고급 컨테이너 네트워킹 서비스란?
고급 컨테이너 네트워킹 서비스는 AKS(Azure Kubernetes Service) 클러스터의 네트워킹 기능을 향상시키기 위해 설계된 서비스 모음입니다. 이 제품군은 관찰 가능성, 보안 및 규정 준수와 같은 최신 컨테이너화된 애플리케이션의 문제를 해결합니다.
고급 컨테이너 네트워킹 서비스를 사용하면 강력한 보안 상태를 유지하고 네트워크 트래픽 및 애플리케이션 성능에 대한 심층적인 인사이트를 얻을 수 있는 원활하고 통합된 환경을 제공하는 데 중점을 두고 있습니다. 이렇게 하면 컨테이너화된 애플리케이션이 안전할 뿐만 아니라 성능 및 안정성 목표를 충족하거나 초과할 수 있으므로 인프라를 자신 있게 관리하고 크기를 조정할 수 있습니다.
고급 컨테이너 네트워킹 서비스에는 무엇이 포함되어 있나요?
고급 컨테이너 네트워킹 서비스에는 다음 두 가지 핵심 요소로 분할된 기능이 포함되어 있습니다.
관찰성: 고급 컨테이너 네트워킹 서비스 제품군의 첫 번째 기능은 허블의 제어 평면의 기능을 Cilium 및 비 Cilium Linux 데이터 평면 모두에 제공합니다. 이러한 기능은 네트워킹 및 성능에 대한 가시성을 제공하는 것을 목표로 합니다.
보안: Cilium에서 제공하는 Azure CNI를 사용하는 클러스터의 경우 네트워크 정책에는 구성 유지 관리의 복잡성을 해결하기 위한 FQDN(정규화된 도메인 이름) 필터링이 포함됩니다.
컨테이너 네트워크 관찰 가능성
Container Network Observability는 네트워크 관련 모니터링 및 진단 도구를 제공하여 컨테이너화된 워크로드에 대한 가시성을 제공합니다. AKS 클러스터의 Hubble 메트릭, Hubble의 CLI(명령줄 인터페이스) 및 UI(Hubble 사용자 인터페이스)를 잠금 해제하여 AKS에서 네트워크 관련 문제의 근본 원인을 감지하고 확인할 수 있도록 컨테이너화된 워크로드에 대한 깊고 실행 가능한 인사이트를 제공합니다. 이러한 기능을 통해 인프라를 자신 있게 관리할 수 있도록 컨테이너화된 애플리케이션이 안전하고 규정을 준수할 수 있습니다.
Container Network Observability에 대한 자세한 내용은 Container Network Observability란?을 참조하세요.
Container Network Security
고급 컨테이너 네트워킹 서비스 내의 컨테이너 네트워크 보안 기능을 사용하면 클러스터 간에 구현할 때 쉽게 사용할 수 있도록 네트워크 보안 정책을 보다 쉽게 제어할 수 있습니다. Cilium에서 제공하는 Azure CNI를 사용하는 클러스터는 DNS 기반 정책에 액세스할 수 있습니다. IP 기반 정책에 비해 사용 편의성을 사용하면 도메인 이름을 사용하여 외부 서비스에 대한 송신 액세스를 제한할 수 있습니다. IP를 동적으로 변경하는 대신 FQDN을 사용하여 구성 관리가 간소화됩니다.
Container Network Security 및 해당 기능에 대한 자세한 내용은 Container Network Security란?을 참조하세요.
가격 책정
Important
고급 컨테이너 네트워킹 서비스는 유료 제품입니다. 가격 책정에 대한 자세한 내용은 고급 컨테이너 네트워킹 서비스 - 가격 책정을 참조하세요
클러스터에서 고급 컨테이너 네트워킹 서비스 설정
필수 조건
- 활성 구독이 있는 Azure 계정. 구독이 없으면 시작하기 전에 계정을 만드세요.
Azure Cloud Shell에서 Bash 환경을 사용합니다. 자세한 내용은 Azure Cloud Shell의 Bash에 대한 빠른 시작을 참조하세요.
CLI 참조 명령을 로컬에서 실행하려면 Azure CLI를 설치합니다. Windows 또는 macOS에서 실행 중인 경우 Docker 컨테이너에서 Azure CLI를 실행하는 것이 좋습니다. 자세한 내용은 Docker 컨테이너에서 Azure CLI를 실행하는 방법을 참조하세요.
로컬 설치를 사용하는 경우 az login 명령을 사용하여 Azure CLI에 로그인합니다. 인증 프로세스를 완료하려면 터미널에 표시되는 단계를 수행합니다. 다른 로그인 옵션은 Azure CLI를 사용하여 로그인을 참조하세요.
메시지가 표시되면 처음 사용할 때 Azure CLI 확장을 설치합니다. 확장에 대한 자세한 내용은 Azure CLI에서 확장 사용을 참조하세요.
az version을 실행하여 설치된 버전과 종속 라이브러리를 찾습니다. 최신 버전으로 업그레이드하려면 az upgrade를 실행합니다.
- 이 문서의 단계에 필요한 Azure CLI의 최소 버전은 2.56.0입니다.
az --version을 실행하여 버전을 찾습니다. 설치 또는 업그레이드해야 하는 경우 Azure CLI 설치를 참조하세요.
aks-preview Azure CLI 확장 설치
az extension add 또는 az extension update 명령을 사용하여 Azure CLI 미리 보기 확장을 설치하거나 업데이트합니다.
# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview
리소스 그룹 만들기
리소스 그룹은 Azure 리소스가 배포 및 관리되는 논리적 컨테이너입니다. az group create 명령을 사용하여 리소스 그룹을 만듭니다.
# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION
AKS 클러스터에서 고급 컨테이너 네트워킹 서비스 사용 및 사용 안 함
고급 컨테이너 네트워킹 서비스를 사용하여 AKS 클러스터 만들기
az aks create 고급 컨테이너 네트워킹 서비스 플래그--enable-acns가 있는 명령은 모든 고급 컨테이너 네트워킹 서비스 기능을 사용하여 새 AKS 클러스터를 만듭니다. 이러한 기능은 다음을 포함합니다.
컨테이너 네트워크 관찰 가능성: 네트워크 트래픽에 대한 인사이트를 제공합니다. 자세한 내용은 Container Network Observability를 방문 하세요.
컨테이너 네트워크 보안: FQDN 필터링과 같은 보안 기능을 제공합니다. 자세한 내용은 Container Network Security를 방문하세요.
참고 항목
Cilium 데이터 평면을 사용하는 클러스터는 Kubernetes 버전 1.29부터 Container Network Observability 및 Container Network 보안을 지원합니다.
# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"
# Create an AKS cluster
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--generate-ssh-keys \
--location eastus \
--max-pods 250 \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--node-count 2 \
--pod-cidr 192.168.0.0/16 \
--kubernetes-version 1.29 \
--enable-acns
기존 클러스터에서 고급 컨테이너 네트워킹 서비스 사용
az aks update 고급 컨테이너 네트워킹 서비스 플래그--enable-acns가 있는 명령은 컨테이너 네트워크 관찰 기능 및 컨테이너 네트워크 보안 기능을 포함하는 모든 고급 컨테이너 네트워킹 서비스 기능으로 기존 AKS 클러스터를 업데이트합니다.
참고 항목
Cilium 데이터 평면이 있는 클러스터만 고급 컨테이너 네트워킹 서비스의 Container Network Security 기능을 지원합니다.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns
고급 컨테이너 네트워킹 서비스 사용 안 함
이 플래그는 --disable-acns 컨테이너 네트워크 관찰 가능성 및 컨테이너 네트워크 보안을 포함하는 기존 AKS 클러스터의 모든 고급 컨테이너 네트워킹 서비스 기능을 사용하지 않도록 설정합니다.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--disable-acns
고급 컨테이너 네트워킹 서비스 기능 선택 사용 안 함
컨테이너 네트워크 관찰 기능 사용 안 함
다른 고급 컨테이너 네트워킹 서비스 기능에 영향을 주지 않고 컨테이너 네트워크 관찰 기능을 사용하지 않도록 설정하려면 다음을 사용 --enable-acns 하세요. --disable-acns-observability
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-observability
컨테이너 네트워크 보안 사용 안 함
다른 고급 컨테이너 네트워킹 서비스 기능에 영향을 주지 않고 Container Network Security 기능을 사용하지 않도록 설정하려면 다음을 사용 --enable-acns 하세요. --disable-acns-security
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-security
다음 단계
Container Network Observability 및 해당 기능에 대한 자세한 내용은 Container Network Observability란?을 참조하세요.
Container Network Security 및 해당 기능에 대한 자세한 내용은 Container Network Security란?
Azure Kubernetes Service