Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo habilitar y deshabilitar Advanced Container Networking Services, incluida la observabilidad de red de contenedores y la seguridad de red de contenedor, en los clústeres de AKS.
Prerrequisitos
- Una cuenta de Azure con una suscripción activa. Si no tienes una, crea una cuenta gratuita antes de empezar.
- Cli de Azure versión 2.71.0 o posterior. Busque su versión usando el comando
az --version. Para la instalación o la actualización, consulte Instalación de la CLI de Azure. -
Instale la extensión de la CLI de Azure versión
14.0.0b6o posterior. -
Registro de la
AdvancedNetworkingL7PolicyPreviewmarca de características en su suscripción. - Los clústeres que tienen el plano de datos de Cilium admiten la observabilidad de la red de contenedor y la seguridad de red de contenedor en kubernetes, versión 1.29 y posteriores.
Instalación de la extensión de la CLI de Azure aks-preview
Instale o actualice la extensión de versión preliminar de la CLI de Azure mediante el
az extension addcomando oaz extension update.# Install the aks-preview extension az extension add --name aks-preview # Update the extension to make sure you have the latest version installed az extension update --name aks-preview
Registro de la marca de característica AdvancedNetworkingL7PolicyPreview
Registre la marca de características de
AdvancedNetworkingL7PolicyPreviewmediante el comandoaz feature register.az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"El registro tarda unos minutos en completarse.
Compruebe el registro correcto mediante el
az feature showcomando .az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"
Establecimiento de variables de entorno
En los ejemplos de este artículo se usan las siguientes variables de entorno:
| Variable | Description | Ejemplo de valor |
|---|---|---|
RESOURCE_GROUP |
Nombre del grupo de recursos de Azure | myResourceGroup |
LOCATION |
Región de Azure para recursos | eastus |
CLUSTER_NAME |
Nombre del clúster de AKS | myAKSCluster |
Todos los comandos de este artículo asumen que se establecen estas variables de entorno. Asegúrese de reemplazar los valores de ejemplo por sus propios valores.
Creación de un grupo de recursos
Cree un grupo de recursos con el comando
az group create.az group create --name $RESOURCE_GROUP --location $LOCATION
Creación de un nuevo clúster de AKS con servicios avanzados de redes de contenedores
Nota:
Cuando el parámetro --acns-advanced-networkpolicies se establece en L7, las directivas de filtrado de nivel 7 y de nombre de dominio totalmente calificado (FQDN) están habilitadas. Si desea habilitar solo el filtrado de FQDN, establezca el parámetro en FQDN.
Cree un clúster de AKS con Advanced Container Networking Services y Cilium mediante el comando
az aks createcon las banderas--enable-acnsy--network-dataplane cilium.az aks create \ --name $CLUSTER_NAME \ --resource-group $RESOURCE_GROUP \ --network-plugin azure \ --network-plugin-mode overlay \ --network-dataplane cilium \ --kubernetes-version 1.29 \ --enable-acns \ --acns-advanced-networkpolicies <L7/FQDN>
Importante
La característica Seguridad de red de contenedor no está disponible para clústeres que no son de Cilium.
Cree un clúster de AKS con Servicios Avanzados de Redes de Contenedores mediante el comando
az aks createcon la opción--enable-acns.az aks create \ --name $CLUSTER_NAME \ --resource-group $RESOURCE_GROUP \ --network-plugin azure \ --network-plugin-mode overlay \ --enable-acns
Habilitación de Servicios avanzados de redes de contenedores en un clúster existente
Habilite los servicios avanzados de redes para contenedores en un clúster AKS existente con Cilium mediante el comando
az aks updatecon la marca--enable-acns.az aks update \ --resource-group $RESOURCE_GROUP \ --name $CLUSTER_NAME \ --enable-acns \ --acns-advanced-networkpolicies <L7/FQDN>
Habilite los Servicios avanzados de redes para contenedores en un clúster del AKS existente usando el comando
az aks updatecon el indicador--enable-acns.az aks update \ --resource-group $RESOURCE_GROUP \ --name $CLUSTER_NAME \ --enable-acns
Deshabilitación de Advanced Container Networking Services en un clúster de AKS
Deshabilite los Servicios de Redes de Contenedores Avanzados en un clúster de AKS existente utilizando el comando
az aks updatecon el indicador--disable-acns.az aks update \ --resource-group $RESOURCE_GROUP \ --name $CLUSTER_NAME \ --disable-acns
Deshabilitar la observación de la red de contenedores en un clúster de AKS
Deshabilite la función de Observabilidad de Red de Contenedores sin afectar a otras funciones avanzadas de servicios avanzados de redes de contenedores utilizando el comando
az aks updatecon la opción--disable-acns-observability.az aks update \ --resource-group $RESOURCE_GROUP \ --name $CLUSTER_NAME \ --enable-acns \ --disable-acns-observability
La observabilidad de red de contenedor es la única característica disponible para clústeres que no son de Cilium, por lo que solo puede deshabilitarla deshabilitando todo el conjunto de servicios de red de contenedores avanzados.
Deshabilite la característica Observabilidad de Red de Contenedores en un clúster de AKS existente usando el comando
az aks updatecon la opción--disable-acns.az aks update \ --resource-group $RESOURCE_GROUP \ --name $CLUSTER_NAME \ --disable-acns
Deshabilitación de la seguridad de red de contenedor en un clúster de AKS
Deshabilite la característica Seguridad de Redes de Contenedores sin afectar a otras características avanzadas de los Servicios de Redes de Contenedores mediante el comando
az aks updatecon el indicador--disable-acns-security.az aks update \ --resource-group $RESOURCE_GROUP \ --name $CLUSTER_NAME \ --enable-acns \ --disable-acns-security