<!-- AI_TASK_START: AI标题翻译 -->
[新产品/新功能] 适用于 Application Gateway for Containers 和 AGIC 的 CNI Overlay 现已正式发布
<!-- AI_TASK_END: AI标题翻译 -->
<!-- AI_TASK_START: AI竞争分析 -->
# 产品功能分析
## 新功能/新产品概述
Azure 宣布其 **Azure CNI Overlay** 网络插件与 **Application Gateway for Containers (AGFC)** 及 **Application Gateway Ingress Controller (AGIC)** 的集成功能正式可用(GA)。
此功能的核心是允许 Azure Kubernetes Service (AKS) 集群中的 Pod 使用一个独立于虚拟网络(VNet)的私有 CIDR 地址块。**Azure CNI Overlay** 通过在 VNet 之上创建一个虚拟的、隔离的二层网络,为 Pod 分配 IP 地址。这解决了在大型或多集群环境中 VNet IP 地址空间耗尽的核心痛点。
当与 **Application Gateway** 集成时,外部流量可以通过这个 L7 负载均衡器安全、高效地路由到运行在隔离 Overlay 网络中的服务。整个方案旨在简化网络架构,提升集群扩展性,并增强安全性。
- **目标用户群**:主要面向在 Azure 上运行大规模 AKS 集群、面临 VNet IP 地址规划挑战、或对网络安全隔离有较高要求的企业用户和 DevOps 团队。
- **市场定位**:此功能是 Azure 对其托管 Kubernetes 服务网络能力的一次重要升级,旨在提升与 AWS EKS (使用 VPC CNI) 和 Google GKE (使用 VPC-Native Networking) 在高级网络场景下的竞争力,特别是在简化性和自动化集成方面。
## 关键客户价值
- **高效的 IP 地址管理**
- **业务价值**:根本性地解决了 VNet IPv4 地址耗尽的问题。通过将 Pod 网络与底层 VNet 解耦,企业可以在不消耗宝贵 VNet IP 的情况下,最大化集群规模和 Pod 密度。这极大地简化了网络规划,降低了因 IP 地址不足而导致的基础设施扩展瓶颈,从而节约了运维成本。
- **差异化优势**:核心优势在于其 **自动化配置**。系统能自动检测 CNI Overlay 网络模型,无需用户进行额外的手动配置即可与 AGFC/AGIC 无缝集成。这降低了采用高级网络功能的复杂度和潜在的配置错误风险。
- **可控的入口流量管理与增强的安全性**
- **业务价值**:通过将 Pod 网络隔离在集群内部,显著增强了集群的安全性。外部流量必须经由 **Application Gateway** 进行代理和过滤,无法直接访问集群内部的 Overlay 网络,从而有效缩小了攻击面。企业可以精确控制哪些服务对外暴露,实现了在入口流量层面的安全隔离。
- **实现机制**:**Application Gateway** 作为集群流量的唯一入口,可以集成 Web 应用程序防火墙(WAF)等安全策略。它负责将合法的外部请求路由到 Overlay 网络中的目标 Pod。即使 Pod IP 在 VNet 中不可路由,该集成方案也能确保端到端的流量正确转发。
- **简化的部署与运维**
- **业务价值**:为用户提供了“即插即用”的体验。无论是新建还是现有集群,启用此功能的流程被高度简化。这种自动化减少了部署时间,降低了对网络专业知识的依赖,使开发和运维团队能更专注于应用本身,而非复杂的网络配置。
- **实现机制**:AGFC 或 AGIC 的控制器能够智能识别 AKS 集群的网络模式。当检测到 CNI Overlay 时,它会自动调整其后端目标配置逻辑,确保 **Application Gateway** 能够正确地将流量路由到节点,再由节点转发至目标 Pod,整个过程对用户透明。
## 关键技术洞察
- **基于覆盖网络(Overlay Network)的 Pod 通信**
- **技术原理**:_很可能基于 VXLAN 或类似封装技术_,**Azure CNI Overlay** 在每个 AKS 节点上创建一个虚拟网络接口。当一个 Pod 与另一个节点上的 Pod 通信时,其网络包会被封装在一个外部 UDP 包头中,外部包头的源和目的 IP 是节点的 VNet IP。这种封装技术创建了一个跨越所有节点的虚拟二层网络,使得 Pod 可以在其私有 CIDR 中自由通信,而无需消耗 VNet IP。
- **Ingress 与 Overlay 网络的智能路由集成**
- **技术创新点**:此方案的关键创新在于 **Application Gateway**(一个 VNet 内的服务)与 **CNI Overlay**(一个虚拟网络)之间的无缝流量路由。传统的挑战在于 Ingress 控制器如何将流量发送到 VNet 中不可路由的 Pod IP。
- **实现方式分析**:AGFC/AGIC 控制器不再直接将 Pod 的 Overlay IP 配置为 **Application Gateway** 的后端目标。相反,它会将流量的目标配置为 Pod 所在节点的 IP 地址和相应的 **NodePort**。当流量到达节点后,节点内部的 **kube-proxy** 或 eBPF 规则会负责将流量从 **NodePort** 精确地转发到目标 Pod 的虚拟网络接口上,从而打通了 VNet 与 Overlay 网络之间的路径。这种“自动检测”机制是实现简化部署的核心。
- **解耦带来的可扩展性与灵活性**
- **影响分析**:将 Pod IP 地址的管理与底层物理/虚拟网络(VNet)分离,为网络架构带来了极大的灵活性。它允许集群的扩展独立于 VNet 的容量,并使得在同一个 VNet 中部署多个具有重叠 Pod CIDR 的集群成为可能,极大地简化了多租户和多环境场景下的网络设计。
<!-- AI_TASK_END: AI竞争分析 -->
<!-- AI_TASK_START: AI全文翻译 -->
# 正式发布:适用于 Application Gateway for Containers 和 AGIC 的 CNI Overlay
**发布时间:** 2025-08-26
**厂商:** Azure
**类型:** 更新
---
适用于 Application Gateway for Containers 和 AGIC 的 Azure CNI 覆盖网络 (CNI Overlay) 现已正式发布。
Azure CNI 覆盖网络允许 AKS 集群使用来自独立 CIDR 的 Pod IP,从而节省 VNet IP 空间并简化多集群部署。与 Application Gateway 和 Application Gateway for Containers 结合使用,可为 AKS 服务提供安全高效的负载均衡 (Load Balancing),同时覆盖网络保留在 AKS 集群本地。
该解决方案的主要优势包括:
- **高效的 IP 地址管理:** 通过 CNI 覆盖网络节省 VNet IP 地址空间,并最大化集群规模。
- **受控的入口流量 (Ingress):** 管理进入 AKS 集群私有覆盖网络中指定服务的外部入口流量,从而增强安全性并减少对外部威胁的暴露。
- **简化的部署:** CNI 覆盖网络或与 Application Gateway for Containers 和 Application Gateway Ingress Controller 配合使用的 CNI 的网络配置会被自动检测,无需额外配置。
[了解更多](https://learn.microsoft.com/azure/application-gateway/for-containers/container-networking)
<!-- AI_TASK_END: AI全文翻译 -->