Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro: ✔️ AKS Automatic ✔️ AKS Standard
Při správě clusterů ve službě Azure Kubernetes Service (AKS) často potřebujete izolovat týmy a úlohy. S logickou izolací můžete použít jeden cluster AKS pro více úloh, týmů nebo prostředí. Obory názvů Kubernetes tvoří hranici logické izolace pro úlohy a prostředky. Provádění logické izolace zahrnuje implementaci skriptů a procesů pro vytváření oborů názvů, nastavení limitů prostředků, použití zásad sítě a udělení přístupu týmu prostřednictvím řízení přístupu na základě role. Naučte se používat spravované obory názvů ve službě Azure Kubernetes Service (AKS) ke zjednodušení správy oborů názvů, víceklientské architektury clusteru a izolace prostředků.
Logické oddělení clusterů obvykle poskytuje vyšší hustotu podů než fyzicky izolované clustery s méně nadbytečnou výpočetní kapacitou, která je v clusteru nečinná. V kombinaci s automatickým škálováním clusteru nebo automatickým zřizováním uzlů můžete škálovat počet uzlů nahoru nebo dolů podle požadavků. Tento přístup osvědčených postupů minimalizuje náklady spuštěním pouze požadovaného počtu uzlů.
Zásady sítě
Zásady sítě jsou prostředky Kubernetes, které můžete použít k řízení toku provozu mezi pody, obory názvů a externími koncovými body. Zásady sítě umožňují definovat pravidla příchozího (příchozího) a odchozího (odchozího) provozu a zajistit tak, aby byla povolena pouze autorizovaná komunikace. Použitím zásad sítě můžete zlepšit zabezpečení a izolaci úloh v rámci clusteru.
Poznámka:
Výchozí pravidlo zásad sítě příchozího přenosu dat pro Povolit stejný obor názvů se ve výchozím nastavení rozhodne pro bezpečný přístup. Pokud potřebujete, aby vaše služby Kubernetes Services, příchozí přenosy dat nebo brány byly přístupné mimo obor názvů, kde se nasazují, například z kontroleru příchozího přenosu dat nasazeného v samostatném oboru názvů, musíte vybrat Možnost Povolit vše. Pak můžete použít vlastní zásady sítě, abyste omezili příchozí přístup pouze z daného oboru názvů.
Spravované obory názvů mají sadu předdefinovaných zásad.
- Povolit vše: Povolí veškerý síťový provoz.
- Povolit stejný obor názvů: Povolí veškerý síťový provoz v rámci stejného oboru názvů.
- Odepřít vše: Zakáže veškerý síťový provoz.
U pravidel příchozího i výchozího přenosu dat můžete použít některou z předdefinovaných zásad a mají následující výchozí hodnoty.
| Policy | Výchozí hodnota |
|---|---|
| Vstup | Povolit stejný obor názvů |
| Odchozí | Povolit vše |
Poznámka:
Uživatelé s Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/write akcí, jako je Azure Kubernetes Service RBAC Writer, přiřazenou k roli v Microsoft Entra ID, mohou prostřednictvím Kubernetes API přidávat další zásady sítě.
Pokud například správce použije politiku Deny All pro vstupní/výstupní přenos a uživatel použije Allow politiku pro obor názvů prostřednictvím rozhraní Kubernetes API, politika Allow má přednost před politikou Deny All a provoz pro obor názvů může proudit.
Kvóty prostředků
Kvóty prostředků jsou prostředky Kubernetes, které se používají ke správě a omezení spotřeby prostředků oborů názvů v rámci clusteru. Umožňují správcům definovat omezení množství procesoru, paměti, úložiště nebo jiných prostředků používaných úlohami v oboru názvů. Použitím kvót prostředků můžete zajistit spravedlivou distribuci prostředků, zabránit nadměrnému využití prostředků a udržovat stabilitu clusteru.
Spravované obory názvů je možné vytvořit s následujícími kvótami prostředků:
- Požadavky a omezení procesoru: Definujte minimální a maximální množství prostředků procesoru, které můžou úlohy v oboru názvů požadovat nebo využívat. Kvóta zajišťuje, aby úlohy měly dostatek prostředků procesoru pro provoz a zároveň zabránila nadměrnému využití, které by mohlo ovlivnit jiné jmenné prostory. Kvóta je definována ve formuláři milliCPU.
-
Požadavky na paměť a omezení: Zadejte minimální a maximální množství paměťových prostředků, které můžou úlohy v oboru názvů požadovat nebo využívat. Kvóta pomáhá udržovat stabilitu tím, že se vyhnete nadměrnému omezení paměti a zajistíte spravedlivé přidělování prostředků napříč obory názvů. Kvóta je definována ve formě dvou ekvivalentů, například
Ei,Pi,Ti,Gi,Mi.Ki
Popisky a poznámky
Popisky a poznámky Kubernetes jsou metadata připojená k objektům Kubernetes, jako jsou obory názvů, a poskytují další informace. Popisky jsou páry klíč-hodnota sloužící k uspořádání a výběru prostředků a umožňují efektivní seskupování a dotazování. Poznámky ukládají neidentifikující metadata, jako jsou podrobnosti o konfiguraci nebo provozní pokyny, které využívají nástroje nebo systémy.
Volitelně můžete nastavit popisky a poznámky Kubernetes, které se mají použít v oboru názvů.
Zásady přijetí
Zásady přijetí určují způsob zpracování existujícího oboru názvů v Kubernetes při vytváření spravovaného oboru názvů.
Výstraha
Začlenění existujícího oboru názvů do správy může způsobit narušení. Pokud je použitá kvóta prostředků menší než to, co už pody požaduje, noví nasazení a pody, které překročí kvótu, budou odepřeny. Stávající nasazení nejsou ovlivněná, ale škálování není povoleno. Použití zásad sítě u existujícího oboru názvů může ovlivnit stávající provoz. Ujistěte se, že se zásady testují a ověřují, aby nedošlo k neúmyslnému přerušení komunikace mezi pody nebo externími koncovými body.
K dispozici jsou následující možnosti:
- Nikdy: Pokud už obor názvů v clusteru existuje, pokusí se tento obor názvů vytvořit, protože spravovaný obor názvů selže.
- IfIdentical: Převzetí existujícího oboru názvů, který se má spravovat, za předpokladu, že neexistují žádné rozdíly mezi existujícím oborem názvů a požadovanou konfigurací.
- Vždy: Vždy převezměte existující obor názvů, který se má spravovat, i když se některá pole v oboru názvů můžou přepsat.
Odstranění zásad
Zásada odstranění určuje způsob zpracování oboru názvů Kubernetes při odstranění spravovaného prostředku oboru názvů.
Výstraha
Odstranění spravovaného oboru názvů pomocí zásad odstranění způsobí odstranění všech prostředků v tomto oboru názvů, jako jsou nasazení, služby, příchozí přenos dat a další objekty Kubernetes. Než budete pokračovat, ujistěte se, že zálohujete nebo migrujete všechny důležité prostředky.
K dispozici jsou následující možnosti:
-
Zachovat: Odstraňte pouze spravovaný prostředek oboru názvů a přitom ponechte obor názvů Kubernetes nedotčený.
ManagedByARMPopisek se navíc odebere z oboru názvů. - Odstranění: Odstraňte společně spravovaný prostředek oboru názvů i obor názvů Kubernetes.
Předdefinované role spravovaných oborů názvů
Spravované obory názvů používají pro řídicí rovinu následující předdefinované role.
| Role | Popis |
|---|---|
| Přispěvatel oboru názvů služby Azure Kubernetes Service | Umožňuje přístup k vytváření, aktualizaci a odstraňování spravovaných oborů názvů v clusteru. |
| Uživatel oboru názvů služby Azure Kubernetes Service | Umožňuje přístup ke spravovanému oboru názvů jen pro čtení v clusteru. Umožňuje přístup k výpisu přihlašovacích údajů v oboru názvů. |
Spravované obory názvů používají pro rovinu dat následující předdefinované role.
| Role | Popis |
|---|---|
| Čtenář RBAC služby Azure Kubernetes Service | Umožňuje přístup jen pro čtení k většině objektů v jmenném prostoru. Nepovoluje zobrazování rolí nebo přiřazení rolí. Tato role neumožňuje zobrazování tajných kódů, protože čtení obsahu tajných kódů umožňuje přístup k přihlašovacím údajům ServiceAccount v oboru názvů, což by umožnilo přístup rozhraní API jako jakýkoli účet ServiceAccount v oboru názvů (forma eskalace oprávnění). |
| Azure Kubernetes Service RBAC Autor | Umožňuje přístup pro čtení a zápis k většině objektů v jmenném prostoru. Tato role neumožňuje zobrazení nebo úpravy rolí nebo vazeb rolí. Tato role však umožňuje přístup k Secrets a spouštění Pods jako jakýkoli ServiceAccount v oboru názvů, takže ji lze použít k získání úrovní přístupu API libovolného ServiceAccount v oboru názvů. |
| Správce RBAC služby Azure Kubernetes Service | Umožňuje přístup pro čtení a zápis k většině prostředků v oboru názvů, včetně možnosti vytvářet role a vazby rolí v rámci oboru názvů. Tato role neumožňuje zapisovat do kvóty zdrojů ani k samotnému prostoru názvů. |
Případy použití spravovaných jmenných prostorů
Správné nastavení oborů názvů s přidruženými kvótami nebo zásadami sítě může být složité a časově náročné. Spravované obory názvů umožňují nastavit předem nakonfigurované obory názvů v clusterech AKS, se kterými můžete pracovat pomocí Azure CLI.
Následující části popisují některé běžné případy použití spravovaných oborů názvů.
Správa týmů a prostředků v AKS
Řekněme, že jste správcem v malém startupu. Máte zřízený cluster AKS a chcete nastavit obory názvů pro vývojáře z vašich finančních, právních a návrhových týmů. Při nastavování firemního prostředí chcete zajistit, aby byl přístup přísně řízený, prostředky jsou správně vymezeny a prostředí jsou správně uspořádaná.
Finanční tým načítá formuláře a soubory z týmů v celé společnosti, ale uchovává citlivé informace, které by v ideálním případě neměly opustit své prostředí. Jejich aplikace a pracovní postupy jsou na výpočetní straně lehčí, ale spotřebovávají hodně paměti. V důsledku toho se rozhodnete nastavit obor názvů, který umožňuje veškerý příchozí přenos dat sítě, výchozí přenos dat sítě pouze v rámci jejich oboru názvů a odpovídajícím způsobem vymezit jejich prostředky. Označení oboru názvů pomáhá snadno identifikovat, který tým jej používá.
az aks namespace add \ --name $FINANCE_NAMESPACE \ --cluster-name $CLUSTER_NAME \ --resource-group $RESOURCE_GROUP \ --cpu-request 250m \ --cpu-limit 500m \ --memory-request 512Mi \ --memory-limit 2Gi \ --ingress-policy AllowAll \ --egress-policy AllowSameNamespace \ --labels team=financePrávní tým se zabývá především citlivými daty. Jejich aplikace používají poměrně velkou paměť, ale vyžadují malé výpočetní prostředky. Rozhodnete se nastavit obor názvů, který je extrémně omezující jak pro zásady příchozího přenosu dat, tak pro výchozí přenos dat, a odpovídajícím způsobem vymezit jejich kvóty prostředků.
az aks namespace add \ --name $LEGAL_NAMESPACE \ --cluster-name $CLUSTER_NAME \ --resource-group $RESOURCE_GROUP \ --cpu-request 250m \ --cpu-limit 500m \ --memory-request 2Gi \ --memory-limit 5Gi \ --ingress-policy DenyAll \ --egress-policy DenyAll \ --labels team=legalTým designérů potřebuje možnost volně sdílet data, aby mohli předvést svou práci v celé společnosti. Podporují také týmy, aby jim poslaly obsah pro referenci. Jejich aplikace jsou náročné a vyžadují velký blok paměti a procesoru. Rozhodnete se, že je nastavíte s minimálně restriktivním oborem názvů a přidělíte jim znatelné množství prostředků.
az aks namespace add \ --name $DESIGN_NAMESPACE \ --cluster-name $CLUSTER_NAME \ --resource-group $RESOURCE_GROUP \ --cpu-request 2000m \ --cpu-limit 2500m \ --memory-request 5Gi \ --memory-limit 8Gi \ --ingress-policy AllowAll \ --egress-policy AllowAll \ --labels team=design
Když jsou tyto jmenné prostory nastavené, máte teď prostředí pro tři týmy ve vaší organizaci, které by mělo každému týmu umožnit zahájit práci v prostředí, která nejlépe vyhovují jejich potřebám. Správci můžou pomocí volání Azure CLI aktualizovat obory názvů podle potřeby.
Zobrazit spravované názvové prostory
S tím, jak se počet týmů, se kterými se zabýváte, se rozšiřuje nebo jak vaše organizace roste, můžete zjistit, že potřebujete zkontrolovat obory názvů, které jste nastavili.
Řekněme, že chcete zkontrolovat obory názvů ve vašem clusteru z předchozí části , abyste měli jistotu, že existují tři obory názvů.
az aks namespace list Pomocí příkazu zkontrolujte obory názvů.
az aks namespace list \
--cluster-name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--output table
Vaše výstupy by měly vypadat podobně jako následující příklad:
Name ResourceGroup Location
------------------ --------------- ----------
$CLUSTER_NAME/$DESIGN_NAMESPACE $RESOURCE_GROUP <LOCATION>
$CLUSTER_NAME/$LEGAL_NAMESPACE $RESOURCE_GROUP <LOCATION>
$CLUSTER_NAME/$FINANCE_NAMESPACE $RESOURCE_GROUP <LOCATION>
Řízení přístupu ke spravovaným oborům názvů
Role Azure RBAC, vymezené na jednotlivé obory názvů, můžete dále použít k určení, kteří uživatelé mají přístup k určitým akcím v rámci oboru názvů. Pomocí správné konfigurace můžete zajistit, aby uživatelé měli veškerý přístup, který potřebují v rámci oboru názvů, a zároveň omezili přístup k jiným oborům názvů nebo prostředkům na úrovni clusteru.
Další kroky
- Naučte se vytvářet a používat spravované obory názvů ve službě Azure Kubernetes Service (AKS).
- Seznamte se s obory názvů spravovanými více clustery pomocí Azure Kubernetes Fleet Manageru.
Spolupracujte s námi na GitHubu
Zdroj tohoto obsahu najdete na GitHubu, kde můžete také vytvářet a kontrolovat problémy a žádosti o přijetí změn. Další informace najdete v našem průvodci pro přispěvatele.
Azure Kubernetes Service