隨著云原生技術(shù)的普及，容器和Kubernetes已經(jīng)成為現(xiàn)代應(yīng)用部署的核心?；谖⒎?wù)的容器化工作負(fù)載不僅更易于擴(kuò)展，具有更強(qiáng)的可移植性，而且資源使用效率更高。借助Kubernetes管理這些工作負(fù)載，企業(yè)能夠在多樣化的計(jì)算資源上部署先進(jìn)的人工智能和機(jī)器學(xué)習(xí)應(yīng)用，從而顯著提升大規(guī)模運(yùn)營(yíng)效率。隨著應(yīng)用架構(gòu)的演進(jìn)，企業(yè)對(duì)精細(xì)化安全控制和深度可觀測(cè)性的需求不斷增長(zhǎng)。而容器的短暫性特性有時(shí)無(wú)法滿足日益增長(zhǎng)的需求，AKS的高級(jí)容器網(wǎng)絡(luò)服務(wù)正好解決這一問(wèn)題。

我們很高興宣布，Azure Kubernetes服務(wù)（AKS）的高級(jí)容器網(wǎng)絡(luò)服務(wù)正式上線！這是一套專為云原生環(huán)境量身打造的解決方案，旨在全面提升Kubernetes和容器化環(huán)境的安全性和可觀測(cè)性。通過(guò)高級(jí)容器網(wǎng)絡(luò)服務(wù)，您將獲得無(wú)縫集成的體驗(yàn)，不僅能保持強(qiáng)大的安全防護(hù)，還能深入洞察網(wǎng)絡(luò)流量和應(yīng)用性能，確保容器化應(yīng)用的安全性，同時(shí)滿足性能和可靠性需求，讓您自信地管理和擴(kuò)展基礎(chǔ)設(shè)施。

高級(jí)容器網(wǎng)絡(luò)服務(wù)的兩大功能：安全性和可觀測(cè)性。

01

容器網(wǎng)絡(luò)可觀測(cè)性

容器網(wǎng)絡(luò)可觀測(cè)性配備了與網(wǎng)絡(luò)相關(guān)的監(jiān)視和診斷工具，為容器化工作負(fù)載提供可見(jiàn)性。它可以解鎖AKS群集上的Hubble指標(biāo)、Hubble的命令行界面（CLI）和Hubble用戶界面（UI），為容器化工作負(fù)載提供深入、可操作的見(jiàn)解，讓您能夠檢測(cè)并確定AKS中網(wǎng)絡(luò)相關(guān)問(wèn)題的根本原因。這些功能可確保容器化應(yīng)用程序安全且合規(guī)，使您能夠自信地管理基礎(chǔ)結(jié)構(gòu)。

容器網(wǎng)絡(luò)可觀測(cè)性功能包括：

節(jié)點(diǎn)級(jí)指標(biāo)：這些指標(biāo)可按節(jié)點(diǎn)統(tǒng)計(jì)流量、丟棄的數(shù)據(jù)包數(shù)、連接數(shù)等信息。指標(biāo)以Prometheus格式存儲(chǔ)，可在Grafana中查看。

Hubble指標(biāo)（DNS和Pod級(jí)指標(biāo)）：這些Prometheus指標(biāo)包括Kubernetes上下文（如源和目標(biāo)pod名稱和命名空間信息），從而可以在更細(xì)粒度的級(jí)別上定位網(wǎng)絡(luò)相關(guān)問(wèn)題。指標(biāo)涵蓋流量、丟棄的數(shù)據(jù)包數(shù)、TCP重置數(shù)、L4/L7數(shù)據(jù)包流等。此外，還有DNS指標(biāo)（目前僅適用于非Cilium數(shù)據(jù)平面），包括DNS錯(cuò)誤數(shù)和DNS請(qǐng)求缺少響應(yīng)數(shù)。

Hubble流日志：通過(guò)流日志可深入了解群集的網(wǎng)絡(luò)活動(dòng)。與Pod之間的所有通信都會(huì)記錄，方便您隨時(shí)調(diào)查連接問(wèn)題。流日志有助于回答以下問(wèn)題：服務(wù)器是否收到了客戶端的請(qǐng)求？客戶端請(qǐng)求與服務(wù)器響應(yīng)之間的往返延遲是多少？

Hubble CLI：Hubble命令行接口（CLI）可以使用可自定義的篩選和格式檢索整個(gè)群集中的流日志。

Hubble UI：Hubble UI是一個(gè)用戶友好的基于瀏覽器的界面，用于瀏覽群集網(wǎng)絡(luò)活動(dòng)。它基于流日志創(chuàng)建服務(wù)連接圖，并顯示所選命名空間的流日志。用戶負(fù)責(zé)預(yù)配和管理運(yùn)行Hubble UI所需的基礎(chǔ)結(jié)構(gòu)。

02

容器網(wǎng)絡(luò)安全

容器網(wǎng)絡(luò)安全功能可以增強(qiáng)對(duì)跨容器的網(wǎng)絡(luò)流量的控制。使用基于Cilium的策略，與傳統(tǒng)的基于IP的方法相比，提供了更精細(xì)、更用戶友好的網(wǎng)絡(luò)安全管理方法。

容器網(wǎng)絡(luò)安全中提供的第一項(xiàng)功能：完全限定域名篩選（FQDN）。FQDN篩選提供了一種高效且用戶友好的方法來(lái)管理網(wǎng)絡(luò)策略。通過(guò)基于域名而不是IP地址來(lái)定義這些策略，組織可以顯著簡(jiǎn)化策略管理流程。這種方法消除了需要在IP地址改變時(shí)頻繁更新的需求，從而減輕了管理負(fù)擔(dān)并充分降低了配置錯(cuò)誤的風(fēng)險(xiǎn)。

在Kubernetes群集中，Pod IP地址經(jīng)常發(fā)生變化，這使得使用IP地址的安全策略保護(hù)Pod變得非常困難。FQDN篩選允許您使用域名而不是IP地址創(chuàng)建Pod級(jí)別策略，這樣就無(wú)需在IP地址發(fā)生變化時(shí)更新策略。

下來(lái)我們將深入探討如何借助FQDN篩選，幫助您打造更為可靠的容器網(wǎng)絡(luò)安全防護(hù)。

03

FQDN篩選和安全代理DNS代理

該解決方案由兩個(gè)主要組件構(gòu)成：Cilium代理和安全代理DNS代理。兩者的結(jié)合，使得FQDN篩選能夠無(wú)縫集成到Kubernetes集群中，實(shí)現(xiàn)對(duì)外部通信的高效且易于管理的控制。

Cilium代理

Cilium代理是集群中的關(guān)鍵網(wǎng)絡(luò)組件，它作為DaemonSet在集群中運(yùn)行Azure CNI powered by Cilium。其主要職責(zé)包括處理集群中Pod的網(wǎng)絡(luò)連接、負(fù)載均衡以及網(wǎng)絡(luò)策略。對(duì)于啟用了FQDN策略的Pod，Cilium代理會(huì)將數(shù)據(jù)包重定向到DNS代理進(jìn)行名稱解析，并根據(jù)從DNS代理獲得的FQDN到IP的映射更新網(wǎng)絡(luò)策略。

安全代理DNS代理

安全代理中的DNS代理以DaemonSet的形式運(yùn)行在啟用了高級(jí)容器網(wǎng)絡(luò)服務(wù)的Azure CNI powered by Cilium集群中。它負(fù)責(zé)為Pod進(jìn)行DNS解析，解析成功后將FQDN到IP的映射更新至Cilium代理。通過(guò)這種方式，網(wǎng)絡(luò)安全策略能夠在DNS層面上得到有效保障。

將安全代理DNS代理與Cilium代理分別部署為獨(dú)立的DaemonSet（如：acns-security-agent），即使Cilium代理出現(xiàn)故障或升級(jí)，Pod也能持續(xù)進(jìn)行DNS解析。此外，通過(guò)Kubernetes的maxSurge升級(jí)功能，DNS代理在升級(jí)期間也能保持正常運(yùn)行。這一設(shè)計(jì)確保了客戶關(guān)鍵工作負(fù)載的網(wǎng)絡(luò)連接不會(huì)因DNS解析問(wèn)題而受到影響。

04

客戶應(yīng)用場(chǎng)景

在高級(jí)容器網(wǎng)絡(luò)服務(wù)的預(yù)覽階段，已有多家客戶已開(kāi)始部署該服務(wù)，主要應(yīng)用場(chǎng)景：

排查應(yīng)用性能下降和DNS解析超時(shí)問(wèn)題：通過(guò)DNS錯(cuò)誤和相關(guān)指標(biāo)，幫助快速定位并解決應(yīng)用性能問(wèn)題。

解決Pod間或外部端點(diǎn)的間歇性連接中斷：通過(guò)查看Pod指標(biāo)（如丟包數(shù)、TCP錯(cuò)誤、重傳次數(shù)等），幫助集群管理員快速識(shí)別并修復(fù)連接問(wèn)題。

使用流日志調(diào)試網(wǎng)絡(luò)連接問(wèn)題：流日志提供全方位的網(wǎng)絡(luò)可見(jiàn)性，幫助運(yùn)維人員迅速定位和解決網(wǎng)絡(luò)故障。

增強(qiáng)集群安全性并提高策略的靈活性：通過(guò)使用FQDN代替IP地址設(shè)置Cilium網(wǎng)絡(luò)策略，不僅簡(jiǎn)化了策略管理，還能確保策略在IP地址更改時(shí)繼續(xù)有效，大大提高了網(wǎng)絡(luò)安全的可維護(hù)性。

在H&M集團(tuán)，平臺(tái)工程是我們的核心實(shí)踐，依托云原生內(nèi)部開(kāi)發(fā)平臺(tái)，賦能自主產(chǎn)品團(tuán)隊(duì)構(gòu)建和托管微服務(wù)。深度網(wǎng)絡(luò)可觀測(cè)性和強(qiáng)大的安全性是我們成功的關(guān)鍵。實(shí)時(shí)流日志加速了我們排查連接問(wèn)題的能力，而FQDN篩選確保了與可信外部域的安全通信。

——Magnus Welson，

H&M集團(tuán)容器平臺(tái)工程經(jīng)理

高級(jí)容器網(wǎng)絡(luò)服務(wù)提供的高級(jí)可觀測(cè)性，在我們調(diào)查日本煙草國(guó)際（JT International）一個(gè)AKS集群中的高影響問(wèn)題時(shí)，給予了極大的幫助。借助該服務(wù)提供的洞察，我們能夠?qū)?wèn)題精準(zhǔn)定位到DNS性能問(wèn)題，并確認(rèn)我們采取的補(bǔ)救措施已成功解決問(wèn)題。

——Andrew Wytyczak-Partyka，

Codewave CEO，Alexandru Popovici，日本煙草國(guó)際DevOps與安全經(jīng)理

在Ferrovial，在我們的企業(yè)Kubernetes平臺(tái)（Kubecore）上，借助高級(jí)容器網(wǎng)絡(luò)服務(wù)，我們能夠通過(guò)實(shí)時(shí)網(wǎng)絡(luò)流量工具調(diào)試應(yīng)用程序中的連接問(wèn)題，獲得完整的詳細(xì)信息。同時(shí)，工作負(fù)載級(jí)別的DNS錯(cuò)誤和指標(biāo)為我們提供了深入的網(wǎng)絡(luò)可視性，幫助我們更快地排查應(yīng)用性能下降的原因。

——Victor Fernandez，

Ferrovial高級(jí)云架構(gòu)師