我們非常激動(dòng)的向大家宣布���,高級(jí)容器網(wǎng)絡(luò)服務(wù)(Advanced Container Networking Services)發(fā)布新功能。
我們非常激動(dòng)的向大家宣布���,高級(jí)容器網(wǎng)絡(luò)服務(wù)(Advanced Container Networking Services)發(fā)布新功能���。在成功推出高級(jí)網(wǎng)絡(luò)可觀測(cè)性功能后(該功能為Azure Kubernetes Service(AKS)集群內(nèi)的網(wǎng)絡(luò)流量提供了深入的洞察)��,我們現(xiàn)在引入了一項(xiàng)新的安全功能——完全限定域名(FQDN)過濾。
01 什么是高級(jí)容器網(wǎng)絡(luò)服務(wù)�?
高級(jí)容器網(wǎng)絡(luò)服務(wù)是一套服務(wù)����,旨在顯著增強(qiáng)Azure Kubernetes服務(wù)(AKS)群集的運(yùn)營功能���。該套件功能全面�,旨在滿足現(xiàn)代容器化應(yīng)用程序的多方面復(fù)雜需求�。通過提供無與倫比的網(wǎng)絡(luò)可見性和強(qiáng)大的安全功能���,高級(jí)容器網(wǎng)絡(luò)服務(wù)使用戶能夠自信地管理����、保護(hù)和監(jiān)控Azure Kubernetes服務(wù)集群的網(wǎng)絡(luò)流量����。
02 高級(jí)容器網(wǎng)絡(luò)服務(wù)的主要功能
高級(jí)網(wǎng)絡(luò)可觀測(cè)性
利用高性能eBPF技術(shù)�,深入洞察pod、命名空間或工作負(fù)載級(jí)別的網(wǎng)絡(luò)活動(dòng)。主要功能包括:
-使用Azure托管的Prometheus和Grafana儀表板監(jiān)控流量�,識(shí)別瓶頸和性能問題。跨集群跟蹤數(shù)據(jù)包流量���,以便進(jìn)行詳細(xì)分析和調(diào)試���。
-可視化服務(wù)依賴關(guān)系和交互�,以優(yōu)化配置和性能�。
通過高可用(HA)DNS代理
進(jìn)行FQDN過濾
利用eBPF和高可用性(HA)DNS代理����,基于域名執(zhí)行網(wǎng)絡(luò)策略,確保持續(xù)的DNS解析�����。
圖1.高級(jí)容器網(wǎng)絡(luò)服務(wù)架構(gòu)
本文將重點(diǎn)介紹由Cilium集群提供支持的���,Azure容器網(wǎng)絡(luò)接口上新的FQDN過濾和HA DNS代理功能��。03
03 FQDN過濾和HA DNS代理概述
在快速發(fā)展的容器化環(huán)境中,保持強(qiáng)大的網(wǎng)絡(luò)安全性����,同時(shí)管理動(dòng)態(tài)基礎(chǔ)設(shè)施的復(fù)雜性,是一個(gè)重大挑戰(zhàn)�����。傳統(tǒng)的安全方法通常依賴基于IP的過濾���,但面對(duì)這些環(huán)境中頻繁變化的IP地址���,使用傳統(tǒng)方法往往力不從心。這不僅使策略管理變得繁瑣����,還會(huì)由于錯(cuò)誤增加導(dǎo)致安全性受損的風(fēng)險(xiǎn)����。
FQDN過濾技術(shù)允許企業(yè)根據(jù)域名而不是IP地址來管理網(wǎng)絡(luò)策略��,提供了應(yīng)對(duì)這些挑戰(zhàn)的現(xiàn)代化解決方案。這種方法簡化了策略管理�,減少了由于頻繁更新而產(chǎn)生的管理負(fù)擔(dān)���,確保安全協(xié)議在整個(gè)網(wǎng)絡(luò)中得到一致應(yīng)用。通過關(guān)注域名,F(xiàn)QDN過濾提供了一種更直觀和更具用戶友好性的網(wǎng)絡(luò)流量控制方法�����,使企業(yè)能夠更精確�、更靈活地執(zhí)行安全策略。
在高級(jí)容器網(wǎng)絡(luò)服務(wù)中引入FQDN過濾功能�����,標(biāo)志著企業(yè)網(wǎng)絡(luò)安全性的得到了顯著增強(qiáng)��。此功能不僅簡化了復(fù)雜網(wǎng)絡(luò)環(huán)境的管理���,還通過允許只有授權(quán)的域名可以訪問網(wǎng)絡(luò)���,來強(qiáng)化安全性�����。因此�,企業(yè)可以對(duì)其網(wǎng)絡(luò)流量實(shí)現(xiàn)更高級(jí)別的控制���,降低未經(jīng)授權(quán)訪問和潛在的安全漏洞風(fēng)險(xiǎn)����。
值得一提的是���,這種方法的真正優(yōu)勢(shì)在于與HA DNS代理結(jié)合。在動(dòng)態(tài)和分布式環(huán)境中��,確保持續(xù)運(yùn)行至關(guān)重要�。HA DNS代理可確保即使在組件故障或日常維護(hù)期間,DNS解析也能保持不中斷���。
高級(jí)容器網(wǎng)絡(luò)服務(wù)中的FQDN過濾和HA DNS代理相結(jié)合�,為確保容器化環(huán)境的安全提供了一種彈性和前瞻性的解決方案�����。即使企業(yè)的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)不斷發(fā)展和演變,它也能使企業(yè)維持穩(wěn)定和強(qiáng)大的安全標(biāo)準(zhǔn)���,確保企業(yè)在日益復(fù)雜的環(huán)境中自信地管理和保護(hù)數(shù)字資產(chǎn)����。
04 FQDN過濾和HA DNS代理優(yōu)勢(shì)
簡化策略管理
基于FQDN的策略具有動(dòng)態(tài)特性�����,企業(yè)管理員無需不斷跟蹤和更新IP地址(IP地址可能經(jīng)常變化)���,從而簡化了安全管理�。這種動(dòng)態(tài)策略調(diào)整功能減少了管理開銷�����,并最大限度地降低了策略執(zhí)行中出錯(cuò)的可能性�����。此外����,F(xiàn)QDN過濾還簡化了安全策略與第三方服務(wù)和API的集成��。通過依賴域名而不是復(fù)雜的IP映射�,企業(yè)可以更輕松地集成和維護(hù)其安全協(xié)議�,確保策略在各種平臺(tái)上保持一致和可管理。
增強(qiáng)安全合規(guī)性
FQDN過濾可實(shí)現(xiàn)精細(xì)的訪問控制�,使企業(yè)能夠?qū)嵤┚_的策略來允許或阻止特定域名的訪問,從而大大增強(qiáng)了安全合規(guī)性����。這一功能對(duì)于金融和醫(yī)療保健等必須嚴(yán)格遵守法規(guī)的行業(yè),尤為重要��。此外����,F(xiàn)QDN過濾還支持采用零信任安全模式。通過將網(wǎng)絡(luò)流量限制在受信任的域名內(nèi)����,可以減少攻擊面��,降低未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)��,從而提供額外的安全保護(hù)。
彈性策略執(zhí)行
彈性策略執(zhí)行是高級(jí)容器網(wǎng)絡(luò)服務(wù)的關(guān)鍵組成部分����,尤其是在引入FQDN過濾和HA DNS代理的情況下。在動(dòng)態(tài)和分布式環(huán)境中��,保持一致的策略執(zhí)行對(duì)于確保網(wǎng)絡(luò)安全性和穩(wěn)定性至關(guān)重要��。HA DNS代理通過確保即使在Cilium代理不可用時(shí)��,DNS解析也能無縫運(yùn)行�,發(fā)揮了至關(guān)重要的作用。這種彈性策略執(zhí)行意味著基于FQDN的安全策略始終有效���,減少了在維護(hù)或意外停機(jī)期間的網(wǎng)絡(luò)漏洞風(fēng)險(xiǎn)���。通過確保無論底層基礎(chǔ)設(shè)施如何變化,策略都能得到一致應(yīng)用�,彈性策略執(zhí)行增強(qiáng)了容器化環(huán)境的整體可靠性和安全性。
立即登錄����,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
