Freigeben über

Was ist Erweiterte Container-Netzwerkdienste?

  • Artikel

Erweiterte Container-Netzwerkdienste ist eine Dienstsuite, die entwickelt wurde, um die Netzwerkfunktionen von Azure Kubernetes Service-Clustern (AKS) zu verbessern. Die Suite behebt die Herausforderungen in modernen containerisierten Anwendungen, z. B. Observability, Sicherheit und Compliance.

Mit Erweiterte Container-Netzwerkdienste liegt der Fokus auf der Bereitstellung eines nahtlosen und integrierten Produkts, das es Ihnen ermöglicht, stabile Sicherheitsstatus aufrechtzuerhalten und tiefe Einblicke in Ihren Netzwerkdatenverkehr und die Anwendungsleistung zu erhalten. Dadurch wird sichergestellt, dass Ihre containerisierten Anwendungen nicht nur sicher sind, sondern auch Ihre Leistungs- und Zuverlässigkeitsziele erfüllen oder übertreffen, sodass Sie Ihre Infrastruktur zuversichtlich verwalten und skalieren können.

Was ist in Erweiterte Container-Netzwerkdienste enthalten?

Erweiterte Container-Netzwerkdienste enthalten Features, die in zwei Säulen unterteilt sind:

  • Einblicke: Das erste Feature der Suite für erweiterte Container-Netzwerkdienste ermöglicht die Leistung der Hubble-Steuerungsebene für Cilium- und Nicht-Cilium-Linux-Datenebenen. Diese Features zielen darauf ab, Einblicke in das Netzwerk und die Leistung zu bieten.

  • Sicherheit: Bei Clustern mit Azure CNI Powered by Cilium umfassen Netzwerkrichtlinien die Filterung nach vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) zur Bewältigung der Komplexität der Konfiguration.

Container Network Observability

Container Network Observability stattet Sie mit Überwachungs- und Diagnosetools für Netzwerke aus, die Ihnen einen unvergleichlichen Einblick in Ihre containerisierten Workloads geben. Es macht Hubble-Metriken, die Hubble-Befehlszeilenschnittstelle (Command Line Interface, CLI) und die Hubble-Benutzeroberfläche (User Interface, UI) für Ihre AKS-Cluster verfügbar und bietet so tiefgreifende, handlungsrelevante Einblicke in Ihre containerisierten Workloads. So können Sie die Ursachen für netzwerkbezogene Probleme in AKS erkennen und ermitteln. Diese Features stellen sicher, dass Ihre containerisierten Anwendungen sicher und konform sind, damit Sie Ihre Infrastruktur sicher verwalten können.

Weitere Informationen zu Container Network Observability finden Sie unter Was ist Container Network Observability?.

Containernetzwerksicherheit

Features für Containernetzwerksicherheit in Erweiterte Container-Netzwerkdienste ermöglichen eine bessere Kontrolle über Netzwerksicherheitsrichtlinien, um die Benutzerfreundlichkeit bei der clusterübergreifenden Implementierung zu gewährleisten. Cluster mit Azure CNI Powered by Cilium haben Zugriff auf DNS-basierte Richtlinien. Die Benutzerfreundlichkeit im Vergleich zu IP-basierten Richtlinien ermöglicht das Einschränken des ausgehenden Zugriffs auf externe Dienste mithilfe von Domänennamen. Die Konfigurationsverwaltung wird mithilfe von FQDN vereinfacht, anstatt dynamische IPs zu ändern.

Preise

Wichtig

Die erweiterten Container-Netzwerkdienste werden in Zukunft ein kostenpflichtiges Angebot sein. Weitere Informationen zu den Preisen finden Sie unter Erweiterte Container-Netzwerkdienste – Preise

Einrichten von Erweiterte Container-Netzwerkdienste auf Ihrem Cluster

Voraussetzungen

  • Ein Azure-Konto mit einem aktiven Abonnement. Sollten Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

  • Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  • Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

    • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

    • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

    • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

  • Für die Schritte in diesem Artikel ist die Azure CLI mindestens in Version 2.61.0 erforderlich. Führen Sie az --version aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.

Installieren der Azure CLI-Erweiterung „aks-preview“

Installieren oder aktualisieren Sie die Azure CLI-Vorschauerweiterung mithilfe des Befehls az extension add oder az extension update.

# Install the aks-preview extension
az extension add --name aks-preview

# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

Erstellen einer Ressourcengruppe

Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Erstellen Sie mit dem Befehl az group create eine Ressourcengruppe.

# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION

Aktivieren und Deaktivieren von Erweiterte Container-Netzwerkdienste in einem AKS-Cluster

Erstellen eines AKS-Clusters mit erweiterten Container-Netzwerkdiensten

Der Befehl az aks create mit dem Flag Advanced Container Networking Services --enable-acns erstellt einen neuen AKS-Cluster mit allen Features der erweiterten Container-Netzwerkdiensten. Diese Funktionen umfassen Folgendes:

  • Container Network Observability: Bietet Einblicke in Ihren Netzwerkdatenverkehr. Weitere Informationen erhalten Sie unter Container Network Observability.

  • Containernetzwerksicherheit: Bietet Sicherheitsfeatures wie FQDN-Filterung. Weitere Informationen erhalten Sie unter Containernetzwerksicherheit.

Hinweis

Cluster mit der Cilium-Datenebene unterstützen Container Network Observability und Containernetzwerksicherheit ab Kubernetes-Version 1.29.

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --generate-ssh-keys \
    --location eastus \
    --max-pods 250 \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --node-count 2 \
    --pod-cidr 192.168.0.0/16 \
    --kubernetes-version 1.29 \
    --enable-acns

Aktivieren von erweiterten Container-Netzwerkdiensten für einen vorhandenen Cluster

Der Befehl az aks update mit dem Advanced Container Networking Services-Flag --enable-acns aktualisiert einen vorhandenen AKS-Cluster mit allen erweiterten Containernetzwerkdiensten, die Container Network Observability und das Feature Containernetzwerksicherheit enthalten.

Hinweis

Nur Cluster mit der Cilium-Datenebene unterstützen die Features für Containernetzwerksicherheit der erweiterten Container-Netzwerkdienste.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

Was ist Erweiterte Container-Netzwerkdienste?

Das Flag --disable-acns deaktiviert alle Features von Erweiterte Container-Netzwerkdienste in einem vorhandenen AKS-Cluster, der Container Network Observability und Containernetzwerksicherheit umfasst.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

Deaktivieren ausgewählter Features für Erweiterte Container-Netzwerkdienste

Deaktiveren von Container Network Observability

Verwenden Sie --enable-acns und --disable-acns-observability, um Features für Container Network Observability zu deaktivieren, ohne dass sich dies auf andere Features von Erweiterte Container-Netzwerkdienste auswirkt.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability

Deaktivieren von Containernetzwerksicherheit

Verwenden Sie --enable-acns und --disable-acns-security, um Features für Containernetzwerksicherheit zu deaktivieren, ohne dass sich dies auf andere Features von Erweiterte Container-Netzwerkdienste auswirkt.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security

Nächste Schritte