Что такое расширенные услуги сетевого взаимодействия контейнеров?

Расширенные сетевые службы контейнеров — это набор служб, предназначенных для улучшения сетевых возможностей кластеров Azure Kubernetes Service (AKS). В наборе рассматриваются проблемы в современных контейнерных приложениях, таких как наблюдаемость, безопасность и соответствие требованиям.

Благодаря расширенным сетевым службам контейнеров основное внимание уделяется обеспечению простого и интегрированного интерфейса, позволяющего поддерживать надежные возможности безопасности и получать подробные сведения о производительности сетевого трафика и приложений. Это гарантирует, что контейнерные приложения не только безопасны, но и соответствуют вашим целям производительности и надежности, что позволяет уверенно управлять инфраструктурой и масштабировать ее.

Что входит в расширенные сетевые службы контейнеров?

Расширенные сетевые службы контейнеров содержат функции, разделенные на два основных компонента:

• Наблюдаемость: инаугурационная функция набора расширенных сетевых служб контейнеров, которая позволяет использовать плоскость управления Hubble как для Cilium, так и для плоскостей данных Linux, отличных от Cilium. Эти функции предназначены для обеспечения видимости сети и производительности.

• Безопасность. Для кластеров с помощью Azure CNI Powered by Cilium политики сети включают полную фильтрацию доменных имен (FQDN) для решения сложностей обслуживания конфигурации.

Наблюдаемость сетевой инфраструктуры контейнеров

Наблюдение за сетью контейнеров оснащает вас инструментами мониторинга и диагностики сети, обеспечивая видимость ваших рабочих нагрузок в контейнерах. Она разблокирует метрики Hubble, интерфейс командной строки Hubble и пользовательский интерфейс Hubble в кластерах AKS, предоставляя подробные аналитические сведения о контейнерных рабочих нагрузках, позволяющих обнаруживать и определять первопричины проблем, связанных с сетью в AKS. Эти функции обеспечивают безопасность и соответствие контейнерным приложениям, чтобы обеспечить уверенное управление инфраструктурой.

Дополнительные сведения о наблюдаемости сети контейнеров см. в разделе "Что такое наблюдаемость сети контейнеров?".

Безопасность сети контейнеров

Защита контейнерных приложений важна в современных динамических облачных средах. Расширенные сетевые службы контейнеров предоставляют функции для укрепления сетевой безопасности кластера.

Фильтрация на основе полного доменного имени

Улучшите контроль исходящего трафика с помощью Azure CNI, использующего политики на основе DNS от Cilium. Упрощение конфигурации с помощью доменных имен (FQDN) вместо управления динамическими IP-адресами. Дополнительные сведения см. в документации по фильтрации на основе FQDN .

Политика уровня 7 (L7) (предварительная версия)

Получите детализированный контроль над трафиком на уровне приложения. Реализуйте политики на основе таких протоколов, как HTTP, gRPC и kafka, обеспечивая защиту приложений с глубокой видимостью и точным контролем доступа. Дополнительные сведения см. в документации по политике L7 .

Цены

Настройте современные сетевые службы контейнеров в вашем кластере

Предварительные условия

• Учетная запись Azure с активной подпиской. Если у вас еще нет учетной записи, создайте бесплатную учетную запись прежде чем начать.

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".

  

• Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".

  • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

• Минимальная версия Azure CLI, необходимая для действий, описанных в этой статье, — 2.71.0. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0.

Установка расширения Azure CLI aks-preview

Установите или обновите расширение предварительной версии Azure CLI с помощью az extension add команды или az extension update команды.

Минимально допустимая версия расширения Azure CLI для aks-preview 14.0.0b6

# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

Регистрация флага компонента AdvancedNetworkingL7PolicyPreview

Зарегистрируйте флаг функции AdvancedNetworkingL7PolicyPreview с помощью команды az feature register.

az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

Проверьте успешную регистрацию с помощью команды az feature show. Регистрация занимает несколько минут.

az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

Создание группы ресурсов

Группа ресурсов — это логический контейнер, в котором происходит развертывание ресурсов Azure и управление ими. Создайте группу ресурсов с помощью az group create команды.

# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION

Включение и отключение расширенных сетевых служб контейнеров в кластере AKS

Создать кластер AKS с усовершенствованными сетевыми службами контейнеров

Команда az aks create с флагом --enable-acnsрасширенных сетевых служб контейнеров создает новый кластер AKS со всеми функциями расширенных сетевых служб контейнеров. Эти функции охватывают следующие возможности:

• Наблюдение за сетью контейнеров. Предоставляет аналитические сведения о сетевом трафике. Дополнительные сведения см. в разделе "Наблюдаемость сети контейнеров".

• Безопасность сети контейнеров: предлагает такие функции безопасности, как фильтрация полного доменного имени. Дополнительные сведения см. в статье "Безопасность сети контейнеров".

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --kubernetes-version 1.29 \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --enable-acns

Включение продвинутых сетевых служб для контейнеров в существующем кластере

Команда az aks update с флагом --enable-acns"Расширенные сетевые службы контейнеров" обновляет существующий кластер AKS со всеми функциями расширенных сетевых служб контейнеров, которые включают в себя наблюдение за сетями контейнеров и функцию безопасности сети контейнеров.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

Отключение продвинутых сетевых служб контейнеров

Флаг --disable-acns отключает все функции расширенных сетевых служб контейнеров в существующем кластере AKS, который включает в себя наблюдательность сети контейнеров и безопасность сети контейнеров.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

Отключить отдельные функции расширенных сетевых служб контейнеров

Отключение отслеживания сети контейнеров

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability 

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns 

Отключение сетевой безопасности контейнера

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security

Следующие шаги

• Дополнительные сведения о наблюдаемости сети контейнеров и ее возможностях см. в разделе "Что такое наблюдаемость сети контейнеров?".

• Дополнительные сведения о безопасности сети контейнеров и ее возможностях см. в разделе "Что такое безопасность сети контейнеров?".