Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los servicios avanzados de redes de contenedores es un conjunto de servicios diseñados para mejorar las funcionalidades de red de los clústeres de Azure Kubernetes Service (AKS). Advanced Container Networking Services ofrece los siguientes conjuntos de características clave: Observabilidad de red de contenedor, Seguridad de red de contenedor y Rendimiento de red de contenedor. Estas características proporcionan información detallada sobre el tráfico de red, refuerzan las medidas de seguridad y optimizan el rendimiento de red para las aplicaciones en contenedores que se ejecutan en AKS.
Observabilidad de red de contenedor
La observabilidad de red de contenedor proporciona información detallada sobre el tráfico de red y el rendimiento en entornos en contenedores. Este conjunto de características funciona en planos de datos Cilium y no Cilium, lo que ofrece flexibilidad para diversas necesidades de red. La característica usa eBPF para mejorar la escalabilidad y el rendimiento mediante la identificación de posibles cuellos de botella y congestión de red antes de que las aplicaciones se vean afectadas.
Entre las principales ventajas de la observabilidad de la red de contenedor se incluyen las siguientes:
- Compatibilidad con todas las variantes de container Networking Interface (CNI) en Azure.
- Métricas de redes de contenedores, incluidas las métricas de nivel de nodo y las métricas de Hubble para obtener información detallada sobre la red.
- Métricas de Hubble para la resolución del sistema de nombres de dominio (DNS), la comunicación entre pods y las interacciones de servicios.
- Registros de red de contenedor que capturan metadatos esenciales, como direcciones IP, puertos y flujo de tráfico para solucionar problemas, supervisar y aplicar la seguridad.
- Integración con el servicio administrado para Prometheus en Azure Monitor y Azure Managed Grafana para simplificar el almacenamiento y la visualización de métricas.
Métricas de red de contenedor
Esta característica recopila métricas de nivel de nodo, incluida la CPU, la memoria y el rendimiento de la red, para supervisar el estado de los nodos del clúster. Para obtener información más detallada, las métricas de Hubble proporcionan datos sobre los tiempos de resolución de DNS, la comunicación entre servicios y el comportamiento de red a nivel de pod. Estas métricas le ayudan a analizar el rendimiento de las aplicaciones, detectar anomalías y optimizar las cargas de trabajo.
Para más información, consulte la introducción a las métricas.
Registros de red de contenedores
Los registros de red de contenedor proporcionan información detallada sobre el tráfico dentro y entre clústeres mediante la captura de metadatos como direcciones IP de origen y destino, puertos, protocolos y dirección de flujo. Estos registros habilitan la supervisión del comportamiento de red, la solución de problemas de conectividad y la aplicación de directivas de seguridad. Las opciones de registro persistentes y en tiempo real garantizan una observabilidad de red completa y accionable.
Para más información, consulte la introducción a los registros de red de contenedor.
Seguridad de red de contenedor
Container Network Security mejora la posición de seguridad de los clústeres de AKS proporcionando características avanzadas de seguridad de red. Aprovecha la tecnología eBPF para aplicar directivas de red en el nivel de kernel, lo que garantiza controles de seguridad eficaces y eficaces para aplicaciones en contenedores. Container Network Security solo está disponible en clústeres con Azure CNI Powered by Cilium.
Filtrado basado en FQDN
El filtrado basado en FQDN permite crear directivas de red basadas en nombres de dominio completos (FQDN) en lugar de direcciones IP. Esta funcionalidad simplifica la administración de directivas, especialmente en entornos dinámicos en los que las direcciones IP cambian con frecuencia. Mediante el uso de FQDN, puede asegurarse de que las aplicaciones solo se comunican con servicios externos de confianza, lo que mejora la seguridad y el cumplimiento.
Para obtener más información, consulte la introducción al filtrado basado en FQDN.
Directiva de nivel 7
La directiva de nivel 7 permite el control de tráfico de capa de aplicación, lo que le permite definir directivas basadas en protocolos de aplicación específicos. Esta característica proporciona un control granular sobre el tráfico de red, lo que le permite aplicar directivas de seguridad que se alinean con el comportamiento de la aplicación. Con la directiva de nivel 7, puede supervisar y restringir el tráfico en función de métodos HTTP, direcciones URL, encabezados y otros atributos de nivel de aplicación.
Para obtener más información, consulte la visión general de la política de nivel 7.
Cifrado de WireGuard (versión preliminar)
WireGuard Encryption aprovecha el protocolo WireGuard para proporcionar una comunicación segura y cifrada entre puntos de conexión administrados por Cilium dentro del clúster de AKS. Esta característica garantiza que los datos transmitidos a través de la red están protegidos contra la interceptación y manipulación, lo que mejora la seguridad general de las aplicaciones en contenedores.
Para obtener más información, consulte información general sobre el cifrado de WireGuard.
Rendimiento de la red de contenedor
Container Network Performance optimiza el rendimiento de red para aplicaciones en contenedores que se ejecutan en clústeres de AKS. Aprovecha la tecnología eBPF para mejorar el enrutamiento de red y reducir la latencia, lo que garantiza que las aplicaciones puedan comunicarse de forma eficaz y eficaz. El rendimiento de la red de contenedores solo está disponible en clústeres con Azure CNI powered by Cilium.
Enrutamiento del host eBPF
El enrutamiento de host eBPF usa la tecnología de filtro de paquetes de Berkeley (eBPF) extendida para optimizar el flujo de tráfico en clústeres de AKS.
Para obtener más información, consulte la introducción al enrutamiento de host eBPF.