Vad är Advanced Container Networking Services?

Advanced Container Networking Services är en uppsättning tjänster som är utformade för att förbättra nätverksfunktionerna i Azure Kubernetes Service-kluster (AKS). Sviten hanterar utmaningar i moderna containerbaserade program, till exempel observerbarhet, säkerhet och efterlevnad.

Med Advanced Container Networking Services ligger fokus på att leverera en sömlös och integrerad upplevelse som gör att du kan upprätthålla robusta säkerhetsställningar och få djupgående insikter om din nätverkstrafik och programprestanda. Detta säkerställer att dina containerbaserade program inte bara är säkra utan också uppfyller eller överskrider dina prestanda- och tillförlitlighetsmål, så att du kan hantera och skala infrastrukturen på ett säkert sätt.

Vad ingår i Advanced Container Networking Services?

Advanced Container Networking Services innehåller funktioner uppdelade i två pelare:

• Observerbarhet: Den första funktionen i Advanced Container Networking Services-sviten som ger kraften i Hubbles kontrollplan till både Cilium- och icke-Cilium Linux-dataplan. Dessa funktioner syftar till att ge insyn i nätverk och prestanda.

• Säkerhet: För kluster som använder Azure CNI Som drivs av Cilium omfattar nätverksprinciper fullständigt kvalificerade domännamnsfiltrering (FQDN) för att hantera komplexiteten i att underhålla konfigurationen.

Observerbarhet för containernätverk

Container Network Observability ger dig nätverksrelaterade övervaknings- och diagnostikverktyg, vilket ger insyn i dina containerbaserade arbetsbelastningar. Den låser upp Hubble-mått, Hubbles kommandoradsgränssnitt (CLI) och Användargränssnittet för Hubble (UI) i dina AKS-kluster som ger djupgående, användbara insikter om dina containerbaserade arbetsbelastningar så att du kan identifiera och fastställa de bakomliggande orsakerna till nätverksrelaterade problem i AKS. Dessa funktioner säkerställer att dina containerbaserade program är säkra och kompatibla för att du ska kunna hantera infrastrukturen på ett säkert sätt.

Mer information om containernätverksobservabilitet finns i Vad är containernätverksobservabilitet?.

Nätverkssäkerhet för container

Säkerhetsfunktioner för containernätverk i Advanced Container Networking Services ger bättre kontroll över nätverkssäkerhetsprinciper för enkel användning när du implementerar mellan kluster. Kluster som använder Azure CNI som drivs av Cilium har åtkomst till DNS-baserade principer. Den enkla användningen jämfört med IP-baserade principer gör det möjligt att begränsa utgående åtkomst till externa tjänster med hjälp av domännamn. Konfigurationshanteringen förenklas med hjälp av FQDN i stället för att dynamiskt ändra IP-adresser.

Mer information om containernätverkssäkerhet och dess funktioner finns i Vad är containernätverkssäkerhet?.

Prissättning

Viktigt!

Advanced Container Networking Services är ett betalerbjudande. Mer information om priser finns i Advanced Container Networking Services – Prissättning

Konfigurera Advanced Container Networking Services i klustret

Förutsättningar

• Ett Azure-konto med en aktiv prenumeration. Om du inte har ett konto kan du skapa ett kostnadsfritt konto innan du börjar.

• Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.

  

• Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.

  • Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.

  • När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.

  • Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.

• Den lägsta versionen av Azure CLI som krävs för stegen i den här artikeln är 2.61.0. Kör az --version för att hitta versionen. Om du behöver installera eller uppgradera kan du läsa Installera Azure CLI.

Installera Azure CLI-tillägget aks-preview

Installera eller uppdatera azure CLI-förhandsgranskningstillägget az extension add med hjälp av kommandot eller az extension update .

# Install the aks-preview extension
az extension add --name aks-preview

# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

Skapa en resursgrupp

En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras. Skapa en resursgrupp med kommandot az group create .

# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION

Aktivera och inaktivera avancerade containernätverkstjänster i AKS-kluster

Skapa ett AKS-kluster med Advanced Container Networking Services

Kommandot az aks create med flaggan Advanced Container Networking Services, --enable-acns, skapar ett nytt AKS-kluster med alla funktioner i Advanced Container Networking Services. Dessa funktioner omfattar:

• Observerbarhet för containernätverk: Ger insikter om din nätverkstrafik. Mer information finns i Container Network Observability (Observerbarhet för containernätverk).

• Säkerhet för containernätverk: Erbjuder säkerhetsfunktioner som FQDN-filtrering. Mer information finns i Container Network Security.

Cilium

Kommentar

Kluster med Cilium-dataplanet stöder containernätverksobservabilitet och containernätverkssäkerhet från och med Kubernetes version 1.29.

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --generate-ssh-keys \
    --location eastus \
    --max-pods 250 \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --node-count 2 \
    --pod-cidr 192.168.0.0/16 \
    --kubernetes-version 1.29 \
    --enable-acns

Icke-Cilium

Kommentar

Container Network Security-funktionen är inte tillgänglig för icke-ciliumkluster

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --generate-ssh-keys \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --pod-cidr 192.168.0.0/16 \
    --enable-acns

Aktivera Advanced Container Networking Services i ett befintligt kluster

Kommandot az aks update med flaggan Advanced Container Networking Services uppdaterar --enable-acnsett befintligt AKS-kluster med alla avancerade funktioner för containernätverkstjänster som innehåller containernätverksobservabilitet och funktionen Container Network Security .

Kommentar

Endast kluster med Cilium-dataplanet stöder funktioner för containernätverkssäkerhet i Advanced Container Networking Services.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

Inaktivera avancerade containernätverkstjänster

Flaggan --disable-acns inaktiverar alla advanced container networking services-funktioner i ett befintligt AKS-kluster som innehåller Container Network Observability och Container Network Security

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

---

Inaktivera välj avancerade funktioner för containernätverkstjänster

Inaktivera containernätverksobservabilitet

Cilium

Om du vill inaktivera funktioner för containernätverksobservabilitet utan att påverka andra funktioner i Advanced Container Networking Services använder --enable-acns du och --disable-acns-observability

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability 

Icke-Cilium

Eftersom endast containernätverksobservabilitet är den enda tillgängliga funktionen för icke-ciliumkluster kan du använda --disable-acns för att inaktivera funktionen

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns 

Inaktivera containernätverkssäkerhet

Cilium

Om du vill inaktivera säkerhetsfunktioner för containernätverk utan att påverka andra funktioner i Advanced Container Networking Services använder --enable-acns du och --disable-acns-security

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security 

Icke-Cilium

Container Network Security stöds för närvarande inte på icke-Cilium-kluster. Om du vill använda den här funktionen och aktivera Azure CNI som drivs av Cilium kan du läsa Dokumentation om Azure CNI som drivs av cilium

Nästa steg

• Mer information om containernätverksobservabilitet och dess funktioner finns i Vad är containernätverksobservabilitet?.

• Mer information om Container Network Security och dess funktioner finns i Vad är containernätverkssäkerhet?