Osvědčené postupy pro izolaci clusteru ve službě Azure Kubernetes Service (AKS)
Při správě clusterů ve službě Azure Kubernetes Service (AKS) často potřebujete izolovat týmy a úlohy. AKS umožňuje flexibilitu při spouštění clusterů s více tenanty a izolaci prostředků. Pokud chcete maximalizovat investice do Kubernetes, je důležité porozumět funkcím AKS pro víceklientskou architekturu a izolaci.
Tento článek s osvědčenými postupy se zaměřuje na izolaci pro operátory clusteru. V tomto článku získáte informace o těchto tématech:
- Naplánujte clustery s více tenanty a oddělení prostředků.
- Používejte logickou nebo fyzickou izolaci v clusterech AKS.
Návrh clusterů pro víceklientské architektury
Kubernetes umožňuje logicky izolovat týmy a úlohy ve stejném clusteru. Cílem je poskytnout nejnižší počet oprávnění vymezených na prostředky, které každý tým potřebuje. Obor názvů Kubernetes vytvoří hranici logické izolace. Mezi další funkce a aspekty Kubernetes pro izolaci a víceklientské prostředí patří následující oblasti:
Plánování
Plánování používá základní funkce, jako jsou kvóty prostředků a rozpočty přerušení podů. Další informace o těchto funkcích najdete v tématu Osvědčené postupy pro základní funkce plánovače v AKS.
Mezi pokročilejší funkce plánovače patří:
- Tainty a tolerance.
- Selektory uzlů
- Spřažení uzlů a podů nebo spřažení proti spřažení
Další informace o těchto funkcích najdete v tématu Osvědčené postupy pro pokročilé funkce plánovače v AKS.
Sítě
Sítě používají zásady sítě k řízení toku provozu v podech a z podů.
Další informace najdete v tématu Zabezpečení provozu mezi pody pomocí zásad sítě v AKS.
Ověřování a autorizace
Ověřování a autorizace používá:
- Řízení přístupu na základě role (RBAC).
- Integrace Microsoft Entra.
- Identity podů
- Tajné kódy ve službě Azure Key Vault
Další informace o těchto funkcích najdete v tématu Osvědčené postupy pro ověřování a autorizaci v AKS.
Kontejnery
Kontejnery zahrnují:
- Doplněk Azure Policy pro AKS k vynucení zabezpečení podů
- Přístup k zabezpečení podů.
- Kontrola ohrožení zabezpečení imagí a modulu runtime
- Použití app Armor nebo Seccomp (Secure Computing) k omezení přístupu ke kontejneru k podkladovému uzlu
Logicky izolované clustery
Pokyny k osvědčeným postupům
Oddělení týmů a projektů pomocí logické izolace Minimalizujte počet fyzických clusterů AKS, které nasadíte za účelem izolace týmů nebo aplikací.
S logickou izolací můžete použít jeden cluster AKS pro více úloh, týmů nebo prostředí. Obory názvů Kubernetes tvoří hranici logické izolace pro úlohy a prostředky.
Logické oddělení clusterů obvykle poskytuje vyšší hustotu podů než fyzicky izolované clustery s méně nadbytečnou výpočetní kapacitou, která je v clusteru nečinná. V kombinaci s automatickým škálováním clusteru Kubernetes můžete podle požadavků škálovat počet uzlů nahoru nebo dolů. Tento přístup osvědčených postupů minimalizuje náklady spuštěním pouze požadovaného počtu uzlů.
Prostředí Kubernetes nejsou zcela bezpečná pro nepřátelské použití s více tenanty. V prostředí s více tenanty pracuje více tenantů na sdílené infrastruktuře. Pokud se všem tenantům nedaří důvěřovat, potřebujete další plánování, abyste zabránili tomu, aby tenanti ovlivnili zabezpečení a službu ostatních.
Další funkce zabezpečení, jako je Kubernetes RBAC pro uzly, efektivně blokují zneužití. V případě skutečného zabezpečení při spouštění nehostinných úloh s více tenanty byste měli důvěřovat pouze hypervisoru. Doména zabezpečení pro Kubernetes se stává celým clusterem, nikoli jednotlivými uzly.
U těchto typů nepřátelských úloh s více tenanty byste měli používat fyzicky izolované clustery.
Fyzicky izolované clustery
Pokyny k osvědčeným postupům
Minimalizujte použití fyzické izolace pro každé samostatné nasazení týmu nebo aplikace a místo toho použijte logickou izolaci.
Fyzické oddělení clusterů AKS je běžný přístup k izolaci clusterů. V tomto modelu izolace jsou týmům nebo úlohám přiřazeny vlastní cluster AKS. I když fyzická izolace může vypadat jako nejjednodušší způsob izolace úloh nebo týmů, přidává správu a finanční režii. U fyzicky izolovaných clusterů musíte udržovat více clusterů a jednotlivě poskytovat přístup a přiřazovat oprávnění. Účtuje se vám také každý jednotlivý uzel.
Fyzicky izolované clustery obvykle mají nízkou hustotu podů. Vzhledem k tomu, že každý tým nebo úloha má vlastní cluster AKS, cluster se často zřídí s výpočetními prostředky. Na těchto uzlech je často naplánováno několik podů. Neuzavřenou kapacitu uzlu nelze použít pro aplikace nebo služby ve vývoji jinými týmy. Tyto nadbytečné prostředky přispívají k dodatečným nákladům v fyzicky izolovaných clusterech.
Další kroky
Tento článek se zaměřuje na izolaci clusteru. Další informace o operacích clusteru v AKS najdete v následujících článcích s osvědčenými postupy:
Azure Kubernetes Service