Co to są usługi Advanced Container Networking Services?
Advanced Container Networking Services to pakiet usług zaprojektowany w celu zwiększenia możliwości sieciowych klastrów usługi Azure Kubernetes Service (AKS). Pakiet rozwiązuje problemy związane z nowoczesnymi konteneryzowanymi aplikacjami, takimi jak możliwość obserwowania, zabezpieczenia i zgodność.
Usługa Advanced Container Networking Services koncentruje się na dostarczaniu bezproblemowego i zintegrowanego środowiska, które umożliwia utrzymanie niezawodnych poziomów zabezpieczeń i uzyskiwanie szczegółowych informacji na temat ruchu sieciowego i wydajności aplikacji. Dzięki temu aplikacje konteneryzowane są nie tylko bezpieczne, ale także spełniają lub przekraczają cele dotyczące wydajności i niezawodności, co pozwala na niezawodne zarządzanie infrastrukturą i ich skalowanie.
Co znajduje się w usługach Advanced Container Networking Services?
Usługa Advanced Container Networking Services zawiera funkcje podzielone na dwa filary:
Obserwacja: Funkcja inauguracyjna pakietu Advanced Container Networking Services, która umożliwia płaszczyznę sterowania Hubble'a zarówno na płaszczyznach danych Cilium, jak i innych niż Cilium Linux. Te funkcje mają na celu zapewnienie wglądu w sieć i wydajność.
Zabezpieczenia: w przypadku klastrów korzystających z usługi Azure CNI obsługiwanej przez cilium zasady sieciowe obejmują filtrowanie w pełni kwalifikowanej nazwy domeny (FQDN) w celu rozwiązania problemów ze złożonością konserwacji konfiguracji.
Obserwowanie sieci kontenerów
Funkcja obserwacji sieci kontenerów udostępnia narzędzia do monitorowania i diagnostyki związane z siecią, zapewniając wgląd w konteneryzowane obciążenia. Odblokowuje metryki Hubble'a, interfejs wiersza polecenia (CLI) i interfejs użytkownika hubble'a w klastrach usługi AKS, zapewniając szczegółowe, praktyczne informacje o konteneryzowanych obciążeniach, które pozwalają wykrywać i określać główne przyczyny problemów związanych z siecią w usłudze AKS. Te funkcje zapewniają bezpieczeństwo i zgodność aplikacji konteneryzowanych w celu umożliwienia bezpiecznego zarządzania infrastrukturą.
Aby uzyskać więcej informacji na temat możliwości obserwowania sieci kontenerów, zobacz Co to jest obserwowanie sieci kontenerów?.
Zabezpieczenia sieci kontenerów
Funkcje zabezpieczeń sieci kontenerów w ramach usług Advanced Container Networking Services umożliwiają większą kontrolę nad zasadami zabezpieczeń sieci w celu ułatwienia ich użycia podczas implementowania w klastrach. Klastry korzystające z usługi Azure CNI obsługiwanej przez cilium mają dostęp do zasad opartych na systemie DNS. Łatwość użycia w porównaniu z zasadami opartymi na adresach IP umożliwia ograniczenie dostępu wychodzącego do usług zewnętrznych przy użyciu nazw domen. Zarządzanie konfiguracją staje się uproszczone przy użyciu nazwy FQDN, a nie dynamicznej zmiany adresów IP.
Aby uzyskać więcej informacji na temat zabezpieczeń sieci kontenera i jej możliwości, zobacz Co to jest zabezpieczenia sieci kontenera?.
Cennik
Ważne
Advanced Container Networking Services to płatna oferta. Aby uzyskać więcej informacji na temat cen, zobacz Advanced Container Networking Services — cennik
Konfigurowanie usług Advanced Container Networking Services w klastrze
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją. Jeśli nie masz subskrypcji, przed rozpoczęciem utwórz bezpłatne konto.
Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.
Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.
Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.
Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.
- Minimalna wersja interfejsu wiersza polecenia platformy Azure wymagana do wykonania kroków w tym artykule to 2.61.0. Uruchom polecenie
az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
Instalowanie rozszerzenia interfejsu wiersza polecenia platformy Azure w wersji zapoznawczej usługi aks
Zainstaluj lub zaktualizuj rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji zapoznawczej przy użyciu az extension add polecenia lub az extension update .
# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview
Tworzenie grupy zasobów
Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Utwórz grupę zasobów przy użyciu az group create polecenia .
# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION
Włączanie i wyłączanie zaawansowanych usług sieci kontenerów w klastrze usługi AKS
Tworzenie klastra usługi AKS za pomocą usług Advanced Container Networking Services
Polecenie az aks create z flagą --enable-acnsAdvanced Container Networking Services tworzy nowy klaster AKS ze wszystkimi funkcjami advanced Container Networking Services. Obejmują one następujące funkcje:
Obserwowanie sieci kontenerów: zapewnia wgląd w ruch sieciowy. Aby dowiedzieć się więcej, odwiedź stronę Obserwacja sieci kontenerów.
Zabezpieczenia sieci kontenerów: oferuje funkcje zabezpieczeń, takie jak filtrowanie nazw FQDN. Aby dowiedzieć się więcej, odwiedź stronę Zabezpieczenia sieci kontenerów.
Uwaga
Klastry z płaszczyzną danych Cilium obsługują zabezpieczenia sieci kontenerów i sieci kontenerów, począwszy od platformy Kubernetes w wersji 1.29.
# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"
# Create an AKS cluster
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--generate-ssh-keys \
--location eastus \
--max-pods 250 \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--node-count 2 \
--pod-cidr 192.168.0.0/16 \
--kubernetes-version 1.29 \
--enable-acns
Włączanie usług Advanced Container Networking Services w istniejącym klastrze
Polecenie az aks update z flagą --enable-acnsAdvanced Container Networking Services , aktualizuje istniejący klaster AKS ze wszystkimi funkcjami Advanced Container Networking Services, które obejmują możliwość obserwowania sieci kontenerów i funkcję zabezpieczeń sieci kontenerów.
Uwaga
Tylko klastry z płaszczyzną danych Cilium obsługują funkcje zabezpieczeń sieci kontenerów usługi Advanced Container Networking Services.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns
Wyłączanie zaawansowanych usług sieciowych kontenerów
Flaga --disable-acns wyłącza wszystkie funkcje usługi Advanced Container Networking Services w istniejącym klastrze usługi AKS, który obejmuje możliwość obserwowania sieci kontenerów i zabezpieczenia sieci kontenerów
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--disable-acns
Wyłącz wybieranie funkcji usługi Advanced Container Networking Services
Wyłączanie możliwości obserwowania sieci kontenerów
Aby wyłączyć funkcje obserwacji sieci kontenerów bez wpływu na inne funkcje usług Advanced Container Networking Services, użyj i --enable-acns--disable-acns-observability
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-observability
Wyłączanie zabezpieczeń sieci kontenera
Aby wyłączyć funkcje zabezpieczeń sieci kontenerów bez wpływu na inne funkcje usług Advanced Container Networking Services, użyj i --enable-acns--disable-acns-security
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-security
Następne kroki
Aby uzyskać więcej informacji na temat możliwości obserwowania sieci kontenerów i jej możliwości, zobacz Co to jest obserwowanie sieci kontenerów?.
Aby uzyskać więcej informacji na temat zabezpieczeń sieci kontenerów i jej możliwości, zobacz Co to jest zabezpieczenia sieci kontenera?
Azure Kubernetes Service