Ajánlott eljárások a fürtelkülönítéshez az Azure Kubernetes Service-ben (AKS)

Amikor fürtöket kezel az Azure Kubernetes Service-ben (AKS), gyakran el kell különítenie a csapatokat és a számítási feladatokat. Az AKS lehetővé teszi a több-bérlős fürtök futtatásának és az erőforrások elkülönítésének rugalmasságát. A Kubernetesbe történő befektetés maximalizálása érdekében fontos, hogy tisztában legyen az AKS több-bérlős és elkülönítési funkcióival.

Ez az ajánlott eljárásokat ismertető cikk a fürtoperátorok elkülönítésére összpontosít. Ebben a cikkben az alábbiakkal ismerkedhet meg:

• Több-bérlős fürtök tervezése és az erőforrások elkülönítése.
• Használjon logikai vagy fizikai elkülönítést az AKS-fürtökben.

Fürtök tervezése több-bérlős használatra

A Kubernetes lehetővé teszi, hogy logikailag elkülönítse a csoportokat és a számítási feladatokat ugyanabban a fürtben. A cél az, hogy az egyes munkacsoportok igényei alapján a lehető legkevesebb jogosultság legyen kiosztva. A Kubernetes-névtér logikai elkülönítési határt hoz létre. A Kubernetes egyéb funkciói és szempontjai az elkülönítés és a több-bérlősség szempontjából a következő területeket foglalják magukban:

• Ajánlott eljárások a fürtelkülönítéshez az Azure Kubernetes Service-ben (AKS)
  • Fürtök tervezése több-bérlős használatra
    • Ütemezés
    • Hálózat
    • Hitelesítés és engedélyezés
    • Containers
  • Logikailag izolált fürtök
  • Fizikailag izolált fürtök
  • Következő lépések

Ütemezés

Az ütemezés olyan alapvető funkciókat használ, mint az erőforráskvóták és a podkimaradási költségvetések. További információ ezekről a funkciókról: Ajánlott eljárások az AKS alapszintű ütemező funkcióihoz.

A speciális ütemező funkciók közé tartoznak a következők:

• Taints és tolerations.
• Csomópontválasztók.
• Csomópont- és pod-affinitás vagy anti-affinitás.

További információ ezekről a funkciókról: Ajánlott eljárások az AKS speciális ütemező funkcióihoz.

Hálózat

A hálózatkezelés hálózati szabályzatokkal szabályozza a podok bejövő és kimenő forgalmát.

További információ: Podok közötti adatforgalom biztonságossá tétele hálózati házirendek használatával az AKS-ben.

Hitelesítés és engedélyezés

A hitelesítés és az engedélyezés a következőket használja:

• Szerepköralapú hozzáférés-vezérlés (RBAC).
• Microsoft Entra-integráció.
• Pod-identitások.
• Titkos kódok az Azure Key Vaultban.

További információ ezekről a funkciókról: Ajánlott eljárások az AKS-ben való hitelesítéshez és engedélyezéshez.

Tárolók

A tárolók a következők:

• Az AKS Azure Policy-bővítménye a podbiztonság kikényszerítéséhez.
• Pod biztonsági felvétel.
• Rendszerképek és futtatókörnyezetek vizsgálata biztonsági rések esetén.
• Az App Armor vagy a Seccomp (Secure Computing) használatával korlátozhatja a tárolók hozzáférését a mögöttes csomóponthoz.

Logikailag izolált fürtök

Ajánlott eljárások útmutatója

Csoportok és projektek elkülönítése logikai elkülönítéssel. Minimalizálja a csapatok vagy alkalmazások elkülönítéséhez üzembe helyezendő fizikai AKS-fürtök számát.

Logikai elkülönítéssel egyetlen AKS-fürtöt használhat több számítási feladathoz, csapathoz vagy környezethez. A Kubernetes-névterek alkotják a számítási feladatok és erőforrások logikai elkülönítési határát.

A fürtök logikai elkülönítése általában nagyobb podsűrűséget biztosít, mint a fizikailag izolált fürtök, és kevesebb számítási kapacitás áll tétlenül a fürtben. A Kubernetes-fürt automatikus skálázójával kombinálva a csomópontok számát felfelé vagy lefelé skálázhatja az igényeknek megfelelően. Ez az ajánlott eljárás úgy csökkenti a költségeket, hogy csak a szükséges számú csomópontot futtatja.

A Kubernetes-környezetek nem teljesen biztonságosak az ellenséges több-bérlős használathoz. Több-bérlős környezetben több bérlő dolgozik egy megosztott infrastruktúrán. Ha az összes bérlő nem megbízható, további tervezésre van szükség, hogy a bérlők ne befolyásolják mások biztonságát és szolgáltatását.

Más biztonsági funkciók, például a Kubernetes RBAC csomópontokhoz, hatékonyan blokkolják a kihasználtságokat. Az ellenséges több-bérlős számítási feladatok futtatásakor a valódi biztonság érdekében csak a hipervizorokban kell megbíznia. A Kubernetes biztonsági tartománya a teljes fürt lesz, nem pedig egy egyedi csomópont.

Az ilyen típusú ellenséges több-bérlős számítási feladatokhoz fizikailag elkülönített fürtöket kell használnia.

Fizikailag izolált fürtök

Ajánlott eljárások útmutatója

Minimalizálja a fizikai elkülönítés használatát minden egyes különálló csapat- vagy alkalmazástelepítésnél, és ehelyett használjon logikai elkülönítést.

Az AKS-fürtök fizikai elkülönítése gyakori módszer a fürtelkülönítésre. Ebben az elkülönítési modellben a csapatok vagy számítási feladatok saját AKS-fürtöt kapnak. Bár a fizikai elkülönítés a számítási feladatok vagy csapatok elkülönítésének legegyszerűbb módja lehet, a felügyeleti és a pénzügyi többletterhelést is növeli. Fizikailag izolált fürtöknél több fürtöt kell fenntartania, és egyenként kell hozzáférést biztosítania és engedélyeket kell hozzárendelnie. Az egyes csomópontokért is díjat kell fizetnie.

A fizikailag izolált fürtök általában alacsony podsűrűségűek. Mivel minden csapatnak vagy számítási feladatnak saját AKS-fürtje van, a fürt gyakran túl van építve számítási erőforrásokkal. Ezeken a csomópontokon gyakran néhány pod van ütemezve. A nem igényelt csomópontkapacitás nem használható más csapatok által fejlesztés alatt lévő alkalmazásokhoz vagy szolgáltatásokhoz. Ezek a többleterőforrások hozzájárulnak a fizikailag izolált fürtök többletköltségeihez.

Következő lépések

Ez a cikk a fürtelkülönítésre összpontosított. Az AKS-fürtműveletekkel kapcsolatos további információkért tekintse meg az alábbi ajánlott eljárásokat ismertető cikkeket:

• A Kubernetes scheduler alapfunkciói
• A Kubernetes scheduler speciális funkciói
• Hitelesítés és engedélyezés