고급 컨테이너 네트워킹 서비스란?

2025-06-06

고급 컨테이너 네트워킹 서비스는 AKS(Azure Kubernetes Service) 클러스터의 네트워킹 기능을 향상시키도록 설계된 서비스 모음입니다. 이 도구 모음은 가시성, 보안, 준수와 같은 최신 컨테이너화된 애플리케이션의 챌린지를 해결합니다.

고급 컨테이너 네트워킹 서비스를 이용하면 강력한 보안 태세를 유지하고 네트워크 트래픽과 애플리케이션 성능에 대한 심층적인 인사이트를 얻을 수 있는 원활하고 통합된 환경을 제공하는 데 중점을 둡니다. 이렇게 하면 컨테이너화된 애플리케이션이 안전할 뿐만 아니라 성능 및 안정성 목표를 충족하거나 초과할 수 있으므로 인프라를 자신 있게 관리하고 크기를 조정할 수 있습니다.

고급 컨테이너 네트워킹 서비스에는 무엇이 포함되어 있나요?

고급 컨테이너 네트워킹 서비스에는 두 가지 핵심 요소로 나뉜 기능이 포함되어 있습니다.

가시성: Hubble의 컨트롤 플레인의 기능을 Cilium과 비 Cilium Linux 데이터 평면 모두에 제공하는 고급 컨테이너 네트워킹 서비스 도구 모음의 첫 번째 기능입니다. 이러한 기능은 네트워킹과 성능에 대한 표시 여부를 제공하는 것을 목표로 합니다.
보안: Cilium에서 제공하는 Azure CNI를 사용하는 클러스터의 경우, 네트워크 정책에는 구성 유지 관리의 복잡성을 해결하기 위한 FQDN(정규화된 도메인 이름) 필터링이 포함됩니다.

컨테이너 네트워크 가시성

AKS(Azure Kubernetes Service)의 컨테이너 네트워크 관찰성은 고급 컨테이너 네트워킹 서비스 내의 포괄적인 기능 집합으로, 컨테이너화된 환경에서 네트워크 트래픽 및 성능에 대한 심층적인 인사이트를 제공하도록 설계되었습니다. Cilium 및 비 Cilium 데이터 평면에서 원활하게 작동하여 다양한 네트워킹 요구 사항에 유연성을 제공합니다. eBPF를 활용하는 이 기능은 애플리케이션에 영향을 주기 전에 잠재적인 병목 상태 및 네트워크 정체를 식별하여 확장성 및 성능을 향상시킵니다.

주요 이점에는 모든 Azure CNI 변형과의 호환성, 노드 수준 메트릭에 대한 자세한 가시성, DNS 확인, Pod 간 통신 및 서비스 상호 작용에 대한 허블 메트릭이 포함됩니다. 컨테이너 네트워크 로그는 IP, 포트 및 트래픽 흐름과 같은 필수 메타데이터를 캡처하여 문제 해결, 모니터링 및 보안 적용을 지원합니다.

또한 간소화된 메트릭 스토리지 및 시각화를 위해 Azure Managed Prometheus 및 Grafana와 통합됩니다. 관리 서비스 또는 사용자 제어 인프라를 사용하는지 여부에 관계없이 이 관찰 가능성 솔루션은 AKS 워크로드에 대해 성능이 뛰어나고 안전하며 규정을 준수하는 네트워크 환경을 보장합니다.

컨테이너 네트워크 메트릭

이 기능은 CPU, 메모리 및 네트워크 성능을 포함한 노드 수준 메트릭을 수집하여 클러스터 노드의 상태를 모니터링합니다. 심층적인 인사이트를 위해 Hubble 메트릭은 DNS 확인 시간, 서비스 간 통신 및 Pod 수준 네트워크 동작에 대한 데이터를 제공합니다. 이러한 메트릭을 사용하면 사용자가 애플리케이션 성능을 분석하고, 변칙을 검색하고, 워크로드를 최적화할 수 있습니다.

자세한 내용은 메트릭 개요 설명서를 참조하세요.

컨테이너 네트워크 로그

컨테이너 네트워크 로그는 원본/대상 IP, 포트, 프로토콜 및 흐름 방향과 같은 메타데이터를 캡처하여 클러스터 내 및 전체 트래픽에 대한 자세한 인사이트를 제공합니다. 이러한 로그를 사용하면 네트워크 동작 모니터링, 연결 문제 해결 및 보안 정책 적용이 가능합니다. 영구 및 실시간 로깅 옵션은 포괄적이고 실행 가능한 네트워크 관찰 가능성을 보장합니다.

자세한 내용은 Container Network 로그 개요 설명서를 참조하세요.

컨테이너 네트워크 보안

컨테이너화된 애플리케이션의 보안은 오늘날의 동적 클라우드 환경에서 필수적입니다. 고급 컨테이너 네트워킹 서비스는 클러스터의 네트워크 보안을 강화하는 기능을 제공합니다.

FQDN 기반 필터링

Cilium의 DNS 기반 정책으로 구동되는 Azure CNI를 사용하여 송신 제어를 강화하세요. 동적 IP 주소를 관리하는 대신 FQDN(도메인 이름)을 사용하여 구성을 간소화합니다. 자세한 내용은 FQDN 기반 필터링 개요 설명서를 참조하세요.

계층 7(L7) 정책(미리 보기)

애플리케이션 수준 트래픽을 세부적으로 제어합니다. HTTP, gRPC 및 kafka와 같은 프로토콜을 기반으로 정책을 구현하여 심층적인 가시성과 세분화된 액세스 제어로 애플리케이션을 보호합니다. 자세한 내용은 L7 정책 개요 설명서를 참조하세요.

가격 책정

중요

고급 컨테이너 네트워킹 서비스는 유료 제품입니다. 가격 책정에 대한 자세한 내용은 고급 컨테이너 네트워킹 서비스 - 가격 책정을 참조하세요.

클러스터에 고급 컨테이너 네트워킹 서비스 설정

필수 구성 요소

활성 구독이 있는 Azure 계정. 구독이 없으면 시작하기 전에 계정을 만드세요.

Azure Cloud Shell에서 Bash 환경을 사용합니다. 자세한 내용은 Azure Cloud Shell 시작을 참조하세요.
CLI 참조 명령을 로컬에서 실행하려면 Azure CLI를 설치합니다. Windows 또는 macOS에서 실행 중인 경우 Docker 컨테이너에서 Azure CLI를 실행하는 것이 좋습니다. 자세한 내용은 Docker 컨테이너에서 Azure CLI를 실행하는 방법을 참조하세요.
- 로컬 설치를 사용하는 경우 az login 명령을 사용하여 Azure CLI에 로그인합니다. 인증 프로세스를 완료하려면 터미널에 표시되는 단계를 수행합니다. 다른 로그인 옵션은 Azure CLI를 사용하여 Azure에 인증을 참조하세요.
- 메시지가 표시되면 처음 사용할 때 Azure CLI 확장을 설치합니다. 확장에 대한 자세한 내용은 Azure CLI로 확장 사용 및 관리를 참조하세요.
- az version을 실행하여 설치된 버전과 종속 라이브러리를 찾습니다. 최신 버전으로 업그레이드하려면 az upgrade를 실행합니다.

이 문서의 단계에 필요한 Azure CLI의 최소 버전은 2.71.0입니다. az --version을 실행하여 버전을 찾습니다. 설치 또는 업그레이드해야 하는 경우 Azure CLI 설치를 참조하세요.

`aks-preview` Azure CLI 확장 설치

az extension add 또는 az extension update 명령을 사용하여 Azure CLI 미리 보기 확장을 설치하거나 업데이트합니다.

aks-preview Azure CLI 확장의 최소 버전은 다음과 같습니다. 14.0.0b6

# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

`AdvancedNetworkingL7PolicyPreview` 기능 플래그 등록

참고

컨테이너 네트워크 보안 기능은 Cilium 기반 클러스터에서 제공하는 Azure CNI에서만 지원됩니다.

AdvancedNetworkingL7PolicyPreview 명령을 사용하여 az feature register 기능 플래그를 등록합니다.

az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

명령을 사용하여 등록에 성공했는지 확인합니다 az feature show . 등록을 완료하려면 몇 분 정도 걸립니다.

az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

리소스 그룹 만들기

리소스 그룹은 Azure 리소스가 배포 및 관리되는 논리적 컨테이너입니다. az group create 명령을 사용하여 리소스 그룹을 만듭니다.

# Set environment variables for the resource group name and ___location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --___location $LOCATION

AKS 클러스터에서 고급 컨테이너 네트워킹 서비스 사용 및 사용 안 함

고급 컨테이너 네트워킹 서비스를 사용하여 AKS 클러스터 만들기

고급 컨테이너 네트워킹 서비스 플래그 az aks create가 포함된 --enable-acns 명령은 모든 고급 컨테이너 네트워킹 서비스 기능을 갖춘 새로운 AKS 클러스터를 만듭니다. 이러한 기능에는 다음이 포함됩니다.

컨테이너 네트워크 가시성: 네트워크 트래픽에 대한 인사이트를 제공합니다. 자세한 내용은 컨테이너 네트워크 가시성을 참조하세요.
컨테이너 네트워크 보안: FQDN 필터링과 같은 보안 기능을 제공합니다. 자세한 내용은 컨테이너 네트워크 보안을 참조하세요.

실륨(Cilium)
Cilium 외

참고

Cilium 데이터 평면이 있는 클러스터는 Kubernetes 버전 1.29부터 컨테이너 네트워크 가시성 기능과 컨테이너 네트워크 보안을 지원합니다.

매개 변수가 --acns-advanced-networkpolicies "L7"로 설정되면 L7 및 FQDN 필터링 정책이 모두 사용하도록 설정됩니다. FQDN 필터링만 사용하려면 매개 변수를 "FQDN"으로 설정합니다. 두 기능을 모두 사용하지 않도록 설정하려면 Container Network Security 사용 안 함에서 제공하는 지침을 따를 수 있습니다.

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --kubernetes-version 1.29 \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

참고

컨테이너 네트워크 보안 기능은 비실륨 클러스터에 사용할 수 없습니다.

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --enable-acns

기존 클러스터에서 고급 컨테이너 네트워킹 서비스 사용

고급 컨테이너 네트워킹 서비스 플래그인 az aks update가 포함된 --enable-acns 명령은 컨테이너 네트워크 가시성 및 컨테이너 네트워크 보안 기능을 포함하는 모든 고급 컨테이너 네트워킹 서비스 기능으로 기존 AKS 클러스터를 업데이트합니다.

실륨(Cilium)
Cilium 외

참고

Cilium 데이터 평면이 있는 클러스터는 Kubernetes 버전 1.29부터 컨테이너 네트워크 가시성 기능과 컨테이너 네트워크 보안을 지원합니다.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

참고

Cilium 데이터 평면이 있는 클러스터만 고급 컨테이너 네트워킹 서비스의 컨테이너 네트워크 보안 기능을 지원합니다.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns

고급 컨테이너 네트워킹 서비스 사용 안 함

--disable-acns 플래그는 컨테이너 네트워크 가시성 및 컨테이너 네트워크 보안을 포함하는 기존 AKS 클러스터의 모든 고급 컨테이너 네트워킹 서비스 기능을 사용하지 않도록 설정합니다.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

고급 컨테이너 네트워킹 서비스 기능 선택 사용 안 함

다른 고급 컨테이너 네트워킹 서비스 기능에 영향을 주지 않고 컨테이너 네트워크 가시성 기능을 사용하지 않도록 설정하려면 --enable-acns 및 --disable-acns-observability를 사용합니다.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability

비 Cilium 클러스터에 사용 가능한 유일한 기능은 컨테이너 네트워크 가시성 기능이므로 --disable-acns를 사용하여 해당 기능을 사용하지 않도록 설정할 수 있습니다.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

컨테이너 네트워크 보안 사용 안 함

다른 고급 컨테이너 네트워킹 서비스 기능에 영향을 주지 않고 컨테이너 네트워크 보안 기능을 사용하지 않도록 설정하려면 --enable-acns 및 --disable-acns-security를 사용합니다.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security

다음 단계

Container Network Observability 및 해당 기능에 대한 자세한 내용은 Container Network Observability란?을 참조하세요.
Container Network Security 및 해당 기능에 대한 자세한 내용은 Container Network Security란?