Wat is Advanced Container Networking Services?

Advanced Container Networking Services is een reeks services die zijn ontworpen om de netwerkmogelijkheden van AKS-clusters (Azure Kubernetes Service) te verbeteren. De suite behandelt uitdagingen in moderne toepassingen in containers, zoals waarneembaarheid, beveiliging en naleving.

Geavanceerde Container Networking Services is gericht op het leveren van een naadloze en geïntegreerde ervaring waarmee u robuuste beveiligingspostuur kunt onderhouden en diepgaande inzichten krijgt in uw netwerkverkeer en toepassingsprestaties. Het helpt ervoor te zorgen dat uw containertoepassingen niet alleen veilig zijn, maar ook dat ze voldoen aan uw prestatie- en betrouwbaarheidsdoelen of deze overschrijden. Met geavanceerde Container Networking Services kunt u uw infrastructuur op een betrouwbare manier beheren en schalen.

Wat is opgenomen in Advanced Container Networking Services?

Advanced Container Networking Services biedt twee belangrijke functies:

• Waarneembaarheid van containernetwerk: De inaugurele functie van de Advanced Container Networking Services-suite, waardoor het besturingsvlak van Hubble zowel Cilium als niet-Cilium Linux-gegevensvlakken bevat. Deze functies zijn bedoeld om inzicht te bieden in netwerken en prestaties.

• Containernetwerkbeveiliging: Voor clusters die gebruikmaken van Azure CNI Powered by Cilium, bevatten netwerkbeleid het FQDN-filter (Fully Qualified Domain Name) om de complexiteit van het onderhouden van de configuratie aan te pakken.

• Prestaties van containernetwerk: Voor clusters die gebruikmaken van Azure CNI Powered by Cilium, kan een reeks netwerkprestatiefuncties, zoals eBPF-hostroutering, worden ingeschakeld om de latentie te verminderen en de doorvoer te verhogen.

Waarneembaarheid van containernetwerk

Container Network Observability in AKS is een uitgebreide functieset binnen Advanced Container Networking Services, ontworpen om diep inzicht te krijgen in netwerkverkeer en prestaties in gecontaineriseerde omgevingen. Het werkt naadloos tussen zowel Cilium- als niet-Cilium-gegevensvlakken en biedt flexibiliteit voor diverse netwerkbehoeften. De functie maakt gebruik van eBPF om de schaalbaarheid en prestaties te verbeteren door potentiële knelpunten en netwerkcongestie te identificeren voordat toepassingen worden beïnvloed.

Belangrijke voordelen zijn compatibiliteit met alle CNI-varianten (Container Networking Interface) in Azure, gedetailleerde zichtbaarheid van metrische gegevens op knooppuntniveau en Hubble-metrische gegevens voor DNS-omzetting (Domain Name System), pod-to-pod-communicatie en service-interacties. In containernetwerklogboeken worden essentiële metagegevens vastgelegd, zoals IP's, poorten en verkeersstroom voor probleemoplossing, bewaking en afdwinging van beveiliging.

Het is ook geïntegreerd met de beheerde service voor Prometheus in Azure Monitor en Azure Managed Grafana voor vereenvoudigde opslag en visualisatie van metrische gegevens. Of u nu beheerde services of uw eigen infrastructuur gebruikt, deze waarneembaarheidsoplossing zorgt voor een zeer goed presterende, veilige en compatibele netwerkomgeving voor AKS-workloads.

Metrische gegevens van containernetwerk

Deze functie verzamelt metrische gegevens op knooppuntniveau, waaronder CPU, geheugen en netwerkprestaties, om de status van clusterknooppunten te bewaken. Voor meer inzicht bieden Hubble-metrische gegevens gegevens over DNS-omzettingstijden, service-naar-service-communicatie en netwerkgedrag op podniveau. Deze metrische gegevens helpen u bij het analyseren van toepassingsprestaties, het detecteren van afwijkingen en het optimaliseren van workloads.

Zie het overzicht van metrische gegevens voor meer informatie.

Containernetwerklogboeken

Containernetwerklogboeken bieden u gedetailleerd inzicht in verkeer binnen en tussen clusters door metagegevens zoals bron- en doel-IP-adressen, poorten, protocollen en stroomrichting vast te leggen. Deze logboeken maken het bewaken van netwerkgedrag mogelijk, het oplossen van verbindingsproblemen en het afdwingen van beveiligingsbeleid. Permanente en realtime logboekregistratieopties zorgen voor uitgebreide, bruikbare netwerkobserveerbaarheid.

Zie het overzicht van containernetwerklogboeken voor meer informatie.

Containernetwerkbeveiliging

Het beveiligen van uw containertoepassingen is essentieel in de dynamische cloudomgevingen van vandaag. Advanced Container Networking Services biedt functies om de netwerkbeveiliging van uw cluster te versterken.

Filteren op basis van FQDN

Verbeter de uitgaand verkeercontrole met Azure CNI aangedreven door Cilium DNS-gebaseerde beleid. Vereenvoudig de configuratie door FQDN's te gebruiken in plaats van dynamische IP-adressen te beheren.

Zie het overzicht van filteren op basis van FQDN voor meer informatie.

Laag 7-beleid (voorvertoning)

Krijg gedetailleerde controle over verkeer op toepassingsniveau. Implementeer beleidsregels op basis van protocollen zoals HTTP, gRPC en kafka, waarbij uw toepassingen worden beveiligd met uitgebreide zichtbaarheid en gedetailleerd toegangsbeheer. Zie de overzichtsdocumentatie voor laag 7-beleid voor meer informatie.

WireGuard Encryption (preview)

Beveilig uw workloadverkeer met WireGuard. Het zorgt ervoor dat alle communicatie tussen door Cilium beheerde eindpunten op verschillende knooppunten in uw AKS-cluster standaard wordt versleuteld en beveiligd, zonder extra complexiteit. Zie de overzichtsdocumentatie voor WireGuard-versleuteling voor meer informatie.

Prestaties van containernetwerk

Configuratieprofiel dat gebruikmaakt van Cilium met eBPF-functies om doorvoer te optimaliseren, latentie te verminderen en CPU-overhead voor workloads in containers in AKS-clusters te minimaliseren.

Routering van eBPF-host

Zie het overzicht van eBPF-hostroutering voor meer informatie

Prijsstelling

Zie Advanced Container Networking Services - Prijzen voor meer informatie over prijzen.

Advanced Container Networking Services instellen op uw cluster

Vereiste voorwaarden

• Een Azure-account met een actief abonnement. Als u nog geen account hebt, maakt u een gratis account voordat u begint.

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie Aan de slag met Azure Cloud Shell voor meer informatie.

  

• Als je de voorkeur geeft aan het lokaal uitvoeren van CLI-referentiecommando's, installeer dan de Azure CLI. Als je op Windows of macOS werkt, overweeg dan om Azure CLI in een Docker-container te draaien. Voor meer informatie, zie Hoe u de Azure CLI in een Docker-container kunt uitvoeren.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met de opdracht az login. Om het authenticatieproces te voltooien, volgt u de stappen die op uw terminal worden weergegeven. Zie Verifiëren bij Azure met behulp van Azure CLI voor andere aanmeldingsopties.

  • Wanneer u daarom wordt gevraagd, installeer de Azure CLI-extensie bij het eerste gebruik. Zie Extensies gebruiken en beheren met de Azure CLIvoor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en de afhankelijke bibliotheken te vinden. Voer az upgrade uit om naar de nieuwste versie te upgraden.

• De minimale versie van Azure CLI die is vereist voor de stappen in dit artikel is 2.71.0. Voer uit az --versionom uw versie te vinden. Voor het installeren of upgraden, zie Azure CLI installeren.

De Azure CLI-extensie aks-preview installeren

Installeer of werk de Preview-extensie van Azure CLI bij met behulp van de az extension add of az extension update opdracht.

De minimale versie van de aks-preview Azure CLI-extensie is 14.0.0b6.

# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

De functievlag AdvancedNetworkingL7PolicyPreview registreren

Registreer de AdvancedNetworkingL7PolicyPreview functievlag met behulp van de az feature register opdracht:

az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

Controleer of de registratie is geslaagd met behulp van de az feature show opdracht. Het duurt enkele minuten om de registratie te voltooien.

az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

Een brongroep maken

Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. Maak een resourcegroep met behulp van de az group create opdracht:

# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION

Advanced Container Networking Services in- en uitschakelen in een AKS-cluster

Een AKS-cluster maken met Advanced Container Networking Services

Met az aks create de opdracht met de --enable-acns vlag Advanced Container Networking Services maakt u een nieuw AKS-cluster met alle functies van Advanced Container Networking Services, waaronder Waarneembaarheid van containernetwerk en containernetwerkbeveiliging.

# Set an environment variable for the AKS cluster name. Make sure you replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --kubernetes-version 1.29 \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

# Set an environment variable for the AKS cluster name. Make sure you replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --enable-acns

Advanced Container Networking Services inschakelen op een bestaand cluster

Met az aks update de opdracht met de --enable-acns vlag wordt een bestaand AKS-cluster bijgewerkt met alle functies van Advanced Container Networking Services, waaronder Container Network Observability en Container Network Security.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

Geavanceerde containernetwerkservices uitschakelen

Met de --disable-acns vlag worden alle functies van Advanced Container Networking Services op een bestaand AKS-cluster uitgeschakeld. Container Network Observability en Container Network Security zijn ook uitgeschakeld.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

Geavanceerde functies voor Container Networking Services uitschakelen

Waarneembaarheid van containernetwerk uitschakelen

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability 

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns 

Containernetwerkbeveiliging uitschakelen

Als u de functie Container Network Security wilt uitschakelen zonder dat dit van invloed is op andere functies van Advanced Container Networking Services, voert u het volgende uit:

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security

Verwante inhoud

• Wat is waarneembaarheid van containernetwerk?

• Wat is Container Netwerkbeveiliging?