Ajánlott eljárások a fürtelkülönítéshez az Azure Kubernetes Service-ben (AKS)
Amikor fürtöket kezel az Azure Kubernetes Service-ben (AKS), gyakran el kell különítenie a csapatokat és a számítási feladatokat. Az AKS lehetővé teszi a több-bérlős fürtök futtatásának és az erőforrások elkülönítésének rugalmasságát. A Kubernetesbe történő befektetés maximalizálása érdekében fontos, hogy tisztában legyen az AKS több-bérlős és elkülönítési funkcióival.
Ez az ajánlott eljárásokat ismertető cikk a fürtoperátorok elkülönítésére összpontosít. Ebben a cikkben az alábbiakkal ismerkedhet meg:
- Több-bérlős fürtök tervezése és az erőforrások elkülönítése.
- Használjon logikai vagy fizikai elkülönítést az AKS-fürtökben.
Fürtök tervezése több-bérlős használatra
A Kubernetes lehetővé teszi, hogy logikailag elkülönítse a csoportokat és a számítási feladatokat ugyanabban a fürtben. A cél az, hogy az egyes munkacsoportok igényei alapján a lehető legkevesebb jogosultság legyen kiosztva. A Kubernetes-névtér logikai elkülönítési határt hoz létre. A Kubernetes egyéb funkciói és szempontjai az elkülönítés és a több-bérlősség szempontjából a következő területeket foglalják magukban:
Ütemezés
Az ütemezés olyan alapvető funkciókat használ, mint az erőforráskvóták és a podkimaradási költségvetések. További információ ezekről a funkciókról: Ajánlott eljárások az AKS alapszintű ütemező funkcióihoz.
A speciális ütemező funkciók közé tartoznak a következők:
- Taints és tolerations.
- Csomópontválasztók.
- Csomópont- és pod-affinitás vagy anti-affinitás.
További információ ezekről a funkciókról: Ajánlott eljárások az AKS speciális ütemező funkcióihoz.
Hálózat
A hálózatkezelés hálózati szabályzatokkal szabályozza a podok bejövő és kimenő forgalmát.
További információ: Podok közötti adatforgalom biztonságossá tétele hálózati házirendek használatával az AKS-ben.
Hitelesítés és engedélyezés
A hitelesítés és az engedélyezés a következőket használja:
- Szerepköralapú hozzáférés-vezérlés (RBAC).
- Microsoft Entra-integráció.
- Pod-identitások.
- Titkos kódok az Azure Key Vaultban.
További információ ezekről a funkciókról: Ajánlott eljárások az AKS-ben való hitelesítéshez és engedélyezéshez.
Tárolók
A tárolók a következők:
- Az AKS Azure Policy-bővítménye a podbiztonság kikényszerítéséhez.
- Pod biztonsági felvétel.
- Rendszerképek és futtatókörnyezetek vizsgálata biztonsági rések esetén.
- Az App Armor vagy a Seccomp (Secure Computing) használatával korlátozhatja a tárolók hozzáférését a mögöttes csomóponthoz.
Logikailag izolált fürtök
Ajánlott eljárások útmutatója
Csoportok és projektek elkülönítése logikai elkülönítéssel. Minimalizálja a csapatok vagy alkalmazások elkülönítéséhez üzembe helyezendő fizikai AKS-fürtök számát.
Logikai elkülönítéssel egyetlen AKS-fürtöt használhat több számítási feladathoz, csapathoz vagy környezethez. A Kubernetes-névterek alkotják a számítási feladatok és erőforrások logikai elkülönítési határát.
A fürtök logikai elkülönítése általában nagyobb podsűrűséget biztosít, mint a fizikailag izolált fürtök, és kevesebb számítási kapacitás áll tétlenül a fürtben. A Kubernetes-fürt automatikus skálázójával kombinálva a csomópontok számát felfelé vagy lefelé skálázhatja az igényeknek megfelelően. Ez az ajánlott eljárás úgy csökkenti a költségeket, hogy csak a szükséges számú csomópontot futtatja.
A Kubernetes-környezetek nem teljesen biztonságosak az ellenséges több-bérlős használathoz. Több-bérlős környezetben több bérlő dolgozik egy megosztott infrastruktúrán. Ha az összes bérlő nem megbízható, további tervezésre van szükség, hogy a bérlők ne befolyásolják mások biztonságát és szolgáltatását.
Más biztonsági funkciók, például a Kubernetes RBAC csomópontokhoz, hatékonyan blokkolják a kihasználtságokat. Az ellenséges több-bérlős számítási feladatok futtatásakor a valódi biztonság érdekében csak a hipervizorokban kell megbíznia. A Kubernetes biztonsági tartománya a teljes fürt lesz, nem pedig egy egyedi csomópont.
Az ilyen típusú ellenséges több-bérlős számítási feladatokhoz fizikailag elkülönített fürtöket kell használnia.
Fizikailag izolált fürtök
Ajánlott eljárások útmutatója
Minimalizálja a fizikai elkülönítés használatát minden egyes különálló csapat- vagy alkalmazástelepítésnél, és ehelyett használjon logikai elkülönítést.
Az AKS-fürtök fizikai elkülönítése gyakori módszer a fürtelkülönítésre. Ebben az elkülönítési modellben a csapatok vagy számítási feladatok saját AKS-fürtöt kapnak. Bár a fizikai elkülönítés a számítási feladatok vagy csapatok elkülönítésének legegyszerűbb módja lehet, a felügyeleti és a pénzügyi többletterhelést is növeli. Fizikailag izolált fürtöknél több fürtöt kell fenntartania, és egyenként kell hozzáférést biztosítania és engedélyeket kell hozzárendelnie. Az egyes csomópontokért is díjat kell fizetnie.
A fizikailag izolált fürtök általában alacsony podsűrűségűek. Mivel minden csapatnak vagy számítási feladatnak saját AKS-fürtje van, a fürt gyakran túl van építve számítási erőforrásokkal. Ezeken a csomópontokon gyakran néhány pod van ütemezve. A nem igényelt csomópontkapacitás nem használható más csapatok által fejlesztés alatt lévő alkalmazásokhoz vagy szolgáltatásokhoz. Ezek a többleterőforrások hozzájárulnak a fizikailag izolált fürtök többletköltségeihez.
Következő lépések
Ez a cikk a fürtelkülönítésre összpontosított. Az AKS-fürtműveletekkel kapcsolatos további információkért tekintse meg az alábbi ajánlott eljárásokat ismertető cikkeket: