Osvědčené postupy pro vytváření a správu aplikací v Azure Kubernetes Service (AKS) pro operátory clusteru a vývojáře
Úspěšné sestavování a spouštění aplikací v Azure Kubernetes Service (AKS) vyžaduje pochopení a implementaci některých klíčových konceptů, mezi které patří:
- Funkce víceklientské architektury a plánovače.
- Zabezpečení clusterů a podů.
- Provozní kontinuita a zotavení po havárii.
Produktová skupina AKS, technické týmy a terénní týmy (včetně globálních černých pásů [GBB]) přispěly, napsaly a seskupily následující osvědčené postupy a koncepční články. Jejich účelem je pomoct operátorům clusteru a vývojářům lépe porozumět výše uvedeným konceptům a implementovat příslušné funkce.
Osvědčené postupy pro operátory clusteru
Pokud jste operátor clusteru, ve spolupráci s vlastníky a vývojáři aplikací porozumíte jejich potřebám. Pak můžete pomocí následujících osvědčených postupů nakonfigurovat clustery AKS tak, aby vyhovovaly vašim potřebám.
Architektura s více tenanty
- Osvědčené postupy pro izolaci clusteru
- Zahrnuje víceklientské základní komponenty a logickou izolaci s obory názvů.
- Osvědčené postupy pro základní funkce plánovače
- Zahrnuje použití kvót prostředků a rozpočtů přerušení podů.
- Osvědčené postupy pro pokročilé funkce plánovače
- Zahrnuje použití taintů a tolerancí, selektorů a spřažení uzlů a spřažení mezi pody a antispřažení.
- Osvědčené postupy pro ověřování a autorizaci
- Zahrnuje integraci se službou Azure Active Directory, použití řízení přístupu na základě role Kubernetes (Kubernetes RBAC), použití Azure RBAC a identity podů.
Zabezpečení
- Osvědčené postupy pro zabezpečení clusteru a upgrady
- Zahrnuje zabezpečení přístupu k serveru ROZHRANÍ API, omezení přístupu ke kontejneru a správu upgradů a restartování uzlů.
- Osvědčené postupy pro správu a zabezpečení imagí kontejneru
- Zahrnuje zabezpečení imagí a modulů runtime a automatizované sestavení na základě aktualizací základních imagí.
- Osvědčené postupy pro zabezpečení podů
- Zahrnuje zabezpečení přístupu k prostředkům, omezení vystavení přihlašovacích údajů a používání identit podů a digitálních trezorů klíčů.
Síť a úložiště
- Osvědčené postupy pro připojení k síti
- Zahrnuje různé síťové modely, pomocí příchozího přenosu dat a firewallu webových aplikací (WAF) a zabezpečení přístupu SSH uzlů.
- Osvědčené postupy pro ukládání a zálohování
- Zahrnuje výběr vhodného typu úložiště a velikosti uzlu, dynamické zřizování svazků a zálohování dat.
Spouštění úloh připravených pro podniky
- Osvědčené postupy pro provozní kontinuitu a zotavení po havárii
- Zahrnuje použití párů oblastí, více clusterů s Azure Traffic Managerem a geografickou replikaci imagí kontejnerů.
Osvědčené postupy pro vývojáře
Pokud jste vývojář nebo vlastník aplikace, můžete si zjednodušit vývojové prostředí a definovat požadované funkce výkonu aplikací.
- Osvědčené postupy pro vývojáře aplikací ke správě prostředků
- Zahrnuje definování požadavků na prostředky podů a omezení, konfiguraci vývojových nástrojů a kontrolu problémů s aplikacemi.
- Osvědčené postupy pro zabezpečení podů
- Zahrnuje zabezpečení přístupu k prostředkům, omezení vystavení přihlašovacích údajů a používání identit podů a digitálních trezorů klíčů.
Koncepty Kubernetes a AKS
Následující koncepční články se zabývají některými základními funkcemi a komponentami pro clustery v AKS:
- Základní koncepty Kubernetes
- Přístup a identita
- Koncepty zabezpečení
- Koncepty sítě
- Možnosti úložiště
- Možnosti škálování
Další kroky
Pokyny k vytváření úplných řešení s AKS pro produkční prostředí najdete v pokynech k řešení AKS.