Řízení moderních řešení aplikační platformy
Architektura přechodu na cloud poskytuje metodologii pro systematicky a přírůstkové zlepšení zásad správného řízení vašeho cloudového portfolia. Tento článek ukazuje, jak můžete rozšířit přístup zásad správného řízení na clustery Kubernetes nasazené do Azure nebo do jiných veřejných nebo privátních cloudů.
Základ počátečních zásad správného řízení
Zásady správného řízení začínají počátečním základem zásad správného řízení, který se často označuje jako MVP zásad správného řízení. Tento základ nasadí základní produkty Azure potřebné k poskytování zásad správného řízení napříč cloudovým prostředím.
Počáteční základ zásad správného řízení se zaměřuje na následující aspekty zásad správného řízení:
- Základní hybridní síť a možnosti připojení
- Řízení přístupu na základě role v Azure (RBAC) pro řízení identit a přístupu
- Standardy pojmenování a označování pro konzistentní identifikaci prostředků
- Uspořádání prostředků pomocí skupin prostředků, předplatných a skupin pro správu
- Použití služby Azure Policy k vynucení zásad správného řízení
Tyto funkce počátečního základu zásad správného řízení se dají použít k řízení instancí řešení moderních aplikačních platforem. Nejprve ale budete muset do počátečního základu přidat několik komponent, abyste na kontejnery použili Azure Policy. Po nakonfigurování můžete pomocí služby Azure Policy a počátečního základu zásad správného řízení řídit následující typy kontejnerů:
Rozšíření disciplín zásad správného řízení
Pomocí počátečního základu zásad správného řízení můžete rozšířit různé disciplíny zásad správného řízení, abyste zajistili konzistentní a stabilní přístupy k nasazení ve všech instancích Kubernetes.
Zásady správného řízení clusterů Kubernetes se dají podívat na pět různých perspektiv.
Zásady správného řízení prostředků Azure
První je perspektiva prostředků Azure. Zajištění, aby všechny clustery dodržovaly požadavky vaší organizace. To zahrnuje koncepty, jako jsou topologie sítě, privátní cluster, role Azure RBAC pro týmy SRE, nastavení diagnostiky, dostupnost oblastí, aspekty fondu uzlů, zásady správného řízení služby Azure Container Registry, možnosti Azure Load Balanceru, doplňky AKS, nastavení diagnostiky atd. Tyto zásady správného řízení zajišťují konzistenci ve vzhledu a chování a topologii clusterů ve vašich organizacích. Mělo by se to rozšířit také na spouštění po nasazení clusteru, například na to, jaké agenty zabezpečení je potřeba nainstalovat a jak se mají nakonfigurovat.
Clustery Snowflake se obtížně řídí v jakékoli centrální kapacitě. Minimalizujte nesrovnalosti mezi clustery, aby zásady mohly používat jednotně a neobvyklé clustery, se nedoporučuje a rozpoznávají. To může zahrnovat také technologie používané k nasazení clusterů, jako je ARM, Bicep nebo Terraform.
Azure Policy použité na úrovni skupiny pro správu nebo předplatného může pomoct zajistit spoustu těchto aspektů, ale ne všechny.
Zásady správného řízení úloh Kubernetes
Vzhledem k tomu, že Kubernetes je sama o sobě platformou, druhým je zásady správného řízení toho, co se děje v rámci clusteru. Patří sem například pokyny k oboru názvů, zásady sítě, RBAC Kubernetes, limity a kvóty. To by se na úlohy aplikovalo na zásady správného řízení, méně pro cluster. Každá úloha bude jedinečná, protože všechny řeší různé obchodní problémy a budou implementovány různými způsoby s různými technologiemi. Nemusí existovat mnoho postupů zásad správného řízení "jedna velikost odpovídá všem", ale měli byste zvážit zásady správného řízení týkající se vytváření/spotřeby artefaktů OCI, požadavků na dodavatelské řetězce, využití veřejného registru kontejnerů, procesu kvazování imagí, zásad správného řízení kanálu nasazení.
Zvažte standardizaci běžných nástrojů a vzorů, pokud je to možné. Uveďte doporučení týkající se technologií, jako jsou Helm, service mesh, kontrolery příchozího přenosu dat, operátory GitOps, trvalé svazky atd. Součástí tohoto článku by byly také zásady správného řízení týkající se použití spravované identity podu a získávání tajných kódů ze služby Key Vault.
Zajistěte, aby vlastníci úloh měli odpovídající přístup k metrikám a datům, které potřebují ke zlepšení svého produktu, a zároveň zajistili, aby operátoři clusteru měli přístup k telemetrii systému, aby zlepšili nabídku služeb. Data často musí být vzájemně korelována. Zajistěte, aby zásady správného řízení byly v případě potřeby zajištěny odpovídající přístup.
Azure Policy pro AKS použité na úrovni clusteru může pomoct některé z nich, ale ne všechny.
Role operátora clusteru (DevOps, SRE)
Třetí je zásady správného řízení týkající se rolí operátora clusteru. Jak týmy SRE interagují s clustery? Jaký je vztah mezi tímto týmem a týmem úloh. Jsou stejné? Operátoři clusteru by měli mít jasně definovaný playbook pro aktivity třídění clusterů, jako je například přístup ke clusterům, z místa, kde ke clusterům přistupují, a jaká oprávnění mají v clusterech a kdy jsou tato oprávnění přiřazená. Zajistěte, aby se v dokumentaci k zásadám správného řízení, zásadách a trénovacích materiálech týkajících se operátora úloh a operátoru clusteru v tomto kontextu provedly nějaké rozdíly. V závislosti na vaší organizaci můžou být stejné.
Cluster na úlohu nebo mnoho úloh na cluster
Čtvrtým je zásady správného řízení pro víceklientské prostředí. To znamená, že by clustery měly obsahovat "podobné seskupení" aplikací vlastněných definicí, a to vše stejným týmem úloh a představovat jednu sadu souvisejících komponent úloh. Nebo by měly být clustery záměrně víceklienty v přírodě s několika různorodými úlohami a vlastníky úloh; a řídí se jako nabídka spravovaných služeb v rámci organizace. Strategie zásad správného řízení se pro každou z nich výrazně liší a proto byste měli řídit, že se vybraná strategie vynucuje. Pokud potřebujete podporovat oba modely, ujistěte se, že je váš plán zásad správného řízení jasně definovaný pro zásady, pro které se vztahují typy clusterů.
Tato volba by měla být provedena během fáze strategie, protože má významný dopad na personální obsazení, rozpočtování a inovace.
Udržování aktuálního úsilí
Pátý je kolem operací, jako je aktuálnost image uzlu (opravy) a správa verzí Kubernetes. Kdo zodpovídá za upgrady imagí uzlů, sledování použitých oprav, sledování a sestavování plánů nápravy pro Kubernetes a AKS– běžná ohrožení zabezpečení a expozice? Týmy úloh musí být zapojeny do ověřování svých řešení na upgradech clusterů a pokud vaše clustery nejsou aktuální, přestanou podporovat Azure. V AKS je důležité mít silné zásady správného řízení v oblasti "udržování aktuálního stavu", takže většina ostatních platforem v Azure. To bude vyžadovat velmi blízký pracovní vztah s aplikačními týmy a vyhrazený čas, a to alespoň jednou měsíčně, aby ověření úloh zajistilo, že clustery zůstanou aktuální. Zajistěte, aby všechny týmy, které využívají závislost na Kubernetes, porozuměly požadavkům a nákladům probíhajícího úsilí, které budou trvat, dokud budou na platformě.
Standardní hodnoty zabezpečení
Do standardních hodnot zabezpečení můžete přidat následující osvědčené postupy, které budou zohledňovat zabezpečení clusterů AKS:
- Zabezpečené pody
- Zabezpečení provozu mezi pody
- Autorizovaný přístup IP pro rozhraní API AKS, pokud nepoužívá privátní clustery.
Identita
Existuje mnoho osvědčených postupů, které můžete použít u standardních hodnot identit, abyste zajistili konzistentní správu identit a přístupu napříč clustery Kubernetes:
- Integrace Microsoft Entra
- Integrace RBAC a Microsoft Entra
- Spravované identity v Kubernetes
- Přístup k dalším prostředkům Azure pomocí identity podu Microsoft Entra
Další krok: Správa řešení moderních aplikačních platforem
Následující články vás povedou k pokynům v konkrétních bodech na cestě přechodu na cloud, abyste mohli být úspěšní ve scénáři přechodu na cloud.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro