Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Advanced Container Networking Services är en uppsättning tjänster som är utformade för att förbättra nätverksfunktionerna i Azure Kubernetes Service-kluster (AKS). Sviten hanterar utmaningar i moderna containerbaserade program, till exempel observerbarhet, säkerhet och efterlevnad.
Advanced Container Networking Services fokuserar på att leverera en sömlös och integrerad upplevelse som hjälper dig att upprätthålla robusta säkerhetsställningar och få djupgående insikter om din nätverkstrafik och programprestanda. Det hjälper till att säkerställa att dina containerbaserade program inte bara är säkra, utan även att de uppfyller eller överskrider dina prestanda- och tillförlitlighetsmål. Advanced Container Networking Services hjälper dig att hantera och skala infrastrukturen på ett säkert sätt.
Vad ingår i Advanced Container Networking Services?
Advanced Container Networking Services har två viktiga funktioner:
Observerbarhet för containernätverk: Den första funktionen i Advanced Container Networking Services-sviten, vilket ger kraften i Hubbles kontrollplan till både Cilium- och icke-Cilium Linux-dataplan. Dessa funktioner syftar till att ge insyn i nätverk och prestanda.
Säkerhet för containernätverk: För kluster som använder Azure CNI som drivs av Cilium inkluderar nätverksprinciper filtrering av fullständigt kvalificerade domännamn (FQDN) för att hantera komplexiteten i att underhålla konfigurationen.
Prestanda för containernätverk: För kluster som använder Azure CNI som drivs av Cilium kan en uppsättning funktioner för nätverksprestanda, till exempel eBPF-värdrouting, aktiveras för att minska latensen och öka genomströmningen.
Överskådlighet för containernätverk
Container Network Observability i AKS är en omfattande funktionsuppsättning i Advanced Container Networking Services, utformad för att ge djupgående insikter om nätverkstrafik och prestanda i containerbaserade miljöer. Det fungerar sömlöst i både Cilium- och icke-Cilium-dataplan, vilket ger flexibilitet för olika nätverksbehov. Funktionen använder eBPF för att förbättra skalbarhet och prestanda genom att identifiera potentiella flaskhalsar och nätverksbelastning innan program påverkas.
Viktiga fördelar är kompatibilitet med alla varianter av Container Networking Interface (CNI) i Azure, detaljerad insyn i nodnivåns mått och Hubble-metrik för DNS-upplösning, pod-till-pod-kommunikation och tjänsteinteraktioner. Containernätverksloggar samlar in viktiga metadata, till exempel IP-adresser, portar och trafikflöden för felsökning, övervakning och säkerhetstillämpning.
Den integreras också med den hanterade tjänsten för Prometheus i Azure Monitor och Azure Managed Grafana för förenklad lagring och visualisering av mått. Oavsett om du använder hanterade tjänster eller din egen infrastruktur hjälper den här observerbarhetslösningen till att säkerställa en mycket högpresterande, säker och kompatibel nätverksmiljö för AKS-arbetsbelastningar.
Mått för containernätverk
Den här funktionen samlar in mått på nodnivå, inklusive processor-, minnes- och nätverksprestanda, för att övervaka hälsotillståndet för klusternoder. För djupare insikter tillhandahåller Hubble-mått data om DNS-matchningstider, tjänst-till-tjänst-kommunikation och nätverksbeteende på poddnivå. Dessa mått hjälper dig att analysera programmets prestanda, identifiera avvikelser och optimera arbetsbelastningar.
Mer information finns i översikten över mått.
Nätverksloggar för containrar
Containernätverksloggar ger dig detaljerad insikt i trafik inom och mellan kluster genom att samla in metadata som käll- och mål-IP-adresser, portar, protokoll och flödesriktning. Dessa loggar möjliggör övervakning av nätverksbeteende, felsökning av anslutningsproblem och framtvingande av säkerhetsprinciper. Beständig loggning och realtidsloggningsalternativ säkerställer omfattande, åtgärdsbar nätverksobservabilitet.
Mer information finns i översikten över containernätverksloggar.
Containers nätverkssäkerhet
Det är viktigt att skydda dina containerbaserade program i dagens dynamiska molnmiljöer. Advanced Container Networking Services innehåller funktioner för att stärka klustrets nätverkssäkerhet.
FQDN-baserad filtrering
Förbättra utgående kontroll med Azure CNI som drivs av Cilium DNS-baserade principer. Förenkla konfigurationen med hjälp av FQDN i stället för genom att hantera dynamiska IP-adresser.
Mer information finns i översikten över FQDN-baserad filtrering.
Layer 7-policy (förhandsversion)
Få detaljerad kontroll över trafik på programnivå. Implementera principer baserade på protokoll som HTTP, gRPC och kafka och skydda dina program med djup synlighet och detaljerad åtkomstkontroll. Mer information finns i dokumentationen om layer 7-principöversikten .
Prestanda för containernätverk
Konfigurationsprofil som använder Cilium med eBPF-funktioner för att optimera dataflöde, minska svarstiden och minimera PROCESSORkostnader för containerbaserade arbetsbelastningar i AKS-kluster.
eBPF-värdroutning
Mer information finns i översikten över eBPF-värdroutning
Prissättning
Viktigt!
Avancerade nätverkstjänster för containrar är ett avgiftsbelagt erbjudande.
Information om priser finns i Advanced Container Networking Services – Prissättning.
Konfigurera Advanced Container Networking Services i klustret
Förutsättningar
- Ett Azure-konto med en aktiv prenumeration. Om du inte har ett konto kan du skapa ett kostnadsfritt konto innan du börjar.
Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Kom igång med Azure Cloud Shell.
Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.
Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Autentisera till Azure med Azure CLI.
När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda och hantera tillägg med Azure CLI.
Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.
- Den lägsta versionen av Azure CLI som krävs för stegen i den här artikeln är 2.71.0. Du hittar din version genom att köra
az --version. Information om hur du installerar eller uppgraderar finns i Installera Azure CLI.
Installera Azure CLI-tillägget aks-preview
Installera eller uppdatera Azure CLI-förhandsgranskningstillägget genom att använda kommandot az extension add eller az extension update.
Den lägsta versionen av aks-preview Azure CLI-tillägget är 14.0.0b6.
# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview
Registrera funktionsflaggan AdvancedNetworkingL7PolicyPreview
Anmärkning
Container Network Security-funktioner stöds endast på Azure CNI som drivs av Cilium-baserade kluster.
Registrera funktionsflaggan AdvancedNetworkingL7PolicyPreviewaz feature register med hjälp av kommandot :
az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"
Verifiera lyckad registrering med hjälp az feature show av kommandot . Registreringen tar några minuter att slutföra.
az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"
Skapa en resursgrupp
En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras. Skapa en resursgrupp med hjälp az group create av kommandot :
# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION
Aktivera och inaktivera Avancerade containernätverkstjänster i ett AKS-kluster
Skapa ett AKS-kluster som har Advanced Container Networking Services
Kommandot az aks create med --enable-acns flaggan Advanced Container Networking Services skapar ett nytt AKS-kluster som har alla avancerade funktioner för containernätverkstjänster, inklusive Container Network Observability och Container Network Security.
Anmärkning
Kluster som har Cilium-dataplanet stöder containernätverksobservabilitet och containernätverkssäkerhet i Kubernetes version 1.29 och senare.
När parametern --acns-advanced-networkpolicies är inställd på L7aktiveras både L7- och FQDN-filtreringsprinciper. Om du bara vill aktivera FQDN-filtrering anger du parametern till FQDN.
Om du vill inaktivera båda funktionerna slutför du stegen som beskrivs i Inaktivera containernätverkssäkerhet.
# Set an environment variable for the AKS cluster name. Make sure you replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"
# Create an AKS cluster
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--kubernetes-version 1.29 \
--enable-acns \
--acns-advanced-networkpolicies <L7/FQDN>
Aktivera Advanced Container Networking Services i ett befintligt kluster
Kommandot az aks update med --enable-acns flaggan uppdaterar ett befintligt AKS-kluster med alla funktioner i Advanced Container Networking Services, inklusive Container Network Observability och Container Network Security.
Anmärkning
Kluster som har Cilium-dataplanet stöder containernätverksobservabilitet och containernätverkssäkerhet i Kubernetes version 1.29 och senare.
När parametern --acns-advanced-networkpolicies är inställd på L7aktiveras både Layer 7- och FQDN-filtreringsprinciper. Om du bara vill aktivera FQDN-filtrering anger du parametern till FQDN.
Om du vill inaktivera båda funktionerna slutför du stegen som beskrivs i Inaktivera containernätverkssäkerhet.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--acns-advanced-networkpolicies <L7/FQDN>
Inaktivera avancerade containernätverkstjänster
Flaggan --disable-acns inaktiverar alla advanced container networking services-funktioner i ett befintligt AKS-kluster. Container Network Observability och Container Network Security är också inaktiverade.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--disable-acns
Inaktivera avancerade funktioner för containernätverkstjänster
Inaktivera containernätverksobservabilitet
Om du vill inaktivera funktionen Observabilitet för containernätverk utan att påverka andra funktioner i Advanced Container Networking Services kör du:
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-observability
Inaktivera containernätverkssäkerhet
Om du vill inaktivera funktionen För containernätverkssäkerhet utan att påverka andra funktioner i Advanced Container Networking Services kör du:
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-security
Relaterat innehåll
Samarbeta med oss på GitHub
Källan för det här innehållet finns på GitHub, där du även kan skapa och granska ärenden och pull-begäranden. Se vår deltagarguide för mer information.
Azure Kubernetes Service