Wat is Advanced Container Networking Services?

Advanced Container Networking Services is een reeks services die zijn ontworpen om de netwerkmogelijkheden van AKS-clusters (Azure Kubernetes Service) te verbeteren. De suite behandelt uitdagingen in moderne toepassingen in containers, zoals waarneembaarheid, beveiliging en naleving.

Met Advanced Container Networking Services is de focus gericht op het leveren van een naadloze en geïntegreerde ervaring waarmee u robuuste beveiligingspostuur kunt onderhouden en diepgaande inzichten kunt krijgen in uw netwerkverkeer en toepassingsprestaties. Dit zorgt ervoor dat uw containertoepassingen niet alleen veilig zijn, maar ook voldoen aan uw prestatie- en betrouwbaarheidsdoelen, zodat u uw infrastructuur veilig kunt beheren en schalen.

Wat is opgenomen in Advanced Container Networking Services?

Geavanceerde Container Networking Services bevat functies die zijn gesplitst in twee pijlers:

• Waarneembaarheid: de inaugurele functie van de Advanced Container Networking Services-suite brengt de kracht van hubble's besturingsvlak naar zowel Cilium- als niet-Cilium Linux-gegevensvlakken. Deze functies zijn bedoeld om inzicht te bieden in netwerken en prestaties.

• Beveiliging: Voor clusters die gebruikmaken van Azure CNI Powered by Cilium, bevatten netwerkbeleid volledig gekwalificeerde domeinnaamfilters (FQDN) voor het aanpakken van de complexiteit van het onderhouden van de configuratie.

Waarneembaarheid van containernetwerk

Container Network Observability biedt u de beschikking over hulpprogramma's voor netwerkbewaking en diagnostische gegevens, zodat u inzicht krijgt in uw workloads in containers. Het ontgrendelt hubble-metrische gegevens, de opdrachtregelinterface (CLI) van Hubble en de Hubble-gebruikersinterface (UI) op uw AKS-clusters en biedt uitgebreide, bruikbare inzichten in uw in containers geplaatste workloads, zodat u de hoofdoorzaken van netwerkproblemen in AKS kunt detecteren en bepalen. Deze functies zorgen ervoor dat uw containertoepassingen veilig en compatibel zijn, zodat u uw infrastructuur op een betrouwbare manier kunt beheren.

Zie Wat is Waarneembaarheid van containernetwerk? voor meer informatie over waarneembaarheid van containernetwerk.

Containernetwerkbeveiliging

Container Network Security-functies in Advanced Container Networking Services zorgen voor betere controle over netwerkbeveiligingsbeleid voor gebruiksgemak bij het implementeren van clusters. Clusters die gebruikmaken van Azure CNI Powered by Cilium, hebben toegang tot op DNS gebaseerde beleidsregels. Het gebruiksgemak in vergelijking met ip-beleid maakt het beperken van uitgaande toegang tot externe services met behulp van domeinnamen mogelijk. Configuratiebeheer wordt vereenvoudigd door FQDN te gebruiken in plaats van ip-adressen dynamisch te wijzigen.

Prijzen

Belangrijk

Geavanceerde container-netwerkdiensten is een betaald aanbod. Zie Advanced Container Networking Services - Prijzen voor meer informatie over prijzen

Advanced Container Networking Services instellen op uw cluster

Vereisten

• Een Azure-account met een actief abonnement. Als u nog geen abonnement hebt, maakt u een gratis account voordat u begint.

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.

  

• Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

• De minimale versie van Azure CLI die is vereist voor de stappen in dit artikel is 2.61.0. Voer az --version uit om de versie te bekijken. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.

De Azure CLI-extensie aks-preview installeren

Installeer of werk de Preview-extensie van Azure CLI bij met behulp van de az extension add of az extension update opdracht.

# Install the aks-preview extension
az extension add --name aks-preview

# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

Een brongroep maken

Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. Maak een resourcegroep met behulp van de az group create opdracht.

# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION

Geavanceerde containernetwerkservices in- en uitschakelen in AKS-cluster

Een AKS-cluster maken met Advanced Container Networking Services

Met az aks create de opdracht met de vlag Advanced Container Networking Services maakt --enable-acnsu een nieuw AKS-cluster met alle functies van Advanced Container Networking Services. Deze functies omvatten:

• Waarneembaarheid van containernetwerk: biedt inzicht in uw netwerkverkeer. Ga naar Container Network Observability voor meer informatie.

• Containernetwerkbeveiliging: biedt beveiligingsfuncties zoals FQDN-filtering. Ga naar Container Network Security voor meer informatie.

Cilium

Notitie

Clusters met het Cilium-gegevensvlak ondersteunen Container Network Observability en Container Network Security vanaf Kubernetes versie 1.29.

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --generate-ssh-keys \
    --location eastus \
    --max-pods 250 \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --node-count 2 \
    --pod-cidr 192.168.0.0/16 \
    --kubernetes-version 1.29 \
    --enable-acns

Niet-Cilium

Notitie

De functie Container Network Security is niet beschikbaar voor niet-ciliumclusters

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --generate-ssh-keys \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --pod-cidr 192.168.0.0/16 \
    --enable-acns

Advanced Container Networking Services inschakelen op een bestaand cluster

Met az aks update de opdracht met de vlag Advanced Container Networking Services wordt --enable-acnseen bestaand AKS-cluster bijgewerkt met alle functies van Advanced Container Networking Services, waaronder Waarneembaarheid van containernetwerk en de functie Container Network Security .

Waarschuwing

Voor niet-Cilium-klanten die bijwerken naar Cilium, kunnen gelijktijdige updates van Cilium en Advanced Container Networking Services leiden tot een uitgebreide initialisatie van de Cilium-agent. Werk Cilium eerst bij en schakel vervolgens Advanced Container Networking Services in om problemen te voorkomen.

Notitie

Alleen clusters met het Cilium-gegevensvlak ondersteunen containernetwerkbeveiligingsfuncties van Advanced Container Networking Services.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

Geavanceerde containernetwerkservices uitschakelen

Met de --disable-acns vlag worden alle functies van Advanced Container Networking Services op een bestaand AKS-cluster uitgeschakeld, waaronder Waarneembaarheid van containernetwerk en containernetwerkbeveiliging

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

---

Geavanceerde functies voor Container Networking Services uitschakelen

Waarneembaarheid van containernetwerk uitschakelen

Cilium

Functies voor waarneembaarheid van containernetwerken uitschakelen zonder dat dit van invloed is op andere functies van Advanced Container Networking Services, gebruikt --enable-acns en --disable-acns-observability

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability 

Niet-Cilium

Omdat alleen Container Network Observability de enige functie is die beschikbaar is voor een niet-ciliumcluster, kunt u --disable-acns gebruiken om de functie uit te schakelen

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns 

Containernetwerkbeveiliging uitschakelen

Cilium

Als u containernetwerkbeveiligingsfuncties wilt uitschakelen zonder dat dit van invloed is op andere functies van Advanced Container Networking Services, gebruikt --enable-acns en --disable-acns-security

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security 

Niet-Cilium

Container Network Security wordt momenteel niet ondersteund op niet-Cilium-clusters. Als u deze functie wilt gebruiken en Azure CNI wilt inschakelen die mogelijk wordt gemaakt door Cilium, raadpleegt u Azure CNI mogelijk gemaakt door ciliumdocumentatie

Volgende stappen

• Zie Wat is Waarneembaarheid van containernetwerk voor meer informatie over waarneembaarheid van containernetwerk en de mogelijkheden ervan.

• Zie Wat is Container Network Security?voor meer informatie over Container Network Security en de mogelijkheden ervan.