Que sont les services avancés de mise en réseau de conteneurs ?
Advanced Container Azure Networking Services est une suite de services conçus pour améliorer les capacités réseau des clusters Azure Kubernetes Service (AKS). La suite répond aux défis des applications conteneurisées modernes, tels que l'observabilité, la sécurité et la conformité.
Avec Advanced Container Azure Networking Services, l'accent est mis sur la fourniture d'une expérience transparente et intégrée qui vous permet de maintenir des postures de sécurité robustes et d'obtenir des informations approfondies sur le trafic de votre réseau et les performances de vos applications. Cela garantit que vos applications conteneurisées sont non seulement sécurisées, mais atteignent ou dépassent également vos objectifs de performances et de fiabilité, vous permettant de gérer et de faire évoluer votre infrastructure en toute confiance.
Que contiennent les services avancés de mise en réseau de conteneurs ?
Le services avancés de mise en réseau de conteneurs contient des fonctionnalités divisées en deux piliers :
Observabilité : la fonctionnalité qui inaugure la suite des services avancés de mise en réseau de conteneurs et qui apporte la puissance du plan de contrôle de Hubble aux plans de données Cilium et non-Cilium Linux. Ces fonctionnalités visent à fournir une visibilité sur la mise en réseau et les performances.
Sécurité : pour les clusters utilisant Azure CNI optimisé par Cilium, les stratégies réseau incluent le filtrage de nom de domaine complet (FQDN) pour résoudre les complexités de la maintenance de la configuration.
Observabilité du réseau de conteneurs
Container Network Observability vous fournit des outils de surveillance et de diagnostic liés au réseau, offrant une visibilité sur vos charges de travail conteneurisées. Il déverrouille les métriques Hubble, l'interface de ligne de commande (CLI) de Hubble et l'interface utilisateur (UI) de Hubble sur vos clusters AKS, fournissant des informations approfondies et exploitables sur vos charges de travail conteneurisées, vous permettant de détecter et de déterminer les causes profondes des problèmes liés au réseau dans AKS. Ces fonctionnalités garantissent que vos applications conteneurisées sont sécurisées et conformes afin de vous permettre de gérer votre infrastructure en toute confiance.
Pour plus d’informations sur l’observabilité du réseau de conteneurs, voir Qu’est-ce que l’observabilité du réseau de conteneurs ?.
Sécurité du réseau de conteneurs
Les fonctionnalités de sécurité d’Azure Networking de conteneurs au sein des services avancés de mise en réseau de conteneurs permettent un meilleur contrôle des politiques de sécurité du réseau pour une facilité d'utilisation lors de la mise en œuvre sur plusieurs clusters. Les clusters utilisant Azure CNI optimisé par Cilium ont accès aux stratégies DNS. La facilité d’utilisation par rapport aux stratégies basées sur IP permet de restreindre l’accès sortant aux services externes à l’aide de noms de domaine. La gestion de la configuration devient simplifiée à l’aide du nom de domaine complet plutôt que de modifier dynamiquement les adresses IP.
Pour plus d’informations sur Container Network Security et ses fonctionnalités, consultez Qu’est-ce que Container Network Security ?.
Tarification
Important
Advanced Container Azure Networking Services est une offre payante. Pour plus d’informations sur la tarification, consultez Tarification des services avancés de mise en réseau de conteneurs
Configurez les services de mise en Azure Networking de conteneurs avancés sur votre cluster
Prérequis
- Compte Azure avec un abonnement actif. Si vous n’en avez pas, créez un compte gratuit avant de commencer.
Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.
Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.
Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.
Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.
- La version minimale d’Azure CLI requise pour les étapes de cet article est la version 2.61.0. Exécutez
az --versionpour trouver la version. Si vous devez installer ou mettre à niveau, voir Installer Azure CLI.
Installer l’extension Azure CLI aks-preview
Installez ou mettez à jour l’extension Azure CLI en préversion à l’aide de la commande az extension add ou az extension update.
# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview
Créer un groupe de ressources
Un groupe de ressources est un conteneur logique dans lequel les ressources Azure sont déployées et gérées. Créez un groupe de ressources avec la commande az group create.
# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION
Activez et désactivez les services de mise en Azure Networking de conteneurs avancés dans le cluster AKS
Créer un cluster AKS avec les services avancés de mise en réseau de conteneurs
La commande az aks create avec l'indicateur Advanced Container Azure Networking Services, --enable-acns, crée un nouveau cluster AKS avec toutes les fonctionnalités Advanced Container Networking Services. Ces fonctionnalités comprennent :
Observabilité du réseau de conteneurs : fournit des informations sur votre trafic réseau. Pour en savoir plus, visitez Observabilité du réseau de conteneurs.
Sécurité du réseau de conteneurs : offre des fonctionnalités de sécurité telles que le filtrage FQDN. Pour en savoir plus, consultez Sécurité du réseau de conteneurs.
Remarque
Les clusters avec le plan de données Cilium prennent en charge l'observabilité du réseau de conteneurs et la sécurité du réseau de conteneurs à partir de la version 1.29 de Kubernetes.
# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"
# Create an AKS cluster
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--generate-ssh-keys \
--location eastus \
--max-pods 250 \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--node-count 2 \
--pod-cidr 192.168.0.0/16 \
--kubernetes-version 1.29 \
--enable-acns
Les services avancés de mise en réseau de conteneurs sur un cluster existant
La commande az aks update avec l'indicateur Services avancés de mise en réseau de conteneurs, --enable-acns, met à jour un cluster AKS existant avec toutes les fonctionnalités des services avancés de mise en réseau de conteneurs, qui incluent Observabilité du réseau de conteneurs et Sécurité du réseau de conteneurs.
Remarque
Seuls les clusters avec le plan de données Cilium prennent en charge les fonctionnalités Container Network Security d'Advanced Container Azure Networking Services.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns
Désactiver les services avancés de mise en réseau de conteneurs
L'indicateur --disable-acns désactive toutes les fonctionnalités Advanced Container Azure Networking Services sur un cluster AKS existant, qui incluent Container Network Observability et Container Network Security
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--disable-acns
Désactivez certaines fonctionnalités des services de mise en Azure Networking de conteneurs avancés
Désactivez l'observabilité du réseau de conteneurs
Pour désactiver les fonctionnalités d'observabilité d’Azure Networking de conteneurs sans affecter les autres fonctionnalités des services de mise en réseau de conteneurs avancés, utilisez --enable-acns et --disable-acns-observability
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-observability
Désactivez la sécurité du réseau de conteneurs
Pour désactiver les fonctionnalités de sécurité du réseau de conteneurs sans affecter les autres fonctionnalités des services d’Azure Networking de conteneurs avancés, utilisez --enable-acns et --disable-acns-security
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-security
Étapes suivantes
Pour plus d'informations sur l'observabilité du réseau de conteneurs et ses fonctionnalités, voir Qu'est-ce que l'observabilité du réseau de conteneurs ?.
Pour plus d’informations sur Container Network Security et ses fonctionnalités, consultez Qu’est-ce que Container Network Security ?
Azure Kubernetes Service