Что такое расширенные сетевые службы контейнеров?

Расширенные сетевые службы контейнеров — это набор служб, предназначенных для улучшения сетевых возможностей кластеров Служба Azure Kubernetes (AKS). В наборе рассматриваются проблемы в современных контейнерных приложениях, таких как наблюдаемость, безопасность и соответствие требованиям.

Благодаря расширенным сетевым службам контейнеров основное внимание уделяется обеспечению простого и интегрированного интерфейса, позволяющего поддерживать надежные возможности безопасности и получать подробные сведения о производительности сетевого трафика и приложений. Это гарантирует, что контейнерные приложения не только безопасны, но и соответствуют вашим целям производительности и надежности, что позволяет уверенно управлять инфраструктурой и масштабировать ее.

Что включается в расширенные сетевые службы контейнеров?

Расширенные сетевые службы контейнеров содержат функции, разделенные на два основных компонента:

• Наблюдаемость: инаугурационная функция набора расширенных сетевых служб контейнеров, которая позволяет использовать плоскость управления Hubble как для Cilium, так и для плоскостей данных Linux, отличных от Cilium. Эти функции предназначены для обеспечения видимости сети и производительности.

• Безопасность. Для кластеров с помощью Azure CNI Powered by Cilium политики сети включают полную фильтрацию доменных имен (FQDN) для решения сложностей обслуживания конфигурации.

Мониторинг сетевой инфраструктуры контейнеров

Наблюдение за сетью контейнеров обеспечивает мониторинг и диагностика сетевых средств, обеспечивая видимость контейнерных рабочих нагрузок. Она разблокирует метрики Hubble, интерфейс командной строки Hubble и пользовательский интерфейс Hubble в кластерах AKS, предоставляя подробные аналитические сведения о контейнерных рабочих нагрузках, позволяющих обнаруживать и определять первопричины проблем, связанных с сетью в AKS. Эти функции обеспечивают безопасность и соответствие контейнерным приложениям, чтобы обеспечить уверенное управление инфраструктурой.

Дополнительные сведения о наблюдаемости сети контейнеров см. в разделе "Что такое наблюдаемость сети контейнеров?".

Безопасность сети контейнеров

Функции безопасности сети контейнеров в расширенных сетевых службах контейнеров обеспечивают более широкий контроль над политиками безопасности сети при реализации в кластерах. Кластеры, использующие Azure CNI Powered cilium, имеют доступ к политикам на основе DNS. Простота использования по сравнению с политиками на основе IP-адресов позволяет ограничить доступ исходящего трафика к внешним службам с помощью доменных имен. Управление конфигурацией упрощается с помощью полного доменного имени, а не динамически меняющегося IP-адреса.

Цены

Внимание

Расширенные услуги контейнерной сети предоставляются на платной основе. Дополнительные сведения о ценах см. в разделе "Расширенные сетевые службы контейнеров" — цены

Настройка расширенных сетевых служб контейнеров в кластере

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начать работу.

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.

  

• Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

  • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

• Минимальная версия Azure CLI, необходимая для действий, описанных в этой статье, — 2.61.0. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0.

Установка расширения Azure CLI для aks-preview

Установите или обновите расширение предварительной версии Azure CLI с помощью az extension add команды или az extension update команды.

# Install the aks-preview extension
az extension add --name aks-preview

# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

Создание или изменение группы ресурсов

Группа ресурсов — это логический контейнер, в котором происходит развертывание ресурсов Azure и управление ими. Создайте группу ресурсов с помощью az group create команды.

# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION

Включение и отключение расширенных сетевых служб контейнеров в кластере AKS

Создание кластера AKS с расширенными сетевыми службами контейнеров

Команда az aks create с флагом --enable-acnsрасширенных сетевых служб контейнеров создает новый кластер AKS со всеми функциями расширенных сетевых служб контейнеров. Эти функции охватывают следующие возможности:

• Наблюдение за сетью контейнеров. Предоставляет аналитические сведения о сетевом трафике. Дополнительные сведения см. в разделе "Наблюдаемость сети контейнеров".

• Безопасность сети контейнеров: предлагает такие функции безопасности, как фильтрация полного доменного имени. Дополнительные сведения см. в статье "Безопасность сети контейнеров".

Ресница

Примечание.

Кластеры с плоскостью данных Cilium поддерживают безопасность сети контейнеров и сети контейнеров, начиная с Kubernetes версии 1.29.

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --generate-ssh-keys \
    --location eastus \
    --max-pods 250 \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --node-count 2 \
    --pod-cidr 192.168.0.0/16 \
    --kubernetes-version 1.29 \
    --enable-acns

Non-Cilium

Примечание.

Компонент безопасности сети контейнеров недоступен для кластеров, отличных от cilium

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --generate-ssh-keys \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --pod-cidr 192.168.0.0/16 \
    --enable-acns

Включение расширенных сетевых служб контейнеров в существующем кластере

Команда az aks update с флагом --enable-acns"Расширенные сетевые службы контейнеров" обновляет существующий кластер AKS со всеми функциями расширенных сетевых служб контейнеров, которые включают в себя наблюдение за сетями контейнеров и функцию безопасности сети контейнеров.

Предупреждение

Для клиентов, не относящихся к Cilium, одновременные обновления Cilium и расширенных сетевых служб контейнеров могут привести к расширенной инициализации агента Cilium. Чтобы избежать проблем, сначала обновите Cilium и включите расширенные сетевые службы контейнеров.

Примечание.

Только кластеры с плоскостем данных Cilium поддерживают функции безопасности сети контейнеров расширенных сетевых служб контейнеров.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

Отключение расширенных сетевых служб контейнеров

Флаг --disable-acns отключает все функции расширенных сетевых служб контейнеров в существующем кластере AKS, который включает в себя наблюдательность сети контейнеров и безопасность сети контейнеров.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

---

Отключить выбор функций расширенных сетевых служб контейнеров

Отключение отслеживания сети контейнеров

Ресница

Отключение функций наблюдения за сетями контейнеров, не затрагивая другие функции расширенных сетевых служб контейнеров, используйте --enable-acns и --disable-acns-observability

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability 

Non-Cilium

Так как только наблюдение за сетью контейнеров является единственной функцией, доступной для кластера, отличного от cilium, можно использовать --disable-acns для отключения функции.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns 

Отключение сетевой безопасности контейнера

Ресница

Отключение функций безопасности сети контейнеров, не затрагивающих другие функции расширенных сетевых служб контейнеров, используйте --enable-acns и --disable-acns-security

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security 

Non-Cilium

В настоящее время безопасность сети контейнеров не поддерживается в кластерах, отличных от Cilium. Чтобы использовать эту функцию и включить Azure CNI на базе Cilium, ознакомьтесь с документацией по CNI Azure с поддержкой cilium.

Следующие шаги

• Дополнительные сведения о наблюдаемости сети контейнеров и ее возможностях см. в разделе "Что такое наблюдаемость сети контейнеров?".

• Дополнительные сведения о безопасности сети контейнеров и ее возможностях см. в разделе "Что такое безопасность сети контейнеров?".