[新产品/新功能] 适用于 Application Gateway for Containers 和 AGIC 的 CNI Overlay 现已正式发布

[新产品/新功能] 适用于 Application Gateway for Containers 和 AGIC 的 CNI Overlay 现已正式发布   # 产品功能分析 ## 新功能/新产品概述 Azure 宣布其 **Azure CNI Overlay** 网络插件与 **Application Gateway for Containers (AGFC)** 及 **Application Gateway Ingress Controller (AGIC)** 的集成功能正式可用（GA）。此功能的核心是允许 Azure Kubernetes Service (AKS) 集群中的 Pod 使用一个独立于虚拟网络（VNet）的私有 CIDR 地址块。**Azure CNI Overlay** 通过在 VNet 之上创建一个虚拟的、隔离的二层网络，为 Pod 分配 IP 地址。这解决了在大型或多集群环境中 VNet IP 地址空间耗尽的核心痛点。当与 **Application Gateway** 集成时，外部流量可以通过这个 L7 负载均衡器安全、高效地路由到运行在隔离 Overlay 网络中的服务。整个方案旨在简化网络架构，提升集群扩展性，并增强安全性。 - **目标用户群**：主要面向在 Azure 上运行大规模 AKS 集群、面临 VNet IP 地址规划挑战、或对网络安全隔离有较高要求的企业用户和 DevOps 团队。 - **市场定位**：此功能是 Azure 对其托管 Kubernetes 服务网络能力的一次重要升级，旨在提升与 AWS EKS (使用 VPC CNI) 和 Google GKE (使用 VPC-Native Networking) 在高级网络场景下的竞争力，特别是在简化性和自动化集成方面。 ## 关键客户价值 - **高效的 IP 地址管理** - **业务价值**：根本性地解决了 VNet IPv4 地址耗尽的问题。通过将 Pod 网络与底层 VNet 解耦，企业可以在不消耗宝贵 VNet IP 的情况下，最大化集群规模和 Pod 密度。这极大地简化了网络规划，降低了因 IP 地址不足而导致的基础设施扩展瓶颈，从而节约了运维成本。 - **差异化优势**：核心优势在于其 **自动化配置**。系统能自动检测 CNI Overlay 网络模型，无需用户进行额外的手动配置即可与 AGFC/AGIC 无缝集成。这降低了采用高级网络功能的复杂度和潜在的配置错误风险。 - **可控的入口流量管理与增强的安全性** - **业务价值**：通过将 Pod 网络隔离在集群内部，显著增强了集群的安全性。外部流量必须经由 **Application Gateway** 进行代理和过滤，无法直接访问集群内部的 Overlay 网络，从而有效缩小了攻击面。企业可以精确控制哪些服务对外暴露，实现了在入口流量层面的安全隔离。 - **实现机制**：**Application Gateway** 作为集群流量的唯一入口，可以集成 Web 应用程序防火墙（WAF）等安全策略。它负责将合法的外部请求路由到 Overlay 网络中的目标 Pod。即使 Pod IP 在 VNet 中不可路由，该集成方案也能确保端到端的流量正确转发。 - **简化的部署与运维** - **业务价值**：为用户提供了“即插即用”的体验。无论是新建还是现有集群，启用此功能的流程被高度简化。这种自动化减少了部署时间，降低了对网络专业知识的依赖，使开发和运维团队能更专注于应用本身，而非复杂的网络配置。 - **实现机制**：AGFC 或 AGIC 的控制器能够智能识别 AKS 集群的网络模式。当检测到 CNI Overlay 时，它会自动调整其后端目标配置逻辑，确保 **Application Gateway** 能够正确地将流量路由到节点，再由节点转发至目标 Pod，整个过程对用户透明。 ## 关键技术洞察 - **基于覆盖网络（Overlay Network）的 Pod 通信** - **技术原理**：_很可能基于 VXLAN 或类似封装技术_，**Azure CNI Overlay** 在每个 AKS 节点上创建一个虚拟网络接口。当一个 Pod 与另一个节点上的 Pod 通信时，其网络包会被封装在一个外部 UDP 包头中，外部包头的源和目的 IP 是节点的 VNet IP。这种封装技术创建了一个跨越所有节点的虚拟二层网络，使得 Pod 可以在其私有 CIDR 中自由通信，而无需消耗 VNet IP。 - **Ingress 与 Overlay 网络的智能路由集成** - **技术创新点**：此方案的关键创新在于 **Application Gateway**（一个 VNet 内的服务）与 **CNI Overlay**（一个虚拟网络）之间的无缝流量路由。传统的挑战在于 Ingress 控制器如何将流量发送到 VNet 中不可路由的 Pod IP。 - **实现方式分析**：AGFC/AGIC 控制器不再直接将 Pod 的 Overlay IP 配置为 **Application Gateway** 的后端目标。相反，它会将流量的目标配置为 Pod 所在节点的 IP 地址和相应的 **NodePort**。当流量到达节点后，节点内部的 **kube-proxy** 或 eBPF 规则会负责将流量从 **NodePort** 精确地转发到目标 Pod 的虚拟网络接口上，从而打通了 VNet 与 Overlay 网络之间的路径。这种“自动检测”机制是实现简化部署的核心。 - **解耦带来的可扩展性与灵活性** - **影响分析**：将 Pod IP 地址的管理与底层物理/虚拟网络（VNet）分离，为网络架构带来了极大的灵活性。它允许集群的扩展独立于 VNet 的容量，并使得在同一个 VNet 中部署多个具有重叠 Pod CIDR 的集群成为可能，极大地简化了多租户和多环境场景下的网络设计。   # 正式发布：适用于 Application Gateway for Containers 和 AGIC 的 CNI Overlay **发布时间:** 2025-08-26 **厂商:** Azure **类型:** 更新 --- 适用于 Application Gateway for Containers 和 AGIC 的 Azure CNI 覆盖网络 (CNI Overlay) 现已正式发布。 Azure CNI 覆盖网络允许 AKS 集群使用来自独立 CIDR 的 Pod IP，从而节省 VNet IP 空间并简化多集群部署。与 Application Gateway 和 Application Gateway for Containers 结合使用，可为 AKS 服务提供安全高效的负载均衡 (Load Balancing)，同时覆盖网络保留在 AKS 集群本地。该解决方案的主要优势包括： - **高效的 IP 地址管理：** 通过 CNI 覆盖网络节省 VNet IP 地址空间，并最大化集群规模。 - **受控的入口流量 (Ingress)：** 管理进入 AKS 集群私有覆盖网络中指定服务的外部入口流量，从而增强安全性并减少对外部威胁的暴露。 - **简化的部署：** CNI 覆盖网络或与 Application Gateway for Containers 和 Application Gateway Ingress Controller 配合使用的 CNI 的网络配置会被自动检测，无需额外配置。 [了解更多](https://learn.microsoft.com/azure/application-gateway/for-containers/container-networking)