高級容器網(wǎng)絡(luò)服務(wù)：增強AKS的安全性和可觀測性

我們非常激動的向大家宣布，高級容器網(wǎng)絡(luò)服務(wù)（Advanced Container Networking Services）發(fā)布新功能。在成功推出高級網(wǎng)絡(luò)可觀測性功能后（該功能為Azure Kubernetes Service（AKS）集群內(nèi)的網(wǎng)絡(luò)流量提供了深入的洞察），我們現(xiàn)在引入了一項新的安全功能——完全限定域名（FQDN）過濾。

01 什么是高級容器網(wǎng)絡(luò)服務(wù)？

高級容器網(wǎng)絡(luò)服務(wù)是一套服務(wù)，旨在顯著增強Azure Kubernetes服務(wù)（AKS）群集的運營功能。該套件功能全面，旨在滿足現(xiàn)代容器化應(yīng)用程序的多方面復(fù)雜需求。通過提供無與倫比的網(wǎng)絡(luò)可見性和強大的安全功能，高級容器網(wǎng)絡(luò)服務(wù)使用戶能夠自信地管理、保護和監(jiān)控Azure Kubernetes服務(wù)集群的網(wǎng)絡(luò)流量。

02 高級容器網(wǎng)絡(luò)服務(wù)的主要功能

高級網(wǎng)絡(luò)可觀測性

利用高性能eBPF技術(shù)，深入洞察pod、命名空間或工作負載級別的網(wǎng)絡(luò)活動。主要功能包括：

-使用Azure托管的Prometheus和Grafana儀表板監(jiān)控流量，識別瓶頸和性能問題。跨集群跟蹤數(shù)據(jù)包流量，以便進行詳細分析和調(diào)試。

-可視化服務(wù)依賴關(guān)系和交互，以優(yōu)化配置和性能。

通過高可用（HA）DNS代理

進行FQDN過濾

利用eBPF和高可用性（HA）DNS代理，基于域名執(zhí)行網(wǎng)絡(luò)策略，確保持續(xù)的DNS解析。

圖1.高級容器網(wǎng)絡(luò)服務(wù)架構(gòu)

本文將重點介紹由Cilium集群提供支持的，Azure容器網(wǎng)絡(luò)接口上新的FQDN過濾和HA DNS代理功能。03

03 FQDN過濾和HA DNS代理概述

在快速發(fā)展的容器化環(huán)境中，保持強大的網(wǎng)絡(luò)安全性，同時管理動態(tài)基礎(chǔ)設(shè)施的復(fù)雜性，是一個重大挑戰(zhàn)。傳統(tǒng)的安全方法通常依賴基于IP的過濾，但面對這些環(huán)境中頻繁變化的IP地址，使用傳統(tǒng)方法往往力不從心。這不僅使策略管理變得繁瑣，還會由于錯誤增加導(dǎo)致安全性受損的風險。

FQDN過濾技術(shù)允許企業(yè)根據(jù)域名而不是IP地址來管理網(wǎng)絡(luò)策略，提供了應(yīng)對這些挑戰(zhàn)的現(xiàn)代化解決方案。這種方法簡化了策略管理，減少了由于頻繁更新而產(chǎn)生的管理負擔，確保安全協(xié)議在整個網(wǎng)絡(luò)中得到一致應(yīng)用。通過關(guān)注域名，F(xiàn)QDN過濾提供了一種更直觀和更具用戶友好性的網(wǎng)絡(luò)流量控制方法，使企業(yè)能夠更精確、更靈活地執(zhí)行安全策略。

在高級容器網(wǎng)絡(luò)服務(wù)中引入FQDN過濾功能，標志著企業(yè)網(wǎng)絡(luò)安全性的得到了顯著增強。此功能不僅簡化了復(fù)雜網(wǎng)絡(luò)環(huán)境的管理，還通過允許只有授權(quán)的域名可以訪問網(wǎng)絡(luò)，來強化安全性。因此，企業(yè)可以對其網(wǎng)絡(luò)流量實現(xiàn)更高級別的控制，降低未經(jīng)授權(quán)訪問和潛在的安全漏洞風險。

值得一提的是，這種方法的真正優(yōu)勢在于與HA DNS代理結(jié)合。在動態(tài)和分布式環(huán)境中，確保持續(xù)運行至關(guān)重要。HA DNS代理可確保即使在組件故障或日常維護期間，DNS解析也能保持不中斷。

高級容器網(wǎng)絡(luò)服務(wù)中的FQDN過濾和HA DNS代理相結(jié)合，為確保容器化環(huán)境的安全提供了一種彈性和前瞻性的解決方案。即使企業(yè)的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)不斷發(fā)展和演變，它也能使企業(yè)維持穩(wěn)定和強大的安全標準，確保企業(yè)在日益復(fù)雜的環(huán)境中自信地管理和保護數(shù)字資產(chǎn)。

04 FQDN過濾和HA DNS代理優(yōu)勢

簡化策略管理

基于FQDN的策略具有動態(tài)特性，企業(yè)管理員無需不斷跟蹤和更新IP地址（IP地址可能經(jīng)常變化），從而簡化了安全管理。這種動態(tài)策略調(diào)整功能減少了管理開銷，并最大限度地降低了策略執(zhí)行中出錯的可能性。此外，F(xiàn)QDN過濾還簡化了安全策略與第三方服務(wù)和API的集成。通過依賴域名而不是復(fù)雜的IP映射，企業(yè)可以更輕松地集成和維護其安全協(xié)議，確保策略在各種平臺上保持一致和可管理。

增強安全合規(guī)性

FQDN過濾可實現(xiàn)精細的訪問控制，使企業(yè)能夠?qū)嵤┚_的策略來允許或阻止特定域名的訪問，從而大大增強了安全合規(guī)性。這一功能對于金融和醫(yī)療保健等必須嚴格遵守法規(guī)的行業(yè)，尤為重要。此外，F(xiàn)QDN過濾還支持采用零信任安全模式。通過將網(wǎng)絡(luò)流量限制在受信任的域名內(nèi)，可以減少攻擊面，降低未經(jīng)授權(quán)訪問的風險，從而提供額外的安全保護。

彈性策略執(zhí)行

彈性策略執(zhí)行是高級容器網(wǎng)絡(luò)服務(wù)的關(guān)鍵組成部分，尤其是在引入FQDN過濾和HA DNS代理的情況下。在動態(tài)和分布式環(huán)境中，保持一致的策略執(zhí)行對于確保網(wǎng)絡(luò)安全性和穩(wěn)定性至關(guān)重要。HA DNS代理通過確保即使在Cilium代理不可用時，DNS解析也能無縫運行，發(fā)揮了至關(guān)重要的作用。這種彈性策略執(zhí)行意味著基于FQDN的安全策略始終有效，減少了在維護或意外停機期間的網(wǎng)絡(luò)漏洞風險。通過確保無論底層基礎(chǔ)設(shè)施如何變化，策略都能得到一致應(yīng)用，彈性策略執(zhí)行增強了容器化環(huán)境的整體可靠性和安全性。