenitori?

• Per altre informazioni sulla sicurezza di rete dei contenitori e sulle relative funzionalità, vedere Che cos'è la sicurezza di rete dei contenitori?