Generell verfügbar: AKS-Unterstützung für Advanced Container Networking: L7-Richtlinien
AzureMicrosoft
Update von:Generell verfügbar: AKS-Unterstützung für Advanced Container Networking: L7-Richtlinien
AKS unterstützt jetzt Layer 7 (L7) Netzwerkrichtlinien in Advanced Container Networking Services + Cilium Clustern und ermöglicht so eine feinkörnige Kontrolle über den Anwendungsverkehr. Mit L7-Policies können Kunden Sicherheitsregeln auf Basis von Attributen der Anwendungsebene definieren und so Zero-Trust-Sicherheitsmodelle innerhalb von AKS verbessern.
Öffentliche Vorschau: HTTP-Proxy deaktivieren
Das HTTP-Proxy-Feature fügt AKS-Clustern HTTP-Proxy-Unterstützung hinzu und stellt eine einfache Schnittstelle zur Verfügung, mit der Sie den von AKS geforderten Netzwerkverkehr in proxyabhängigen Umgebungen sichern können. Mit dieser Funktion werden sowohl AKS-Knoten als auch Pods für die Verwendung des HTTP-Proxys konfiguriert. Diese Funktion ermöglicht auch die Installation einer vertrauenswürdigen Zertifizierungsstelle auf den Knoten als Teil des Bootstrappings eines Clusters.
Sie können nun die HTTP-Proxy-Funktion bei bestehenden AKS-Clustern deaktivieren. Bei der Erstellung eines Clusters ist der HTTP-Proxy standardmäßig aktiviert. Sobald Sie den HTTP-Proxy auf einem Cluster deaktivieren, wird die Proxy-Konfiguration in der Datenbank gespeichert, aber die Proxy-Variablen werden von den Pods und Knoten entfernt.
Public Preview: Vertrauliche VMs für Azure Linux
Vertrauliche virtuelle Maschinen (CVM) bieten starke Sicherheit und Vertraulichkeit für Mieter. CVM für Azure Linux in AKS ist jetzt in der öffentlichen Vorschau und ermöglicht Node-Pools mit CVM die Migration von hochsensiblen Container-Workloads zu AKS ohne Code-Refactoring, während sie von den Funktionen von AKS profitieren.
Sie können neue Node-Pools mit unterstützten CVM-VM-Größen mit Azure Linux 3 erstellen. Die Nodes in einem mit CVM erstellten Node-Pool verwenden ein speziell für CVM konfiguriertes Azure Linux 3-Image.
Generell verfügbar: Vertrauliche VMs für Ubuntu 24.04 in AKS
Vertrauliche virtuelle Maschinen (CVM) bieten starke Sicherheit und Vertraulichkeit für Mieter. CVM für Ubuntu 24.04 in AKS ist jetzt allgemein verfügbar und ermöglicht es Node-Pools mit CVM, hochsensible Container-Workloads ohne Code-Refactoring auf AKS zu migrieren und gleichzeitig von den Funktionen von AKS zu profitieren.
Mit Ubuntu 24.04 können Sie neue Node-Pools mit unterstützten CVM-VM-Größen erstellen. Die Knoten in einem mit CVM erstellten Knotenpool verwenden ein angepasstes Ubuntu 24.04-Image, das speziell für CVM konfiguriert wurde. Ubuntu 24.04 ist noch nicht die Standard-Betriebssystemversion auf AKS, d.h. Sie müssen bei der Erstellung eines Node-Pools "Ubuntu2404" als OsSku angeben.
Public Preview: Encryption in Transit für Azure Files NFS-Freigaben in AKS
Azure Kubernetes Service (AKS) unterstützt jetzt Encryption in Transit (EiT) für Azure Files NFS v4.1 Volumes über den Azure File CSI Treiber.
Dies baut auf der kürzlich erfolgten General Availability (GA) von EiT für Azure Files NFS Shares im Juni auf, mit der TLS 1.3-basierte Verschlüsselung eingeführt wurde, um Daten im Transit über unterstützte Regionen hinweg zu sichern.
Jetzt können AKS-Kunden von der gleichen unternehmensgerechten Sicherheit für ihre containerisierten Workloads profitieren.
- Was ist neu in AKS
- Vorschauunterstützung für EiT in AKS 1.33+ Clustern, die den Azure File CSI Treiber verwenden.
- Integrierte Integration mit dem AZNFS Mount Helper und Stunnel für nahtlose TLS-Verschlüsselung.
- Keine Anwendungsänderungen erforderlich - nach der Aktivierung in der Speicherklasse arbeitet EiT transparent mit Ihren bestehenden NFS-Workloads.Azure Kubernetes Service (AKS) unterstützt jetzt Encryption in Transit (EiT) für Azure Files NFS v4.1-Volumes über den Azure File CSI-Treiber.
Dies baut auf der kürzlich erfolgten allgemeinen Verfügbarkeit (GA) von EiT für Azure Files NFS-Freigaben im Juni auf, mit der TLS 1.3-basierte Verschlüsselung eingeführt wurde, um Daten im Transit über unterstützte Regionen hinweg zu sichern.
Jetzt können AKS-Kunden von der gleichen unternehmensgerechten Sicherheit für ihre containerisierten Workloads profitieren.
Was ist neu in AKS
Vorschauunterstützung für EiT in AKS 1.33+ Clustern, die den Azure File CSI Treiber verwenden.
Integrierte Integration mit dem AZNFS Mount Helper und Stunnel für nahtlose TLS-Verschlüsselung.
Keine Anwendungsänderungen erforderlich - nach der Aktivierung in der Speicherklasse arbeitet EiT transparent mit Ihren bestehenden NFS-Workloads. Azure Kubernetes Service (AKS) unterstützt jetzt Encryption in Transit (EiT) für Azure Files NFS v4.1-Volumes über den Azure File CSI-Treiber.
Dies baut auf der kürzlich erfolgten allgemeinen Verfügbarkeit (GA) von EiT für Azure Files NFS-Freigaben im Juni auf, mit der TLS 1.3-basierte Verschlüsselung eingeführt wurde, um Daten im Transit über unterstützte Regionen hinweg zu sichern.
Jetzt können AKS-Kunden von der gleichen unternehmensgerechten Sicherheit für ihre containerisierten Workloads profitieren.
Was ist neu in AKS
Vorschauunterstützung für EiT in AKS 1.33+ Clustern, die den Azure File CSI Treiber verwenden.
Integrierte Integration mit dem AZNFS Mount Helper und Stunnel für nahtlose TLS-Verschlüsselung.
Keine Anwendungsänderungen erforderlich - nach der Aktivierung in der Speicherklasse arbeitet EiT transparent mit Ihren bestehenden NFS-Workloads.
Generell verfügbar: Bereitstellungssicherungen in AKS
Fehlkonfigurationen während der Kubernetes-Entwicklung können zu Fehlern und Bereitstellungsproblemen führen. Azure Kubernetes Service (AKS) bietet jetzt allgemein verfügbare Bereitstellungsschutzmaßnahmen, um diese Probleme zu vermeiden, indem bewährte Kubernetes-Verfahren durchgesetzt werden.
Diese Sicherheitsvorkehrungen funktionieren in zwei Modi: Warnung, die auf nicht konforme Konfigurationen hinweist, ohne sie zu blockieren, und Durchsetzung, die aktiv Bereitstellungen blockiert oder modifiziert, die nicht den Best Practices entsprechen. Dies trägt dazu bei, zuverlässigere und sicherere Anwendungsimplementierungen in Ihren AKS-Clustern zu gewährleisten.
Public Preview: Web Application Firewall für Application Gateway for Containers
Application Gateway for Containers unterstützt jetzt Web Application Firewall (WAF) Richtlinien in der öffentlichen Vorschau. Mithilfe des WAF-Standardregelsatzes können Azure Kubernetes Service (AKS)-Administratoren und -Entwickler ihre Workloads vor bösartigen Angriffen und Exploits schützen, wie z. B.:
- Cross-Site-Scripting
- Java-Angriffe
- Einbindung lokaler Dateien
- PHP-Injection-Angriffe
- Remote-Befehlsausführung
- Entfernte Dateieinbindung
- Sitzungsfixierung
- Schutz vor SQL-Injektion
- Protokoll-Angriffe
Allgemein verfügbar: Control Plane-Verbesserungen in AKS
Wir nehmen Verbesserungen an der Ausfallsicherheit des API-Servers gemäß Kubernetes Enhancement Proposal (KEP) 5116 - Streaming Encoding for LIST Responses vor.
Durch diese Verbesserung wird die Speichernutzung des API-Servers bei großen LIST-Aufrufen an den API-Server um etwa das 10-fache reduziert. Durch die Verringerung des Speicherdrucks wird die Latenzzeit der Listenaufrufe verbessert und die Ausfallsicherheit des kube-apipserver erhöht, indem die Wahrscheinlichkeit von Out-of-Memory (OOM)-Problemen verringert wird. AKS hat dieses Upstream-Feature zurückportiert, um es Kunden zur Verfügung zu stellen, die Versionen unter v1.33 mit AKS
- Diese Verbesserung ist nun in AKS Kubernetes v1.31.9 und höher verfügbar
- AKS Kubernetes v1.32.6 und höher wird in Kürze verfügbar sein.
Öffentliche Vorschau: AKS Model Context Protocol (MCP) Server
Der Model Context Protocol (MCP) Server für AKS ist jetzt als Open Source Release verfügbar. Diese grundlegende Komponente ermöglicht es KI-Agenten, mit AKS-Clustern zu interagieren und vereinfacht das Clustermanagement.
Der AKS MCP Server bietet eine standardisierte Schnittstelle zur Orchestrierung komplexer Arbeitsabläufe, wie z.B. Diagnose, Behebung und Cluster-Lebenszyklus-Operationen für AKS-Cluster und angeschlossene Azure-Dienste. Er abstrahiert die Feinheiten von Kubernetes- und Azure-APIs und bietet eine einheitliche Möglichkeit zum Einbinden von Reasoning Agents, Sprachmodellen und intelligenten Tools, um die betriebliche Effizienz in verschiedenen Umgebungen zu steigern.
Der AKS MCP-Server ist vollständig quelloffen und enthält Tools zum:
- Verwaltung und Durchführung von Operationen (Erstellung, Skalierung, Upgrade) auf AKS-Clustern
- Abrufen von Überwachungsdaten aus AKS-Clustern wie Metriken und Protokolle
Abrufen von Details über zugehörige Azure-Ressourcen (VNets, Subnets, NSGs, Route Tables, etc.)
Durch die Freigabe des MCP-Servers ermöglicht Microsoft der Kubernetes-Community die Erweiterung und Anpassung von agentenbasierten Workflows über CLIs, Portale, IDEs und Copilots hinweg, die Integration von domänenspezifischer Logik mit einer konsistenten Schnittstelle für KI und Automatisierung, die Ermöglichung von autonomen Operationen, die sich an den Benutzerkontext und den Cluster-Status anpassen, und die Beschleunigung von Innovationen in den Bereichen intelligente Fehlerbehebung, Selbstheilung und flottenweite Orchestrierung.
Öffentliche Vorschau: Azure Bastion Integration mit AKS
Die Azure Bastion-Integration für AKS ist jetzt in der öffentlichen Vorschau verfügbar. Diese Integration ermöglicht einen kontinuierlichen sicheren Zugriff auf private AKS-Cluster und gilt auch für öffentliche AKS-Cluster mit API-Server-autorisierten IP-Bereichen. Diese Integration bietet eine nahtlose Möglichkeit für Kunden, sich mit Azure Bastion in ihre AKS-Cluster zu tunneln, wodurch die Notwendigkeit komplexer Netzwerk-Setups wie VPNs oder Jumpboxen entfällt.
Mit dieser Integration können Benutzer nun eine Verbindung zu ihren Clustern herstellen und die nativen Kubernetes-Tools (z. B. kubectl) von ihren lokalen Rechnern aus verwenden - was den Zugriff vereinfacht, die Einrichtungszeit verkürzt und die Sicherheit erhöht, da die Notwendigkeit entfällt, öffentliche Endpunkte offenzulegen.
Public Preview: LocalDNS für AKS
**LocalDNS für Azure Kubernetes Service (AKS) ist jetzt in einer öffentlichen Vorschau verfügbar.
Mit LocalDNS wird auf jedem Knoten ein DNS-Proxy bereitgestellt, der eine schnellere und zuverlässigere DNS-Auflösung ermöglicht. Er beseitigt DNS-Engpässe in großen Clustern, senkt die Abfragelatenz durch lokale Verarbeitung und gewährleistet eine kontinuierliche Auflösung während Upstream-Ausfällen mit konfigurierbaren Serve-Stale-Einstellungen.
LocalDNS bietet sofortige Leistungssteigerungen ohne Änderungen auf Anwendungsebene sowie erweiterte DNS-Anpassungen für interne und externe Domänen.
**Öffentliche Vorschau: Erhöhung der Ingestion-Quote für Azure Managed Prometheus mit einer ARM-API
**
Azure Monitor-Workspaces haben Standardlimits und Quoten für die Aufnahme. Kunden können jetzt eine Erhöhung der Quote für die Aufnahme von Managed Prometheus-Metriken in den Azure Monitor Workspace über eine Azure Resource Manager-API anfordern. Die API unterstützt Erhöhungsanträge für bis zu 20 Millionen Ereignisse pro Minute oder 20 Millionen aktive Zeitreihen.
Generell verfügbar: Unterstützung für statische öffentliche Egress-Gateway-Präfixe in AKS
Die Unterstützung von statischen öffentlichen Egress-Gateway-Präfixen in AKS ist jetzt allgemein verfügbar. Diese Funktion ermöglicht es AKS-Kunden, einen dedizierten Gateway-Knotenpool zu erstellen, der ausgehenden Datenverkehr von kommentierten Pods über einen statischen öffentlichen IP-Präfix (/28 bis /31) leitet. Damit können Kunden konsistente und vorhersehbare Egress-IPs für Firewall-Whitelisting, Compliance und Partnerintegrationsszenarien erreichen.
Öffentliche Vorschau: Unterstützung von mehreren Standard Load Balancern in AKS
AKS unterstützt jetzt in der öffentlichen Vorschau mehrere Standard Load Balancer (SLBs) pro Cluster. Diese Funktion ermöglicht es Kunden, über das Limit von 300 eingehenden Regeln pro NIC-Knoten hinaus zu skalieren und den Datenverkehr zu isolieren, indem verschiedene SLBs verschiedenen Agentenpools und Workloads zugewiesen werden.
AKS verwaltet automatisch die Platzierung von Knoten und Diensten auf der Grundlage von konfigurierbaren Kriterien wie Poolnamen, Labels und Namespace-Selektoren.
Public Preview: Azure Virtual Network Verifier für AKS (VNV) für AKS
Azure Virtual Network Verifier für AKS, jetzt in der öffentlichen Vorschau und verfügbar über das Azure Portal, ist ein Tool, mit dem Sie Probleme mit der ausgehenden Konnektivität in Ihrem AKS-Cluster erkennen und beheben können.
Mit der Funktion Virtual Network Verifier können Sie eine Konnektivitätsanalyse durchführen, um den Verkehrsfluss zwischen Ihrem Cluster und einem öffentlichen Egress-Endpunkt (z. B. mcr.microsoft.com) zu überprüfen. Die Analyseergebnisse werden alle falsch konfigurierten Azure-Netzwerkressourcen aufdecken, die den ausgehenden Datenverkehr blockieren können, wie z. B. Azure-Firewall, Netzwerksicherheitsgruppen (NSG) und Lastverteiler.
Generell verfügbar: AKS Security Dashboard
Das AKS Security Dashboard bietet einen zentralen Überblick über die Sicherheitslage und den Schutz vor Laufzeitbedrohungen für Ihren AKS-Cluster innerhalb des Azure Portals. Es hebt Software-Schwachstellen, kritische Sicherheitsprobleme, Konformitätslücken und aktive Bedrohungen hervor und hilft Ihnen bei der Priorisierung von Abhilfemaßnahmen. Verwenden Sie dieses Dashboard, um den Workload-Schutz, die Clusterkonfiguration und die Bedrohungserkennung in Echtzeit zu überwachen.
Öffentliche Vorschau: Verwaltete Namespaces in AKS
Verwaltete Namespaces für AKS ermöglichen es Benutzern, eine Liste von Namespaces abzurufen, auf die sie innerhalb eines Abonnements, einer Ressourcengruppe und eines Clusters Zugriff haben, und dann Anmeldeinformationen abzurufen, die ihnen die Möglichkeit geben, auf diese Namespaces zu deployen. Benutzer können verwaltete Namespaces über die Azure-CLI, ARM/Bicep, REST-API oder das Azure-Portal konfigurieren, so dass ein Benutzer dort mit verwalteten Namespaces interagieren kann, wo es für ihn am bequemsten ist.
Generell verfügbar: Netzwerksicherheitsumrandung
Mit dem Netzwerksicherheitsperimeter können Unternehmen eine logische Netzwerkisolationsgrenze für PaaS-Ressourcen (z. B. Azure-Storage-Konto und SQL-Datenbankserver) definieren, die außerhalb der virtuellen Netzwerke Ihres Unternehmens bereitgestellt werden. Es schränkt den öffentlichen Netzwerkzugriff auf PaaS-Ressourcen innerhalb des Perimeters ein; der Zugriff kann durch explizite Zugriffsregeln für den öffentlichen ein- und ausgehenden Zugriff ausgenommen werden.
Zu den Merkmalen eines Netzwerksicherheitsperimeters gehören:
Zugriffskommunikation von Ressource zu Ressource innerhalb der Perimeter-Mitglieder, um die Exfiltration von Daten an nicht autorisierte Ziele zu verhindern.
Verwaltung des externen öffentlichen Zugriffs mit expliziten Regeln für PaaS-Ressourcen, die mit dem Perimeter verbunden sind.
Zugriffsprotokolle für Audit und Compliance.
Einheitliche Erfahrung über PaaS-Ressourcen hinweg.
Öffentliche Vorschau: Azure Virtual Network Manager Mesh unterstützt jetzt 5.000 virtuelle Netzwerke
Azure Virtual Network Manager Mesh-Konnektivität ist jetzt in der öffentlichen Vorschau und ermöglicht es Ihnen, bis zu 5.000 virtuelle Netzwerke in unterstützten Regionen zu gruppieren. Eine Mesh-Topologie schafft eine bidirektionale Konnektivität zwischen jedem virtuellen Netzwerk in einer Mesh-Konnektivitätskonfiguration, so dass ausgewählte virtuelle Netzwerke direkt miteinander kommunizieren, was manuelle Peerings überflüssig macht, zusätzliche Hops vermeidet und Verkehrsflüsse mit niedriger Latenz unter einer einheitlichen Kontrollebene bereitstellt.
Ein gängiges Szenario für Mesh ist, dass virtuelle Speichen-Netzwerke in einer Hub-and-Spoke-Topologie miteinander kommunizieren können, ohne den Hub zu durchlaufen. Dadurch wird die Latenzzeit durch Umgehung des Hub-Routers reduziert. Sie können die Sicherheit und den Überblick bewahren, indem Sie Sicherheitsverwaltungsregeln in Azure Virtual Network Manager (vor NSGs bewertet) oder NSG-Regeln pro virtuellem Netzwerk implementieren und den gesamten Datenverkehr mit virtuellen Netzwerkflussprotokollen für eine umfassende Prüfung und Fehlerbehebung überwachen.
