当前位置：首页 > article >正文

微软借助环境感知服务网络简化 AKS 服务网格管理，开启新功能指南来了！

article 2026/4/17 0:40:54

微软借助环境感知服务网络简化 AKS 服务网格扩展与管理微软借助基于环境感知ambient的服务网络简化了 Azure Kubernetes 服务AKS的服务网格扩展和管理。以下是如何开启这一功能。如果你正在使用 Kubernetes尤其是像 AKS 这样的托管版本无需考虑底层硬件。只需构建应用程序它就能运行其容器由服务的编排器管理。至少理论上是这样。然而实现一个将代码与支持它的服务器和网络相分离的平台会带来自身的问题同时也催生了一门全新的学科。平台工程师填补了软件和硬件之间的空白负责保障安全和网络同时管理存储和其他关键服务。Kubernetes 是云原生服务生态系统的一部分该生态系统为运行和管理可扩展的分布式系统提供支持框架包括打包和部署应用程序所需的工具以及扩展 Kubernetes 自身节点和 Pod 功能的组件。这个不断发展的生态系统的关键组成部分是各种服务网格。它们提供了一种管理节点之间以及应用程序与外部网络之间连接的方式还配备了处理基本网络安全的工具。这些服务网格通常以“边车sidecar”容器的形式实现与 Kubernetes Pod 并行运行。随着应用程序的扩展这些网络代理会消耗额外的资源这意味着需要更多的配置和管理工作以确保配置保持最新并且机密信息安全无虞。Istio 引入环境感知模式作为关键的服务网格实现之一Istio 开发了一种替代的运行方式即项目所称的“环境感知模式ambient mode”。在这种模式下不再为每个 Pod 配备单独的边车而是将服务网格实现为每个节点的代理或者是支持整个 Kubernetes 命名空间的单个代理。这种方法使你能够在不增加平台复杂性的情况下开始实施服务网格从而轻松地从基本的开发 Kubernetes 实现过渡到生产环境而无需更改应用程序 Pod。之所以称为环境感知模式是因为随着应用程序的扩展无需添加新的服务网格元素。相反服务网格始终存在你的 Pod 只需加入其中并利用现有的配置即可。最终的实现既易于使用也易于理解。多年来微软一直将 Istio 作为 AKS 的一部分。Istio 是为 Azure 云原生计算平台提供支撑的一套开源工具之一。推出 Azure Kubernetes 应用网络因此微软将 Istio 的环境感知网格作为 Azure Kubernetes 应用网络的基础也就不足为奇了。这项新服务目前处于预览阶段允许应用程序开发人员为其应用程序添加托管网络服务而无需平台工程团队的支持来实施服务网格。它甚至可以帮助你从现已弃用的 ingress - nginx 迁移通过提供对推荐的 Kubernetes 网关 API 的访问而无需更多的边车并允许你在完成迁移期间使用现有的 ingress - nginx 配置。微软将 Azure Kubernetes 应用网络的预览版描述为“针对 AKS 的完全托管、基于环境感知的服务网络解决方案”。底层的数据平面和控制平面由 AKS 管理因此你只需将 AKS 集群连接到应用网络AKS 就会为你管理服务网格而无需对你的应用程序进行任何更改。与 Istio 环境感知网格的其他实现类似应用网络有两个层次一组核心的节点级应用代理负责处理应用服务的连接和安全以及一组可选的低级代理支持路由并应用网络策略在 Kubernetes 环境中充当软件定义网络。这种方法使你能够在本地开发硬件上构建和测试 Kubernetes 应用程序而无需使用应用网络功能然后将其与所需的网络配置一起部署到 AKS从而简化了开发和部署过程。它还减少了计算和开发资源方面的开发开销。使用 Azure Kubernetes 应用网络应用网络部署后会安全地连接应用程序中的服务自动管理加密连接并管理所需的证书。当你不传输机密数据且不需要相关开销时它也可以支持未加密的连接。由于该服务由 AKS 管理新的 Pod 在部署时会自动配置环境感知网格支持扩展和缩减操作。应用网络的架构与 Istio 环境感知网格非常相似。主要区别在于该服务的管理和控制平面由 Azure 管理应用程序所有者只能使用服务的数据平面为其应用程序工作负载配置操作并设置策略。Azure 对管理平面的控制实现了证书管理的自动化确保连接安全降低证书过期的风险这得益于 Azure Key Vault 内置的工具。应用网络的数据平面包含服务网格使用的代理和网关这些在服务启动时与所需的 Kubernetes 配置一起部署。操作的关键是 ztunnel它是一个代理用于拦截服务间的请求确保连接安全并将请求路由到与目标服务一起运行的另一个 ztunnel。网关负责监督在远程集群中运行的 ztunnels 之间的连接使你的服务网格能够根据需求进行扩展。在 AKS 中构建首个环境感知服务网格开始使用 Azure Kubernetes 应用网络需要 Azure CLI。如果你使用的是现有的 AKS 集群则需要启用与 Microsoft Entra 的集成并启用 OpenID Connect。由于应用网络服务处于预览阶段首先要在你的账户中注册它。这可能需要一些时间但注册完成后你可以安装用于管理和控制 AKS 集群应用网络的 AppNet CLI 扩展。现在你可以开始设置环境感知服务网格了可以创建新的集群来使用它也可以将服务网格添加到现有的 AKS 部署中。从头开始是最简单的方法因为这样可以确保你在同一个租户中运行。如果你愿意AKS 集群和应用网络可以位于同一个资源组中但这不是必需的。你可以自由使用单独的资源组进行管理。使用 appnet 命令可以轻松地从命令行创建应用网络你只需要为网络指定一个名称、一个资源组、一个位置和一个身份类型。运行创建环境感知网格的命令后等待网格配置完成然后将集群加入你的网络。这同样只需要一个资源组、成员集群的名称及其资源组和集群名称。同时你要定义网络的管理方式即你是自己管理升级还是让 Azure 为你管理。可以用同样的方式将其他集群添加到网络中。有了应用网络和成员集群后下一步是使用 Kubernetes 自身的工具为你的应用程序添加对环境感知网格的支持。微软提供了一个有用的示例展示了如何使用应用网络和 Kubernetes 网关 API 来管理入口。你需要使用 kubectl 和 istioctl 命令来启用网关并验证其操作添加服务并确保它们通过各自的 ztunnels 相互可见。使用策略保护应用程序策略可用于控制从应用程序入口到特定服务以及服务之间的访问降低安全漏洞的风险并确保你能够控制应用程序中的流量路由。这些策略可以进行严格设置以确保仅使用特定的方法例如在只读服务上仅允许 HTTP GET 操作而在需要传输数据的地方允许 POST 操作。还可以使用其他选项在网格级别强制执行 OpenID Connect 授权。并非所有的 Azure Kubernetes 集群都支持预览版该预览版仅在 Azure 的最大区域可用。目前应用网络无法与私有集群或 Windows 节点池一起使用。一旦运行就无法切换升级模式而且由于它基于 Istio你不能在集群中启用 Istio 服务网格。这些要求并非不可逾越的障碍鉴于该服务仍处于预览阶段你应该能够开始对其进行实验。AKS 应用网络是一个强大的工具有助于简化和保障在 AKS 应用程序中构建和运行跨集群网络的过程。由于它是一种环境感知服务可以根据需要进行扩展并有助于在集群之间提供安全的桥梁。通过在 Kubernetes 层面工作可以使用应用网络提供基于策略的生产网络规则使开发人员能够在不受限制的环境中构建和测试代码然后再迁移到测试和生产集群。由于应用网络使用熟悉的 Kubernetes 和 Istio 结构可以将配置构建到 Helm 图表和其他部署工具中确保配置成为构建工件的一部分并且每次推送新构建时网络配置和策略都能与代码一起交付而无需平台工程支持。

微软借助环境感知服务网络简化 AKS 服务网格管理，开启新功能指南来了！

相关文章：

微软借助环境感知服务网络简化 AKS 服务网格管理，开启新功能指南来了！

RTX3050笔记本跑TensorFlow-GPU？保姆级避坑指南（Win11 + CUDA 11.5 + cuDNN 8.3.3）

8大主流网盘直链下载工具LinkSwift：架构解析与技术实现深度剖析

Source Han Serif CN开源中文字体：企业级字体解决方案的技术实现与应用实践

Python实战：基于Hessian矩阵的Steger激光条纹中心提取算法

NLP 注意力机制：从Transformer到GPT

RabbitMQ 核心角色：什么是生产者和消费者？全流程图解+实战详解

PyTorch 分布式训练：DDP vs FSDP

RabbitMQ 实战指南：如何声明队列？队列声明必要参数与完整用法详解

消息中间件实战：RabbitMQ基本架构与核心组件全解析

BUAA编译原理核心考点实战解析：从随堂测试到知识脉络

实战Windbg：从线上死锁到内存异常的全链路调试指南

从实验室到日常生活：马吕斯定律在LCD屏幕和太阳镜中的神奇应用

Livox Avia面阵激光雷达深度解析：双扫描模式如何重塑行业应用边界

从指示灯到指令：全面解析仿真器连接与调试实战要点

终极指南：OpenIPC固件在君正T31平台烧录疑难问题完全解决方案

从零开始：Nuclei工具的快速安装与配置指南

如何轻松实现Zotero中文文献自动化管理：Jasminum插件的完整实践指南

CANoe回灌报文信号值修改实战：用CAPL脚本动态调整Replay模块回放数据（附完整代码）

从Cortex-M3到RTOS：构建嵌入式开发的核心知识图谱

高效论文降重方案：2026年TOP5平台极限横评，AIGC疑似率实测降至5%！

气象科研入门：手把手教你用FileZilla免费下载葵花8号卫星数据（附详细FTP配置）

OpenPortal V5认证计费系统实战：如何用华为AC6005搭建企业级WiFi认证（附配置代码）

生成式AI推荐策略正在过时？3家独角兽已切换至“动态意图-反馈-重生成”闭环范式（内部架构首度公开）

西门子WinCC 7.0水处理工程项目实例：结构变量、脚本、C语言与报警记录的详细解析

[Windows] 万物工具箱 6.2.26.213

服务器SSH登录卡在‘pledge: network’？别慌，试试重启systemd-logind服务

STM32步进电机S型加减速算法源码及详细分析（基于STM32F103系列）

百度网盘提取码一键获取：baidupankey终极指南让资源下载效率翻倍

保姆级教程：用Python和Scikit-learn从MNIST数据集开始，5分钟搞定你的第一个KNN手写数字识别模型