¿Qué son los registros de red de contenedor (versión preliminar)?

Los registros de red de contenedor en Advanced Container Networking Services for Azure Kubernetes Service (AKS) proporcionan visibilidad completa y contextual de cada flujo de red dentro del clúster. Aunque las métricas le indican lo que sucede en la red (como el uso de ancho de banda o las tasas de errores), los registros de red de contenedor le indican por qué capturando el artículo completo de cada conexión, incluido quién lo inició, qué protocolos se usaron y si el tráfico se permitió o bloqueó.

Estos registros capturan metadatos esenciales para cada flujo de red, incluidas las direcciones IP de origen y destino, los nombres de pod y servicio, los espacios de nombres, los puertos, los protocolos, la dirección del tráfico y los veredictos de directiva. Esta información contextual profunda le permite correlacionar el comportamiento de red con cargas de trabajo específicas, solucionar problemas de conectividad, validar directivas de seguridad y realizar análisis forenses.

Los registros de red de contenedor capturan el tráfico de nivel 3 (IP), el nivel 4 (TCP/UDP) y el tráfico de nivel 7 (HTTP/gRPC/Kafka), lo que proporciona la información detallada que necesita para supervisar la conectividad, solucionar problemas, visualizar la topología de red, aplicar directivas de seguridad y garantizar el cumplimiento.

Elija entre dos modos:

• Registros almacenados
• Registros bajo demanda

Registros almacenados

El modo de registros almacenados garantiza la generación y recopilación continuas de registros en el clúster de AKS al habilitar Advanced Container Networking Services y configurar filtros personalizados. De forma predeterminada, la recopilación de registros está deshabilitada.

Para habilitar la recopilación de registros, defina recursos personalizados para especificar los tipos de tráfico que se van a supervisar. Entre los ejemplos se incluyen espacios de nombres, pods, servicios y protocolos. Esta característica permanece activa hasta que la deshabilite.

El modo de registros almacenados admite la retención de registros extendida y el filtrado de tráfico. Para reducir los costos de almacenamiento y un análisis más sencillo, puede recopilar y conservar solo los registros que son relevantes para usted.

Cómo funciona el modo de registros almacenados

Advanced Container Networking Services usa la tecnología eBPF con Cilium para capturar registros de los nodos del clúster. Para empezar a recopilar registros, defina uno o varios recursos personalizados para especificar los tipos de tráfico que se van a supervisar.

Los recursos personalizados proporcionan un control específico para definir y capturar el tráfico que es relevante para usted. El agente de Cilium que se ejecuta en cada nodo recopila el tráfico de red que coincide con los criterios establecidos en los recursos personalizados. Los registros se almacenan en formato JSON en el host, lo que proporciona un formato estructurado y accesible para su uso posterior.

Como alternativa, si el complemento de supervisión de Azure está habilitado, los agentes de Container Insights recopilan los registros del host, aplican los límites de restricción predeterminados y los envían a un área de trabajo de Log Analytics. El sistema agrega y almacena registros de forma eficaz para proporcionar visibilidad del tráfico de red para supervisar, solucionar problemas y aplicar la seguridad.

Para más información sobre la limitación y Container Insights, consulte la Documentación de Container Insights.

Funcionalidades clave del modo de registros almacenados

• Filtros personalizables. Puede configurar el registro definiendo recursos personalizados del tipo ContainerNetworkLog . Use recursos personalizados para aplicar filtros granulares por espacio de nombres, pod, servicio, puerto, protocolo, veredicto o dirección del tráfico (entrada o salida). Esta flexibilidad garantiza una recopilación de datos precisa adaptada a casos de uso específicos. Solo se registra el tráfico pertinente y el almacenamiento está optimizado para mejorar el rendimiento, el cumplimiento y la solución de problemas.

• Opciones de almacenamiento de registros. La característica de registros de red de contenedor tiene dos opciones de almacenamiento principales: almacenamiento no administrado y almacenamiento administrado.

  • Almacenamiento no administrado: Cuando se aplica un recurso personalizado para iniciar la recopilación de registros, los registros de flujo de red se almacenan localmente en los nodos host en la /var/log/acns/hubble ubicación de montaje fija. Esta ubicación de almacenamiento es temporal porque el propio nodo no es una solución de almacenamiento persistente. Cuando los archivos de registro alcanzan un tamaño de 50 MB, se rotan automáticamente y se sobrescriben los registros más antiguos. Esta solución de almacenamiento es adecuada para la supervisión en tiempo real, pero no admite almacenamiento o retención a largo plazo.

    Para obtener funcionalidades adicionales de administración de registros, puede integrar servicios de registro de asociados como un recopilador de OpenTelemetry. Las integraciones de asociados proporcionan flexibilidad para administrar registros fuera del ecosistema de Azure y son útiles si ya ha implementado una plataforma de administración de registros específica.

  • Almacenamiento administrado: Para la retención a largo plazo y el análisis avanzado, se recomienda configurar la supervisión de Azure en el clúster de AKS para recopilar y almacenar registros en un área de trabajo de Log Analytics. Esta configuración garantiza un almacenamiento de registros seguro y compatible. También proporciona acceso a funcionalidades eficaces, como la detección de anomalías, el ajuste del rendimiento y el análisis histórico de datos. Puede usar registros históricos para identificar tendencias, comportamientos de línea de base y solucionar de forma proactiva los problemas periódicos.

    Por ejemplo, puede usar el servicio administrado para Prometheus para configurar alertas en métricas y registros para la supervisión en tiempo real y la detección rápida de valores atípicos.

    Use la misma área de trabajo para el almacenamiento de registros. El espacio de almacenamiento del registro se configura durante la incorporación. Tanto los planes de tabla de registros de Analytics como los básicos son compatibles con esta característica. Para más información sobre los planes de tabla, consulte Registros de Azure Monitor.

• Visualización sencilla en los paneles de Log Analytics y Grafana. Los registros y los datos presentados en los paneles de Grafana simplifican la información compleja, facilitan la comprensión de los datos y le ayudan a tomar decisiones más rápidamente.

Visualización de registros en Azure Portal

Puede visualizar, consultar y analizar registros de flujo en Azure Portal en el área de trabajo de Log Analytics del clúster.

Visualización de registros en paneles de Grafana

• Acceda a los registros de flujo en una instancia de Grafana administrada de Azure.

  Para simplificar el análisis de registros, proporcionamos dos paneles de Grafana preconfigurados:

  • Vaya a Azure>Insights>Contenedores>Red>Registros de flujo. En este panel se muestran las cargas de trabajo de AKS que se comunican entre sí, incluidas las solicitudes de red, las respuestas, las caídas y los errores. Actualmente, como paso provisional durante la versión preliminar, debe importar paneles de Grafana mediante un identificador de usuario para ver el panel de registros de flujo en Azure Portal.

    

  • Vaya a Azure>Insights>Contenedores>Red>Registros de flujo (tráfico externo). Este panel muestra qué cargas de trabajo de AKS envían y reciben comunicaciones desde fuera de un clúster de AKS, incluidas las solicitudes de red, las respuestas, las caídas y los errores.

    

    Para más información, consulte Configuración de Azure Managed Grafana con Advanced Container Networking Services.

• Acceda a los registros de flujo en Azure Portal a través de la opción Paneles con Grafana .

  

Los paneles de Azure Portal tienen los siguientes componentes principales:

• Información general completa sobre el estado de la red. Verá métricas clave, como registros de flujo totales, solicitudes únicas, solicitudes eliminadas y solicitudes reenviadas para detectar anomalías rápidas y solucionar problemas eficaces. El panel clasifica las estadísticas por protocolo y comportamiento, incluidas las solicitudes eliminadas de DNS, las respuestas HTTP 2xx, las tasas de solicitud y respuesta de nivel 4, y los recuentos de solicitudes eliminadas. Un gráfico de dependencias de servicio visualiza interacciones de aplicaciones o clústeres, resaltando el flujo de tráfico, cuellos de botella y dependencias para la optimización del rendimiento.

  

• Registros de flujo y registros de errores para un análisis rápido. Puede filtrar los registros de flujo para el análisis de la causa principal. Por ejemplo, para solucionar problemas del sistema de nombres de dominio (DNS), filtre los registros de errores por el protocolo DNS.

  

  Separar los registros de flujo y los registros de errores le ayuda a analizar problemas más rápidamente. Puede identificar y solucionar errores sin examinar información no relacionada, lo que mejora la eficacia de los procesos de solución de problemas y depuración.

  Use etiquetas claras y marcas de tiempo para cada entrada de registro para identificar más fácilmente eventos o errores específicos en los sistemas o procesos.

  

• Principales espacios de nombres, cargas de trabajo y errores de DNS. La visualización del registro de flujo de red es fundamental para supervisar y analizar la comunicación en un clúster de AKS. Proporciona información sobre los espacios de nombres, las cargas de trabajo, el uso de puertos y el uso de consultas. Le ayuda a identificar tendencias, detectar cuellos de botella y diagnosticar problemas. Detecte una actividad de red significativa, vea las solicitudes eliminadas y evalúe la distribución del protocolo (por ejemplo, TCP frente a UDP). Esta sección de información general del panel apoya el estado del clúster, la optimización de recursos y la seguridad mediante la detección y visualización de patrones de tráfico inusuales.

  

Registros bajo demanda

Advanced Container Networking Services ofrece una captura a petición de los registros de flujo de red. Obtenga visibilidad en tiempo real sin configuración previa ni almacenamiento persistente mediante la CLI de Hubble y la interfaz de usuario de Hubble. Este modo de registros a petición está disponible. Para obtener información sobre cómo configurar el almacenamiento de registros a petición, consulte Configurar la CLI de Hubble y la interfaz de usuario de Hubble.

CLI de Hubble

La interfaz de la línea de comandos (CLI) de Hubble proporciona una manera flexible e interactiva de consultar, filtrar y analizar registros de flujo directamente en la terminal. Puede ejecutar comandos en tiempo real para inspeccionar flujos de tráfico, ver metadatos de paquetes y solucionar problemas de red sin salir del entorno operativo.

Interfaz de usuario de Hubble

La interfaz basada en la web de Hubble ofrece una plataforma intuitiva y visual para el monitoreo. Con características como paneles de tráfico activo, resúmenes de flujo y registros que se pueden buscar, puede realizar un seguimiento fácil de la comunicación entre servicios, detectar anomalías y obtener información sobre la actividad del clúster.

Las herramientas de interfaz de usuario de Hubble proporcionan visibilidad en tiempo real y conclusiones accionables para una solución de problemas más rápida y una gestión de red mejorada.

Principales ventajas de los registros a petición

• Resolución de problemas más rápida. Con información detallada y accionable sobre el tráfico de red, puede identificar y resolver problemas de conectividad o rendimiento más rápidamente, lo que minimiza el tiempo de inactividad y las interrupciones.
• Eficiencia operativa optimizada. Los registros agregados y almacenados de forma eficaz reducen la sobrecarga de administración de datos. Su equipo puede centrarse en el análisis y la toma de decisiones en lugar de administrar grandes volúmenes de datos sin procesar.
• Confiabilidad mejorada de la aplicación. Mediante la supervisión de la comunicación entre servicios y la detección de anomalías, puede solucionar de forma proactiva posibles problemas y garantizar una experiencia de aplicación más fluida y confiable.
• Mejora de la toma de decisiones. La visualización de patrones de red en Azure Managed Grafana y la aplicación de mapas de servicio proporcionan información clara sobre el comportamiento de red de la aplicación. Esto conduce a una mejor planificación y optimización de la infraestructura.
• Ahorros de costos. La agregación de registros eficaz y los ámbitos de registro personalizables reducen los costos de ingesta de datos y almacenamiento, lo que proporciona una solución rentable para la supervisión de red a largo plazo.
• Cumplimiento y seguridad simplificados. Los registros persistentes y completos admiten seguimientos de auditoría, cumplimiento normativo e identificación rápida del tráfico sospechoso. Le ayudan a mantener un entorno seguro y compatible.

Limitaciones

• Los registros de red de contenedor en modo de registros almacenados actualmente solo funcionan con el plano de datos de Cilium.
• Los registros de flujo de nivel 7 solo se capturan cuando la compatibilidad con directivas de nivel 7 está habilitada. Para obtener más información, consulte Configuración de una directiva de nivel 7.
• Los flujos DNS y las métricas solo se capturan cuando se aplica una directiva de red de dominio completo (FQDN) de Cilium. Para obtener más información, consulte Configuración de una directiva de FQDN.
• Actualmente no se admite la incorporación mediante Terraform.
• Cuando Log Analytics no está configurado para el almacenamiento de registros, los registros de red de contenedor se limitan a un máximo de 50 MB de almacenamiento. Cuando se alcanza este límite, las nuevas entradas sobrescriben los registros anteriores.
• Si el plan de tabla se establece en Registros básicos, los paneles de Grafana creados previamente no funcionan.
• No se admite el plan de tabla de registros auxiliares.

Precios

Para obtener más información sobre los precios, consulte Servicios avanzados de redes de contenedores: precios.

Contenido relacionado

• Aprenda a configurar registros de red de contenedor.
• Obtenga más información sobre Advanced Container Networking Services para AKS.
• Explore la característica de observabilidad de red de contenedor en los servicios avanzados de redes de contenedores.
• ** Explore la función de seguridad de redes de contenedores en Servicios avanzados de redes de contenedores.