Qu’est-ce qu’Azure Kubernetes Service ?

Azure Kubernetes Service (AKS) simplifie le déploiement d’un cluster Kubernetes managé dans Azure en déchargeant la surcharge opérationnelle sur Azure. En tant que service Kubernetes hébergé, Azure gère des tâches critiques telles que l’analyse de l’intégrité et la maintenance. Quand vous créez un cluster AKS, un plan de contrôle est automatiquement créé et configuré. Ce plan de contrôle est fourni gratuitement en tant que ressource Azure managée tirée de l’utilisateur. Vous payez et gérez uniquement pour les nœuds attachés au cluster AKS.

Vous créez un cluster AKS à l’aide des ressources suivantes :

Lorsque vous déployez un cluster AKS, vous spécifiez le nombre et la taille des nœuds, et AKS déploie et configure le plan de contrôle et les nœuds Kubernetes. La mise en réseau avancée, l’intégration Microsoft Entra, la surveillance ainsi que d’autres fonctionnalités peuvent être configurées durant le processus de déploiement.

Pour plus d’informations sur les principes fondamentaux de Kubernetes, consultez Concepts de base de Kubernetes pour AKS.

Notes

Ce service prend en charge Azure Lighthouse, qui permet aux fournisseurs de services de se connecter à leur propre locataire pour gérer les abonnements et les groupes de ressources que les clients ont délégués.

Notes

AKS prend également en charge les conteneurs Windows Server.

Accès, sécurité et surveillance

Pour une sécurité et une gestion améliorées, vous pouvez intégrer avec Microsoft Entra ID aux fins suivantes :

  • Utilisation du contrôle d’accès en fonction du rôle Kubernetes (RBAC Kubernetes).
  • Analyse du fonctionnement de votre cluster et de vos ressources.

Gestion de la sécurité et identité

Contrôle RBAC Kubernetes

Pour limiter l’accès aux ressources de cluster, AKS prend en charge le contrôle RBAC Kubernetes. Le RBAC Kubernetes contrôle l’accès et les autorisations en lien avec les ressources et espaces de noms Kubernetes.

Microsoft Entra ID

Vous pouvez aussi configurer un cluster AKS afin de l’intégrer à Microsoft Entra ID. L’intégration avec Microsoft Entra vous permet de configurer l’accès Kubernetes en fonction de l’identité et de l’appartenance de groupe existantes. Vos utilisateurs et groupes Microsoft Entra existants peuvent profiter d’une expérience d’authentification intégrée et accéder aux ressources AKS.

Pour plus d’informations sur l’identité, consultez Options d’accès et d’identité pour AKS.

Pour sécuriser vos clusters AKS, consultez Intégrer Microsoft Entra ID à AKS.

Fonctions de journalisation et de surveillance intégrées

Container Insights est une fonctionnalité d’Azure Monitor qui surveille l’intégrité et les performances des clusters Kubernetes managés hébergés sur AKS et fournit des vues et des classeurs interactifs qui analysent les données collectées pour divers scénarios de supervision. Il capture les métriques de plateforme et les journaux de ressources à partir de conteneurs, de nœuds et de contrôleurs au sein de vos clusters AKS et des applications déployées disponibles dans Kubernetes via l’API Metrics.

Container insights offre une intégration native avec AKS, par exemple en collectant des métriques et des journaux critiques, alertant sur les problèmes identifiés et fournissant une visualisation avec des classeurs ou une intégration avec Grafana. Il peut également collecter des métriques Prometheus et les envoyer au service géré Azure Monitor pour Prometheus, et fournir ensemble une observabilité de bout en bout.

Les journaux des composants du plan de contrôle AKS sont collectés séparément dans Azure en tant que journaux de ressources et envoyés à différents emplacements, tels que les journaux Azure Monitor. Pour plus d’informations, consultez Journaux de ressources.

Clusters et nœuds

Les nœuds AKS s’exécutent sur des machines virtuelles Azure. Avec des nœuds AKS, vous pouvez connecter le stockage à des nœuds et des pods, mettre à niveau les composants du cluster et utiliser des GPU. AKS prend en charge les clusters Kubernetes qui exécutent plusieurs pools de nœuds pour prendre en charge des systèmes d’exploitation mixtes et des conteneurs Windows Server.

Pour plus d’informations sur les fonctionnalités de cluster, de nœud et des pool de nœuds Kubernetes, consultez Concepts de base de Kubernetes pour AKS.

Nœud de cluster et la mise à l’échelle de pod

À mesure que la demande de ressources change, le nombre de nœuds de cluster ou de pods qui exécutent vos services est mis à l’échelle automatiquement. Vous pouvez ajuster le module de mise à l’échelle automatique du pod horizontal ou du cluster en fonction des demandes et exécuter uniquement les ressources nécessaires.

Pour plus d’informations, consultez Mettre à échelle un cluster AKS.

Mises à niveau du nœud de cluster

AKS offre plusieurs versions de Kubernetes. Au fur et à mesure de la disponibilité de nouvelles versions dans AKS, vous pouvez mettre à niveau votre cluster à l’aide du portail Azure, Azure CLI ou Azure PowerShell. Pendant le processus de mise à niveau, les nœuds sont soigneusement coordonnés et purgés afin de limiter les perturbations pour les applications en cours d’exécution.

Pour plus d’informations sur les versions du cycle de vie, consultez Versions de Kubernetes prises en charge dans AKS. Pour connaître les étapes de la mise à niveau, consultez Mettre à niveau un cluster AKS.

Nœuds avec processeur graphique (GPU)

AKS prend en charge la création de pools de nœuds avec GPU. Azure fournit actuellement une ou plusieurs machines virtuelles avec GPU. Les machines virtuelles avec GPU sont conçues pour des charges de travail de visualisation qui sont gourmandes en calcul et en graphisme.

Pour plus d’informations, consultez Utilisation des GPU sur AKS.

Nœuds d’informatique confidentielle (préversion publique)

AKS prend en charge la création de pools de nœuds d’informatique confidentielle basés sur Intel SGX (machines virtuelles DCSv2). Les nœuds d’informatique confidentielle permettent aux conteneurs de s’exécuter dans un environnement d’exécution approuvé basé sur du matériel (enclaves). L’isolement entre conteneurs, combiné à l’intégrité du code par le biais de l’attestation, peut être utile pour votre stratégie de sécurité de conteneur de défense en profondeur. Les nœuds d’informatique confidentielle prennent en charge à la fois les conteneurs confidentiels (applications Docker existantes) et les conteneurs prenant en charge les enclaves.

Pour plus d’informations, consultez Nœuds d’informatique confidentielle sur AKS.

Nœuds Azure Linux

Remarque

Le pool de nœuds Linux Azure est désormais en disponibilité générale (GA). Pour en savoir plus sur les avantages et les étapes de déploiement, consultez la Présentation de l’hôte de conteneur Linux Azure pour AKS.

L’hôte de conteneur Azure Linux pour AKS est une distribution Linux open source créée par Microsoft, qui est disponible en préversion en tant qu’hôte de conteneur sur Azure Kubernetes Service (AKS). L’hôte de conteneur Azure Linux pour AKS offre fiabilité et cohérence du cloud à la périphérie sur les produits AKS, AKS-HCI et Arc. Vous pouvez déployer des pools de nœuds Azure Linux dans un nouveau cluster, ajouter des pools de nœuds Azure Linux à vos clusters Ubuntu existants ou migrer vos nœuds Ubuntu vers des nœuds Azure Linux.

Pour plus d’informations, consultez Utiliser l’hôte de conteneur Azure Linux pour AKS.

Prise en charge du volume de stockage

Pour les charges de travail d’application, vous pouvez monter des volumes de stockage statiques ou dynamiques pour les données persistantes. Selon le nombre de pods connectés appelés à partager les volumes de stockage, vous pouvez utiliser un stockage adossé à :

Pour plus d’informations, consultez Options de stockage pour les applications dans AKS.

Réseaux virtuels et entrée

Un cluster AKS peut être déployé dans un réseau virtuel existant. Dans cette configuration, chaque pod du cluster se voit attribuer une adresse IP dans le réseau virtuel et peut communiquer directement avec d’autres pods du cluster et d’autres nœuds du réseau virtuel.

Les pods peuvent aussi se connecter à d’autres services dans un réseau virtuel appairé et des réseaux locaux via ExpressRoute ou des connexions VPN site à site (S2S).

Pour plus d’informations, consultez les Concepts réseau pour les applications dans AKS.

Entrée avec le module complémentaire de routage d’application

Le module complémentaire de routage d’application est la méthode recommandée pour configurer un contrôleur d’entrée dans AKS. Le module complémentaire de routage des applications est un contrôleur d’entrée entièrement managé pour Azure Kubernetes Service (AKS) qui fournit les fonctionnalités suivantes :

  • Configuration facile des contrôleurs NGINX Ingress managés basés sur le contrôleur d’entrée NGINX Kubernetes.

  • Intégration à Azure DNS pour la gestion des zones publiques et privées.

  • Arrêt SSL avec des certificats stockés dans Azure Key Vault

Pour plus d’informations sur le module complémentaire de routage d’application, consultez entrée MANAGED NGINX avec le module complémentaire de routage d’application.

Intégration d’outils de développement

Kubernetes dispose d’un riche écosystème d’outils de développement et de gestion qui fonctionnent de façon harmonieuse avec AKS. Parmi ces outils figurent Helm et l’extension Kubernetes pour Visual Studio Code.

Azure propose plusieurs outils qui permettent de rationaliser Kubernetes.

Prise en charge des images Docker et Registre de conteneurs privé

AKS prend en charge le format d’image Docker. Vous pouvez intégrer AKS à Azure Container Registry (ACR) pour stocker vos images Docker en privé.

Pour créer un magasin d’images privé, consultez Azure Container Registry.

Certification Kubernetes

AKS a été certifié conforme à Kubernetes par CNCF.

Conformité aux normes

AKS est conforme aux normes SOC, ISO, PCI DSS et HIPAA. Pour plus d’informations, consultez Présentation de la conformité Microsoft Azure.

Étapes suivantes

En savoir plus sur le déploiement et la gestion AKS.