アドバンスト コンテナー ネットワークサービスは、Azure Kubernetes Service (AKS) クラスターのネットワーク機能を強化するために設計されたサービス スイートです。 このスイートは、監視、セキュリティ、コンプライアンスなど、最新のコンテナー化されたアプリケーションの課題に対処します。
Advanced Container Networking Services は、堅牢なセキュリティ体制を維持し、ネットワーク トラフィックとアプリケーションのパフォーマンスに関する深い洞察を得るのに役立つ、シームレスで統合されたエクスペリエンスを提供することに重点を置いています。 これは、コンテナー化されたアプリケーションがセキュリティで保護されているだけでなく、パフォーマンスと信頼性の目標を満たすか、それを超えるアプリケーションであることを保証するのに役立ちます。 Advanced Container Networking Services は、インフラストラクチャを自信を持って管理およびスケーリングするのに役立ちます。
アドバンスト コンテナー ネットワーク サービスには何が含まれていますか?
Advanced Container Networking Services には、次の 2 つの主要な機能があります。
Container Network Observability: 高度なコンテナー ネットワーク サービス スイートの第 1 の機能により、Hubble のコントロール プレーンの機能が Cilium と非 Cilium Linux データ プレーンの両方にもたらされます。 これらの機能のねらいは、ネットワークとパフォーマンスを可視化することです。
Container Network Security: Cilium を利用する Azure CNI を使用するクラスターの場合、ネットワーク ポリシーには、構成の管理の複雑さに対処するための完全修飾ドメイン名 (FQDN) フィルタリングが含まれます。
コンテナー ネットワークの監視
AKS の Container Network Observability は、高度な Container Networking Services 内の包括的な機能セットであり、コンテナー化された環境全体のネットワーク トラフィックとパフォーマンスに関する詳細な分析情報を提供するように設計されています。 Cilium データ プレーンと非 Cilium データ プレーンの両方でシームレスに動作し、多様なネットワーク ニーズに柔軟に対応できます。 この機能では、アプリケーションが影響を受ける前に潜在的なボトルネックとネットワークの輻輳を特定することで、eBPF を使用してスケーラビリティとパフォーマンスを向上させます。
主な利点には、Azure のすべての Container Networking Interface (CNI) バリアントとの互換性、ノード レベルのメトリックの詳細な可視性、ドメイン ネーム システム (DNS) 解決、ポッド間通信、およびサービス対話のための Hubble メトリックが含まれます。 コンテナー ネットワーク ログは、トラブルシューティング、監視、セキュリティの適用に必要な IP、ポート、トラフィック フローなどの重要なメタデータをキャプチャします。
また、Azure Monitor の Prometheus と Azure Managed Grafana のマネージド サービスと統合され、メトリックのストレージと視覚化が簡素化されます。 マネージド サービスと独自のインフラストラクチャのどちらを使用する場合でも、この可観測性ソリューションは、AKS ワークロードのパフォーマンスが高く、セキュリティで保護され、準拠しているネットワーク環境を確保するのに役立ちます。
コンテナー ネットワーク メトリック
この機能では、CPU、メモリ、ネットワーク パフォーマンスなどのノード レベルのメトリックを収集して、クラスター ノードの正常性を監視します。 より深い分析情報を得るために、Hubble メトリックは DNS 解決時間、サービス間通信、ポッド レベルのネットワーク動作に関するデータを提供します。 これらのメトリックは、アプリケーションのパフォーマンスの分析、異常の検出、ワークロードの最適化に役立ちます。
詳細については、 メトリックの概要を参照してください。
コンテナー ネットワーク ログ
コンテナー ネットワーク ログでは、ソースと宛先の IP アドレス、ポート、プロトコル、フロー方向などのメタデータをキャプチャすることで、クラスター内およびクラスター間のトラフィックに関する詳細な分析情報を得ることができます。 これらのログにより、ネットワーク動作の監視、接続の問題のトラブルシューティング、セキュリティ ポリシーの適用が可能になります。 永続的でリアルタイムのログ記録オプションにより、包括的で実用的なネットワーク可観測性が確保されます。
詳細については、 コンテナー ネットワーク ログの概要を参照してください。
コンテナー ネットワークのセキュリティ
コンテナー化されたアプリケーションのセキュリティ保護は、今日の動的なクラウド環境で不可欠です。 Advanced Container Networking Services には、クラスターのネットワーク セキュリティを強化するための機能が用意されています。
FQDN ベースのフィルター処理
Cilium DNS ベースのポリシーを利用した Azure CNI を使用してエグレス制御を強化します。 動的 IP アドレスを管理するのではなく、FQDN を使用して構成を簡略化します。
詳細については、 FQDN ベースのフィルター処理の概要を参照してください。
レイヤー 7 ポリシー (プレビュー)
アプリケーション レベルのトラフィックをきめ細かく制御できます。 HTTP、gRPC、kafka などのプロトコルに基づいてポリシーを実装し、詳細な可視性ときめ細かなアクセス制御を使用してアプリケーションをセキュリティで保護します。 詳細については、 レイヤー 7 ポリシーの概要 に関するドキュメントを参照してください。
価格
重要
アドバンスト コンテナー ネットワークサービスは有料オファリングです。
価格の詳細については、「 Advanced Container Networking Services - Pricing」を参照してください。
既存のクラスターでアドバンスト コンテナー ネットワークサービスを設定にする
前提条件
- アクティブなサブスクリプションが含まれる Azure アカウント。 お持ちでない場合は、開始する前に無料アカウントを作成してください。
Azure Cloud Shell で Bash 環境を使用します。 詳細については、「Azure Cloud Shell の概要」を参照してください。
CLI リファレンス コマンドをローカル環境で実行したい場合は、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。 詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。
ローカル インストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。 認証プロセスを完了するには、ターミナルに表示される手順に従います。 その他のサインイン オプションについては、「 Azure CLI を使用した Azure への認証」を参照してください。
初回使用時に求められたら、Azure CLI 拡張機能をインストールします。 拡張機能の詳細については、「Azure CLI で拡張機能を使用および管理する」を参照してください。
インストールされているバージョンと依存ライブラリを調べるには、az version を実行します。 最新バージョンにアップグレードするには、az upgrade を実行します。
- この記事の手順に必要な Azure CLI の最小バージョンは 2.71.0 です。 バージョンを確認するには、
az --versionを実行します。 インストールまたはアップグレードする必要には、「Azure CLI のインストール」をご覧ください。
aksプレビューの Azure CLI 拡張機能をインストールする
az extension addまたは az extension update コマンドを使用して、Azure CLI プレビュー拡張機能をインストールまたは更新します。
aks-preview Azure CLI 拡張機能の最小バージョンは14.0.0b6。
# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview
AdvancedNetworkingL7PolicyPreview 機能フラグを登録する
注
コンテナー ネットワーク セキュリティ機能は、Cilium ベースのクラスターを利用する Azure CNI でのみサポートされます。
az feature register コマンドを使用して、AdvancedNetworkingL7PolicyPreview機能フラグを登録します。
az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"
az feature show コマンドを使用して、登録が成功したことを確認します。 登録が完了するまでに数分かかります。
az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"
リソース グループを作成する
リソース グループは、Azure リソースがデプロイおよび管理される論理コンテナーです。 az group create コマンドを使用してリソース グループを作成します。
# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION
AKS クラスターで Advanced Container Networking Services を有効または無効にする
Advanced Container Networking Services を含む AKS クラスターを作成する
--enable-acns Advanced Container Networking Services フラグを使用した az aks create コマンドでは、Container Network Observability や Container Network Security など、すべての高度な Container Networking Services 機能を備えた新しい AKS クラスターが作成されます。
注
Cilium データ プレーンを持つクラスターでは、Kubernetes バージョン 1.29 以降で Container Network Observability と Container Network のセキュリティがサポートされています。
--acns-advanced-networkpolicies パラメーターを L7 に設定すると、L7 と FQDN の両方のフィルター ポリシーが有効になります。 FQDN フィルターのみを有効にする場合は、パラメーターを FQDN に設定します。
両方の機能を無効にするには、「 コンテナー ネットワーク セキュリティの無効化」で説明されている手順を実行します。
# Set an environment variable for the AKS cluster name. Make sure you replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"
# Create an AKS cluster
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--kubernetes-version 1.29 \
--enable-acns \
--acns-advanced-networkpolicies <L7/FQDN>
アドバンスト コンテナー ネットワークサービスを既存のクラスターに対して有効にする
--enable-acns フラグを指定した az aks update コマンドは、Container Network Observability や Container Network Security など、すべての Advanced Container Networking Services 機能で既存の AKS クラスターを更新します。
注
Cilium データ プレーンを持つクラスターは、Kubernetes バージョン 1.29 以降で Container Network Observability と Container Network Security をサポートします。
--acns-advanced-networkpolicies パラメーターが L7 に設定されている場合、レイヤー 7 と FQDN フィルタリング ポリシーの両方が有効になります。 FQDN フィルターのみを有効にする場合は、パラメーターを FQDN に設定します。
両方の機能を無効にするには、「 コンテナー ネットワーク セキュリティの無効化」で説明されている手順を実行します。
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--acns-advanced-networkpolicies <L7/FQDN>
アドバンスト コンテナー ネットワークサービスを無効にする
--disable-acns フラグは、既存の AKS クラスター上のすべての Advanced Container Networking Services 機能を無効にします。 Container Network Observability と Container Network Security も無効になっています。
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--disable-acns
高度なコンテナー ネットワーク サービス機能を無効にする
コンテナー ネットワークの監視を無効にする
他の高度な Container Networking Services 機能に影響を与えずに Container Network Observability 機能を無効にするには、次のコマンドを実行します。
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-observability
コンテナー ネットワークのセキュリティを無効にする
他の高度な Container Networking Services 機能に影響を与えずにコンテナー ネットワーク セキュリティ機能を無効にするには、次のコマンドを実行します。
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-security
関連コンテンツ
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
Azure Kubernetes Service