Ajánlott eljárások a Azure Kubernetes Service (AKS) fürtelkülönítéséhez

A Azure Kubernetes Service (AKS) fürtöinek kezelése során gyakran el kell különítenie a csoportokat és a számítási feladatokat. Az AKS rugalmasságot biztosít a több-bérlős fürtök futtatásához és az erőforrások elkülönítéshez. A Kubernetesbe való befektetés maximalizálása érdekében először ismerje meg és valósítsa meg az AKS több-bérlős és elkülönítési funkcióit.

Ez az ajánlott eljárásokat ismertető cikk a fürtüzemeltetők elkülönítésére összpontosít. Ebben a cikkben az alábbiakkal ismerkedhet meg:

  • Több-bérlős fürtök tervezése és az erőforrások elkülönítése
  • Logikai vagy fizikai elkülönítés használata az AKS-fürtökben

Fürtök tervezése több-bérlős használatra

A Kubernetes lehetővé teszi, hogy logikailag elkülönítse a csoportokat és a számítási feladatokat ugyanabban a fürtben. A cél az, hogy a lehető legkevesebb jogosultságot biztosítsuk, az egyes csapatok által igényelt erőforrásokra korlátozva. A Kubernetes-névtér logikai elkülönítési határt hoz létre. Az elkülönítés és a több-bérlős kubernetes további funkciói és szempontjai a következő területeket foglalják magukban:

Ütemezés

Az ütemezés olyan alapvető funkciókat használ, mint az erőforráskvóták és a podkimaradási költségvetések. További információ ezekről a funkciókról: Ajánlott eljárások az AKS alapszintű ütemezőfunkcióihoz.

A speciálisabb ütemezőfunkciók a következők:

  • Aints and tolerations
  • Csomópontválasztók
  • Csomópont- és pod-affinitás vagy -affinitás.

További információ ezekről a funkciókról: Ajánlott eljárások az AKS speciális ütemezőfunkcióihoz.

Hálózatkezelés

A hálózatkezelés hálózati házirendek használatával szabályozza a podok bejövő és kimenő forgalmát.

Hitelesítés és engedélyezés

A hitelesítés és az engedélyezés a következőket használja:

  • Szerepköralapú hozzáférés-vezérlés (RBAC)
  • Az Azure Active Directory (AD) integrációja
  • Pod-identitások
  • Titkos kódok az Azure Key Vault

További információ ezekről a funkciókról: Ajánlott eljárások hitelesítéshez és engedélyezéshez az AKS-ben.

Tárolók

A tárolók a következők:

  • Az AKS Azure Policy bővítménye a pod biztonságának kikényszerítéséhez.
  • A pod biztonsági felvételének használata.
  • A rendszerképek és a futtatókörnyezet biztonsági réseinek vizsgálata.
  • Az App Armor vagy a Seccomp (Biztonságos számítástechnika) használatával korlátozhatja a tárolók hozzáférését a mögöttes csomóponthoz.

Fürtök logikai elkülönítése

Útmutatás az ajánlott eljárásokhoz

Csapatok és projektek elkülönítése logikai elkülönítéssel. Minimalizálja a csapatok vagy alkalmazások elkülönítéséhez üzembe helyezendő fizikai AKS-fürtök számát.

Logikai elkülönítés esetén egyetlen AKS-fürt több számítási feladathoz, csapathoz vagy környezethez is használható. A Kubernetes-névterek alkotják a számítási feladatok és erőforrások logikai elkülönítési határát.

Kubernetes-fürt logikai elkülönítése az AKS-ben

A fürtök logikai elkülönítése általában nagyobb podsűrűséget biztosít, mint a fizikailag elkülönített fürtök, és kevesebb számítási kapacitás áll tétlenül a fürtön. A Kubernetes-fürt automatikus skálázójával kombinálva a csomópontok számát vertikálisan vagy lefelé skálázhatja az igényeknek megfelelően. Az automatikus skálázás ezen ajánlott eljárása minimálisra csökkenti a költségeket, ha csak a szükséges csomópontok számát futtatja.

A Kubernetes-környezetek jelenleg nem teljesen biztonságosak az ellenséges több-bérlős használathoz. Több-bérlős környezetben több bérlő dolgozik egy közös, megosztott infrastruktúrán. Ha nem lehet minden bérlőt megbízhatónak minősíteni, további tervezésre van szükség, hogy a bérlők ne befolyásolják mások biztonságát és szolgáltatását.

További biztonsági funkciók, például a Kubernetes RBAC a csomópontokhoz, hatékonyan blokkolják a kihasználtságokat. A valódi biztonság érdekében, ha ellenséges több-bérlős számítási feladatokat futtat, csak egy hipervizorban kell megbíznia. A Kubernetes biztonsági tartománya a teljes fürt lesz, nem pedig egy különálló csomópont.

Az ilyen típusú ellenséges több-bérlős számítási feladatokhoz fizikailag elkülönített fürtöket kell használnia.

Fürtök fizikai elkülönítése

Útmutatás az ajánlott eljárásokhoz

Minimalizálja a fizikai elkülönítés használatát minden egyes különálló csapat- vagy alkalmazástelepítés esetében. Ehelyett használjon logikai elkülönítést az előző szakaszban leírtak szerint.

Az AKS-fürtök fizikai elkülönítése a fürtelkülönítés gyakori megközelítése. Ebben az elkülönítési modellben a csapatok vagy számítási feladatok saját AKS-fürthöz vannak rendelve. Bár a fizikai elkülönítés a számítási feladatok vagy csapatok elkülönítésének legegyszerűbb módja, a felügyeleti és pénzügyi többletterhelést is növeli. Most fenn kell tartania ezeket a fürtöket, és egyenként biztosítania kell a hozzáférést, és engedélyeket kell hozzárendelnie. Az egyes csomópontokért is díjat kell fizetnie.

Egyéni Kubernetes-fürtök fizikai elkülönítése az AKS-ben

A fizikailag különálló fürtök általában alacsony podsűrűségűek. Mivel minden csapat vagy számítási feladat saját AKS-fürttel rendelkezik, a fürtöt gyakran túlterhelik számítási erőforrásokkal. Ezeken a csomópontokon gyakran kevés pod van ütemezve. A nem igényelt csomópontkapacitás nem használható más csapatok által fejlesztés alatt lévő alkalmazásokhoz vagy szolgáltatásokhoz. Ezek a többleterőforrások hozzájárulnak a fizikailag különálló fürtök további költségeihez.

Következő lépések

Ez a cikk a fürtelkülönítésre összpontosított. Az AKS-ben végzett fürtműveletekkel kapcsolatos további információkért tekintse meg az alábbi ajánlott eljárásokat: