高級容器網(wǎng)絡服務:全面提升Azure Kubernetes服務的安全性與運維能力

來源:Azure云科技
作者:Azure云科技
時間:2024-12-09
2172
隨著云原生技術的普及,容器和Kubernetes已經(jīng)成為現(xiàn)代應用部署的核心。

隨著云原生技術的普及,容器和Kubernetes已經(jīng)成為現(xiàn)代應用部署的核心?;谖⒎盏娜萜骰ぷ髫撦d不僅更易于擴展,具有更強的可移植性,而且資源使用效率更高。借助Kubernetes管理這些工作負載,企業(yè)能夠在多樣化的計算資源上部署先進的人工智能和機器學習應用,從而顯著提升大規(guī)模運營效率。隨著應用架構的演進,企業(yè)對精細化安全控制和深度可觀測性的需求不斷增長。而容器的短暫性特性有時無法滿足日益增長的需求,AKS的高級容器網(wǎng)絡服務正好解決這一問題。

我們很高興宣布,Azure Kubernetes服務(AKS)的高級容器網(wǎng)絡服務正式上線!這是一套專為云原生環(huán)境量身打造的解決方案,旨在全面提升Kubernetes和容器化環(huán)境的安全性和可觀測性。通過高級容器網(wǎng)絡服務,您將獲得無縫集成的體驗,不僅能保持強大的安全防護,還能深入洞察網(wǎng)絡流量和應用性能,確保容器化應用的安全性,同時滿足性能和可靠性需求,讓您自信地管理和擴展基礎設施。

32C01484-3A6E-43A7-BF8E-7D2ED62BB25C.png

高級容器網(wǎng)絡服務的兩大功能:安全性和可觀測性。

01

容器網(wǎng)絡可觀測性

容器網(wǎng)絡可觀測性配備了與網(wǎng)絡相關的監(jiān)視和診斷工具,為容器化工作負載提供可見性。它可以解鎖AKS群集上的Hubble指標、Hubble的命令行界面(CLI)和Hubble用戶界面(UI),為容器化工作負載提供深入、可操作的見解,讓您能夠檢測并確定AKS中網(wǎng)絡相關問題的根本原因。這些功能可確保容器化應用程序安全且合規(guī),使您能夠自信地管理基礎結構。

容器網(wǎng)絡可觀測性功能包括:

節(jié)點級指標:這些指標可按節(jié)點統(tǒng)計流量、丟棄的數(shù)據(jù)包數(shù)、連接數(shù)等信息。指標以Prometheus格式存儲,可在Grafana中查看。

Hubble指標(DNS和Pod級指標):這些Prometheus指標包括Kubernetes上下文(如源和目標pod名稱和命名空間信息),從而可以在更細粒度的級別上定位網(wǎng)絡相關問題。指標涵蓋流量、丟棄的數(shù)據(jù)包數(shù)、TCP重置數(shù)、L4/L7數(shù)據(jù)包流等。此外,還有DNS指標(目前僅適用于非Cilium數(shù)據(jù)平面),包括DNS錯誤數(shù)和DNS請求缺少響應數(shù)。

Hubble流日志:通過流日志可深入了解群集的網(wǎng)絡活動。與Pod之間的所有通信都會記錄,方便您隨時調(diào)查連接問題。流日志有助于回答以下問題:服務器是否收到了客戶端的請求?客戶端請求與服務器響應之間的往返延遲是多少?

Hubble CLI:Hubble命令行接口(CLI)可以使用可自定義的篩選和格式檢索整個群集中的流日志。

Hubble UI:Hubble UI是一個用戶友好的基于瀏覽器的界面,用于瀏覽群集網(wǎng)絡活動。它基于流日志創(chuàng)建服務連接圖,并顯示所選命名空間的流日志。用戶負責預配和管理運行Hubble UI所需的基礎結構。

38EE0C8C-AAB1-41D4-85DC-8FA2C16653F8.png

02

容器網(wǎng)絡安全

容器網(wǎng)絡安全功能可以增強對跨容器的網(wǎng)絡流量的控制。使用基于Cilium的策略,與傳統(tǒng)的基于IP的方法相比,提供了更精細、更用戶友好的網(wǎng)絡安全管理方法。

容器網(wǎng)絡安全中提供的第一項功能:完全限定域名篩選(FQDN)。FQDN篩選提供了一種高效且用戶友好的方法來管理網(wǎng)絡策略。通過基于域名而不是IP地址來定義這些策略,組織可以顯著簡化策略管理流程。這種方法消除了需要在IP地址改變時頻繁更新的需求,從而減輕了管理負擔并充分降低了配置錯誤的風險。

在Kubernetes群集中,Pod IP地址經(jīng)常發(fā)生變化,這使得使用IP地址的安全策略保護Pod變得非常困難。FQDN篩選允許您使用域名而不是IP地址創(chuàng)建Pod級別策略,這樣就無需在IP地址發(fā)生變化時更新策略。

下來我們將深入探討如何借助FQDN篩選,幫助您打造更為可靠的容器網(wǎng)絡安全防護。

03

FQDN篩選和安全代理DNS代理

該解決方案由兩個主要組件構成:Cilium代理和安全代理DNS代理。兩者的結合,使得FQDN篩選能夠無縫集成到Kubernetes集群中,實現(xiàn)對外部通信的高效且易于管理的控制。

C6EC603B-EB5D-4A81-A479-5295A2B401A9.png

Cilium代理

Cilium代理是集群中的關鍵網(wǎng)絡組件,它作為DaemonSet在集群中運行Azure CNI powered by Cilium。其主要職責包括處理集群中Pod的網(wǎng)絡連接、負載均衡以及網(wǎng)絡策略。對于啟用了FQDN策略的Pod,Cilium代理會將數(shù)據(jù)包重定向到DNS代理進行名稱解析,并根據(jù)從DNS代理獲得的FQDN到IP的映射更新網(wǎng)絡策略。

安全代理DNS代理

安全代理中的DNS代理以DaemonSet的形式運行在啟用了高級容器網(wǎng)絡服務的Azure CNI powered by Cilium集群中。它負責為Pod進行DNS解析,解析成功后將FQDN到IP的映射更新至Cilium代理。通過這種方式,網(wǎng)絡安全策略能夠在DNS層面上得到有效保障。

將安全代理DNS代理與Cilium代理分別部署為獨立的DaemonSet(如:acns-security-agent),即使Cilium代理出現(xiàn)故障或升級,Pod也能持續(xù)進行DNS解析。此外,通過Kubernetes的maxSurge升級功能,DNS代理在升級期間也能保持正常運行。這一設計確保了客戶關鍵工作負載的網(wǎng)絡連接不會因DNS解析問題而受到影響。

04

客戶應用場景

在高級容器網(wǎng)絡服務的預覽階段,已有多家客戶已開始部署該服務,主要應用場景:

排查應用性能下降和DNS解析超時問題:通過DNS錯誤和相關指標,幫助快速定位并解決應用性能問題。

解決Pod間或外部端點的間歇性連接中斷:通過查看Pod指標(如丟包數(shù)、TCP錯誤、重傳次數(shù)等),幫助集群管理員快速識別并修復連接問題。

使用流日志調(diào)試網(wǎng)絡連接問題:流日志提供全方位的網(wǎng)絡可見性,幫助運維人員迅速定位和解決網(wǎng)絡故障。

增強集群安全性并提高策略的靈活性:通過使用FQDN代替IP地址設置Cilium網(wǎng)絡策略,不僅簡化了策略管理,還能確保策略在IP地址更改時繼續(xù)有效,大大提高了網(wǎng)絡安全的可維護性。

在H&M集團,平臺工程是我們的核心實踐,依托云原生內(nèi)部開發(fā)平臺,賦能自主產(chǎn)品團隊構建和托管微服務。深度網(wǎng)絡可觀測性和強大的安全性是我們成功的關鍵。實時流日志加速了我們排查連接問題的能力,而FQDN篩選確保了與可信外部域的安全通信。

——Magnus Welson,

H&M集團容器平臺工程經(jīng)理

高級容器網(wǎng)絡服務提供的高級可觀測性,在我們調(diào)查日本煙草國際(JT International)一個AKS集群中的高影響問題時,給予了極大的幫助。借助該服務提供的洞察,我們能夠?qū)栴}精準定位到DNS性能問題,并確認我們采取的補救措施已成功解決問題。

——Andrew Wytyczak-Partyka,

Codewave CEO,Alexandru Popovici,日本煙草國際DevOps與安全經(jīng)理

在Ferrovial,在我們的企業(yè)Kubernetes平臺(Kubecore)上,借助高級容器網(wǎng)絡服務,我們能夠通過實時網(wǎng)絡流量工具調(diào)試應用程序中的連接問題,獲得完整的詳細信息。同時,工作負載級別的DNS錯誤和指標為我們提供了深入的網(wǎng)絡可視性,幫助我們更快地排查應用性能下降的原因。

——Victor Fernandez,

Ferrovial高級云架構師

立即登錄,閱讀全文
原文鏈接:點擊前往 >
文章來源:Azure云科技
版權說明:本文內(nèi)容來自于Azure云科技,本站不擁有所有權,不承擔相關法律責任。文章內(nèi)容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權,請聯(lián)系管理員(zzx@kchuhai.com)刪除!
優(yōu)質(zhì)服務商推薦
更多