O que é Advanced Container Networking Services?
Os Serviços Avançados de Rede de Contêiner são um conjunto de serviços projetados para aprimorar os recursos de rede dos clusters do Serviço Kubernetes do Azure (AKS). O pacote aborda desafios em aplicativos conteinerizados modernos, como observabilidade, segurança e conformidade.
Com os Advanced Container Networking Services, o foco é oferecer uma experiência perfeita e integrada que permita manter posturas de segurança robustas e obter insights profundos sobre o tráfego de rede e o desempenho do aplicativo. Isso garante que seus aplicativos em contêineres não sejam apenas seguros, mas também atendam ou excedam suas metas de desempenho e confiabilidade, permitindo que você gerencie e dimensione sua infraestrutura com confiança.
O que está incluído no Advanced Container Networking Services?
O Advanced Container Networking Services contém recursos divididos em dois pilares:
Observabilidade: O recurso inaugural do pacote Advanced Container Networking Services traz o poder do plano de controle do Hubble para os planos de dados Cilium e não-Cilium Linux. Esses recursos visam fornecer visibilidade sobre a rede e o desempenho.
Segurança: Para clusters que usam o Azure CNI Powered by Cilium, as políticas de rede incluem filtragem FQDN (nome de domínio totalmente qualificado) para lidar com as complexidades da manutenção da configuração.
Observabilidade da rede de contêineres
O Container Network Observability equipa você com ferramentas de monitoramento e diagnóstico relacionadas à rede, fornecendo visibilidade de suas cargas de trabalho em contêineres. Ele desbloqueia as métricas do Hubble, a interface de linha de comando (CLI) do Hubble e a interface do usuário (UI) do Hubble em seus clusters AKS, fornecendo informações profundas e acionáveis sobre suas cargas de trabalho em contêineres, permitindo que você detete e determine as causas raiz de problemas relacionados à rede no AKS. Esses recursos garantem que seus aplicativos em contêineres sejam seguros e compatíveis para permitir que você gerencie com confiança sua infraestrutura.
Para obter mais informações sobre a Observabilidade da Rede de Contêineres, consulte O que é a Observabilidade da Rede de Contêineres?.
Segurança de rede de contêineres
Os recursos de Segurança de Rede de Contêiner nos Serviços Avançados de Rede de Contêiner permitem maior controle sobre as políticas de segurança de rede para facilitar o uso ao implementar em clusters. Os clusters que usam o Azure CNI Powered by Cilium têm acesso a políticas baseadas em DNS. A facilidade de uso em comparação com políticas baseadas em IP permite restringir o acesso de saída a serviços externos usando nomes de domínio. O gerenciamento de configuração torna-se simplificado usando FQDN em vez de alterar dinamicamente os IPs.
Preços
Importante
Advanced Container Networking Services é uma oferta paga. Para obter mais informações sobre preços, consulte Advanced Container Networking Services - Pricing
Configurar os Serviços Avançados de Rede de Contêiner em seu cluster
Pré-requisitos
- Uma conta do Azure com uma subscrição ativa. Se não tiver uma, crie uma conta gratuita antes de começar.
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.
Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.
Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.
Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.
- A versão mínima da CLI do Azure necessária para as etapas neste artigo é 2.61.0. Executar
az --versionpara localizar a versão. Se precisar de instalar ou atualizar, veja Install Azure CLI (Instalar o Azure CLI).
Instalar a extensão aks-preview da CLI do Azure
Instale ou atualize a extensão de visualização da CLI do Azure usando o az extension add comando or az extension update .
# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview
Criar um grupo de recursos
Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos. Crie um grupo de recursos usando o az group create comando.
# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION
Habilitar e desabilitar serviços avançados de rede de contêiner no cluster AKS
Criar um cluster AKS com Advanced Container Networking Services
O az aks create comando com o sinalizador Advanced Container Networking Services, --enable-acns, cria um novo cluster AKS com todos os recursos Advanced Container Networking Services. Estas características abrangem:
Observabilidade da rede de contêineres: fornece informações sobre o tráfego da rede. Para saber mais, visite Observabilidade da rede de contêineres.
Segurança de rede de contêiner: Oferece recursos de segurança como filtragem FQDN. Para saber mais, visite Segurança de rede de contêiner.
Nota
Os clusters com o plano de dados Cilium suportam a Observabilidade da Rede de Contêineres e a segurança da Rede de Contêineres a partir da versão 1.29 do Kubernetes.
# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"
# Create an AKS cluster
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--generate-ssh-keys \
--location eastus \
--max-pods 250 \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--node-count 2 \
--pod-cidr 192.168.0.0/16 \
--kubernetes-version 1.29 \
--enable-acns
Habilitar Serviços Avançados de Rede de Contêiner em um cluster existente
O az aks update comando com o sinalizador Advanced Container Networking Services, , atualiza um cluster AKS existente com todos os recursos Advanced Container Networking Services, --enable-acnsque incluem Observabilidade de Rede de Contêiner e o recurso Segurança de Rede de Contêiner.
Nota
Somente clusters com o plano de dados Cilium suportam os recursos de Segurança de Rede de Contêiner dos Serviços Avançados de Rede de Contêiner.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns
Desativar Serviços Avançados de Rede de Contêiner
O --disable-acns sinalizador desativa todos os recursos do Advanced Container Networking Services em um cluster AKS existente que inclui Observabilidade de Rede de Contêiner e Segurança de Rede de Contêiner
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--disable-acns
Desativar selecionar recursos de Serviços Avançados de Rede de Contêiner
Desativar a observabilidade da rede de contêineres
Para desativar os recursos de Observação de Rede de Contêiner sem afetar outros recursos dos Serviços Avançados de Rede de Contêiner, use --enable-acns e --disable-acns-observability
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-observability
Desativar a segurança de rede de contêiner
Para desativar os recursos de Segurança de Rede de Contêiner sem afetar outros recursos dos Serviços Avançados de Rede de Contêiner, use --enable-acns e --disable-acns-security
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-security
Próximos passos
Para obter mais informações sobre a observabilidade da rede de contêiner e seus recursos, consulte O que é a observabilidade da rede de contêiner?.
Para obter mais informações sobre Segurança de Rede de Contêiner e seus recursos, consulte O que é Segurança de Rede de Contêiner?.
Azure Kubernetes Service