高级容器网络服务：增强 AKS 的安全性和可观测性

我们非常激动的向大家宣布，高级容器网络服务（Advanced Container Networking Services）发布新功能。在成功推出高级网络可观测性功能后（该功能为 Azure Kubernetes Service (AKS) 集群内的网络流量提供了深入的洞察），我们现在引入了一项新的安全功能 —— 完全限定域名 (FQDN) 过滤。

高级容器网络服务是一套服务，旨在显著增强 Azure Kubernetes 服务 (AKS) 群集的运营功能。 该套件功能全面，旨在满足现代容器化应用程序的多方面复杂需求。通过提供无与伦比的网络可见性和强大的安全功能，高级容器网络服务使用户能够自信地管理、保护和监控 Azure Kubernetes 服务集群的网络流量。

利用高性能 eBPF 技术，深入洞察 pod、命名空间或工作负载级别的网络活动。主要功能包括：

■ 使用 Azure 托管的 Prometheus 和 Grafana 仪表板监控流量，识别瓶颈和性能问题。跨集群跟踪数据包流量，以便进行详细分析和调试。

■ 可视化服务依赖关系和交互，以优化配置和性能。

利用 eBPF 和高可用性（HA）DNS 代理，基于域名执行网络策略，确保持续的 DNS 解析。

图 1. 高级容器网络服务架构

本文将重点介绍由 Cilium 集群提供支持的， Azure 容器网络接口上新的 FQDN 过滤和 HA DNS 代理功能。如需了解更多有关高级容器网络服务的信息，请扫描下方二维码。

在快速发展的容器化环境中，保持强大的网络安全性，同时管理动态基础设施的复杂性，是一个重大挑战。传统的安全方法通常依赖基于 IP 的过滤，但面对这些环境中频繁变化的 IP 地址，使用传统方法往往力不从心。这不仅使策略管理变得繁琐，还会由于错误增加导致安全性受损的风险。

FQDN 过滤技术允许企业根据域名而不是 IP 地址来管理网络策略，提供了应对这些挑战的现代化解决方案。这种方法简化了策略管理，减少了由于频繁更新而产生的管理负担，确保安全协议在整个网络中得到一致应用。通过关注域名，FQDN 过滤提供了一种更直观和更具用户友好性的网络流量控制方法，使企业能够更精确、更灵活地执行安全策略。

在高级容器网络服务中引入 FQDN 过滤功能，标志着企业网络安全性的得到了显著增强。此功能不仅简化了复杂网络环境的管理，还通过允许只有授权的域名可以访问网络，来强化安全性。因此，企业可以对其网络流量实现更高级别的控制，降低未经授权访问和潜在的安全漏洞风险。

值得一提的是，这种方法的真正优势在于与 HA DNS 代理结合。在动态和分布式环境中，确保持续运行至关重要。HA DNS 代理可确保即使在组件故障或日常维护期间，DNS 解析也能保持不中断。

高级容器网络服务中的 FQDN 过滤和 HA DNS 代理相结合，为确保容器化环境的安全提供了一种弹性和前瞻性的解决方案。即使企业的网络基础架构不断发展和演变，它也能使企业维持稳定和强大的安全标准，确保企业在日益复杂的环境中自信地管理和保护数字资产。

基于 FQDN 的策略具有动态特性，企业管理员无需不断跟踪和更新 IP 地址（IP 地址可能经常变化），从而简化了安全管理。这种动态策略调整功能减少了管理开销，并最大限度地降低了策略执行中出错的可能性。此外，FQDN 过滤还简化了安全策略与第三方服务和 API 的集成。通过依赖域名而不是复杂的 IP 映射，企业可以更轻松地集成和维护其安全协议，确保策略在各种平台上保持一致和可管理。

FQDN 过滤可实现精细的访问控制，使企业能够实施精确的策略来允许或阻止特定域名的访问，从而大大增强了安全合规性。这一功能对于金融和医疗保健等必须严格遵守法规的行业，尤为重要。此外，FQDN 过滤还支持采用零信任安全模式。通过将网络流量限制在受信任的域名内，可以减少攻击面，降低未经授权访问的风险，从而提供额外的安全保护。

弹性策略执行是高级容器网络服务的关键组成部分，尤其是在引入 FQDN 过滤和 HA DNS 代理的情况下。在动态和分布式环境中，保持一致的策略执行对于确保网络安全性和稳定性至关重要。HA DNS 代理通过确保即使在 Cilium 代理不可用时，DNS 解析也能无缝运行，发挥了至关重要的作用。这种弹性策略执行意味着基于 FQDN 的安全策略始终有效，减少了在维护或意外停机期间的网络漏洞风险。通过确保无论底层基础设施如何变化，策略都能得到一致应用，弹性策略执行增强了容器化环境的整体可靠性和安全性。

了解更多关于 Azure 高级容器网络服务的信息：

阅读高级容器网络服务文档，并在集群上试用：