在 Azure Kubernetes 服务(AKS)群集上使用高级容器网络服务

本文介绍如何在 AKS 群集上启用和禁用高级容器网络服务,包括容器网络可观测性和容器网络安全

先决条件

  • 拥有有效订阅的 Azure 帐户。 如果没有订阅,请在开始之前创建一个试用帐户
  • Azure CLI 2.79.0 或更高版本。 使用 az --version 命令查找版本。 若要安装或升级,请参阅安装 Azure CLI
  • 具有 Cilium 数据平面的群集支持 Kubernetes 版本 1.29 及更高版本中的容器网络可观测性和容器网络安全

设置环境变量。

本文中的示例使用以下环境变量:

Variable Description 示例值
RESOURCE_GROUP Azure资源组的名称 myResourceGroup
LOCATION Azure资源区域 chinanorth3
CLUSTER_NAME AKS 群集的名称 myAKSCluster

本文中的所有命令都假定已设置这些环境变量。 请确保将示例值替换为自己的值。

创建资源组

  • 使用 az group create 命令创建资源组。

    az group create --name $RESOURCE_GROUP --location $LOCATION

使用高级容器网络服务创建新的 AKS 群集

注释

完全限定域名(FQDN)筛选策略默认通过 --enable-acns 启用。 如果要启用第 7 层和 FQDN 策略,请设置为 --acns-advanced-networkpoliciesL7

  • 使用具有az aks create--enable-acns标志的--network-dataplane cilium命令创建包含高级容器联网服务和Cilium的AKS群集。

    az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --enable-acns

Important

容器网络安全功能不适用于非 Cilium 群集。

  • 使用 az aks create 命令和带有 --enable-acns 标志来创建包含高级容器网络服务的 AKS 群集。

    az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --enable-acns

在现有群集上启用高级容器网络服务

  • 使用命令 az aks update 和标志 --enable-acns 在现有 AKS 集群上启用高级容器网络服务。

    az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

  • 在现有 AKS 群集上,使用 az aks update 命令和 --enable-acns 标志启用高级容器网络服务。

    az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

在 AKS 群集上禁用高级容器网络服务

  • 使用 az aks update 命令和 --disable-acns 标志在现有 AKS 群集上禁用高级容器网络服务。

    az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

在 AKS 群集上禁用容器网络可观测性

  • 使用 az aks update 命令配合 --disable-acns-observability 标志禁用容器网络可观测性功能,而不影响其他高级容器网络服务功能。

    az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability

容器网络可观测性是可用于非 Cilium 群集的唯一功能,因此只能通过禁用整个高级容器网络服务套件来禁用该功能。

  • 使用az aks update命令及其--disable-acns标志禁用现有AKS群集上的容器网络可观测性功能。

    az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

在 AKS 群集上禁用容器网络安全

  • 使用命令 az aks update 和选项 --disable-acns-security 禁用容器网络安全功能,而不影响其他高级容器网络服务功能。

    az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security

相关内容

  • Last updated on