Condividi tramite

Che cosa sono i servizi avanzati di rete per contenitori?

Servizi avanzati di rete per contenitori è una suite di servizi progettati per migliorare le funzionalità di networking dei cluster del Servizio Azure Kubernetes. La famiglia di prodotti affronta i problemi delle applicazioni in contenitori moderne, come osservabilità, sicurezza e conformità.

Advanced Container Networking Services è incentrato sulla fornitura di un'esperienza integrata e trasparente che consente di mantenere posizioni di sicurezza affidabili e di ottenere informazioni approfondite sul traffico di rete e sulle prestazioni dell'applicazione. Garantisce che le applicazioni in contenitori non siano solo sicure, ma anche che soddisfino o superino gli obiettivi di prestazioni e affidabilità. Advanced Container Networking Services consente di gestire e ridimensionare in modo sicuro l'infrastruttura.

Che cos'è incluso nei servizi avanzati di rete per contenitori?

Advanced Container Networking Services offre due funzionalità chiave:

  • Osservabilità della rete dei contenitori: La funzionalità inaugurale della suite Advanced Container Networking Services, che porta la potenza del piano di controllo di Hubble sia ai piani dati Cilium che non Cilium Linux. Queste funzionalità mirano a fornire visibilità sul networking e sulle prestazioni.

  • Sicurezza di rete dei contenitori: Per i cluster che usano Azure CNI con tecnologia Cilium, i criteri di rete includono filtri FQDN (Fully Qualified Domain Name) per affrontare le complessità della gestione della configurazione.

  • Prestazioni di rete del contenitore: Per i cluster che usano Azure CNI con tecnologia Cilium, è possibile abilitare una suite di funzionalità di prestazioni di rete, ad esempio il routing host eBPF, per ridurre la latenza e aumentare la velocità effettiva.

Osservabilità della Rete dei Container

L'osservabilità della rete dei contenitori in AKS è un set completo di funzionalità all'interno dei Servizi Avanzati di Rete per Contenitori, progettato per fornire informazioni approfondite sul traffico di rete e sulle prestazioni negli ambienti containerizzati. Funziona perfettamente in entrambi i piani dati Cilium e non Cilium, offrendo flessibilità per esigenze di rete diverse. La funzionalità usa eBPF per migliorare la scalabilità e le prestazioni identificando potenziali colli di bottiglia e la congestione della rete prima che le applicazioni vengano influenzate.

I vantaggi principali includono la compatibilità con tutte le varianti CNI (Container Networking Interface) in Azure, la visibilità dettagliata sulle metriche a livello di nodo e le metriche hubble per la risoluzione DNS (Domain Name System), la comunicazione da pod a pod e le interazioni con i servizi. I log di rete dei contenitori acquisiscono metadati essenziali, ad esempio indirizzi IP, porte e flusso di traffico per la risoluzione dei problemi, il monitoraggio e l'applicazione della sicurezza.

Si integra anche con il servizio gestito per Prometheus in Azure Monitor e Azure Managed Grafana per l'archiviazione e la visualizzazione semplificata delle metriche. Se si usano servizi gestiti o un'infrastruttura personalizzata, questa soluzione di osservabilità consente di garantire un ambiente di rete altamente efficiente, sicuro e conforme per i carichi di lavoro del servizio Azure Kubernetes.

Diagramma dell'architettura dell'osservabilità della rete dei container.

Metriche di rete dei contenitori

Questa funzionalità raccoglie le metriche a livello di nodo, tra cui CPU, memoria e prestazioni di rete, per monitorare l'integrità dei nodi del cluster. Per informazioni più approfondite, le metriche hubble forniscono dati sui tempi di risoluzione DNS, sulla comunicazione da servizio a servizio e sul comportamento di rete a livello di pod. Queste metriche consentono di analizzare le prestazioni dell'applicazione, rilevare le anomalie e ottimizzare i carichi di lavoro.

Per altre informazioni, vedere la panoramica delle metriche.

Log di rete dei container

I log di rete dei contenitori offrono informazioni dettagliate sul traffico all'interno e tra cluster acquisendo metadati come indirizzi IP di origine e di destinazione, porte, protocolli e direzione del flusso. Questi log consentono il monitoraggio del comportamento di rete, la risoluzione dei problemi di connettività e l'applicazione dei criteri di sicurezza. Le opzioni di registrazione persistenti e in tempo reale garantiscono un'osservabilità completa e pratica della rete.

Per altre informazioni, vedere la panoramica dei log di rete dei contenitori.

Sicurezza di rete dei contenitori

La protezione delle applicazioni in contenitori è essenziale negli ambienti cloud dinamici di oggi. Advanced Container Networking Services offre funzionalità per rafforzare la sicurezza di rete del cluster.

Filtro basato su FQDN

Migliorare il controllo del traffico in uscita con Azure CNI alimentato dalle politiche basate su DNS di Cilium. Semplificare la configurazione usando FQDN invece di gestire indirizzi IP dinamici.

Per altre informazioni, vedere la panoramica del filtro basato su FQDN.

Politica del Livello 7

Ottenere un controllo granulare sul traffico a livello di applicazione. Implementare criteri basati su protocolli come HTTP, gRPC e kafka, proteggendo le applicazioni con visibilità approfondita e controllo di accesso con granularità fine. Per altre informazioni, vedere la documentazione di panoramica dei criteri di livello 7 .

Crittografia WireGuard (anteprima)

Proteggi il traffico dei carichi di lavoro con WireGuard. Garantisce che tutte le comunicazioni tra endpoint gestiti da Cilium tra nodi diversi all'interno del cluster del servizio Azure Kubernetes siano crittografate e protette per impostazione predefinita, senza aggiungere complessità. Per altre informazioni, vedere la documentazione panoramica della crittografia WireGuard .

Prestazioni di rete dei contenitori

Profilo di configurazione che usa Cilium con funzionalità eBPF per ottimizzare la velocità effettiva, ridurre la latenza e ridurre al minimo il sovraccarico della CPU per i carichi di lavoro in contenitori nei cluster del servizio Azure Kubernetes.

Routing host eBPF

Per altre informazioni, vedere la panoramica del eBPF Host Routing

Prezzi

Importante

Servizi avanzati di rete per contenitori è un'offerta a pagamento.

Per informazioni sui prezzi, vedere Servizi di rete dei contenitori avanzati - Prezzi.

Configurare Servizi avanzati di rete per contenitori nel cluster

Prerequisiti

  • Un account Azure con una sottoscrizione attiva. Se non se ne ha una, creare un account gratuito prima di iniziare.
  • La versione minima dell'interfaccia della riga di comando di Azure necessaria per i passaggi descritti in questo articolo è 2.71.0. Per trovare la versione, eseguire az --version. Per installare o eseguire l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure.

Installare l'estensione dell'interfaccia della riga di comando di Azure aks-preview

Installare o aggiornare l'estensione dell'anteprima di Azure CLI usando il comando az extension add oppure az extension update.

La versione minima dell'estensione di Azure CLI è aks-preview.

# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

Registrare il flag di funzionalità AdvancedNetworkingL7PolicyPreview

Note

Funzionalità di sicurezza di rete dei contenitori supportate solo in Azure CNI basate su cluster basati su Cilium.

Registrare il feature flag AdvancedNetworkingL7PolicyPreview usando il comando az feature register:

az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

Verificare la corretta registrazione usando il az feature show comando . Il completamento della registrazione richiede alcuni minuti.

az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

Creare un gruppo di risorse

Un gruppo di risorse è un contenitore logico in cui le risorse di Azure vengono distribuite e gestite. Creare un gruppo di risorse usando il az group create comando :

# Set environment variables for the resource group name and ___location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --___location $LOCATION

Abilitare e disabilitare i Servizi di Rete Avanzati per Contenitori in un cluster AKS

Creare un cluster AKS con Servizi di rete avanzati per contenitori

Il az aks create comando con il flag --enable-acns Advanced Container Networking Services crea un nuovo cluster AKS che include tutte le funzionalità dei Servizi di rete dei contenitori avanzati, comprese l'osservabilità e la sicurezza della rete dei contenitori.

Note

I cluster che dispongono del piano dati Cilium supportano l'osservabilità della rete dei container e la sicurezza della rete dei container nella versione 1.29 di Kubernetes e successive.

Quando il --acns-advanced-networkpolicies parametro è impostato su L7, i criteri di filtro L7 e FQDN sono abilitati. Se si vuole abilitare solo il filtro FQDN, impostare il parametro su FQDN.

Per disabilitare entrambe le funzionalità, completare i passaggi descritti in Disabilitare la sicurezza di rete dei contenitori.

# Set an environment variable for the AKS cluster name. Make sure you replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --kubernetes-version 1.29 \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

Abilitare Servizi avanzati di rete per contenitori in un cluster esistente

Il comando az aks update con l'opzione --enable-acns aggiorna un cluster AKS del servizio Azure Kubernetes esistente con tutte le funzionalità di servizi avanzati di rete dei contenitori, tra cui l'osservabilità della rete dei contenitori e la sicurezza della rete dei contenitori.

Note

I cluster con il piano dati Cilium supportano Container Network Observability e Container Network Security in Kubernetes versione 1.29 e successive.

Quando il --acns-advanced-networkpolicies parametro è impostato su L7, i criteri di filtro di livello 7 e FQDN sono abilitati. Se si vuole abilitare solo il filtro FQDN, impostare il parametro su FQDN.

Per disabilitare entrambe le funzionalità, completare i passaggi descritti in Disabilitare la sicurezza di rete dei contenitori.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

Disabilitare Servizi avanzati di rete per contenitori

Il flag --disable-acns disabilita tutte le funzionalità di Advanced Container Networking Services su un cluster AKS esistente. Sono disabilitati anche Container Network Observability e Container Network Security.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

Disabilitare le funzionalità avanzate di Servizi di rete dei contenitori

Disabilitare l'osservabilità della rete dei contenitori

Per disabilitare la funzionalità Container Network Observability senza influire sulle altre funzionalità di Advanced Container Networking Services, eseguire:

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability

Disabilitare la sicurezza di rete dei contenitori

Per disabilitare la funzionalità Sicurezza di rete dei contenitori senza influire sulle altre funzionalità di Servizi di rete dei contenitori avanzati, eseguire:

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security

Contenuti correlati

  • Last updated on