Udostępnij przez

Co to są dzienniki sieciowe kontenerów (wersja zapoznawcza)?

Ważne

Zmiana nazwy składnika (od 11 listopada 2025 r.)

Zmieniamy nazwy składników w funkcji Dzienniki sieci kontenerów, aby zwiększyć przejrzystość i spójność:

Co się zmienia

  • CRD: RetinaNetworkFlowLogsContainerNetworkLog
  • Flaga interfejsu wiersza polecenia: --enable-retinanetworkflowlog--enable-container-network-logs
  • Tabela usługi Log Analytics: RetinaNetworkFlowLogsContainerNetworkLog

Elementy akcji dla istniejących użytkowników w celu włączenia nowego nazewnictwa

  1. Zaktualizuj interfejs wiersza polecenia platformy Azure (MUSI — pierwszy krok!):

    az upgrade

  2. Aktualizacja wersji zapoznawczej rozszerzenia interfejsu wiersza poleceń (MUST):

    az extension update --name aks-preview

  3. Wyłącz monitorowanie:

    az aks disable-addons -a monitoring -n <cluster-name> -g <resource-group>

  4. Ponowne włączanie monitorowania:

    az aks enable-addons -a monitoring --enable-high-log-scale-mode -g <resource-group> -n <cluster-name>

  5. Ponownie włącz dzienniki sieci kontenera ACNS:

    az aks update --enable-acns --enable-container-network-logs -g <resource-group> -n <cluster-name>

  6. Zastosuj nową usługę ContainerNetworkLog CRD: zastosuj zaktualizowaną konfigurację crD przy użyciu nowego nazewnictwa.

  7. Ponownie zaimportuj pulpity nawigacyjne Grafana: Zaktualizuj zaimportowane pulpity nawigacyjne, aby odzwierciedlały nowe nazwy tabel.

Uwaga / Notatka

  • Wcześniej zebrane dane pozostają w obszarze roboczym w starej tabeli RetinaNetworkFlowLogs.
  • Po ponownym włączeniu zezwól na krótkie opóźnienie, zanim nowe dane pojawią się w nowej tabeli ContainerNetworkLog.

Dzienniki sieciowe kontenerów w usłudze Advanced Container Networking Services dla Azure Kubernetes Service (AKS) zapewniają kompleksowy wgląd w każdy przepływ sieciowy w klastrze z bogatym kontekstem. Metryki informują o tym, co dzieje się w sieci (na przykład użycie przepustowości lub współczynniki błędów), dzienniki sieci kontenerów informują o tym, dlaczego przechwytując pełną historię każdego połączenia — w tym osoby, które zainicjowały je, jakie protokoły były używane i czy ruch był dozwolony, czy blokowany.

Te logi przechwytują podstawowe metadane dla każdego przepływu sieci, w tym źródłowe i docelowe adresy IP, nazwy podów i usług, przestrzenie nazw, porty, protokoły, kierunek ruchu i rozstrzygnięcia polityki. Te szczegółowe informacje kontekstowe umożliwiają skorelowanie zachowania sieci z określonymi obciążeniami, rozwiązywanie problemów z łącznością, weryfikowanie zasad zabezpieczeń i przeprowadzanie analizy śledczej.

Dzienniki sieci kontenerów przechwytują ruch warstwy 3 (IP), warstwy 4 (TCP/UDP) i warstwy 7 (HTTP/gRPC/Kafka), zapewniając szczegółowe informacje potrzebne do monitorowania łączności, rozwiązywania problemów, wizualizowania topologii sieci, wymuszania zasad zabezpieczeń i zapewnienia zgodności.

Wybierz spośród dwóch trybów:

  • Przechowywane dzienniki
  • Dzienniki na żądanie

Przechowywane dzienniki

Tryb logów przechowywanych zapewnia ciągłe generowanie i zbieranie dzienników w klastrze AKS po włączeniu Advanced Container Networking Services i skonfigurowaniu filtrów niestandardowych. Domyślnie zbieranie dzienników jest wyłączone.

Aby włączyć zbieranie dzienników, zdefiniuj zasoby niestandardowe w celu określenia typów ruchu do monitorowania. Przykłady obejmują przestrzenie nazw, zasobniki, usługi i protokoły. Ta funkcja pozostaje aktywna do momentu jej wyłączenia.

Tryb przechowywanych dzienników obsługuje rozszerzone przechowywanie dzienników i filtrowanie ruchu. W przypadku obniżenia kosztów magazynowania i łatwiejszej analizy można zbierać i zachowywać tylko dzienniki, które są dla Ciebie istotne.

Jak działa tryb przechowywanych dzienników

Usługa Advanced Container Networking Services używa technologii eBPF z Cilium do pozyskiwania dzienników z węzłów w klastrze. Aby rozpocząć zbieranie dzienników, zdefiniuj co najmniej jeden zasób niestandardowy, aby określić typy monitorowanego ruchu.

Zasoby niestandardowe umożliwiają precyzyjną kontrolę w celu zdefiniowania i przechwytywania ruchu, który Cię interesuje. Agent Cilium działający na każdym węźle zbiera ruch sieciowy, który spełnia kryteria określone w zasobach niestandardowych. Dzienniki są przechowywane w formacie JSON na hoście, zapewniając ustrukturyzowany i dostępny format do dalszego użycia.

Alternatywnie, jeśli dodatek monitorowania platformy Azure jest włączony, agenci usługi Container Insights zbierają dzienniki z hosta, stosują domyślne limity ograniczania i wysyłają je do obszaru roboczego usługi Log Analytics. System agreguje i przechowuje dzienniki wydajnie, aby zapewnić wgląd w ruch sieciowy na potrzeby monitorowania, rozwiązywania problemów i wymuszania zabezpieczeń.

Diagram przedstawiający sposób działania dzienników sieci kontenerów.

Aby dowiedzieć się więcej na temat ograniczania przepustowości i szczegółowych informacji o kontenerach, zobacz dokumentację usługi Container Insights.

Kluczowe możliwości trybu przechowywanych dzienników

  • Filtry dostosowywalne. Rejestrowanie można skonfigurować, definiując zasoby niestandardowe typu ContainerNetworkLog . Użyj zasobów niestandardowych, aby zastosować szczegółowe filtry według przestrzeni nazw, zasobnika, usługi, portu, protokołu, werdyktu lub kierunku ruchu (ruch przychodzący lub wychodzący). Ta elastyczność zapewnia precyzyjne zbieranie danych dostosowane do określonych przypadków użycia. Rejestrowany jest tylko odpowiedni ruch, a magazyn jest zoptymalizowany pod kątem lepszej wydajności, zgodności i rozwiązywania problemów.

  • Opcje magazynowania logów. Funkcja dzienników sieci kontenera ma dwie podstawowe opcje przechowywania: przechowywanie niezarządzane i przechowywanie zarządzane.

    • Magazyn niezarządzany: Gdy zasób niestandardowy zostanie zastosowany do rozpoczęcia zbierania dzienników, dzienniki przepływu sieci są przechowywane lokalnie w węzłach hosta w stałej /var/log/acns/hubble lokalizacji instalacji. Ta lokalizacja magazynu jest tymczasowa, ponieważ sam węzeł nie jest trwałym rozwiązaniem magazynu. Gdy pliki dziennika osiągną rozmiar 50 MB, są one automatycznie obracane, a starsze dzienniki są zastępowane. To rozwiązanie pamięci masowej jest odpowiednie do monitorowania w czasie rzeczywistym, ale nie obsługuje długoterminowego przechowywania ani zachowania danych.

      Aby uzyskać dodatkowe możliwości zarządzania dziennikami, można zintegrować usługi rejestrowania partnerów, takie jak moduł zbierający OpenTelemetry. Integracje partnerów zapewniają elastyczność zarządzania dziennikami spoza ekosystemu platformy Azure i są przydatne, jeśli już wdrożono określoną platformę zarządzania dziennikami.

    • Magazyn zarządzany: W przypadku długoterminowego przechowywania i zaawansowanej analizy zalecamy skonfigurowanie monitorowania Azure w klastrze AKS w celu zbierania i przechowywania dzienników w obszarze roboczym Log Analytics. Ta konfiguracja zapewnia bezpieczne i zgodne z przepisami przechowywanie dzienników. Zapewnia również dostęp do zaawansowanych funkcji, takich jak wykrywanie anomalii, dostrajanie wydajności i analiza danych historycznych. Dzienniki historyczne umożliwiają identyfikowanie trendów, zachowań punktów odniesienia i proaktywne rozwiązywanie problemów cyklicznych.

      Na przykład można użyć usługi zarządzanej dla rozwiązania Prometheus, aby skonfigurować alerty dotyczące metryk i dzienników na potrzeby monitorowania i szybkiego wykrywania wartości odstających w czasie rzeczywistym.

      Ten sam obszar roboczy jest używany do przechowywania dzienników. Podczas dołączania należy ustawić przestrzeń na przechowywanie logów. W przypadku tej funkcji są obsługiwane zarówno plany tabel Analityki, jak i Podstawowej tabeli dzienników. Aby uzyskać bardziej szczegółowe informacje na temat planów tabel, zobacz Dzienniki usługi Azure Monitor.

  • Prosta wizualizacja na pulpitach nawigacyjnych usługi Log Analytics i narzędzia Grafana. Dzienniki i dane prezentowane na pulpitach nawigacyjnych narzędzia Grafana upraszczają złożone informacje, ułatwiają zrozumienie danych i ułatwiają podejmowanie decyzji szybciej.

Wizualizacja dzienników w witrynie Azure Portal

Dzienniki przepływu można wizualizować, wykonywać zapytania i analizować w witrynie Azure Portal w obszarze roboczym usługi Log Analytics dla klastra.

Zrzut ekranu przedstawiający dzienniki sieci kontenera w obszarze roboczym usługi Log Analytics.

Wizualizacja dzienników na panelach narzędzia Grafana

  • Uzyskaj dostęp do dzienników przepływu w zarządzanym wystąpieniu Azure Grafana.

    Aby uprościć analizę swoich dzienników, udostępniamy dwa wstępnie skonfigurowane pulpity nawigacyjne Grafana.

    • Przejdź do Azure>Insights>Kontenery>Sieć>Dzienniki przepływu. Ten panel sterowania pokazuje, które workloady AKS komunikują się ze sobą, w tym żądania sieciowe, odpowiedzi, spadki i błędy. Obecnie jako tymczasowy krok w wersji zapoznawczej należy zaimportować pulpity nawigacyjne Grafana przy użyciu identyfikatora użytkownika, aby wyświetlić pulpit nawigacyjny dzienników przepływu w portalu Azure.

      Zrzut ekranu przedstawiający pulpit nawigacyjny dzienników przepływu Grafana w wystąpieniu zarządzanego narzędzia Grafana.

    • Przejdź do>sieci>kontenerów>usługi Azure> Insights (ruch zewnętrzny). Ten pulpit nawigacyjny pokazuje, które obciążenia usługi AKS wysyłają i odbierają komunikaty spoza klastra usługi AKS, w tym żądania sieciowe, odpowiedzi, spadki i błędy.

      Zrzut ekranu przedstawiający dashboard Dzienniki przepływu (zewnętrzne) Grafana w zarządzanym wystąpieniu Grafana.

      Aby uzyskać więcej informacji, zobacz Konfigurowanie usługi Azure Managed Grafana przy użyciu usług Advanced Container Networking Services.

  • Uzyskaj dostęp do dzienników przepływu w portalu Azure za pośrednictwem opcji Paneli nawigacyjnych z Grafana.

    Zrzut ekranu pulpitów nawigacyjnych Grafana w usłudze Azure Monitor.

Pulpity nawigacyjne witryny Azure Portal mają następujące główne składniki:

  • Kompleksowy przegląd kondycji sieci. Zobaczysz kluczowe metryki, takie jak łączne dzienniki przepływu, unikatowe żądania, porzucone żądania i przekazane żądania w celu szybkiego wykrywania anomalii i wydajnego rozwiązywania problemów. Pulpit nawigacyjny kategoryzuje statystyki według protokołu i zachowania, w tym porzuconych żądań DNS, odpowiedzi HTTP 2xx, liczby żądań i odpowiedzi warstwy 4 oraz liczby porzuconych żądań. Wykres zależności usługi wizualizuje interakcje aplikacji lub klastra, podkreślając przepływ ruchu, wąskie gardła i zależności na potrzeby optymalizacji wydajności.

    Zrzut ekranu przedstawiający statystyki dzienników przepływu i wykres zależności usługi.

  • Dzienniki przepływów i dzienniki błędów na potrzeby szybkiej analizy. Dzienniki przepływu można filtrować pod kątem analizy głównej przyczyny. Aby na przykład rozwiązać problemy z systemem nazw domen (DNS), przefiltruj dzienniki błędów według protokołu DNS.

    Zrzut ekranu przedstawiający dzienniki przepływu i dzienniki błędów.

    Oddzielenie dzienników przepływów i dzienników błędów ułatwia szybsze analizowanie problemów. Można identyfikować i usuwać błędy bez przesiewania niepowiązanych informacji, co zwiększa wydajność rozwiązywania problemów i procesów debugowania.

    Użyj przejrzystych etykiet i sygnatur czasowych dla każdego wpisu dziennika, aby łatwiej wskazać określone zdarzenia lub błędy w systemach lub procesach.

    Zrzut ekranu przedstawiający dostępne filtry na pulpitach nawigacyjnych witryny Azure Portal.

  • Najważniejsze przestrzenie nazw, obciążenia i błędy DNS. Wizualizacja dziennika przepływu sieci jest niezbędna do monitorowania i analizowania komunikacji w klastrze usługi AKS. Zapewnia wgląd w przestrzenie nazw, obciążenia, użycie portów i użycie zapytań. Pomaga identyfikować trendy, wykrywać wąskie gardła i diagnozować problemy. Wykryj znaczną aktywność sieciową, wyświetl porzucone żądania i oceń dystrybucję protokołów (na przykład TCP i UDP). Ta sekcja przeglądu pulpitu nawigacyjnego obsługuje kondycję klastra, optymalizację zasobów i zabezpieczenia przez wykrywanie i wyświetlanie nietypowych wzorców ruchu.

    Zrzut ekranu przedstawiający najważniejsze przestrzenie nazw i metryki podów.

Dzienniki na żądanie

Usługa Advanced Container Networking Services oferuje przechwytywanie dzienników przepływu sieci na żądanie. Uzyskaj widoczność w czasie rzeczywistym bez wcześniejszej konfiguracji lub magazynu trwałego, korzystając z Hubble CLI i Hubble UI. Ten tryb dzienników na żądanie jest dostępny. Aby dowiedzieć się, jak skonfigurować magazyn dzienników na żądanie, zobacz Konfiguracja interfejsu wiersza polecenia platformy Hubble i interfejsu użytkownika platformy Hubble.

Interfejs wiersza polecenia Hubble CLI

Interfejs wiersza polecenia platformy Hubble zapewnia elastyczny i interaktywny sposób wykonywania zapytań, filtrowania i analizowania dzienników przepływu bezpośrednio w terminalu. Możesz wykonywać polecenia w czasie rzeczywistym, aby sprawdzać przepływy ruchu, wyświetlać metadane pakietów i rozwiązywać problemy z siecią bez opuszczania środowiska operacyjnego.

Zrzut ekranu Hubble CLI.

Interfejs użytkownika platformy Hubble

Interfejs internetowy hubble oferuje intuicyjną i wizualną platformę do monitorowania. Dzięki funkcjom, takich jak pulpity nawigacyjne ruchu na żywo, podsumowania przepływów i dzienniki z możliwością wyszukiwania, można łatwo śledzić komunikację między usługami, wykrywać anomalie i uzyskiwać wgląd w działania klastra.

Narzędzia interfejsu użytkownika hubble zapewniają wgląd w czasie rzeczywistym i szczegółowe informacje umożliwiające podejmowanie działań w celu szybszego rozwiązywania problemów i ulepszonego zarządzania siecią.

Zrzut ekranu przedstawiający interfejs użytkownika hubble'a.

Najważniejsze korzyści wynikające z dzienników na żądanie

  • Szybsze rozwiązywanie problemów. Dzięki szczegółowym i praktycznym wglądom w ruch sieciowy można szybciej identyfikować i rozwiązywać problemy z łącznością lub wydajnością, minimalizując przestoje i zakłócenia.
  • Zoptymalizowana wydajność operacyjna. Zagregowane i efektywnie przechowywane dzienniki zmniejszają obciążenie związane z zarządzaniem danymi. Twój zespół może skupić się na analizie i podejmowaniu decyzji zamiast zarządzać dużymi ilościami danych pierwotnych.
  • Zwiększona niezawodność aplikacji. Monitorując komunikację między usługami i wykrywając anomalie, możesz aktywnie rozwiązywać potencjalne problemy i zapewnić sprawniejsze i bardziej niezawodne środowisko aplikacji.
  • Ulepszone podejmowanie decyzji. Wizualizowanie wzorców sieci w narzędziu Azure Managed Grafana i stosowanie map usług zapewnia jasny wgląd w zachowanie sieci aplikacji. Prowadzi to do ulepszonego planowania i optymalizacji infrastruktury.
  • Oszczędności. Wydajne agregowanie dzienników i dostosowywalne zakresy rejestrowania zmniejszają koszty magazynowania i pozyskiwania danych, zapewniając ekonomiczne rozwiązanie do długoterminowego monitorowania sieci.
  • Usprawniona zgodność i zabezpieczenia. Trwałe i kompleksowe dzienniki wspierają ścieżki audytowe, zgodność z przepisami oraz szybką identyfikację podejrzanego ruchu. Ułatwiają one utrzymanie bezpiecznego i zgodnego środowiska.

Ograniczenia

  • Dzienniki sieciowe kontenerów w trybie przechowywania dzienników działają obecnie tylko z płaszczyzną danych Cilium.
  • Dzienniki przepływu warstwy 7 są przechwytywane tylko wtedy, gdy jest włączona obsługa zasad warstwy 7. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad warstwy 7.
  • Przepływy i metryki DNS są przechwytywane tylko wtedy, gdy jest stosowana zasada sieciowa Cilium FQDN. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad nazwy FQDN.
  • Dołączanie przy użyciu narzędzia Terraform nie jest obecnie obsługiwane.
  • Jeśli Log Analytics nie jest skonfigurowana do przechowywania logów, dzienniki sieciowe kontenerów są ograniczone do maksymalnie 50 MB przestrzeni. Po osiągnięciu tego limitu nowe wpisy zastępują starsze dzienniki.
  • Jeśli plan tabeli jest ustawiony na podstawowe rejestry dzienników, predefiniowane pulpity nawigacyjne Grafana nie działają.
  • Plan tabeli dzienników pomocniczych nie jest obsługiwany.

Ceny

Ważne

Zaawansowane usługi sieciowe kontenerów to oferta płatna.

Aby uzyskać więcej informacji na temat cen, zobacz Advanced Container Networking Services — cennik.

Treści powiązane

  • Last updated on