Was ist Erweiterte Container-Netzwerkdienste?
Erweiterte Container-Netzwerkdienste ist eine Dienstsuite, die entwickelt wurde, um die Netzwerkfunktionen von Azure Kubernetes Service-Clustern (AKS) zu verbessern. Die Suite behebt die Herausforderungen in modernen containerisierten Anwendungen, z. B. Observability, Sicherheit und Compliance.
Mit Erweiterte Container-Netzwerkdienste liegt der Fokus auf der Bereitstellung eines nahtlosen und integrierten Produkts, das es Ihnen ermöglicht, stabile Sicherheitsstatus aufrechtzuerhalten und tiefe Einblicke in Ihren Netzwerkdatenverkehr und die Anwendungsleistung zu erhalten. Dadurch wird sichergestellt, dass Ihre containerisierten Anwendungen nicht nur sicher sind, sondern auch Ihre Leistungs- und Zuverlässigkeitsziele erfüllen oder übertreffen, sodass Sie Ihre Infrastruktur zuversichtlich verwalten und skalieren können.
Was ist in Erweiterte Container-Netzwerkdienste enthalten?
Erweiterte Container-Netzwerkdienste enthalten Features, die in zwei Säulen unterteilt sind:
Einblicke: Das erste Feature der Suite für erweiterte Container-Netzwerkdienste ermöglicht die Leistung der Hubble-Steuerungsebene für Cilium- und Nicht-Cilium-Linux-Datenebenen. Diese Features zielen darauf ab, Einblicke in das Netzwerk und die Leistung zu bieten.
Sicherheit: Bei Clustern mit Azure CNI Powered by Cilium umfassen Netzwerkrichtlinien die Filterung nach vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) zur Bewältigung der Komplexität der Konfiguration.
Container Network Observability
Container Network Observability stattet Sie mit Überwachungs- und Diagnosetools für Netzwerke aus, die Ihnen einen unvergleichlichen Einblick in Ihre containerisierten Workloads geben. Es macht Hubble-Metriken, die Hubble-Befehlszeilenschnittstelle (Command Line Interface, CLI) und die Hubble-Benutzeroberfläche (User Interface, UI) für Ihre AKS-Cluster verfügbar und bietet so tiefgreifende, handlungsrelevante Einblicke in Ihre containerisierten Workloads. So können Sie die Ursachen für netzwerkbezogene Probleme in AKS erkennen und ermitteln. Diese Features stellen sicher, dass Ihre containerisierten Anwendungen sicher und konform sind, damit Sie Ihre Infrastruktur sicher verwalten können.
Weitere Informationen zu Container Network Observability finden Sie unter Was ist Container Network Observability?.
Containernetzwerksicherheit
Features für Containernetzwerksicherheit in Erweiterte Container-Netzwerkdienste ermöglichen eine bessere Kontrolle über Netzwerksicherheitsrichtlinien, um die Benutzerfreundlichkeit bei der clusterübergreifenden Implementierung zu gewährleisten. Cluster mit Azure CNI Powered by Cilium haben Zugriff auf DNS-basierte Richtlinien. Die Benutzerfreundlichkeit im Vergleich zu IP-basierten Richtlinien ermöglicht das Einschränken des ausgehenden Zugriffs auf externe Dienste mithilfe von Domänennamen. Die Konfigurationsverwaltung wird mithilfe von FQDN vereinfacht, anstatt dynamische IPs zu ändern.
Preise
Wichtig
Die erweiterten Container-Netzwerkdienste werden in Zukunft ein kostenpflichtiges Angebot sein. Weitere Informationen zu den Preisen finden Sie unter Erweiterte Container-Netzwerkdienste – Preise
Einrichten von Erweiterte Container-Netzwerkdienste auf Ihrem Cluster
Voraussetzungen
- Ein Azure-Konto mit einem aktiven Abonnement. Sollten Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.
Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.
Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.
Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.
Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.
- Für die Schritte in diesem Artikel ist die Azure CLI mindestens in Version 2.61.0 erforderlich. Führen Sie
az --version
aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.
Installieren der Azure CLI-Erweiterung „aks-preview“
Installieren oder aktualisieren Sie die Azure CLI-Vorschauerweiterung mithilfe des Befehls az extension add
oder az extension update
.
# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview
Erstellen einer Ressourcengruppe
Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Erstellen Sie mit dem Befehl az group create
eine Ressourcengruppe.
# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION
Aktivieren und Deaktivieren von Erweiterte Container-Netzwerkdienste in einem AKS-Cluster
Erstellen eines AKS-Clusters mit erweiterten Container-Netzwerkdiensten
Der Befehl az aks create
mit dem Flag Advanced Container Networking Services --enable-acns
erstellt einen neuen AKS-Cluster mit allen Features der erweiterten Container-Netzwerkdiensten. Diese Funktionen umfassen Folgendes:
Container Network Observability: Bietet Einblicke in Ihren Netzwerkdatenverkehr. Weitere Informationen erhalten Sie unter Container Network Observability.
Containernetzwerksicherheit: Bietet Sicherheitsfeatures wie FQDN-Filterung. Weitere Informationen erhalten Sie unter Containernetzwerksicherheit.
Hinweis
Cluster mit der Cilium-Datenebene unterstützen Container Network Observability und Containernetzwerksicherheit ab Kubernetes-Version 1.29.
# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"
# Create an AKS cluster
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--generate-ssh-keys \
--location eastus \
--max-pods 250 \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--node-count 2 \
--pod-cidr 192.168.0.0/16 \
--kubernetes-version 1.29 \
--enable-acns
Aktivieren von erweiterten Container-Netzwerkdiensten für einen vorhandenen Cluster
Der Befehl az aks update
mit dem Advanced Container Networking Services-Flag --enable-acns
aktualisiert einen vorhandenen AKS-Cluster mit allen erweiterten Containernetzwerkdiensten, die Container Network Observability und das Feature Containernetzwerksicherheit enthalten.
Warnung
Für Nicht-Cilium-Kunden, die auf Cilium aktualisieren, können gleichzeitige Updates von Cilium und „Erweiterte Container-Netzwerkdienste“ zu einer erweiterten Initialisierung des Cilium-Agents führen. Um Probleme zu vermeiden, aktualisieren Sie Cilium zuerst, und aktivieren Sie dann „Erweiterte Container-Netzwerkdienste“.
Hinweis
Nur Cluster mit der Cilium-Datenebene unterstützen die Features für Containernetzwerksicherheit der erweiterten Container-Netzwerkdienste.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns
Was ist Erweiterte Container-Netzwerkdienste?
Das Flag --disable-acns
deaktiviert alle Features von Erweiterte Container-Netzwerkdienste in einem vorhandenen AKS-Cluster, der Container Network Observability und Containernetzwerksicherheit umfasst.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--disable-acns
Deaktivieren ausgewählter Features für Erweiterte Container-Netzwerkdienste
Deaktiveren von Container Network Observability
Verwenden Sie --enable-acns
und --disable-acns-observability
, um Features für Container Network Observability zu deaktivieren, ohne dass sich dies auf andere Features von Erweiterte Container-Netzwerkdienste auswirkt.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-observability
Deaktivieren von Containernetzwerksicherheit
Verwenden Sie --enable-acns
und --disable-acns-security
, um Features für Containernetzwerksicherheit zu deaktivieren, ohne dass sich dies auf andere Features von Erweiterte Container-Netzwerkdienste auswirkt.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-security
Nächste Schritte
Weitere Informationen zu Container Network Observability und deren Funktionen finden Sie unter Was ist Container Network Observability?.
Weitere Informationen zur Containernetzwerksicherheit und deren Funktionen finden Sie unter Was ist Containernetzwerksicherheit?.
Azure Kubernetes Service