Freigeben über

Was ist Erweiterte Container-Netzwerkdienste?

Erweiterte Container-Netzwerkdienste ist eine Dienstsuite, die entwickelt wurde, um die Netzwerkfunktionen von Azure Kubernetes Service-Clustern (AKS) zu verbessern. Die Suite behebt die Herausforderungen in modernen containerisierten Anwendungen, z. B. Observability, Sicherheit und Compliance.

Advanced Container Networking Services konzentriert sich auf die Bereitstellung einer nahtlosen und integrierten Erfahrung, die Ihnen hilft, stabile Sicherheitsstatus aufrechtzuerhalten und tiefe Einblicke in Den Netzwerkdatenverkehr und die Anwendungsleistung zu erhalten. Dadurch wird sichergestellt, dass Ihre containerisierten Anwendungen nicht nur sicher sind, sondern auch, dass sie Ihre Leistungs- und Zuverlässigkeitsziele erfüllen oder überschreiten. Advanced Container Networking Services hilft Ihnen, Ihre Infrastruktur sicher zu verwalten und zu skalieren.

Was ist in Erweiterte Container-Netzwerkdienste enthalten?

Advanced Container Networking Services bietet zwei wichtige Features:

  • Beobachtbarkeit des Containernetzwerks: Das erste Feature der Advanced Container Networking Services-Suite, das die Leistungsfähigkeit der Hubble-Steuerebene sowohl auf Cilium- als auch nicht-Cilium-Linux-Datenebenen bringt. Diese Features zielen darauf ab, Einblicke in das Netzwerk und die Leistung zu bieten.

  • Containernetzwerksicherheit: Bei Clustern mit Azure CNI Powered by Cilium umfassen die Netzwerkrichtlinien die Filterung nach vollqualifizierten Domänennamen (FQDN) zur Bewältigung der komplexen Konfigurationsverwaltung.

Beobachtbarkeit von Containernetzwerken

Container Network Observability in AKS ist ein umfassender Featuresatz in Advanced Container Networking Services, der umfassende Einblicke in Netzwerkdatenverkehr und Leistung in containerisierten Umgebungen bietet. Es funktioniert nahtlos in Cilium- und Nicht-Cilium-Datenebenen und bietet Flexibilität für verschiedene Netzwerkanforderungen. Das Feature verwendet eBPF, um Skalierbarkeit und Leistung zu verbessern, indem potenzielle Engpässe und Netzwerküberlastungen identifiziert werden, bevor Anwendungen betroffen sind.

Die wichtigsten Vorteile sind die Kompatibilität mit allen CNI-Varianten (Container Networking Interface) in Azure, detaillierte Einblicke in Metriken auf Knotenebene und Hubble-Metriken für die DNS-Auflösung (Domain Name System), pod-to-pod-Kommunikation und Dienstinteraktionen. Containernetzwerkprotokolle erfassen wichtige Metadaten wie IPs, Ports und Datenverkehrsfluss zur Problembehandlung, Überwachung und Sicherheitserzwingung.

Es ist auch in den verwalteten Dienst für Prometheus in Azure Monitor und Azure Managed Grafana integriert, um die Speicherung und Visualisierung von Metriken zu vereinfachen. Unabhängig davon, ob Sie verwaltete Dienste oder Ihre eigene Infrastruktur verwenden, trägt diese Observability-Lösung dazu bei, eine leistungsfähige, sichere und kompatible Netzwerkumgebung für AKS-Workloads sicherzustellen.

Diagramm der Containernetzwerk-Observability-Architektur.

Containernetzwerkmetriken

Dieses Feature sammelt Metriken auf Knotenebene, einschließlich CPU, Arbeitsspeicher und Netzwerkleistung, um die Integrität von Clusterknoten zu überwachen. Für tiefere Einblicke liefern Hubble-Metriken Daten zu DNS-Auflösungszeiten, Dienst-zu-Dienst-Kommunikation und Netzwerkverhalten auf Pod-Ebene. Diese Metriken helfen Ihnen, die Anwendungsleistung zu analysieren, Anomalien zu erkennen und Workloads zu optimieren.

Weitere Informationen finden Sie in der Metrikübersicht.

Containernetzwerkprotokolle

Containernetzwerkprotokolle geben Ihnen detaillierte Einblicke in den Datenverkehr innerhalb und über Cluster hinweg, indem Metadaten wie Quell- und Ziel-IP-Adressen, Ports, Protokolle und Ablaufrichtung erfasst werden. Diese Protokolle ermöglichen das Überwachen des Netzwerkverhaltens, die Problembehandlung von Konnektivitätsproblemen und das Erzwingen von Sicherheitsrichtlinien. Dauerhafte und Echtzeitprotokollierungsoptionen stellen eine umfassende, umsetzbare Netzwerkbeobachtbarkeit sicher.

Weitere Informationen finden Sie in der Übersicht über containernetzwerkprotokolle.

Containernetzwerksicherheit

Die Sicherung Ihrer containerisierten Anwendungen ist in den heutigen dynamischen Cloudumgebungen unerlässlich. Advanced Container Networking Services bietet Features zur Stärkung der Netzwerksicherheit Ihres Clusters.

FQDN-basierte Filterung

Verbessern Sie die Ausgangssteuerung mit DNS-basierten Richtlinien von Azure CNI Powered by Cilium. Vereinfachen Sie die Konfiguration mithilfe von FQDNs anstelle der Verwaltung dynamischer IP-Adressen.

Weitere Informationen finden Sie in der FQDN-basierten Filterübersicht.

Layer 7-Richtlinie (Vorschau)

Erhalten Sie eine präzise Kontrolle über den Datenverkehr auf Anwendungsebene. Implementieren Sie Richtlinien basierend auf Protokollen wie HTTP, gRPC und kafka, und sichern Sie Ihre Anwendungen mit tiefer Sichtbarkeit und feiner Zugriffssteuerung. Weitere Informationen finden Sie in der Übersicht über die Layer 7-Richtliniendokumentation .

Preise

Wichtig

Die erweiterten Container-Netzwerkdienste werden in Zukunft ein kostenpflichtiges Angebot sein.

Informationen zum Preis finden Sie unter Advanced Container Networking Services – Preise.

Einrichten von Erweiterte Container-Netzwerkdienste auf Ihrem Cluster

Voraussetzungen

  • Ein Azure-Konto mit einem aktiven Abonnement. Sollten Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
  • Die mindeste Version von Azure CLI, die für die Schritte in diesem Artikel erforderlich ist, ist 2.71.0. Zum Ermitteln Ihrer Version führen Sie az --version aus. Informationen zum Ausführen einer Installation oder eines Upgrades finden Sie unter Installieren der Azure CLI.

Installieren der Azure CLI-Erweiterung „aks-preview“

Installieren oder aktualisieren Sie die Azure CLI-Vorschauerweiterung mithilfe des az extension add- oder az extension update-Befehls.

Die Mindestversion der aks-preview Azure CLI-Erweiterung lautet 14.0.0b6.

# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

Registrieren Sie das Feature-Flag AdvancedNetworkingL7PolicyPreview

Hinweis

Containernetzwerksicherheitsfunktionen werden nur von Azure CNI unterstützt, das von Cilium-basierten Clustern betrieben wird.

Registrieren Sie das AdvancedNetworkingL7PolicyPreview Feature-Flag mithilfe des az feature register Befehls:

az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

Überprüfen Sie die erfolgreiche Registrierung mithilfe des az feature show Befehls. Die Registrierung dauert ein paar Minuten.

az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

Erstellen einer Ressourcengruppe

Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Erstellen Sie eine Ressourcengruppe mithilfe des az group create Befehls:

# Set environment variables for the resource group name and ___location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --___location $LOCATION

Aktivieren und Deaktivieren von Advanced Container Networking Services in einem AKS-Cluster

Erstellen eines AKS-Clusters mit erweiterten Containernetzwerkdiensten

Der az aks create Befehl mit dem --enable-acns-Flag "Erweiterte Containernetzwerkdienste" erstellt einen neuen AKS-Cluster mit allen Funktionen der erweiterten Containernetzwerkdienste, einschließlich Containernetzwerkobservability und Containernetzwerksicherheit.

Hinweis

Cluster mit der Cilium-Datenebene unterstützen container Network Observability und Container Network Security in Kubernetes, Version 1.29 und höher.

Wenn der --acns-advanced-networkpolicies Parameter auf L7 festgelegt ist, werden sowohl L7- als auch FQDN-Filterrichtlinien aktiviert. Wenn Sie nur die FQDN-Filterung aktivieren möchten, legen Sie den Parameter auf FQDN.

Um beide Funktionen zu deaktivieren, führen Sie die unter Deaktivieren von Containernetzwerksicherheit beschriebenen Schritte aus.

# Set an environment variable for the AKS cluster name. Make sure you replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --kubernetes-version 1.29 \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

Aktivieren von erweiterten Container-Netzwerkdiensten für einen vorhandenen Cluster

Der az aks update Befehl mit dem --enable-acns Flag aktualisiert einen vorhandenen AKS-Cluster mit allen Advanced Container Networking Services-Features, einschließlich Container Network Observability und Container Network Security.

Hinweis

Cluster mit der Cilium-Datenebene unterstützen Container Network Observability und Container Network Security in Kubernetes, Version 1.29 und höher.

Wenn der --acns-advanced-networkpolicies Parameter auf L7 festgelegt ist, werden sowohl Layer 7- als auch FQDN-Filterrichtlinien aktiviert. Wenn Sie nur die FQDN-Filterung aktivieren möchten, legen Sie den Parameter auf FQDN.

Führen Sie zum Deaktivieren beider Features die unter "Deaktivieren der Containernetzwerksicherheit" beschriebenen Schritte aus.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

Was ist Erweiterte Container-Netzwerkdienste?

Mit der --disable-acns Kennzeichnung werden alle Advanced Container Networking Services-Features in einem vorhandenen AKS-Cluster deaktiviert. Container network Observability und Container Network Security sind ebenfalls deaktiviert.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

Erweiterte Containernetzwerkdienste-Features deaktivieren

Deaktiveren von Container Network Observability

Führen Sie Folgendes aus, um die Funktion "Container Network Observability" zu deaktivieren, ohne die anderen Funktionen der erweiterten Containernetzwerkdienste zu beeinflussen:

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability

Deaktivieren von Containernetzwerksicherheit

Führen Sie Folgendes aus, um das Feature "Containernetzwerksicherheit" zu deaktivieren, ohne dass sich dies auf andere Erweiterte Containernetzwerkdienste auswirkt:

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security

Verwandte Inhalte