這很重要
AKS 預覽功能可透過自願加入的方式使用。 預覽是「依現況」及「可用時」提供的,並不包括在服務等級協定和有限保固之內。 客戶支援部門會盡最大努力,部分支援 AKS 預覽。 因此,這些功能不適合實際執行用途。 如需詳細資訊,請參閱下列支援文章:
Azure Kubernetes 應用程式網路提供了一個完全受控、以 Ambient 為基礎、且適用於 Azure Kubernetes Service (AKS) 的服務網路解決方案。 它可讓服務之間進行安全且由原則驅動的通訊,且不需使用 Sidecar,也不需變更您的應用程式。 Azure 同時管理控制平面和資料平面,讓你可以專注於工作負載,而不必操作和維護服務網路基礎設施。
當你建立應用程式網路資源時,會為服務間通訊配置一個專用且完全受控的控制與資料平面。 接著你可以將一個或多個 AKS 叢集連接到應用程式網路資源,將它們接入服務網路。 連接後,應用程式網路負責管理組態、服務身份及版本升級,提供跨工作負載的一致性安全與流量政策,且設定與營運負擔極低。
這很重要
Azure Kubernetes 應用網路僅管理與服務網路相關的元件與政策。 它不會管理或升級你的 AKS 叢集、Kubernetes 版本或節點映像檔。
這很重要
Azure Kubernetes 應用網路不會儲存任何客戶資料。
核心功能
Application Network 在 AKS 中提供一種簡化的零信任網路方法。 主要功能包括:
- 環境架構:提供無側車的網狀功能,降低資源使用並簡化操作。
- 自動化互助TLS(mTLS):預設保護服務之間的流量,自動支援加密與未加密的連線。
- 管理憑證授權機構:自動發行並輪替符合 SPIFFE 工作負載的憑證。
- 版本與升級控制:手動選擇次要版本,或使用發行頻道進行自動升級。 部署與修補始終由 Application Network 管理。
- 整合生命週期管理:作為 AKS 平台的一部分運作,控制平面操作由 Azure 完全管理。
架構概觀
應用網路使用由輕量級節點級及可選的 L7 代理組成的 環境網狀模型 :
- 節點層級 Proxy 會透過 mTLS 保護叢集內所有 L4 服務對服務流量,因此不再需要 Sidecar。
- 可選的 L7 代理 在服務層級提供進階路由與政策強制執行。
此設計將資料平面與個別工作負載分離,提升效率並簡化採用。 更多細節請參見 Azure Kubernetes 應用網路架構。
支援的案例
應用網路支援單叢集 AKS 部署,運行 基於 Linux 的節點池。 這項功能很適合需要安全的叢集內通訊,以及簡化 Mesh 管理,又不想管理 Sidecar 或控制平面元件的應用程式。
局限性
Application Network 目前有以下限制:
- Application Network 需要 AKS 版本 1.30 或更高版本。 請參閱 Netowork 支援的應用程式版本 ,了解每個 AKS 版本的具體相容性資訊。
- AKS 私有叢集 目前不支援。
- 僅限 Linux。 Windows 節點池不被支援。
- 不支援在升級模式
SelfManaged和FullyManaged之間切換。 - 目前僅支援以下地區:
- centralus
- eastus2
- westus2
- westus3
- northeurope
- 東南亞
- 在已連線到 Application Network 的叢集上,不支援啟用 AKS 的 Istio 型服務網格增益集。
相關內容
欲了解更多關於 Azure Kubernetes 應用網路的資訊,請參閱以下文章: