Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Advanced Container Azure Networking Services est une suite de services conçus pour améliorer les capacités réseau des clusters Azure Kubernetes Service (AKS). Advanced Container Networking Services offre les ensembles de fonctionnalités clés suivants : Observabilité du réseau de conteneurs, sécurité du réseau de conteneurs et performances du réseau de conteneurs. Ces fonctionnalités fournissent des insights approfondis sur le trafic réseau, renforcent les mesures de sécurité et optimisent les performances du réseau pour les applications conteneurisées s’exécutant dans AKS.
Observabilité du réseau de conteneurs
L’observabilité du réseau de conteneurs fournit des insights approfondis sur le trafic réseau et les performances dans les environnements conteneurisés. Cet ensemble de fonctionnalités fonctionne à la fois sur les plans de données Cilium et non-Cilium, offrant une flexibilité pour divers besoins en réseau. La fonctionnalité utilise eBPF pour améliorer la scalabilité et les performances en identifiant les goulots d’étranglement potentiels et la congestion du réseau avant que les applications ne soient affectées.
Les principaux avantages de l’observabilité du réseau de conteneurs sont les suivants :
- Compatibilité avec toutes les variantes CNI (Container Networking Interface) dans Azure.
- Métriques réseau de conteneurs, y compris les métriques au niveau du nœud et les métriques Hubble pour obtenir des aperçus réseau détaillés.
- Métriques Hubble pour la résolution DNS (Domain Name System), la communication pod-à-pod et les interactions de service.
- Journaux réseau de conteneurs qui capturent les métadonnées essentielles telles que les adresses IP, les ports et le flux de trafic pour la résolution des problèmes, la surveillance et l’application de la sécurité.
- Intégration au service managé pour Prometheus dans Azure Monitor et Azure Managed Grafana pour simplifier le stockage et la visualisation des métriques.
Métriques réseau de conteneur
Cette fonctionnalité collecte les métriques au niveau du nœud, notamment le processeur, la mémoire et les performances réseau, pour surveiller l’intégrité des nœuds de cluster. Pour obtenir des insights plus approfondis, les métriques Hubble fournissent des données sur les temps de résolution DNS, la communication de service à service et le comportement réseau au niveau du pod. Ces métriques vous aident à analyser les performances des applications, à détecter les anomalies et à optimiser les charges de travail.
Pour plus d’informations, consultez la vue d’ensemble des métriques.
Journaux du réseau de conteneurs
Les journaux réseau de conteneurs vous donnent des informations détaillées sur le trafic au sein et sur les clusters en capturant les métadonnées telles que les adresses IP source et de destination, les ports, les protocoles et le sens du flux. Ces journaux permettent de surveiller le comportement du réseau, de résoudre les problèmes de connectivité et d’appliquer des stratégies de sécurité. Les options de journalisation persistantes et en temps réel garantissent une observabilité réseau complète et exploitable.
Pour plus d’informations, consultez la vue d’ensemble des journaux du réseau de conteneurs.
Sécurité du réseau de conteneurs
Container Network Security améliore la posture de sécurité des clusters AKS en fournissant des fonctionnalités de sécurité réseau avancées. Il tire parti de la technologie eBPF pour appliquer des stratégies réseau au niveau du noyau, garantissant ainsi des contrôles de sécurité efficaces et efficaces pour les applications conteneurisées. Container Network Security est disponible uniquement sur les clusters avec Azure CNI optimisé par Cilium.
Filtrage basé sur le nom de domaine complet (FQDN)
Le filtrage basé sur le nom de domaine complet vous permet de créer des stratégies réseau basées sur des noms de domaine complets (FQDN) plutôt que sur des adresses IP. Cette fonctionnalité simplifie la gestion des stratégies, en particulier dans les environnements dynamiques où les adresses IP changent fréquemment. En utilisant des noms de domaine complets, vous pouvez vous assurer que vos applications communiquent uniquement avec des services externes approuvés, améliorant ainsi la sécurité et la conformité.
Pour plus d’informations, consultez la vue d’ensemble du filtrage basé sur le nom de domaine complet.
Stratégie de couche 7
La stratégie de couche 7 permet de contrôler le trafic de couche application, ce qui vous permet de définir des stratégies basées sur des protocoles d’application spécifiques. Cette fonctionnalité fournit un contrôle granulaire du trafic réseau, ce qui vous permet d’appliquer des stratégies de sécurité qui s’alignent sur le comportement de l’application. Avec la stratégie de couche 7, vous pouvez surveiller et restreindre le trafic en fonction des méthodes HTTP, des URL, des en-têtes et d’autres attributs au niveau de l’application.
Pour plus d’informations, consultez la vue d’ensemble de la stratégie de couche 7.
WireGuard Encryption (préversion)
WireGuard Encryption tire parti du protocole WireGuard pour fournir une communication sécurisée et chiffrée entre les points de terminaison gérés par Cilium au sein de votre cluster AKS. Cette fonctionnalité garantit que les données transmises sur le réseau sont protégées contre l’écoute et la falsification, améliorant ainsi la sécurité globale de vos applications conteneurisées.
Pour plus d’informations, consultez la vue d’ensemble du chiffrement WireGuard.
Performances du réseau de conteneurs
Les performances du réseau de conteneurs optimisent les performances réseau pour les applications conteneurisées s’exécutant dans des clusters AKS. Il tire parti de la technologie eBPF pour améliorer le routage réseau et réduire la latence, ce qui garantit que les applications peuvent communiquer efficacement et efficacement. Les performances du réseau de conteneurs sont disponibles uniquement sur les clusters avec Azure CNI optimisé par Cilium.
Routage de l’hôte eBPF
Le routage d’hôte eBPF utilise la technologie eBPF (Extended Berkeley Packet Filter) pour optimiser le flux de trafic dans les clusters AKS.
Pour plus d’informations, consultez la vue d’ensemble du routage des hôtes eBPF.