Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Расширенные сетевые службы контейнеров — это набор служб, предназначенных для улучшения сетевых возможностей кластеров Azure Kubernetes Service (AKS). Расширенные сетевые службы контейнеров предлагают следующие ключевые наборы функций: мониторинг сети контейнеров, безопасность сети контейнеров и производительность сети контейнеров. Эти функции предоставляют подробные сведения о сетевом трафике, укреплении мер безопасности и оптимизации производительности сети для контейнерных приложений, работающих в AKS.
Наблюдаемость сетевой инфраструктуры контейнеров
Мониторинг сети контейнеров предоставляет подробные сведения о сетевом трафике и производительности в контейнерных средах. Этот набор функций работает как в Cilium, так и в плоскостях данных, отличных от Cilium, обеспечивая гибкость для различных сетевых потребностей. Эта функция использует eBPF для повышения масштабируемости и производительности путем выявления потенциальных узких мест и перегрузки сети перед затронутыми приложениями.
Ключевыми преимуществами наблюдаемости сети контейнеров являются следующие:
- Совместимость со всеми вариантами сетевого интерфейса контейнеров (CNI) в Azure.
- Метрики сети контейнеров, включая метрики уровня узла и метрики Hubble для получения подробных сведений о сети.
- Метрики Hubble для разрешения системы доменных имен (DNS), общения между подами и взаимодействия с сервисами.
- Журналы сети контейнеров , которые записывают важные метаданные, такие как IP-адреса, порты и поток трафика для устранения неполадок, мониторинга и обеспечения безопасности.
- Интеграция с управляемой службой Prometheus в Azure Monitor и Azure Managed Grafana для упрощенного хранения и визуализации метрик.
Метрики сети контейнеров
Эта функция собирает метрики уровня узла, включая ЦП, память и производительность сети, для мониторинга работоспособности узлов кластера. Для более глубокой аналитики метрики Hubble предоставляют данные о времени разрешения DNS, взаимодействии между службами и поведении сети на уровне pod. Эти метрики помогают анализировать производительность приложений, обнаруживать аномалии и оптимизировать рабочие нагрузки.
Дополнительные сведения см. в обзоре метрик.
Журналы сети контейнеров
Журналы сети контейнеров предоставляют подробные сведения о трафике в кластерах и между кластерами путем записи метаданных, таких как IP-адреса источника и назначения, порты, протоколы и направление потока. Эти журналы позволяют отслеживать поведение сети, устранять проблемы с подключением и применять политики безопасности. Постоянные и режимы ведения журнала в режиме реального времени обеспечивают комплексную, действенную сетевую наблюдаемость.
Дополнительные сведения см. в обзоре журналов сети контейнеров.
Безопасность сети контейнеров
Безопасность сети контейнеров повышает уровень безопасности кластеров AKS, предоставляя расширенные функции безопасности сети. Она использует технологию eBPF для применения политик сети на уровне ядра, обеспечивая эффективные и эффективные средства управления безопасностью для контейнерных приложений. Безопасность сети контейнеров доступна только в кластерах с azure CNI с помощью CILIUM.
Фильтрация на основе полного доменного имени
Фильтрация на основе FQDN позволяет создавать политики сети на основе полных доменных имен (FQDN), а не IP-адресов. Эта возможность упрощает управление политиками, особенно в динамических средах, где ЧАСТО изменяются IP-адреса. Используя полные доменные имена, вы можете убедиться, что приложения взаимодействуют только с доверенными внешними службами, повышая безопасность и соответствие требованиям.
Дополнительные сведения см. в обзоре фильтрации на основе FQDN.
Политика уровня 7
Политика уровня 7 позволяет управлять трафиком на уровне приложения, позволяя определять политики на основе определенных протоколов приложений. Эта функция обеспечивает детальный контроль сетевого трафика, что позволяет применять политики безопасности, которые соответствуют поведению приложения. С помощью политики уровня 7 можно отслеживать и ограничивать трафик на основе методов HTTP, URL-адресов, заголовков и других атрибутов уровня приложения.
Дополнительные сведения см. в обзоре политики уровня 7.
Шифрование WireGuard (предварительная версия)
Шифрование WireGuard использует протокол WireGuard для обеспечения безопасной, зашифрованной связи между управляемыми Cilium конечными точками в кластере AKS. Эта функция гарантирует, что данные, передаваемые по сети, защищены от перехвата и изменения, повышая общую безопасность контейнерных приложений.
Дополнительные сведения см. в обзоре шифрования WireGuard.
Производительность сети контейнеров
Производительность сети контейнеров оптимизирует производительность сети для контейнерных приложений, работающих в кластерах AKS. Она использует технологию eBPF для повышения сетевой маршрутизации и уменьшения задержки, обеспечивая эффективное и эффективное взаимодействие приложений. Сетевая производительность контейнеров доступна только в кластерах с Azure CNI, поддерживаемой Cilium.
Маршрутизация узла eBPF
Маршрутизация узлов eBPF использует расширенную технологию фильтра пакетов Berkeley (eBPF) для оптимизации потока трафика в кластерах AKS.
Дополнительные сведения см. в обзоре маршрутизации узлов eBPF.