アドバンスト コンテナー ネットワーク サービスとは何ですか?

アドバンスト コンテナー ネットワークサービスは、Azure Kubernetes Service (AKS) クラスターのネットワーク機能を強化するために設計されたサービス スイートです。 このスイートは、監視、セキュリティ、コンプライアンスなど、最新のコンテナー化されたアプリケーションの課題に対処します。

アドバンスト コンテナー ネットワークサービスでは、堅牢なセキュリティ態勢を維持し、ネットワーク トラフィックとアプリケーションのパフォーマンスに関する深い分析情報を得ることができる、シームレスで統合されたエクスペリエンスを提供することに重点を置いています。 これにより、コンテナー化されたアプリケーションは、セキュリティで保護されるだけでなく、パフォーマンスと信頼性の目標を満たすか上回るようになるため、インフラストラクチャを自信を持って管理およびスケーリングできます。

アドバンスト コンテナー ネットワーク サービスには何が含まれていますか?

アドバンスト コンテナー ネットワークサービスに含まれる機能は、次の 2 つの柱に分けられます。

• 監視: アドバンスト コンテナー ネットワークサービス スイートの最初の機能であり、Hubble のコントロール プレーンのパワーを Cilium と非 Cilium の両方の Linux データ プレーンで利用できるようにするものです。 これらの機能のねらいは、ネットワークとパフォーマンスを可視化することです。

• セキュリティ: Azure CNI Powered by Cilium を使用するクラスターについては、構成の保守の複雑さに対処するためにネットワーク ポリシーに完全修飾ドメイン名 (FQDN) フィルタリングが含まれます。

コンテナー ネットワークの監視

コンテナー ネットワークの監視では、ネットワーク関連の監視および診断ツールが提供され、コンテナー化されたワークロードの可視性が実現されます。 これにより、AKS クラスター上の Hubble メトリック、Hubble のコマンド ライン インターフェイス (CLI)、Hubble ユーザー インターフェイス (UI) のロックが解除され、コンテナー化されたワークロードに関する詳細で実用的な分析情報が提供され、AKS におけるネットワーク関連の問題の根本原因を検出して特定できるようになります。 これらの機能を利用すると、コンテナー化されたアプリケーションのセキュリティとコンプライアンスが確保され、インフラストラクチャを自信を持って管理できるようになります。

コンテナー ネットワークの監視について詳しくは、「コンテナー ネットワークの監視とは」を参照してください。

コンテナー ネットワークのセキュリティ

アドバンスト コンテナー ネットワークサービス内のコンテナー ネットワークのセキュリティ機能を使用すると、ネットワーク セキュリティ ポリシーをより細かく制御できるようになるため、クラスター全体に実装する際の使いやすさが向上します。 Azure CNI Powered by Cilium を使用するクラスターからは、DNS ベースのポリシーにアクセスできます。 IP ベースのポリシーと比べて使いやすく、外部サービスへのエグレス アクセスをドメイン名を使用して制限できます。 動的に変化する IP ではなく FQDN を使用することによって、構成管理が単純になります。

価格

既存のクラスターでアドバンスト コンテナー ネットワークサービスを設定にする

前提条件

• アクティブなサブスクリプションが含まれる Azure アカウント。 お持ちでない場合は、開始する前に無料アカウントを作成してください。

• Azure Cloud Shell で Bash 環境を使用します。 詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。

  

• CLI リファレンス コマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。 詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。

  • ローカル インストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。 認証プロセスを完了するには、ターミナルに表示される手順に従います。 その他のサインイン オプションについては、Azure CLI でのサインインに関するページを参照してください。

  • 初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。 拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。

  • az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。 最新バージョンにアップグレードするには、az upgrade を実行します。

• この記事の手順に必要な Azure CLI の最小バージョンは 2.61.0 です。 バージョンを確認するには、az --version を実行します。 インストールまたはアップグレードする必要がある場合は、Azure CLI のインストールに関するページを参照してください。

aksプレビューの Azure CLI 拡張機能をインストールする

az extension add または az extension update コマンドを使用して、Azure CLI プレビュー拡張機能をインストールまたは更新します。

# Install the aks-preview extension
az extension add --name aks-preview

# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

リソース グループを作成する

リソース グループとは、Azure リソースのデプロイと管理に使用する論理コンテナーです。 az group create コマンドを使用して、リソース グループを作成します。

# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION

AKS クラスターでアドバンスト コンテナー ネットワークサービスを有効または無効にする

アドバンスト コンテナー ネットワークサービスを使用する AKS クラスターを作成する

アドバンスト コンテナー ネットワークサービスのフラグ --enable-acns を指定した az aks create コマンドは、すべてのアドバンスト コンテナー ネットワークサービス機能を備えた新しい AKS クラスターを作成します。 これらの機能には以下が含まれます。

• コンテナー ネットワークの監視: トラフィックに関する分析情報を提供します。 詳細については、コンテナー ネットワークの監視に関するページを参照してください。

• コンテナー ネットワークのセキュリティ: FQDN フィルタリングなどのセキュリティ機能を提供します。 詳細については、コンテナー ネットワークのセキュリティに関するページを参照してください。

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --generate-ssh-keys \
    --location eastus \
    --max-pods 250 \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --node-count 2 \
    --pod-cidr 192.168.0.0/16 \
    --kubernetes-version 1.29 \
    --enable-acns

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --generate-ssh-keys \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --pod-cidr 192.168.0.0/16 \
    --enable-acns

アドバンスト コンテナー ネットワークサービスを既存のクラスターに対して有効にする

az aks update コマンドにアドバンスト コンテナー ネットワークサービスのフラグ --enable-acns を指定すると、コンテナー ネットワークの監視とコンテナー ネットワークのセキュリティの機能を含むすべてのアドバンスト コンテナー ネットワークサービス機能で既存の AKS クラスターが更新されます。

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

アドバンスト コンテナー ネットワークサービスを無効にする

--disable-acns フラグは、コンテナー ネットワークの監視とコンテナー ネットワークのセキュリティを含む既存の AKS クラスター上のすべてのアドバンスト コンテナー ネットワークサービス機能を無効にします。

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

特定のアドバンスト コンテナー ネットワークサービス機能を無効にする

コンテナー ネットワークの監視を無効にする

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability 

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns 

コンテナー ネットワークのセキュリティを無効にする

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security 

次のステップ

• コンテナー ネットワークの監視とその機能の詳細については、「コンテナー ネットワークの監視とは」を参照してください。

• コンテナー ネットワークのセキュリティとその機能の詳細については、「コンテナー ネットワーク セキュリティとは」を参照してください。