Compartilhar via


O que são os Serviços Avançados de Rede de Contêineres?

Os Serviços Avançados de Rede de Contêineres são um conjunto de serviços projetados para aprimorar os recursos de rede de clusters do AKS (Serviço de Kubernetes do Azure). O pacote aborda desafios em aplicativos em contêineres modernos, como observabilidade, segurança e conformidade.

Com os Serviços Avançados de Rede de Contêineres, o foco é fornecer uma experiência integrada e perfeita que permite manter posturas de segurança robustas e obter insights profundos sobre o tráfego de rede e o desempenho do aplicativo. Isso garante que seus aplicativos em contêineres não sejam apenas seguros, mas também atendam ou excedam suas metas de desempenho e confiabilidade, permitindo que você gerencie e dimensione sua infraestrutura com confiança.

O que está incluído nos Serviços Avançados de Rede de Contêineres?

Os serviços avançados de rede de contêineres contêm recursos divididos em dois pilares:

  • Observabilidade: o recurso inaugural do pacote serviços avançados de rede de contêineres trazendo o poder do painel de controle do Hubble para planos de dados do Cilium e não do Cilium do Linux. Esses recursos visam fornecer visibilidade da rede e do desempenho.

  • Segurança: para clusters que usam a CNI do Azure alimentada pelo Cilium, as políticas de rede incluem filtragem de nome de domínio totalmente qualificado (FQDN) para lidar com as complexidades de manutenção da configuração.

Observabilidade de Rede de Contêiner

A Observabilidade de Rede de Contêiner o equipa com ferramentas de diagnóstico e monitoramento relacionadas à rede, fornecendo visibilidade de suas cargas de trabalho em contêineres. Ele desbloqueia as métricas do Hubble, a CLI (interface de linha de comando) do Hubble e a interface do usuário do Hubble em seus clusters do AKS fornecendo insights profundos e acionáveis sobre suas cargas de trabalho em contêineres, permitindo que você detecte e determine as causas raiz de problemas relacionados à rede no AKS. Esses recursos garantem que seus aplicativos em contêineres estejam seguros e em conformidade para permitir que você gerencie sua infraestrutura com confiança.

Para obter mais informações sobre a Observabilidade de Rede de Contêiner, consulte O que é a Observabilidade da Rede de Contêiner?.

Segurança de Rede de Contêiner

Os recursos de Segurança de Rede de Contêiner nos Serviços Avançados de Rede de Contêiner permitem maior controle sobre as políticas de segurança de rede para facilitar o uso ao implementar entre clusters. Os clusters que usam a CNI do Azure alimentada pelo Cilium têm acesso a políticas baseadas em DNS. A facilidade de uso em comparação com as políticas baseadas em IP permite restringir o acesso de saída a serviços externos usando nomes de domínio. O gerenciamento de configuração torna-se simplificado usando FQDN em vez de alterar dinamicamente os IPs.

Preços

Importante

Os Serviços Avançados de Rede de Contêineres são uma oferta paga. Para obter mais informações sobre preços, consulte Serviços avançados de rede de contêineres – Preços

Configurar serviços avançados de rede de contêiner em seu cluster

Pré-requisitos

  • Uma conta do Azure com uma assinatura ativa. Se você não tiver uma, crie uma conta gratuita antes de começar.
  • A versão mínima da CLI do Azure necessária para as etapas deste artigo é 2.61.0. Execute az --version para encontrar a versão. Se você precisa instalar ou atualizar, consulte Instalar a CLI do Azure.

Instalar a extensão aks-preview da CLI do Azure

Instale ou atualize a extensão de visualização da CLI do Azure usando o comando az extension add ou az extension update.

# Install the aks-preview extension
az extension add --name aks-preview

# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

Criar um grupo de recursos

Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Crie um grupo de recursos usando o comando az group create.

# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION

Habilitar e desabilitar serviços avançados de rede de contêiner no cluster do AKS

Criar um cluster do AKS com Serviços Avançados de Rede de Contêineres

O comando az aks create com o sinalizador dos Serviços Avançados de Rede de Contêiner, --enable-acns, cria um cluster do AKS com todos os recursos dos Serviços Avançados de Rede de Contêiner. Esses recursos incluem:

Observação

Clusters com o plano de dados Cilium dão suporte à Observabilidade de Rede de Contêiner e a segurança de rede de contêiner a partir da versão 1.29 do Kubernetes.

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --generate-ssh-keys \
    --location eastus \
    --max-pods 250 \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --node-count 2 \
    --pod-cidr 192.168.0.0/16 \
    --kubernetes-version 1.29 \
    --enable-acns

Habilitar Serviços Avançados de Rede de Contêineres em um cluster existente

O comando az aks update com o sinalizador dos Serviços Avançados de Rede de Contêiner, --enable-acns, atualiza um cluster do AKS existente com todos os recursos dos Serviços Avançados de Rede de Contêiner, que inclui Observabilidade de Rede de Contêiner e o recurso Segurança de Rede de Contêiner.

Observação

Somente clusters com o plano de dados Cilium dão suporte para os recursos de Segurança de Rede de Contêiner dos Serviços Avançados de Rede de Contêiner.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

Desabilitar serviços avançados de rede de contêiner

O sinalizador --disable-acns desabilita todos os recursos avançados dos Serviços de Rede de Contêiner em um cluster do AKS existente que inclui a Observabilidade de Rede de Contêiner e a Segurança de Rede de Contêiner

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

Desabilitar a seleção de recursos avançados dos Serviços de Rede de Contêiner

Desabilitar a observabilidade da rede de contêiner

Para desabilitar os recursos de Observabilidade de Rede de Contêiner sem afetar outros recursos avançados dos Serviços de Rede de Contêiner, use --enable-acns e --disable-acns-observability

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability 

Desabilitar segurança de rede de contêiner

Para desabilitar os recursos de Segurança de Rede de Contêiner sem afetar outros recursos avançados dos Serviços de Rede de Contêiner, use --enable-acns e --disable-acns-security

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security 

Próximas etapas