Osvědčené postupy pro izolaci clusteru v Azure Kubernetes Service (AKS)

Při správě clusterů v Azure Kubernetes Service (AKS) často potřebujete izolovat týmy a úlohy. AKS poskytuje flexibilitu v tom, jak můžete spouštět clustery s více tenanty a izolovat prostředky. Abyste maximalizovali investice do Kubernetes, nejprve pochopíte a implementujete víceklientské a izolované funkce AKS.

Tento článek s osvědčenými postupy se zaměřuje na izolaci pro operátory clusteru. V tomto článku získáte informace o těchto tématech:

  • Plánování clusterů s více tenanty a oddělení prostředků
  • Použití logické nebo fyzické izolace v clusterech AKS

Návrh clusterů pro víceklientské

Kubernetes umožňuje logicky izolovat týmy a úlohy ve stejném clusteru. Cílem je poskytnout nejnižší počet oprávnění, které jsou vymezeny na prostředky, které každý tým potřebuje. Obor názvů Kubernetes vytvoří logická hranice izolace. Mezi další funkce a aspekty kubernetes pro izolaci a víceklientské prostředí patří následující oblasti:

Plánování

Plánování používá základní funkce, jako jsou kvóty prostředků a rozpočty přerušení podů. Další informace o těchto funkcích najdete v tématu Osvědčené postupy pro základní funkce plánovače v AKS.

Pokročilejší funkce plánovače zahrnují:

  • Taints a tolerace
  • Selektory uzlů
  • Spřažení uzlů a podů nebo spřažení proti spřažení

Další informace o těchto funkcích najdete v tématu Osvědčené postupy pro pokročilé funkce plánovače v AKS.

Sítě

Sítě používají zásady sítě k řízení toku provozu v podech a mimo pody.

Ověřování a autorizace

Ověřování a autorizace se používá:

  • Řízení přístupu na základě role (RBAC)
  • Integrace Azure Active Directory (AD)
  • Identity podů
  • Tajné kódy v Azure Key Vault

Další informace o těchto funkcích najdete v tématu Osvědčené postupy pro ověřování a autorizaci v AKS.

Kontejnery

Kontejnery zahrnují:

  • Doplněk Azure Policy pro AKS k vynucení zabezpečení podu.
  • Použití přístupu k zabezpečení podů.
  • Prohledání imagí i modulu runtime kvůli ohrožením zabezpečení
  • Pomocí funkce App Armor nebo Seccomp (Secure Computing) omezíte přístup kontejneru k podkladovému uzlu.

Logicky izolovat clustery

Osvědčené postupy

Oddělení týmů a projektů pomocí logické izolace Minimalizujte počet fyzických clusterů AKS, které nasadíte do izolace týmů nebo aplikací.

S logickou izolací je možné použít jeden cluster AKS pro více úloh, týmů nebo prostředí. Obory názvů Kubernetes tvoří hranici logické izolace pro úlohy a prostředky.

Logická izolace clusteru Kubernetes v AKS

Logické oddělení clusterů obvykle poskytuje vyšší hustotu podů než fyzicky izolované clustery s méně nadbytečnou výpočetní kapacitou, která je v clusteru nečinná. V kombinaci s automatickým škálováním clusteru Kubernetes můžete škálovat počet uzlů nahoru nebo dolů podle požadavků. Tento osvědčený postup při automatickém škálování minimalizuje náklady spuštěním pouze požadovaného počtu uzlů.

Prostředí Kubernetes v současné době nejsou zcela bezpečná pro nepřátelské použití s více tenanty. V prostředí s více tenanty pracuje více tenantů na společné sdílené infrastruktuře. Pokud všichni tenanti nemůžou být důvěryhodní, budete potřebovat další plánování, abyste zabránili tomu, aby tenanti ovlivnili zabezpečení a službu ostatních.

Další funkce zabezpečení, jako je RBAC Kubernetes pro uzly, efektivně blokují zneužití. Pro skutečné zabezpečení při spouštění nepřátelských úloh s více tenanty byste měli důvěřovat pouze hypervisoru. Doména zabezpečení pro Kubernetes se stane celým clusterem, ne jednotlivými uzly.

U těchto typů nepřátelských úloh s více tenanty byste měli používat fyzicky izolované clustery.

Fyzicky izolovat clustery

Osvědčené postupy

Minimalizujte použití fyzické izolace pro každé samostatné nasazení týmu nebo aplikace. Místo toho použijte logickou izolaci, jak je popsáno v předchozí části.

Fyzické oddělení clusterů AKS je běžným přístupem k izolaci clusteru. V tomto modelu izolace se týmům nebo úlohám přiřadí vlastní cluster AKS. I když fyzická izolace může vypadat jako nejjednodušší způsob izolace úloh nebo týmů, přidává správu a finanční režii. Teď musíte tyto více clusterů udržovat a jednotlivě poskytovat přístup a přiřazovat oprávnění. Také se vám budou účtovat jednotlivé uzly.

Fyzická izolace jednotlivých clusterů Kubernetes v AKS

Fyzicky oddělené clustery mají obvykle nízkou hustotu podů. Vzhledem k tomu, že každý tým nebo úloha má vlastní cluster AKS, cluster se často zřídí s výpočetními prostředky. Na těchto uzlech se často plánuje malý počet podů. Kapacitu nezařazeného uzlu nelze použít pro aplikace nebo služby ve vývoji jinými týmy. Tyto nadbytečné prostředky přispívají k dodatečným nákladům v fyzicky oddělených clusterech.

Další kroky

Tento článek se zaměřuje na izolaci clusteru. Další informace o operacích clusteru v AKS najdete v následujících osvědčených postupech: