Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Advanced Container Networking Services to pakiet usług zaprojektowany w celu zwiększenia możliwości sieciowych klastrów usługi Azure Kubernetes Service (AKS). Usługa Advanced Container Networking Services oferuje następujące kluczowe zestawy funkcji: Obserwowanie sieci kontenerów, Zabezpieczenia sieci kontenerów i Wydajność sieci kontenerów. Te funkcje zapewniają szczegółowe informacje na temat ruchu sieciowego, wzmacniają środki zabezpieczeń i optymalizują wydajność sieci dla konteneryzowanych aplikacji działających w usłudze AKS.
Wgląd w sieć kontenerów
Obserwacja sieci kontenerów zapewnia szczegółowe informacje na temat ruchu sieciowego i wydajności w środowiskach konteneryzowanych. Ten zestaw funkcji działa zarówno w płaszczyznach danych Cilium, jak i innych niż Cilium, co zapewnia elastyczność w różnych potrzebach sieciowych. Funkcja korzysta z eBPF, aby zwiększyć skalowalność i wydajność, identyfikując potencjalne wąskie gardła i przeciążenia sieci, zanim aplikacje zostaną dotknięte.
Najważniejsze korzyści wynikające z obserwacji sieci kontenerów obejmują:
- Zgodność ze wszystkimi wariantami interfejsu CNI (Container Networking Interface) na platformie Azure.
- Metryki sieci kontenerów, w tym metryki na poziomie węzła i metryki usługi Hubble w celu uzyskania szczegółowych informacji o sieci.
- Metryki Hubble dotyczące rozpoznawania nazw domen (DNS), komunikacji między zasobnikami i interakcji z usługami.
- Dzienniki sieci kontenerów , które przechwytują podstawowe metadane, takie jak adresy IP, porty i przepływ ruchu na potrzeby rozwiązywania problemów, monitorowania i wymuszania zabezpieczeń.
- Integracja z zarządzaną usługą dla Prometheusa w Azure Monitor i Azure Managed Grafana w celu uproszczenia przechowywania i wizualizacji metryk.
Metryki sieci kontenerów
Ta funkcja zbiera metryki na poziomie węzła, w tym procesor, pamięć i wydajność sieci, w celu monitorowania kondycji węzłów klastra. Aby uzyskać bardziej szczegółowe informacje, metryki Hubble udostępniają dane dotyczące czasów rozpoznawania nazw DNS, komunikacji między usługami i zachowania sieci na poziomie podów. Te metryki ułatwiają analizowanie wydajności aplikacji, wykrywanie anomalii i optymalizowanie obciążeń.
Aby uzyskać więcej informacji, zobacz omówienie metryk.
Dzienniki sieci kontenerów
Dzienniki sieci kontenerów zapewniają szczegółowy wgląd w ruch w klastrach i między nimi, przechwytując metadane, takie jak źródłowe i docelowe adresy IP, porty, protokoły i kierunek przepływu. Te dzienniki umożliwiają monitorowanie zachowania sieci, rozwiązywanie problemów z łącznością i wymuszanie zasad zabezpieczeń. Opcje trwałego i w czasie rzeczywistym rejestrowania zapewniają kompleksową, praktyczną możliwość obserwowania sieci.
Aby uzyskać więcej informacji, zobacz omówienie dzienników sieci kontenerów.
Zabezpieczenia sieci kontenerów
Bezpieczeństwo sieci kontenerowych podnosi poziom bezpieczeństwa klastrów usługi AKS, dzięki wprowadzeniu zaawansowanych funkcji bezpieczeństwa sieci. Wykorzystuje technologię eBPF do wymuszania zasad sieciowych na poziomie jądra, zapewniając wydajne i skuteczne mechanizmy kontroli zabezpieczeń dla konteneryzowanych aplikacji. Zabezpieczenia sieci kontenerów są dostępne tylko w klastrach z usługą Azure CNI obsługiwanej przez cilium.
Filtrowanie na podstawie FQDN
Filtrowanie oparte na nazwach FQDN umożliwia tworzenie zasad sieci na podstawie w pełni kwalifikowanych nazw domen (FQDN), a nie adresów IP. Ta funkcja upraszcza zarządzanie zasadami, szczególnie w środowiskach dynamicznych, w których adresy IP często się zmieniają. Korzystając z nazw w pełni kwalifikowanych domen (FQDN), możesz zapewnić, że aplikacje komunikują się tylko z zaufanymi usługami zewnętrznymi, co zwiększa poziom bezpieczeństwa i zgodności.
Aby uzyskać więcej informacji, zobacz omówienie filtrowania opartego na FQDN.
Zasady warstwy 7
Zasady warstwy 7 umożliwiają kontrolę ruchu w warstwie aplikacji, umożliwiając definiowanie zasad na podstawie określonych protokołów aplikacji. Ta funkcja zapewnia szczegółową kontrolę nad ruchem sieciowym, umożliwiając wymuszanie zasad zabezpieczeń, które są zgodne z zachowaniem aplikacji. Za pomocą zasad warstwy 7 można monitorować i ograniczać ruch na podstawie metod HTTP, adresów URL, nagłówków i innych atrybutów na poziomie aplikacji.
Aby uzyskać więcej informacji, zobacz Omówienie zasad warstwy 7.
Szyfrowanie WireGuard (wersja zapoznawcza)
Szyfrowanie WireGuard korzysta z protokołu WireGuard w celu zapewnienia bezpiecznej, zaszyfrowanej komunikacji między punktami końcowymi zarządzanymi przez Cilium w klastrze AKS. Ta funkcja zapewnia ochronę danych przesyłanych przez sieć przed podsłuchiwaniem i manipulowaniem, co zwiększa ogólne bezpieczeństwo konteneryzowanych aplikacji.
Aby uzyskać więcej informacji, zobacz Omówienie szyfrowania WireGuard.
Wydajność sieci kontenera
Wydajność sieci kontenera optymalizuje wydajność sieci dla konteneryzowanych aplikacji działających w klastrach usługi AKS. Wykorzystuje technologię eBPF, aby zwiększyć routing sieciowy i zmniejszyć opóźnienia, zapewniając, że aplikacje mogą efektywnie i skutecznie komunikować się. Wydajność sieci kontenerów jest dostępna tylko w klastrach za pomocą usługi Azure CNI obsługiwanej przez cilium.
Routing eBPF na hoście
eBPF Host Routing wykorzystuje technologię rozszerzonego Berkeley Packet Filter (eBPF) do optymalizacji przepływu ruchu w klastrach AKS.
Aby uzyskać więcej informacji, zobacz omówienie routingu hosta eBPF.