고급 컨테이너 네트워킹 서비스란?

2025-07-22

고급 컨테이너 네트워킹 서비스는 AKS(Azure Kubernetes Service) 클러스터의 네트워킹 기능을 향상시키도록 설계된 서비스 모음입니다. 이 도구 모음은 가시성, 보안, 준수와 같은 최신 컨테이너화된 애플리케이션의 챌린지를 해결합니다.

고급 컨테이너 네트워킹 서비스는 강력한 보안 상태를 유지하고 네트워크 트래픽 및 애플리케이션 성능에 대한 심층적인 인사이트를 얻는 데 도움이 되는 원활하고 통합된 환경을 제공하는 데 중점을 둡니다. 컨테이너화된 애플리케이션이 안전할 뿐만 아니라 성능 및 안정성 목표를 충족하거나 초과하는지 확인하는 데 도움이 됩니다. 고급 컨테이너 네트워킹 서비스를 사용하면 인프라를 자신 있게 관리하고 크기를 조정할 수 있습니다.

고급 컨테이너 네트워킹 서비스에는 무엇이 포함되어 있나요?

고급 컨테이너 네트워킹 서비스는 다음 두 가지 주요 기능을 제공합니다.

컨테이너 네트워크 관찰 가능성: 고급 컨테이너 네트워킹 서비스 제품군의 첫 번째 기능으로, 허블의 제어 평면을 Cilium 및 비 Cilium Linux 데이터 평면 모두에 제공합니다. 이러한 기능은 네트워킹과 성능에 대한 표시 여부를 제공하는 것을 목표로 합니다.
컨테이너 네트워크 보안: Cilium에서 제공하는 Azure CNI를 사용하는 클러스터의 경우 네트워크 정책에는 구성 유지 관리의 복잡성을 해결하기 위한 FQDN(정규화된 도메인 이름) 필터링이 포함됩니다.

컨테이너 네트워크 가시성

AKS의 Container Network Observability는 고급 컨테이너 네트워킹 서비스 내의 포괄적인 기능 집합으로, 컨테이너화된 환경에서 네트워크 트래픽 및 성능에 대한 심층적인 인사이트를 제공하도록 설계되었습니다. Cilium 및 비 Cilium 데이터 평면에서 원활하게 작동하여 다양한 네트워킹 요구 사항에 유연성을 제공합니다. 이 기능은 eBPF를 사용하여 애플리케이션이 영향을 받기 전에 잠재적인 병목 상태 및 네트워크 정체를 식별하여 확장성 및 성능을 향상시킵니다.

주요 이점에는 Azure의 모든 CNI(Container Networking Interface) 변형과의 호환성, 노드 수준 메트릭에 대한 자세한 가시성, DNS(도메인 이름 시스템) 확인, Pod 간 통신 및 서비스 상호 작용에 대한 허블 메트릭이 포함됩니다. 컨테이너 네트워크 로그는 문제 해결, 모니터링 및 보안 적용을 위해 IP, 포트 및 트래픽 흐름과 같은 필수 메타데이터를 캡처합니다.

또한 간소화된 메트릭 스토리지 및 시각화를 위해 Azure Monitor 및 Azure Managed Grafana의 Prometheus용 관리 서비스와 통합됩니다. 관리 서비스 또는 자체 인프라를 사용하든 관계없이 이 관찰 솔루션은 AKS 워크로드에 대해 성능이 뛰어나고 안전하며 규정을 준수하는 네트워크 환경을 보장하는 데 도움이 됩니다.

컨테이너 네트워크 메트릭

이 기능은 CPU, 메모리 및 네트워크 성능을 포함한 노드 수준 메트릭을 수집하여 클러스터 노드의 상태를 모니터링합니다. 심층적인 인사이트를 위해 Hubble 메트릭은 DNS 확인 시간, 서비스 간 통신 및 Pod 수준 네트워크 동작에 대한 데이터를 제공합니다. 이러한 메트릭은 애플리케이션 성능을 분석하고, 변칙을 검색하고, 워크로드를 최적화하는 데 도움이 됩니다.

자세한 내용은 메트릭 개요를 참조하세요.

컨테이너 네트워크 로그

컨테이너 네트워크 로그는 원본 및 대상 IP 주소, 포트, 프로토콜 및 흐름 방향과 같은 메타데이터를 캡처하여 클러스터 내 및 전체 트래픽에 대한 자세한 인사이트를 제공합니다. 이러한 로그를 사용하면 네트워크 동작 모니터링, 연결 문제 해결 및 보안 정책 적용이 가능합니다. 영구 및 실시간 로깅 옵션은 포괄적이고 실행 가능한 네트워크 관찰 가능성을 보장합니다.

자세한 내용은 컨테이너 네트워크 로그 개요를 참조하세요.

컨테이너 네트워크 보안

컨테이너화된 애플리케이션의 보안은 오늘날의 동적 클라우드 환경에서 필수적입니다. 고급 컨테이너 네트워킹 서비스는 클러스터의 네트워크 보안을 강화하는 기능을 제공합니다.

FQDN 기반 필터링

Cilium DNS 기반 정책으로 구동되는 Azure CNI를 사용하여 송신 제어를 향상시킵니다. 동적 IP 주소를 관리하는 대신 FQDN을 사용하여 구성을 간소화합니다.

자세한 내용은 FQDN 기반 필터링 개요를 참조하세요.

계층 7 정책(미리 보기)

애플리케이션 수준 트래픽을 세부적으로 제어합니다. HTTP, gRPC 및 kafka와 같은 프로토콜을 기반으로 정책을 구현하여 심층적인 가시성과 세분화된 액세스 제어로 애플리케이션을 보호합니다. 자세한 내용은 계층 7 정책 개요 설명서를 참조하세요.

가격 책정

중요

고급 컨테이너 네트워킹 서비스는 유료 제품입니다.

가격 책정에 대한 자세한 내용은 고급 컨테이너 네트워킹 서비스 - 가격 책정을 참조하세요.

클러스터에 고급 컨테이너 네트워킹 서비스 설정

필수 구성 요소

활성 구독이 있는 Azure 계정. 구독이 없으면 시작하기 전에 계정을 만드세요.

Azure Cloud Shell에서 Bash 환경을 사용합니다. 자세한 내용은 Azure Cloud Shell 시작을 참조하세요.
CLI 참조 명령을 로컬에서 실행하려면 Azure CLI를 설치합니다. Windows 또는 macOS에서 실행 중인 경우 Docker 컨테이너에서 Azure CLI를 실행하는 것이 좋습니다. 자세한 내용은 Docker 컨테이너에서 Azure CLI를 실행하는 방법을 참조하세요.
- 로컬 설치를 사용하는 경우 az login 명령을 사용하여 Azure CLI에 로그인합니다. 인증 프로세스를 완료하려면 터미널에 표시되는 단계를 수행합니다. 다른 로그인 옵션은 Azure CLI를 사용하여 Azure에 인증을 참조하세요.
- 메시지가 표시되면 처음 사용할 때 Azure CLI 확장을 설치합니다. 확장에 대한 자세한 내용은 Azure CLI로 확장 사용 및 관리를 참조하세요.
- az version을 실행하여 설치된 버전과 종속 라이브러리를 찾습니다. 최신 버전으로 업그레이드하려면 az upgrade를 실행합니다.

이 문서의 단계에 필요한 Azure CLI의 최소 버전은 2.71.0입니다. az --version을 실행하여 버전을 찾습니다. 설치하거나 업그레이드하려면 Azure CLI 설치를 참조하세요.

aks-preview Azure CLI 확장 설치

az extension add 또는 az extension update 명령을 사용하여 Azure CLI 프리뷰 확장을 설치하거나 업데이트합니다.

Azure CLI 확장의 aks-preview 최소 버전은 .입니다 14.0.0b6.

# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

AdvancedNetworkingL7PolicyPreview 기능 플래그 등록

참고

컨테이너 네트워크 보안 기능은 Cilium 기반 클러스터에서 제공하는 Azure CNI에서만 지원됩니다.

AdvancedNetworkingL7PolicyPreview 다음 명령을 사용하여 기능 플래그를 등록합니다.az feature register

az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

명령을 사용하여 등록에 성공했는지 확인합니다 az feature show . 등록을 완료하는 데 몇 분 정도 걸립니다.

az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

리소스 그룹 만들기

리소스 그룹은 Azure 리소스가 배포 및 관리되는 논리적 컨테이너입니다. 다음 명령을 사용하여 리소스 그룹을 만듭니다.az group create

# Set environment variables for the resource group name and ___location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --___location $LOCATION

AKS 클러스터에서 고급 컨테이너 네트워킹 서비스 사용 및 사용 안 함

고급 컨테이너 네트워킹 서비스가 있는 AKS 클러스터 만들기

az aks create 고급 컨테이너 네트워킹 서비스 플래그가 있는 --enable-acns 명령은 Container Network Observability 및 Container Network Security를 비롯한 모든 고급 컨테이너 네트워킹 서비스 기능을 포함하는 새 AKS 클러스터를 만듭니다.

실륨(Cilium)
Cilium이 아닌

참고

Cilium 데이터 평면이 있는 클러스터는 Kubernetes 버전 1.29 이상에서 Container Network Observability 및 Container Network 보안을 지원합니다.

매개 변수를 --acns-advanced-networkpolicies 설정 L7하면 L7 및 FQDN 필터링 정책이 모두 사용하도록 설정됩니다. FQDN 필터링만 사용하도록 설정하려면 매개 변수 FQDN를 .로 설정합니다.

두 기능을 모두 사용하지 않도록 설정하려면 Container Network Security 사용 안 함에서 설명하는 단계를 완료합니다.

# Set an environment variable for the AKS cluster name. Make sure you replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --kubernetes-version 1.29 \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

참고

Cilium이 아닌 클러스터에는 Container Network Security 기능을 사용할 수 없습니다.

# Set an environment variable for the AKS cluster name. Make sure you replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --enable-acns

기존 클러스터에서 고급 컨테이너 네트워킹 서비스 사용

az aks update 플래그가 있는 --enable-acns 명령은 컨테이너 네트워크 관찰 기능 및 컨테이너 네트워크 보안을 비롯한 모든 고급 컨테이너 네트워킹 서비스 기능을 사용하여 기존 AKS 클러스터를 업데이트합니다.

실륨(Cilium)
Non-Cilium

참고

Cilium 데이터 평면이 있는 클러스터는 Kubernetes 버전 1.29 이상에서 Container Network Observability 및 Container Network Security를 지원합니다.

매개 변수를 --acns-advanced-networkpolicies 설정 L7하면 계층 7 및 FQDN 필터링 정책이 모두 사용하도록 설정됩니다. FQDN 필터링만 사용하도록 설정하려면 매개 변수 FQDN를 .로 설정합니다.

두 기능을 모두 사용하지 않도록 설정하려면 Container Network Security 사용 안 함에서 설명하는 단계를 완료합니다.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

참고

Cilium 데이터 평면이 있는 클러스터만 고급 컨테이너 네트워킹 서비스의 Container Network Security 기능을 제공합니다.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

고급 컨테이너 네트워킹 서비스 사용 안 함

플래그는 --disable-acns 기존 AKS 클러스터의 모든 고급 컨테이너 네트워킹 서비스 기능을 사용하지 않도록 설정합니다. 컨테이너 네트워크 관찰 가능성 및 컨테이너 네트워크 보안도 사용하지 않도록 설정됩니다.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

고급 컨테이너 네트워킹 서비스 기능 사용 안 함

다른 고급 컨테이너 네트워킹 서비스 기능에 영향을 주지 않고 컨테이너 네트워크 관찰 기능을 사용하지 않도록 설정하려면 다음을 실행합니다.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability

컨테이너 네트워크 관찰성은 Cilium이 아닌 클러스터에서 사용할 수 있는 유일한 기능이므로 이 기능을 사용하지 않도록 설정하는 데 사용할 --disable-acns 수 있습니다.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

컨테이너 네트워크 보안 사용 안 함

다른 고급 컨테이너 네트워킹 서비스 기능에 영향을 주지 않고 Container Network Security 기능을 사용하지 않도록 설정하려면 다음을 실행합니다.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security