O que são os Serviços Avançados de Rede de Contêineres?
Os Serviços Avançados de Rede de Contêineres são um conjunto de serviços projetados para aprimorar os recursos de rede de clusters do AKS (Serviço de Kubernetes do Azure). O pacote aborda desafios em aplicativos em contêineres modernos, como observabilidade, segurança e conformidade.
Com os Serviços Avançados de Rede de Contêineres, o foco é fornecer uma experiência integrada e perfeita que permite manter posturas de segurança robustas e obter insights profundos sobre o tráfego de rede e o desempenho do aplicativo. Isso garante que seus aplicativos em contêineres não sejam apenas seguros, mas também atendam ou excedam suas metas de desempenho e confiabilidade, permitindo que você gerencie e dimensione sua infraestrutura com confiança.
O que está incluído nos Serviços Avançados de Rede de Contêineres?
Os serviços avançados de rede de contêineres contêm recursos divididos em dois pilares:
Observabilidade: o recurso inaugural do pacote serviços avançados de rede de contêineres trazendo o poder do painel de controle do Hubble para planos de dados do Cilium e não do Cilium do Linux. Esses recursos visam fornecer visibilidade da rede e do desempenho.
Segurança: para clusters que usam a CNI do Azure alimentada pelo Cilium, as políticas de rede incluem filtragem de nome de domínio totalmente qualificado (FQDN) para lidar com as complexidades de manutenção da configuração.
Observabilidade de Rede de Contêiner
A Observabilidade de Rede de Contêiner o equipa com ferramentas de diagnóstico e monitoramento relacionadas à rede, fornecendo visibilidade de suas cargas de trabalho em contêineres. Ele desbloqueia as métricas do Hubble, a CLI (interface de linha de comando) do Hubble e a interface do usuário do Hubble em seus clusters do AKS fornecendo insights profundos e acionáveis sobre suas cargas de trabalho em contêineres, permitindo que você detecte e determine as causas raiz de problemas relacionados à rede no AKS. Esses recursos garantem que seus aplicativos em contêineres estejam seguros e em conformidade para permitir que você gerencie sua infraestrutura com confiança.
Para obter mais informações sobre a Observabilidade de Rede de Contêiner, consulte O que é a Observabilidade da Rede de Contêiner?.
Segurança de Rede de Contêiner
Os recursos de Segurança de Rede de Contêiner nos Serviços Avançados de Rede de Contêiner permitem maior controle sobre as políticas de segurança de rede para facilitar o uso ao implementar entre clusters. Os clusters que usam a CNI do Azure alimentada pelo Cilium têm acesso a políticas baseadas em DNS. A facilidade de uso em comparação com as políticas baseadas em IP permite restringir o acesso de saída a serviços externos usando nomes de domínio. O gerenciamento de configuração torna-se simplificado usando FQDN em vez de alterar dinamicamente os IPs.
Preços
Importante
Os Serviços Avançados de Rede de Contêineres são uma oferta paga. Para obter mais informações sobre preços, consulte Serviços avançados de rede de contêineres – Preços
Configurar serviços avançados de rede de contêiner em seu cluster
Pré-requisitos
- Uma conta do Azure com uma assinatura ativa. Se você não tiver uma, crie uma conta gratuita antes de começar.
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.
Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.
Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.
Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.
- A versão mínima da CLI do Azure necessária para as etapas deste artigo é 2.61.0. Execute
az --version
para encontrar a versão. Se você precisa instalar ou atualizar, consulte Instalar a CLI do Azure.
Instalar a extensão aks-preview da CLI do Azure
Instale ou atualize a extensão de visualização da CLI do Azure usando o comando az extension add
ou az extension update
.
# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview
Criar um grupo de recursos
Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Crie um grupo de recursos usando o comando az group create
.
# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION
Habilitar e desabilitar serviços avançados de rede de contêiner no cluster do AKS
Criar um cluster do AKS com Serviços Avançados de Rede de Contêineres
O comando az aks create
com o sinalizador dos Serviços Avançados de Rede de Contêiner, --enable-acns
, cria um cluster do AKS com todos os recursos dos Serviços Avançados de Rede de Contêiner. Esses recursos incluem:
Observabilidade de Rede de Contêiner: Fornece insights sobre o tráfego de rede. Para saber mais, visite Observabilidade de Rede de Contêiner.
Segurança de Rede de Contêiner: Oferece recursos de segurança como filtragem de FQDN. Para saber mais, visite Segurança de Rede de Contêiner.
Observação
Clusters com o plano de dados Cilium dão suporte à Observabilidade de Rede de Contêiner e a segurança de rede de contêiner a partir da versão 1.29 do Kubernetes.
# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"
# Create an AKS cluster
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--generate-ssh-keys \
--location eastus \
--max-pods 250 \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--node-count 2 \
--pod-cidr 192.168.0.0/16 \
--kubernetes-version 1.29 \
--enable-acns
Habilitar Serviços Avançados de Rede de Contêineres em um cluster existente
O comando az aks update
com o sinalizador dos Serviços Avançados de Rede de Contêiner, --enable-acns
, atualiza um cluster do AKS existente com todos os recursos dos Serviços Avançados de Rede de Contêiner, que inclui Observabilidade de Rede de Contêiner e o recurso Segurança de Rede de Contêiner.
Observação
Somente clusters com o plano de dados Cilium dão suporte para os recursos de Segurança de Rede de Contêiner dos Serviços Avançados de Rede de Contêiner.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns
Desabilitar serviços avançados de rede de contêiner
O sinalizador --disable-acns
desabilita todos os recursos avançados dos Serviços de Rede de Contêiner em um cluster do AKS existente que inclui a Observabilidade de Rede de Contêiner e a Segurança de Rede de Contêiner
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--disable-acns
Desabilitar a seleção de recursos avançados dos Serviços de Rede de Contêiner
Desabilitar a observabilidade da rede de contêiner
Para desabilitar os recursos de Observabilidade de Rede de Contêiner sem afetar outros recursos avançados dos Serviços de Rede de Contêiner, use --enable-acns
e --disable-acns-observability
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-observability
Desabilitar segurança de rede de contêiner
Para desabilitar os recursos de Segurança de Rede de Contêiner sem afetar outros recursos avançados dos Serviços de Rede de Contêiner, use --enable-acns
e --disable-acns-security
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-security
Próximas etapas
Para obter mais informações sobre a Observabilidade da Rede de Contêiner e seus recursos, consulte O que é a Observabilidade de Rede de Contêiner?.
Para mais informações sobre a Segurança de Rede de Contêiner e suas funcionalidades, confira O que é Segurança de Rede de Contêiner?.
Azure Kubernetes Service