Operátor clusteru a osvědčené postupy pro vývojáře při sestavování a správě aplikací v Azure Kubernetes Service (AKS)
Úspěšné sestavování a spouštění aplikací v Azure Kubernetes Service (AKS) vyžaduje pochopení a implementaci některých klíčových konceptů, mezi které patří:
- Funkce víceklientské architektury a plánovače.
- Zabezpečení clusteru a podů.
- Provozní kontinuita a zotavení po havárii.
Produktová skupina AKS, technické týmy a terénní týmy (včetně globálních černých pásů [GB]) přispěli, napsali a seskupili následující osvědčené postupy a koncepční články. Jejich účelem je pomoct operátorům clusteru a vývojářům lépe porozumět výše uvedeným konceptům a implementovat příslušné funkce.
Osvědčené postupy pro operátory clusteru
Pokud jste operátor clusteru, spolupracujte s vlastníky a vývojáři aplikací, abyste porozuměli jejich potřebám. Pak můžete pomocí následujících osvědčených postupů nakonfigurovat clustery AKS tak, aby vyhovovaly vašim potřebám.
Architektura s více tenanty
- Osvědčené postupy pro izolaci clusteru
- Zahrnuje základní komponenty víceklientské architektury a logickou izolaci s obory názvů.
- Osvědčené postupy pro základní funkce plánovače
- Zahrnuje používání kvót prostředků a rozpočtů na přerušení podů.
- Osvědčené postupy pro pokročilé funkce plánovače
- Zahrnuje použití taintů a tolerancí, selektorů a spřažení uzlů a spřažení mezi pody a spřažení.
- Osvědčené postupy pro ověřování a autorizaci
- Zahrnuje integraci se službou Azure Active Directory, použití řízení přístupu na základě role v Kubernetes (Kubernetes RBAC), použití Azure RBAC a identit podů.
Zabezpečení
- Osvědčené postupy pro zabezpečení clusteru a upgrady
- Zahrnuje zabezpečení přístupu k serveru rozhraní API, omezení přístupu ke kontejneru a správu upgradů a restartování uzlů.
- Osvědčené postupy pro správu a zabezpečení imagí kontejnerů
- Zahrnuje zabezpečení image a modulů runtime a automatizovaná sestavení na základě aktualizací základní image.
- Osvědčené postupy pro zabezpečení podů
- Zahrnuje zabezpečení přístupu k prostředkům, omezení odhalení přihlašovacích údajů a používání identit podů a digitálních trezorů klíčů.
Síť a úložiště
- Osvědčené postupy pro připojení k síti
- Zahrnuje různé síťové modely s využitím příchozího přenosu dat a firewallu webových aplikací (WAF) a zabezpečení přístupu přes SSH uzlu.
- Osvědčené postupy pro ukládání a zálohování
- Zahrnuje výběr vhodného typu úložiště a velikosti uzlu, dynamické zřizování svazků a zálohování dat.
Spouštění podnikových úloh
- Osvědčené postupy pro provozní kontinuitu a zotavení po havárii
- Zahrnuje použití párů oblastí, více clusterů s Azure Traffic Managerem a geografickou replikaci imagí kontejnerů.
Osvědčené postupy pro vývojáře
Pokud jste vývojář nebo vlastník aplikace, můžete si zjednodušit vývojové prostředí a definovat požadované funkce výkonu aplikací.
- Osvědčené postupy pro vývojáře aplikací ke správě prostředků
- Zahrnuje definování požadavků na prostředky podů a omezení, konfiguraci vývojových nástrojů a kontrolu problémů s aplikacemi.
- Osvědčené postupy pro zabezpečení podů
- Zahrnuje zabezpečení přístupu k prostředkům, omezení odhalení přihlašovacích údajů a používání identit podů a digitálních trezorů klíčů.
Koncepty Kubernetes a AKS
Následující koncepční články popisují některé základní funkce a komponenty pro clustery v AKS:
- Základní koncepty Kubernetes
- Přístup a identita
- Koncepty zabezpečení
- Koncepty sítí
- Možnosti úložiště
- Možnosti škálování
Další kroky
Pokyny k vytváření úplných řešení pomocí AKS pro produkční prostředí najdete v tématu Pokyny k řešení AKS.