Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Container Network Insights Agent är en AI-baserad diagnostikassistent som hjälper dig att identifiera och lösa nätverksproblem i dina Azure Kubernetes Service (AKS) kluster. Beskriv ett problem på naturligt språk, till exempel DNS-fel, paketförluster, tjänster som inte kan nås eller blockerad trafik. Agenten samlar in data från ditt kluster och returnerar en strukturerad rapport med vägledning för orsaksanalys och åtgärder.
Till skillnad från verktyg som endast används på Kubernetes-lagret kan Container Network Insights Agent också samla in nätverksstatistik på värdnivå via sitt Linux Networking-plugin-program . Agenten kan inspektera NIC-ringbuffertar, kernelpaketräknare, SoftIRQ-distribution och socketbuffertanvändning över dina klusternoder. Detta ger problem på låg nivå, till exempel paketförluster, flaskhalsar i nätverket och mättnad på maskinvarunivå som annars är svåra att diagnostisera i en Kubernetes-miljö.
Agenten körs som ett webbprogram i klustret som distribueras som ett AKS-klustertillägg. Du kommer åt den via webbläsaren. Det ger insikter, analys och rekommenderade åtgärder. Du granskar resultaten och tillämpar eventuella föreslagna ändringar själv.
Anmärkning
Container Network Insights Agent är en molnbaserad funktion för Azure Kubernetes Service (AKS). Det stöds inte i AKS-hybrider, AKS på Azure Stack HCI- eller Arc-aktiverade Kubernetes-kluster.
Viktigt!
AKS-förhandsversionsfunktioner är tillgängliga via självbetjäning och frivillig registrering. Förhandsversioner tillhandahålls "i befintligt skick" och "i mån av tillgång," och de är undantagna från servicenivåavtal och begränsad garanti. AKS-förhandsversioner stöds delvis av kundsupport efter bästa förmåga. Därför är dessa funktioner inte avsedda för produktionsanvändning. Mer information finns i följande supportartiklar:
- supportpolicyer för AKS
- vanliga frågor och svar om Azure support
Vad kan du göra med Container Network Insights Agent?
Container Network Insights Agent hjälper dig att felsöka de vanligaste och mest tidskrävande kategorierna av AKS-nätverksproblem:
| Förmåga | Vad det gör |
|---|---|
| DNS-felsökning | Diagnostiserar CoreDNS-fel, felkonfigurerade DNS-principer, nätverksprinciper som blockerar DNS-trafik, NodeLocal DNS-problem och Cilium FQDN-utgående begränsningar |
| Paketförlustanalys | Undersöker RX-droppar på NIC-nivå, förlust av kernelpaket, socketbuffertspill, SoftIRQ-mättnad och ringbuffertöverbelastning över klusternoder |
| Kubernetes-nätverksdiagnostik | Identifierar poddanslutningsfel, felkonfigurationer av tjänstportar, nätverksprincipkonflikter, saknade slutpunkter och Flowanalys för Hubble |
| Frågor om klusterresurser | Besvarar frågor om poddar, tjänster, distributioner, noder och namnområden för att ge dig snabb situationsmedvetenhet |
Varje diagnostik skapar en strukturerad rapport som innehåller vad som har kontrollerats, vad som är i gott skick, vad som misslyckades, den identifierade rotorsaken och exakta kommandon för att åtgärda och verifiera problemet.
När du ska använda Container Network Insights-agenten
Använd Container Network Insights-agenten när du behöver
- Beskriv problemet på klar engelska: Du behöver inte konstruera CLI-kommandon eller veta vilket verktyg som hanterar varje nätverksnivå. Agenten bestämmer rätt diagnostiksteg automatiskt.
- Spåra problem i Kubernetes och värdnätverken i en och samma konversation: Gå från nätverkspolicyer och poddschemaläggning ner till NIC-ringbuffertar och kärnräknare utan att byta verktyg eller använda SSH för att ansluta till noder.
- Identifiera aktiva problem, inte bara inaktuella räknare: Deltabaserade mätningar skiljer problem som inträffar just nu från historiskt brus.
- Få automatiserad rotorsaksanalys med färdiga åtgärdslösningar: Agenten korrelerar data från flera klusterdatakällor och levererar en strukturerad rapport med åtgärdskommandon som du kan kopiera och använda.
- Felsöka på alla AKS-kluster utan ytterligare konfiguration: DNS, paketförlust och Kubernetes-nätverksdiagnostik fungerar direkt. Aktivera Advanced Container Networking Services (ACNS) för Cilium-policy och Hubble-flowanalys.
Container Network Insights-agenten är inte utformad för
- Felsökning av programkod eller programutvecklingshjälp
- Felsökning av lagring, PersistentVolume eller disk
- RBAC-konfiguration, hantering av hemligheter eller säkerhetsgranskning (förutom nätverksprinciper)
- Schemaläggning av arbetsbelastningar, resursoptimering eller kostnadshantering
- Icke-Azure molnmiljöer (AWS, GCP)
- Göra ändringar i klustret (agenten ger endast rekommendationer, du tillämpar dem)
Så här fungerar det
När du beskriver ett nätverksproblem följer Container Network Insights Agent ett strukturerat diagnostiskt arbetsflöde:
You describe the issue → Agent classifies it → Collects evidence from the cluster → Analyzes findings → Reports results
Container Network Insights-agenten körs som en pod i ditt AKS-kluster. Du interagerar med den via en webbläsare via HTTPS. I klustret kör agenten diagnostikkommandon via AKS MCP-servern och ansluter till fem datakällor via specialiserade plugin-program:
-
Kubernetes API Server: Frågar poddar, tjänster, noder, nätverksprinciper och andra klusterresurser via
kubectlAKS MCP-servern. - CoreDNS: Samlar in DNS-hälsostatus och -mått via DNS-plugin-programmet.
- Cilium Agent: Inspekterar Cilium-nätverksprinciper och slutpunktstillstånd via AKS MCP-servern via plugin-programmet Kubernetes Networking.
- Hubble: Observerar livenätverksflöden och identifierar förlorad trafik via AKS MCP-servern via plugin-programmet Kubernetes Networking.
- Node Network Stack: Samlar in nätverksstatistik på värdnivå (RX/TX-buffertar, ringbufferttillstånd, softnet-räknare) via plugin-programmet för Linux-nätverk.
Agenten kommunicerar dubbelriktat med Azure OpenAI Service: den skickar din fråga på naturligt språk och samlar in diagnostiska bevis för resonemang och tar emot strukturerade diagnostikinsikter i gengäld.
Diagnostikarbetsflödet följer fyra steg:
- Klassificera: Agenten bestämmer problemkategorin (DNS, anslutning, nätverksprincip, tjänstroutning eller paketförluster) baserat på din beskrivning.
-
Samla in bevis: Agenten kör diagnostikkommandon mot klustret via AKS MCP-servern med hjälp av
kubectl,ciliumochhubble. Varje diagnostikkategori använder ett arbetsflöde för dedikerad bevisinsamling för att samla in rätt data automatiskt. - Analysera: Agenten undersöker insamlade bevis för att separera felfria signaler från avvikelser. Agenten baserar alla slutsatser på faktiska kommandoutdata, aldrig på spekulationer.
- Rapport: Du får en strukturerad rapport som innehåller:
- En sammanfattning av problemet och dess status
- En tabell över resultat som visar varje kontroll, dess resultat och om den har godkänts eller misslyckats.
- Analys av vad som fungerar och vad som är trasigt
- Orsaksanalys med specifika evidensunderlag
- Exakta kommandon för att åtgärda problemet och verifiera korrigeringen
Integrations
Container Network Insights Agent fungerar med de AKS-nätverksverktyg som du redan använder:
| Integration | Hur den används |
|---|---|
| AKS MCP-server | Tillhandahåller körningsskiktet för klusteråtgärder och dirigerar kubectl, cilium, och hubble kommandon från agenten till klustret. |
| kubectl | Förfrågar poddar, tjänster, slutpunkter, noder, nätverksprinciper och andra Kubernetes-resurser |
| Cilium | Analyserar CiliumNetworkPolicy, CiliumClusterWideNetworkPolicy och Cilium-agenthälsa |
| Hubble | Observerar nätverksflöden mellan poddar och identifierar droppad trafik |
| CoreDNS | Kontrollerar poddhälsa, tjänstslutpunkter, konfiguration och Prometheus-mått |
| Azure OpenAI | Driver konversations-AI:n som tolkar dina frågor och genererar diagnostikrapporter |
Tips/Råd
Distribuera Container Network Insights Agent i ett AKS-kluster med Azure CNI som drivs av Cilium och Advanced Container Networking Services (ACNS) aktiverade för den fullständiga diagnostikfunktionsuppsättningen, inklusive Hubble flow-analys och Cilium-policydiagnostik.
Säkerhetsmodell och begränsningar
Hur agenten interagerar med klustret
Container Network Insights Agent samlar in diagnostikdata från klustret för att generera insikter, rapporter och rekommenderade åtgärder. Den kör klusteråtgärder via AKS MCP-servern och använder ett dedikerat Kubernetes-tjänstkonto (container-networking-agent-reader) med minimal behörighet för de data som behövs för diagnostik.
Container Network Insights Agent gör inte ändringar i klustret. Den innehåller reparationskommandon och rekommendationer, men du granskar och tillämpar dem själv.
Omfångsbegränsningar
Agenten svarar bara på nätverk och Kubernetes-relaterade frågor och svarar inte på förfrågningar utanför ämnet. Systemet innehåller även snabbinmatningsskydd för att förhindra missbruk.
Gränser för sessioner och konversationer
| Limit | Standardinställning | Notes |
|---|---|---|
| Chattkontextfönster | ~15 börser | Agenten tar bort äldre meddelanden från arbetskontexten. Starta en ny konversation för orelaterade problem. |
| Meddelanden per konversation | 100 | Agenten tar automatiskt bort äldre meddelanden när den når den här gränsen |
| Konversationer per användare | 20 | Systemet rensar minst nyligen använda konversationer med 90% kapacitet |
| Tidsgräns för inaktiv session | 30 minuter | Sessioner upphör att gälla efter 30 minuters inaktivitet |
| Absolut tidsgräns för session | 8 timmar | Sessioner upphör att gälla efter 8 timmar oavsett aktivitet |
Konkurens
Container Network Insights Agent stöder 1–7 samtidiga användare under vanliga förhållanden. Paketsänkningsdiagnostik på större kluster (över 25 noder) kan kräva att samtidiga användare begränsas för att undvika API-serverbelastning. Mer information finns i Vägledning för skalning.
Exempelscenarier och exempelfrågor
DNS-felsökning
DNS-matchningsfel är ett av de vanligaste nätverksproblemen i Kubernetes. När poddar inte kan matcha tjänstnamn, externa domäner eller båda, kör Container Network Insights Agent en omfattande DNS-diagnostik som kontrollerar CoreDNS hälsa, konfiguration, DNS-matchning från flera sökvägar och nätverksprinciper som kan blockera DNS-trafik.
Vanliga situationer:
- Poddar loggar
Name or service not knownellerNXDOMAINfel - Programmen avbryter anslutningen till tjänster med namn
- DNS fungerar för vissa poddar men inte andra
- Extern domänmatchning misslyckas medan intern lösning fungerar (eller vice versa)
Exempelfrågor:
| Det här ser du | Omedelbar |
|---|---|
| DNS helt brutet | "All DNS har slutat fungera i klustret" |
| Pod kan inte lösa namn |
"En podd i namnområdet my-app kan inte matcha några DNS-namn" |
| Specifikt namn som inte kan lösas upp |
"DNS-matchning för backend.default.svc.cluster.local misslyckas" |
| Tillfälliga DNS-fel |
"Poddar i production har tillfälliga DNS-fel" |
| Extern DNS blockerad |
"Extern DNS misslyckas för poddar i my-namespace" |
| Problem med NodeLocal DNS | "Kan du kontrollera om NodeLocal DNS fungerar?" |
Vad agenten kontrollerar:
DNS-diagnostiken kontrollerar CoreDNS-poddhälsa, tjänstslutpunkter och CoreDNS-konfiguration, inklusive anpassade ConfigMaps. Den testar även DNS-upplösning över flera sökvägar: samma namnområde, tvärs namnområden, FQDN och externt. Agenten utvärderar CoreDNS Prometheus-mått och nätverkspolicyregler, inklusive Cilium toFQDN-utflödesprinciper som utan meddelande kan begränsa extern domänupplösning.
Exempelroten gör att agenten identifierar:
- CoreDNS-poddar körs inte eller är inte redo
- Custom CoreDNS ConfigMap med felkonfigurerade omskrivnings- eller vidarebefordransregler
- Nätverksprincip som blockerar UDP/TCP-port 53 (DNS-trafik)
- Cilium toFQDNs-policy saknar en obligatorisk domän i den tillåtna listan
- NodeLocal DNS DaemonSet distribuerad utan Cilium LocalRedirectPolicy
- Programmet har konfigurerats med fel tjänst-DNS-namn
Felsökning av RX och paketförlust
Paketförluster är svåra att diagnostisera eftersom de kan inträffa i flera lager: NIC-maskinvara, kernelnätverksstacken eller programvarans socketbuffertar. Container Network Insights Agent distribuerar en enkel felsökningspodd till varje nod för att samla in nätverksstatistik på värdnivå. Den använder sedan deltamätningar för att identifiera var paket går förlorade.
Vanliga situationer:
- Program rapporterar tillfälliga anslutningsåterställningar eller tidsgränser
- Verktyg som
iperfvisar paketförlust mellan noder. - Toppar för nätverksfördröjning visas på specifika noder
- Hög CPU-användning korrelerad med nätverksbearbetning
-
ethtool -Svisar ökande RX-förlustmätare
Exempelfrågor:
| Det här ser du | Omedelbar |
|---|---|
| Droppar på en specifik nod |
"Jag ser paketförluster på noden aks-nodepool1-12345678-vmss000000" |
| Fördröjningsspikar | "Mitt program har tillfälliga svarstidstoppar" |
| Problem med klusteromfattande prestanda | "Nätverksprestandan försämras i hela klustret" |
| Paketförlust har identifierats | Jag ser paketförlust och hög latens. Iperf-testerna visar betydande paketförlust." |
| Proaktiv hälsokontroll |
"Kontrollera nätverkshälsan på noden my-node" |
Vad agenten kontrollerar:
Diagnostiken för paketfall undersöker användning av NIC-ringbuffert (ethtool), kernelns softnet-statistik (/proc/net/softnet_stat), SoftIRQ-fördelning per CPU och mättnad av socketbuffertar. Den granskar även nätverksgränssnittsstatistik (/proc/net/dev), inställningar för kärnbuffert (tcp_rmem, rmem_max, netdev_max_backlog), RPS/XPS/RFS-konfiguration och CNI-specifik gränssnittsanalys. Agenten använder deltamätningar (ögonblicksbilder före och efter) för att identifiera aktiva droppar jämfört med historiska räknare.
Exempelroten gör att agenten identifierar:
- NIC-ringbuffertöverbelastning: aktiva
rx_droppedräknare ökar - Kernel-paket släpps: värden som inte är noll i
/proc/net/softnet_statsläppkolumnen - Socket buffertöverskridande: socketens mottagningskö ökar över buffertgränserna
- SoftIRQ CPU-flaskhals: hög
%softpå en enda processor med obalanserad fördelning av avbrott - Alla kontroller godkända: agenten meddelar "Inget problem har identifierats" istället för att gissa.
Viktigt!
Paketborttagningsdiagnostiken distribuerar en felsöknings-DaemonSet (rx-troubleshooting-debug) till klustrets kube-system namespace. Den här DaemonSet kräver hostNetwork, hostPID, hostIPCoch NET_ADMIN funktioner för åtkomst till nätverksdata på värdnivå. Den körs som en icke-rotanvändare med ett skrivskyddat rotfilsystem. Den delas mellan diagnostiska sessioner och rensas automatiskt, men kan fortfarande finnas kvar om agentpod kraschar oväntat. Se Kända problem för vägledning om rensning.
Felsökning av Kubernetes-nätverk
När poddar inte kan kommunicera med tjänster, nätverksprinciper blockerar förväntad trafik, eller tjänster inte har några slutpunkter, undersöker Container Network Insights Agent den fullständiga nätverksvägen. Agenten kontrollerar poddschemaläggning och beredskap, tjänstslutpunktsregistrering, utvärdering av nätverkspolicyer och övervakning av Hubble-flöde.
Vanliga situationer:
- Podd-till-podd- eller podd-till-tjänst-kommunikation misslyckas
- Tjänster kan inte nås från vissa namnområden
- Nätverksprinciper blockerar oväntat trafik
- Serviceendpunkter finns men anslutningarna tidsbegränsas fortfarande
- Hubble visar
DROPPEDbedömning om flöden mellan poddar
Exempelfrågor:
| Det här ser du | Omedelbar |
|---|---|
| Tjänsten kan inte nås | Min klientpod kan inte ansluta till backend-tjänsten i production. Tidsgränsen för anslutningen går ut. |
| Trafik blockerad | Min klient-pod kan inte längre nå serverdelstjänsten. Det fungerade förut." |
| Inga slutpunkter |
"Tjänsten har inga slutpunkter i namnområdet my-app" |
| Podden har fastnat | "Jag har distribuerat min app men tjänsten har inga slutpunkter och podden har ingen IP-adress" |
| Poddar är inte redo |
"Poddar är inte redo i namnområdet staging" |
| Proaktiv hälsokontroll |
"Allt ser bra ut i namnområdet production – kan du verifiera?" |
Vad agenten kontrollerar:
Kubernetes nätverksdiagnostik undersöker poddstatus och schemaläggning, tjänstkonfiguration och slutpunktsregistrering samt nätverksprinciper (både Kubernetes NetworkPolicy och CiliumNetworkPolicy). Den analyserar också Hubble-flöden, inklusive förlorad trafik och portmappning mellan tjänst och podd. En vanlig felkonfiguration som agenten fångar är en tjänst targetPort som inte matchar podden containerPort. Det här matchningsfelet orsakar tidsgränser för anslutning även om slutpunkterna verkar felfria.
Exempelroten gör att agenten identifierar:
- Nätverksprincip (eller CiliumNetworkPolicy) som blockerar inkommande eller utgående trafik
- Tjänsten
targetPortmatchar inte podcontainerPort - Tjänstväljarens etiketter matchar inte några poddetiketter (tomma slutpunkter)
- Podden har fastnat i Väntande på grund av oplanerade resursbegäranden
- Lämplighetsproben misslyckas, vilket gör att pods undantas från slutpunkter för tjänster
- Cilium-agentpoddar är inte i gott skick
Anmärkning
Flowanalys för Hubble (hubble observe) kräver att Advanced Container Networking Services (ACNS) aktiveras i klustret. I kluster utan ACNS tillhandahåller Container Network Insights Agent fortfarande fullständig diagnostik med kubernetes-standardresurser kubectl , men synlighet på flödesnivå är inte tillgänglig.
Kända problem och produktbegränsningar
Skalningsvägledning
| Klusterstorlek | Rekommenderade samtidiga användare | Notes |
|---|---|---|
| 1–3 noder | Upp till 7 | Optimalt för de flesta diagnostik |
| 25 noder | Upp till 3 | Diagnostik för paketborttagning genererar evidenspaket per nod |
| 50 noder | 1 | Stora evidenspaket närmar sig ai-modellkontextgränser |
Den första frågan från en ny användare kan ta längre tid om alla agenter i den förvärmda poolen (standard: tre agenter) används. Efterföljande frågor från samma session använder den redan initierade agenten.
Kända problemområden
| Problematik | Beskrivning | Workaround |
|---|---|---|
| Felsökning av DaemonSet kvarstår efter krasch | Om Container Network Insights Agent-podden krashar under en diagnostik av paketbortfall rx-troubleshooting-debug kan DaemonSet vara kvar i kube-system |
Kör kubectl delete ds rx-troubleshooting-debug -n kube-system |
| Diagnosen för första paketförlust är långsammare | Felsökningen av DaemonSet tar 30–60 sekunder att schemalägga och bli redo vid första användningen | Efterföljande diagnostik återanvänder befintliga poddar och är snabbare |
| Icke-Cilium-kluster har begränsad diagnostik | Cilium-principanalys och Hubble-flödesobservation är inte tillgängliga | Agenten tillhandahåller fortfarande fullständig DNS-, paketborttagnings- och kubernetes-standarddiagnostik |
| Icke-ACNS-kluster saknar Hubble |
hubble observe kommandon misslyckas i kluster utan Advanced Container Networking Services |
Aktivera ACNS eller förlita dig på kubectl-baserad diagnostik |
| DNS-tester körs i agentpod | DNS-matchningstester körs från Container Network Insights Agent-podden, som kan ha en annan DNS-princip än den berörda podden | Agenten noterar sin egen DNS-policy i jämförelsebevisen |
| Sessionsdata finns i minnet | Sessionstillstånd (chatthistorik, agenttilldelningar) går förlorat om podden startas om | Logga in igen för att starta en ny session. ingen beständig konversationshistorik |
| Chattkontextfönster | Agenten behåller endast de senaste cirka 15 interaktionerna i sin arbetskontext | Starta en ny konversation för att undvika sammanhangsförvirring för orelaterade problem |
Tilläggs tillgänglighet
AKS-tillägget microsoft.containernetworkingagent är tillgängligt i alla Azure offentliga regioner där AKS stöds. Den är inte tillgänglig i Azure Government, Microsoft Azure som drivs av 21Vianet eller andra nationella moln.
Pricing
Container Network Insights-agenten körs som en podd i ditt AKS-kluster. Direkta kostnader omfattar:
- Azure OpenAI-användning: Tokenförbrukning beror på konversationslängd och diagnostikkomplexitet. Se Azure OpenAI-priser för aktuella priser.
- AKS-nodberäkningarna: Container Network Insights Agent-podden och DaemonSet för diagnosticering av paketförlust förbrukar klusterberäkningsresurser.
Själva Container Network Insights-agenten har ingen separat licensavgift under den offentliga förhandsversionen.
Få åtkomst till och använda Container Network Insights-agenten
Container Network Insights Agent är en webbläsarbaserad chattrobot som körs i ditt AKS-kluster. Efter distributionen öppnar du program-URL:en i valfri modern webbläsare för att starta en konversation. Du behöver inte något CLI-verktyg på din arbetsstation eller ett portalblad för att navigera. Det är ett fristående chattgränssnitt som är utformat för nätverksdiagnostik.
Registrera dig
När du först öppnar URL:en för Container Network Insights-agenten uppmanas du att logga in. Beroende på hur administratören konfigurerade distributionen loggar du in med antingen ett enkelt användarnamn (utvecklingsmiljöer) eller dina Microsoft Entra ID autentiseringsuppgifter (produktionsmiljöer).
Bevilja behörigheter
När du har loggat in kan programmet uppmana dig att bevilja behörigheter. Granska de begärda behörigheterna och välj Acceptera för att fortsätta.
Chattgränssnitt
När du har autentiserats hamnar du i chattgränssnittet. Servern underhåller sessionen så att du kan stänga och öppna webbläsarfliken igen i tidsgränsfönstret för sessionen utan att förlora konversationen.
Chattgränssnittet är där du:
- Ställ frågor på naturligt språk: Skriv frågor som "Varför kan inte min podd lösa DNS?" eller "Kontrollera att paketet släpps på noden aks-nodepool1-vmss0000000". Ingen särskild syntax krävs.
- Ta emot strukturerade diagnostikrapporter: Svaren innehåller bevistabeller, rotorsaksanalys och reparationskommandon som du kan kopiera och köra.
- Starta nya konversationer: Varje konversation upprätthåller sin egen kontext. Växla ämnen genom att starta en ny konversation.
- Skicka feedback: Efter varje diagnostiksvar använder du de inbyggda feedbackkontrollerna (tummen upp och tummen ner) för att betygsätta kvaliteten på diagnosen. Din feedback hjälper till att förbättra den framtida diagnostiska noggrannheten.
Rapportera problem
Om du stöter på ett problem med Container Network Insights-agenten:
- Observera sessions-ID och tidsstämpel för problemet (visas i chattgränssnittet)
- Kontrollera hälsoslutpunkterna:
/health,/ready,/live - Granska poddloggar:
kubectl logs -l app=container-networking-agent -n kube-system - Skapa ett problem via din standardkanal för Azure support