Co je Advanced Container Networking Services?
Advanced Container Networking Services je sada služeb navržených k vylepšení síťových schopností clusterů Azure Kubernetes Service (AKS). Sada řeší problémy v moderních kontejnerizovaných aplikacích, jako je pozorovatelnost, zabezpečení a dodržování předpisů.
Díky pokročilým službám Container Networking Services se zaměřujeme na zajištění bezproblémového a integrovaného prostředí, které vám umožní udržovat robustní stav zabezpečení a získat podrobné přehledy o síťovém provozu a výkonu aplikací. Tím zajistíte, že kontejnerizované aplikace budou nejen zabezpečené, ale také splňují nebo překračují vaše cíle výkonu a spolehlivosti, což vám umožní s jistotou spravovat a škálovat infrastrukturu.
Co je součástí Advanced Container Networking Services?
Advanced Container Networking Services obsahuje funkce rozdělené do dvou pilířů:
Pozorovatelnost: Úvodní funkce sady Advanced Container Networking Services, která přináší výkon řídicí roviny Hubble do roviny dat Cilium i non-Cilium Linux. Cílem těchto funkcí je poskytnout přehled o sítích a výkonu.
Zabezpečení: U clusterů využívajících Azure CNI Powered by Cilium zahrnují zásady sítě plně kvalifikované filtrování názvu domény (FQDN) pro řešení složitosti údržby konfigurace.
Pozorovatelnost kontejnerové sítě
Pozorovatelnost služby Container Network vám poskytne monitorovací a diagnostické nástroje související se sítí a poskytuje přehled o kontejnerizovaných úlohách. Odemkne metriky Hubble, rozhraní příkazového řádku (CLI) Hubble a uživatelské rozhraní Hubble ve vašich clusterech AKS, které poskytují podrobné přehledy o kontejnerizovaných úlohách a umožňují zjišťovat a určovat původní příčiny problémů souvisejících se sítí v AKS. Tyto funkce zajišťují, aby kontejnerizované aplikace byly zabezpečené a vyhovující, abyste mohli s jistotou spravovat infrastrukturu.
Další informace o pozorovatelnosti služby Container Network naleznete v tématu Co je Pozorovatelnost sítě kontejnerů?.
Zabezpečení sítě kontejneru
Funkce zabezpečení sítě kontejnerů v rámci Advanced Container Networking Services umožňují lepší kontrolu nad zásadami zabezpečení sítě, aby bylo možné snadno používat při implementaci napříč clustery. Clustery využívající Azure CNI Powered by Cilium mají přístup k zásadám založeným na DNS. Snadné použití v porovnání se zásadami založenými na IP adresách umožňuje omezit výchozí přístup k externím službám pomocí názvů domén. Správa konfigurace se zjednoduší pomocí plně kvalifikovaného názvu domény místo dynamické změny IP adres.
Ceny
Důležité
Advanced Container Networking Services je placená nabídka. Další informace o cenách najdete v tématu Advanced Container Networking Services – Ceny
Nastavení pokročilých služeb Container Networking Services v clusteru
Požadavky
- Účet Azure s aktivním předplatným. Pokud ho nemáte, vytvořte si bezplatný účet před tím, než začnete.
Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.
Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.
Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.
Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.
- Minimální verze Azure CLI vyžadovaná pro kroky v tomto článku je 2.61.0. Verzi zjistíte spuštěním příkazu
az --version
. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.
Instalace rozšíření Azure CLI aks-Preview
Nainstalujte nebo aktualizujte rozšíření Azure CLI ve verzi Preview pomocí az extension add
příkazu nebo az extension update
příkazu.
# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview
Vytvoření skupiny zdrojů
Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí příkazu vytvořte skupinu az group create
prostředků.
# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION
Povolení a zakázání pokročilých síťových služeb kontejneru v clusteru AKS
Vytvoření clusteru AKS s pokročilými službami Container Networking Services
Příkaz az aks create
s příznakem --enable-acns
Advanced Container Networking Services vytvoří nový cluster AKS se všemi funkcemi Advanced Container Networking Services. Mezi tyto funkce patří:
Pozorovatelnost služby Container Network: Poskytuje přehled o síťovém provozu. Další informace najdete v tématu Pozorovatelnost služby Container Network.
Zabezpečení sítě kontejnerů: Nabízí funkce zabezpečení, jako je filtrování plně kvalifikovaných názvů domén. Další informace najdete v tématu Container Network Security.
Poznámka:
Clustery s rovinou dat Cilium podporují zabezpečení Container Network Observability a Container Network počínaje Kubernetes verze 1.29.
# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"
# Create an AKS cluster
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--generate-ssh-keys \
--location eastus \
--max-pods 250 \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--node-count 2 \
--pod-cidr 192.168.0.0/16 \
--kubernetes-version 1.29 \
--enable-acns
Povolení pokročilých služeb Container Networking Services v existujícím clusteru
Příkaz az aks update
s příznakem --enable-acns
Advanced Container Networking Services aktualizuje existující cluster AKS se všemi funkcemi Advanced Container Networking Services, které zahrnují pozorovatelnost služby Container Network a funkci Zabezpečení sítě kontejnerů.
Poznámka:
Pouze clustery s rovinou dat Cilium podporují funkce zabezpečení kontejnerové sítě služby Advanced Container Networking Services.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns
Zakázání pokročilých síťových služeb kontejneru
Příznak --disable-acns
zakáže všechny funkce Advanced Container Networking Services v existujícím clusteru AKS, který zahrnuje pozorovatelnost kontejnerové sítě a zabezpečení sítě kontejnerů.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--disable-acns
Zakázat výběr funkcí Advanced Container Networking Services
Zakázání pozorovatelnosti kontejnerové sítě
Zakázání funkcí pozorovatelnosti služby Container Network, aniž by to mělo vliv na jiné funkce služby Advanced Container Networking Services, použijte --enable-acns
a --disable-acns-observability
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-observability
Zakázání zabezpečení sítě kontejneru
Zakázání funkcí zabezpečení sítě kontejneru, aniž by to mělo vliv na jiné funkce služby Advanced Container Networking Services, použijte --enable-acns
a --disable-acns-security
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-security
Další kroky
Další informace o pozorovatelnosti služby Container Network a jejích možnostech najdete v tématu Co je pozorovatelnost služby Container Network?.
Další informace o službě Container Network Security a jejích možnostech najdete v tématu Co je Container Network Security?
Azure Kubernetes Service