Osvědčené postupy při vytváření a správě aplikací v prostředí Azure Kubernetes Service (AKS) pro vývojáře a operátory cloudu.
Úspěšné sestavování a spouštění aplikací ve službě Azure Kubernetes Service (AKS) vyžaduje pochopení a implementaci některých klíčových konceptů, mezi které patří:
- Funkce víceklientské architektury a plánovače
- Zabezpečení clusteru a podů
- Provozní kontinuita a zotavení po havárii
Produktová skupina AKS, technické týmy a terénní týmy (včetně globálních černých pásů (GBB) přispěly k následujícím osvědčeným postupům a koncepčním článkům a seskupily je. Jejich účelem je pomoci operátorům clusteru a vývojářům lépe porozumět výše uvedeným konceptům a implementovat příslušné funkce.
Osvědčené postupy pro operátory clusteru
Pokud jste operátor clusteru, spolupracujte s vlastníky aplikací a vývojáři a seznamte se s jejich potřebami. Potom můžete pomocí následujících osvědčených postupů nakonfigurovat clustery AKS tak, aby vyhovovaly vašim potřebám.
Důležitým postupem, který byste měli zahrnout jako součást procesu vývoje a nasazení aplikací, je pamatovat na to, že dodržujete běžně používané vzory nasazení a testování. Testování aplikace před nasazením je důležitým krokem k zajištění jeho kvality, funkčnosti a kompatibility s cílovým prostředím. Může vám pomoct identifikovat a opravit všechny chyby, chyby nebo problémy, které můžou ovlivnit výkon, zabezpečení nebo použitelnost aplikace nebo základní infrastruktury.
Architektura s více tenanty
- Osvědčené postupy pro izolaci clusteru
- Zahrnuje víceklientské základní komponenty a logickou izolaci s obory názvů.
- Osvědčené postupy pro základní funkce plánovače
- Zahrnuje použití kvót prostředků a rozpočtů přerušení podů.
- Osvědčené postupy pro pokročilé funkce plánovače
- Zahrnuje použití taintů a tolerací, selektorů uzlů a spřažení a spřažení mezi pody a anti-spřažení.
- Osvědčené postupy pro ověřování a autorizaci
- Zahrnuje integraci s Id Microsoft Entra, s využitím řízení přístupu na základě role Kubernetes (Kubernetes RBAC), s využitím Azure RBAC a identit podů.
Zabezpečení
- Osvědčené postupy pro zabezpečení clusteru a upgrady
- Zahrnuje zabezpečení přístupu k serveru rozhraní API, omezení přístupu ke kontejneru a správu upgradů a restartování uzlů.
- Osvědčené postupy pro správu a zabezpečení imagí kontejnerů
- Zahrnuje zabezpečení imagí a modulů runtime a automatizovaných sestavení na aktualizacích základních imagí.
- Osvědčené postupy pro zabezpečení podů
- Zahrnuje zabezpečení přístupu k prostředkům, omezení vystavení přihlašovacích údajů a používání identit podů a trezorů digitálních klíčů.
Síť a úložiště
- Osvědčené postupy pro připojení k síti
- Zahrnuje různé síťové modely využívající příchozí přenos dat a firewally webových aplikací (WAF) a zabezpečení přístupu SSH uzlů.
- Osvědčené postupy pro ukládání a zálohování
- Zahrnuje výběr vhodného typu úložiště a velikosti uzlu, dynamické zřizování svazků a zálohování dat.
Spouštění úloh připravených pro podnikové prostředí
- Osvědčené postupy pro provozní kontinuitu a zotavení po havárii
- Zahrnuje použití párů oblastí, více clusterů s Azure Traffic Managerem a geografickou replikaci imagí kontejnerů.
Osvědčené postupy pro vývojáře
Pokud jste vlastníkem vývojáře nebo aplikace, můžete zjednodušit vývojové prostředí a definovat požadované funkce výkonu aplikací.
- Osvědčené postupy pro vývojáře aplikací ke správě prostředků
- Zahrnuje definování požadavků a omezení prostředků podů, konfiguraci vývojových nástrojů a kontrolu problémů s aplikacemi.
- Osvědčené postupy pro zabezpečení podů
- Zahrnuje zabezpečení přístupu k prostředkům, omezení vystavení přihlašovacích údajů a používání identit podů a trezorů digitálních klíčů.
Koncepty Kubernetes a AKS
Následující koncepční články popisují některé základní funkce a komponenty pro clustery v AKS:
- Základní koncepty Kubernetes
- Přístup a identita
- Koncepce zabezpečení
- Koncepty sítě
- Možnosti úložiště
- Možnosti škálování
Další kroky
Pokyny k návrhu implementace AKS na podnikové úrovni najdete v tématu Plánování návrhu AKS.