Che cosa sono i servizi avanzati di rete per contenitori?
Advanced Container Networking Services è una suite di servizi progettati per migliorare le funzionalità di rete dei cluster servizio Azure Kubernetes (servizio Azure Kubernetes). La famiglia di prodotti risolve i problemi delle applicazioni in contenitori moderne, ad esempio osservabilità, sicurezza e conformità.
Con Advanced Container Networking Services, l'obiettivo è offrire un'esperienza semplice e integrata che consente di mantenere posizioni di sicurezza affidabili e ottenere informazioni approfondite sul traffico di rete e sulle prestazioni dell'applicazione. Ciò garantisce che le applicazioni in contenitori non siano solo sicure, ma soddisfino o superino gli obiettivi di prestazioni e affidabilità, consentendo di gestire e ridimensionare in modo sicuro l'infrastruttura.
Che cos'è incluso nei servizi avanzati di rete per contenitori?
Advanced Container Networking Services contiene funzionalità suddivise in due pilastri:
Osservabilità: la funzionalità inaugurale della suite Advanced Container Networking Services che porta la potenza del piano di controllo di Hubble sia ai piani dati Cilium che non Cilium Linux. Queste funzionalità mirano a fornire visibilità sulle reti e sulle prestazioni.
Sicurezza: per i cluster che usano Azure CNI con tecnologia Cilium, i criteri di rete includono filtri FQDN (Domain Name) completi per affrontare le complessità della gestione della configurazione.
Osservabilità della rete dei contenitori
Container Network Observability fornisce strumenti di monitoraggio e diagnostica correlati alla rete, offrendo visibilità sui carichi di lavoro in contenitori. Sblocca le metriche hubble, l'interfaccia della riga di comando di Hubble e l'interfaccia utente di Hubble nei cluster del servizio Azure Kubernetes fornendo informazioni dettagliate e interattive sui carichi di lavoro in contenitori che consentono di rilevare e determinare le cause radice dei problemi correlati alla rete nel servizio Azure Kubernetes. Queste funzionalità assicurano che le applicazioni in contenitori siano sicure e conformi per consentire di gestire in modo sicuro l'infrastruttura.
Per altre informazioni su Container Network Observability, vedere Che cos'è l'osservabilità della rete dei contenitori?.
Sicurezza di rete dei contenitori
Le funzionalità di sicurezza di rete dei contenitori all'interno di Advanced Container Networking Services consentono un maggiore controllo sui criteri di sicurezza di rete per semplificare l'implementazione nei cluster. I cluster che usano Azure CNI con tecnologia Cilium hanno accesso ai criteri basati su DNS. La facilità d'uso rispetto ai criteri basati su IP consente di limitare l'accesso in uscita a servizi esterni usando nomi di dominio. La gestione della configurazione diventa semplificata tramite FQDN anziché modificare dinamicamente gli indirizzi IP.
Per altre informazioni sulla sicurezza di rete dei contenitori e sulle relative funzionalità, vedere Che cos'è la sicurezza di rete dei contenitori?.
Prezzi
Importante
Advanced Container Networking Services è un'offerta a pagamento. Per altre informazioni sui prezzi, vedere Servizi avanzati di rete per contenitori - Prezzi
Configurare Advanced Container Networking Services nel cluster
Prerequisiti
- Un account Azure con una sottoscrizione attiva. Se non se ne dispone, creare un account gratuito prima di iniziare.
Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.
Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.
Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.
Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.
Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.
- La versione minima dell'interfaccia della riga di comando di Azure necessaria per i passaggi descritti in questo articolo è 2.56.0. Eseguire
az --versionper trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure.
Installare l'estensione dell'interfaccia della riga di comando di Azure aks-preview
Installare o aggiornare l'estensione di anteprima dell'interfaccia della riga di comando di Azure usando i comandi az extension add o az extension update.
# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview
Creare un gruppo di risorse
Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. Creare un gruppo di risorse usando il comando az group create.
# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION
Abilitare e disabilitare Advanced Container Networking Services nel cluster del servizio Azure Kubernetes
Creare un cluster del servizio Azure Kubernetes con Servizi di rete dei contenitori avanzati
Il az aks create comando con il flag Advanced Container Networking Services, --enable-acns, crea un nuovo cluster del servizio Azure Kubernetes con tutte le funzionalità di Advanced Container Networking Services. Queste funzionalità includono:
Osservabilità della rete dei contenitori: fornisce informazioni dettagliate sul traffico di rete. Per altre informazioni, vedere Container Network Observability (Osservabilità della rete contenitori).
Sicurezza di rete dei contenitori: offre funzionalità di sicurezza come il filtro FQDN. Per altre informazioni, vedere Sicurezza di rete dei contenitori.
Nota
I cluster con il piano dati Cilium supportano la sicurezza container Network Observability and Container Network a partire da Kubernetes versione 1.29.
# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"
# Create an AKS cluster
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--generate-ssh-keys \
--location eastus \
--max-pods 250 \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--node-count 2 \
--pod-cidr 192.168.0.0/16 \
--kubernetes-version 1.29 \
--enable-acns
Abilitare Advanced Container Networking Services in un cluster esistente
Il az aks update comando con il flag Advanced Container Networking Services, --enable-acns, aggiorna un cluster del servizio Azure Kubernetes esistente con tutte le funzionalità di Advanced Container Networking Services che includono l'osservabilità della rete dei contenitori e la funzionalità Sicurezza di rete dei contenitori.
Nota
Solo i cluster con il piano dati Cilium supportano le funzionalità di sicurezza di rete dei contenitori di Advanced Container Networking Services.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns
Disabilitare Advanced Container Networking Services
Il --disable-acns flag disabilita tutte le funzionalità di Advanced Container Networking Services in un cluster del servizio Azure Kubernetes esistente che include l'osservabilità della rete dei contenitori e la sicurezza di rete dei contenitori
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--disable-acns
Disabilitare selezionare Funzionalità avanzate di Servizi di rete contenitori
Disabilitare l'osservabilità della rete dei contenitori
Per disabilitare le funzionalità di Osservabilità della rete dei contenitori senza influire su altre funzionalità di Servizi di rete dei contenitori avanzati, usare --enable-acns e --disable-acns-observability
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-observability
Disabilitare la sicurezza di rete dei contenitori
Per disabilitare le funzionalità di sicurezza di rete dei contenitori senza influire su altre funzionalità di Servizi di rete dei contenitori avanzati, usare --enable-acns e --disable-acns-security
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-security
Passaggi successivi
Per altre informazioni su Container Network Observability e sulle relative funzionalità, vedere Informazioni su Container Network Observability.For more information about Container Network Observability and its capabilities, see What is Container Network Observability?.
Per altre informazioni sulla sicurezza di rete dei contenitori e sulle relative funzionalità, vedere Che cos'è la sicurezza di rete dei contenitori?
Azure Kubernetes Service