Azure Well-Architected-keretrendszer áttekintése – Azure Kubernetes Service (AKS)
Ez a cikk a Azure Kubernetes Service (AKS) architektúrával kapcsolatos ajánlott eljárásait ismerteti. Az útmutató az architektúra kiválóságának öt pillérén alapul:
- Megbízhatóság
- Biztonság
- Költségoptimalizálás
- Működésbeli kiválóság
- Teljesítményhatékonyság
Feltételezzük, hogy ismeri a rendszertervezés alapelveit, ismeri a Azure Kubernetes Service, és jól ismeri annak funkcióit. További információ: Azure Kubernetes Service.
Előfeltételek
A Well-Architected-keretrendszer pilléreinek megértése segíthet a kiváló minőségű, stabil és hatékony felhőarchitektúra létrehozásában. Javasoljuk, hogy tekintse át a számítási feladatokat az Azure Well-Architected Framework Review értékelésével.
A kontextus szempontjából érdemes lehet áttekinteni egy referenciaarchitektúrát, amely tükrözi ezeket a szempontokat a kialakításában. Javasoljuk, hogy kezdje az alaparchitektúrával egy Azure Kubernetes Service (AKS) fürt és mikroszolgáltatás-architektúra Azure Kubernetes Service. Tekintse át az AKS célzónagyorsítót is, amely architekturális megközelítést és referencia-implementációt biztosít a célzóna-előfizetések skálázható Azure Kubernetes Service (AKS) fürthöz való előkészítéséhez.
Megbízhatóság
A felhőben elismerjük, hogy hibák történnek. Az összes hiba megakadályozása helyett a cél egyetlen hibás összetevő hatásának minimálisra csökkentése. A sikertelen példányok minimalizálásához használja az alábbi információkat.
A megbízhatóság Azure Kubernetes Service való megvitatásakor fontos különbséget tenni a fürt megbízhatósága és a számítási feladatok megbízhatósága között. A fürt megbízhatósága megosztott felelősség a fürt rendszergazdája és az erőforrás-szolgáltató között, míg a számítási feladatok megbízhatósága egy fejlesztő tartománya. Azure Kubernetes Service mindkét szerepkörre vonatkozóan megfontolandó szempontokat és javaslatokat ad.
Az alábbi tervezési ellenőrzőlistában és javaslatok listájában a rendszer kijelezi, hogy az egyes lehetőségek alkalmazhatók-e a fürtarchitektúrára, a számítási feladatok architektúrájára vagy mindkettőre.
Tervezési ellenőrzőlista
- Fürtarchitektúra: Kritikus számítási feladatok esetén használja a rendelkezésre állási zónákat az AKS-fürtökhöz.
- Fürtarchitektúra: Tervezze meg az IP-címtartományt, hogy a fürt megbízhatóan skálázható legyen, beleértve a többfürtös topológiák feladatátvételi forgalmának kezelését is.
- Fürtarchitektúra: Engedélyezze a Container Insightst a fürt figyeléséhez és a megbízhatóságot befolyásoló események riasztásainak konfigurálásához.
- Számítási feladatok architektúrája: Győződjön meg arról, hogy a számítási feladatok a horizontális skálázás támogatásához, valamint az alkalmazások felkészültségének és állapotának jelentéséhez készültek.
- Fürt- és számítási feladatok architektúrái: Győződjön meg arról, hogy a számítási feladat a felhasználói csomópontkészleteken fut, és a megfelelő méretű termékváltozatot választotta. Legalább két csomópontot adjon meg a felhasználói csomópontkészletekhez, és három csomópontot a rendszercsomópontkészlethez.
- Fürtarchitektúra: Az AKS üzemidejű SLA használatával teljesítse az éles számítási feladatok rendelkezésre állási céljait.
AKS-konfigurációs javaslatok
Az AKS megbízhatósági konfigurációjának optimalizálásához tekintse meg az alábbi javaslattáblát.
| Ajánlás | Előny |
|---|---|
| Fürt- és számítási feladatok architektúrái: A podütemezés vezérlése csomópontválasztókkal és affinitással. | Lehetővé teszi, hogy a Kubernetes-ütemező logikailag elkülönítse a számítási feladatokat a csomópont hardvere alapján. A tűréshatároktól eltérően a megfelelő csomópontválasztóval nem rendelkező podok ütemezhetők címkézett csomópontokra, amelyek lehetővé teszik a csomópontok nem használt erőforrásainak felhasználását, de elsőbbséget ad az egyező csomópontválasztót meghatározó podoknak. Használjon csomópont-affinitást a nagyobb rugalmasság érdekében, amely lehetővé teszi annak meghatározását, hogy mi történik, ha a pod nem felel meg egy csomópontnak. |
| Fürtarchitektúra: Győződjön meg a hálózati beépülő modul megfelelő kiválasztásáról a hálózati követelmények és a fürtméretezés alapján. | Az Azure CNI bizonyos forgatókönyvekhez szükséges, például Windows-alapú csomópontkészletekhez, adott hálózati követelményekhez és Kubernetes-hálózati szabályzatokhoz. További információt a Kubenet és az Azure CNI között talál. |
| Fürt- és számítási feladatok architektúrái: Használja az AKS Üzemidő SLA-t éles szintű fürtökhöz. | Az AKS üzemidejű SLA a következőket garantálja: - 99.95%az Azure Availability Zones használó AKS-fürtök Kubernetes API-kiszolgálóvégpontjának rendelkezésre állása, vagy- 99.9%rendelkezésre állás olyan AKS-fürtökhöz, amelyek nem használják az Azure Availability Zones. |
| Fürt- és számítási feladatok architektúrái: Konfigurálja a fürt monitorozását a Container Insights használatával. | A tárolóelemzések segítenek a Kubernetesben elérhető vezérlők, csomópontok és tárolók állapotának és teljesítményének monitorozásában a Metrics API-n keresztül. A Prometheussal való integráció lehetővé teszi az alkalmazás- és számítási feladatok metrikáinak gyűjtését. |
| Fürtarchitektúra: A rendelkezésre állási zónák használatával maximalizálhatja az Azure-régión belüli rugalmasságot az AKS-ügynökcsomópontok fizikailag különálló adatközpontok közötti elosztásával. | A csomópontkészletek több zóna közötti elosztásával az egyik csomópontkészlet csomópontjai akkor is futni fognak, ha egy másik zóna leállt. Ha léteznek kolocalitási követelmények, akkor egy normál, VMSS-alapú AKS-üzembe helyezés egyetlen zónába vagy közelségi elhelyezési csoportokba használható az csomópontok közötti késés minimalizálására. |
| Fürtarchitektúra:Többrégiós stratégia bevezetése a különböző Azure-régiókban üzembe helyezett AKS-fürtök üzembe helyezésével a rendelkezésre állás maximalizálása és az üzletmenet folytonosságának biztosítása érdekében. | Az internetkapcsolattal rendelkező számítási feladatoknak az Azure Front Doort vagy az Azure Traffic Managert kell használniuk a forgalom globális irányításához az AKS-fürtök között. |
| Fürt- és számítási feladatok architektúrái: Poderőforrás-kérések és -korlátok meghatározása az alkalmazástelepítési jegyzékekben, és kényszerítés Azure Policy. | A tároló cpu- és memóriaerőforrás-korlátaira azért van szükség, hogy megakadályozza az erőforrások kimerülését a Kubernetes-fürtben. |
| Fürt- és számítási feladatok architektúrái: Tartsa elkülönítve a rendszercsomópontkészletet az alkalmazás számítási feladataitól. | A rendszercsomópont-készletek legalább 2 virtuálisgép-termékváltozatot és 4 GB memóriát igényelnek, de legalább 4 vCPU használata ajánlott. A részletes követelményekért tekintse meg a rendszer- és felhasználói csomópontkészleteket . |
| Fürt- és számítási feladatok architektúrái: Különítse el az alkalmazásokat a dedikált csomópontkészletekhez adott követelmények alapján. | Az alkalmazások ugyanazt a konfigurációt használhatják, és GPU-kompatibilis virtuális gépekre, processzor- vagy memóriaoptimalizált virtuális gépekre, illetve a nullára skálázási képességre is szükség lehet. Kerülje a nagy számú csomópontkészletet, hogy csökkentse a felügyeleti többletterhelést. |
| Fürtarchitektúra: Használjon NAT-átjárót olyan fürtökhöz, amelyek olyan számítási feladatokat futtatnak, amelyek több egyidejű kimenő kapcsolatot létesítenek. | A magas egyidejű kimenő forgalom Azure Load Balancer korlátozásaival kapcsolatos megbízhatósági problémák elkerülése érdekében inkább egy NAT Gatewayt használunk, amely nagy léptékben támogatja a megbízható kimenő forgalmat. |
További javaslatokért lásd a megbízhatósági pillér alapelveit.
Azure Policy
Azure Kubernetes Service számos beépített Azure-szabályzatot kínál, amelyek mind az Azure-erőforrásra, például a tipikus Azure-szabályzatokra, mind a Kubernetes Azure Policy bővítményét használják, a fürtön belül is. Számos politika létezik, és a pillérhez kapcsolódó legfontosabb politikákat itt foglaljuk össze. Részletesebb nézetért lásd a Kubernetes beépített szabályzatdefinícióit.
Fürt- és számítási feladatok architektúrája
- A fürtök készenléti vagy élettartam-állapotteszteket konfiguráltak a pod specifikációjához.
A beépített Azure Policy definíciók mellett egyéni szabályzatok is létrehozhatók az AKS-erőforráshoz és a Kubernetes Azure Policy bővítményéhez. Ez lehetővé teszi további megbízhatósági korlátozások hozzáadását a fürt- és számítási feladatarchitektúrában.
Biztonság
A biztonság minden architektúra esetében az egyik legfontosabb szempont. Annak megismeréséhez, hogy az AKS hogyan erősítheti meg az alkalmazás számítási feladatainak biztonságát, javasoljuk, hogy tekintse át a biztonsági tervezési alapelveket. Ha a Azure Kubernetes Service-fürtöt olyan érzékeny számítási feladatok futtatására kell tervezni, amelyek megfelelnek a Payment Card Industry Data Security Standard (PCI-DSS 3.2.1) jogszabályi követelményeinek, tekintse át a PCI-DSS 3.2.1-hez készült AKS-szabályozott fürtöt.
A DoD Impact Level 5 (IL5) AKS-támogatásával és követelményeivel kapcsolatos további információkért tekintse át Azure Government IL5 elkülönítési követelményeket.
A biztonság Azure Kubernetes Service való megvitatásakor fontos különbséget tenni a fürtbiztonság és a számítási feladatok biztonsága között. A fürtbiztonság megosztott felelősség a fürt rendszergazdája és az erőforrás-szolgáltató között, míg a számítási feladatok biztonsága egy fejlesztő tartománya. Azure Kubernetes Service mindkét szerepkörre vonatkozóan megfontolandó szempontokat és javaslatokat ad.
Az alábbi tervezési ellenőrzőlistában és javaslatok listájában a rendszer kijelezi, hogy az egyes lehetőségek alkalmazhatók-e a fürtarchitektúrára, a számítási feladatok architektúrájára vagy mindkettőre.
Tervezési ellenőrzőlista
- Fürtarchitektúra: A felügyelt identitások használatával elkerülheti a szolgáltatás alapelveinek kezelését és rotálását.
- Fürtarchitektúra: Használja a Kubernetes szerepköralapú hozzáférés-vezérlést (RBAC) Microsoft Entra ID a minimális jogosultsági hozzáférés érdekében, és minimalizálja a rendszergazdai jogosultságok megadását a konfiguráció és a titkos kulcsok eléréséhez.
- Fürtarchitektúra: Az Azure Sentinellel rendelkező tárolókhoz Microsoft Defender használatával észlelheti és gyorsan reagálhat a fürtön és a rajtuk futó számítási feladatokra vonatkozó fenyegetésekre.
- Fürtarchitektúra: Helyezzen üzembe egy privát AKS-fürtöt annak biztosítása érdekében, hogy az API-kiszolgáló fürtkezelési forgalma a magánhálózaton maradjon. Vagy használja az API-kiszolgáló engedélyezési listáját a nem privát fürtökhöz.
- Számítási feladatok architektúrája: Http(S) forgalom biztonságossá tételéhez használjon Web Application Firewall.
- Számítási feladatok architektúrája: Győződjön meg arról, hogy a CI/CID-folyamat tárolóalapú vizsgálattal van megerősítve.
Javaslatok
Az AKS-konfiguráció biztonságra való optimalizálásához tekintse meg az alábbi javaslattáblát.
| Ajánlás | Előny |
|---|---|
| Fürtarchitektúra: Használja Microsoft Entra integrációt. | A Microsoft Entra ID használatával központosíthatja az identitáskezelési összetevőt. Az AKS-fürthöz való hozzáféréskor automatikusan frissül a felhasználói fiók vagy a csoport állapotának bármilyen változása. A Kubernetes-fürt fejlesztőinek és alkalmazástulajdonosainak különböző erőforrásokhoz kell hozzáférnie. |
| Fürtarchitektúra: Hitelesítés Microsoft Entra ID Azure Container Registry. | Az AKS és a Microsoft Entra ID titkos kódok használata nélkül engedélyezi a Azure Container Registry hitelesítéstimagePullSecrets. További információért tekintse át a Hitelesítés Azure Container Registry Azure Kubernetes Service-től című cikket. |
| Fürtarchitektúra: Biztonságossá teheti az API-kiszolgáló hálózati forgalmát privát AKS-fürttel. | Alapértelmezés szerint a csomópontkészletek és az API-kiszolgáló közötti hálózati forgalom a Microsoft gerinchálózatán halad át; privát fürt használatával biztosíthatja, hogy az API-kiszolgáló felé bejövő hálózati forgalom csak a magánhálózaton maradjon. |
| Fürtarchitektúra: Nem privát AKS-fürtök esetén használja az API-kiszolgáló által engedélyezett IP-címtartományokat. | Nyilvános fürtök használatakor továbbra is korlátozhatja a fürtök API-kiszolgálóját elérő forgalmat az engedélyezett IP-címtartomány-funkcióval. Az üzembehelyezési fordítóügynökök nyilvános IP-címeit, az üzemeltetéskezelést és a csomópontkészletek kimenő forgalmi pontját (például Azure Firewall) is belefoglalhatja. |
| Fürtarchitektúra: Az API-kiszolgáló védelme Microsoft Entra RBAC-vel. | A Kubernetes API-kiszolgálóhoz való hozzáférés biztonságossá tétele az egyik legfontosabb feladat a fürt védelméhez. Integrálja a Kubernetes szerepköralapú hozzáférés-vezérlést (RBAC) a Microsoft Entra ID az API-kiszolgálóhoz való hozzáférés szabályozásához. Tiltsa le a helyi fiókokat az összes fürthozzáférés kényszerítéséhez Microsoft Entra ID-alapú identitások használatával. |
| Fürtarchitektúra:Azure-beli hálózati szabályzatok vagy Calico használata. | A fürt podjai közötti hálózati forgalom védelme és szabályozása. |
| Fürtarchitektúra: Fürtök és podok biztonságossá tételét Azure Policy. | Azure Policy segítségével központosított, konzisztens módon alkalmazhatja a fürtökre a nagy léptékű kényszerítéseket és biztosítékokat. Azt is szabályozhatja, hogy mely függvények podokat adják meg, és hogy fut-e valami a vállalati szabályzattal szemben. |
| Fürtarchitektúra: Biztonságos tároló-hozzáférés az erőforrásokhoz. | Korlátozza a tárolók által végrehajtható műveletekhez való hozzáférést. Adja meg a legkevesebb engedélyt, és kerülje a gyökérszintű vagy emelt szintű eszkalálás használatát. |
| Számítási feladatok architektúrája: Használjon Web Application Firewall a HTTP(S) forgalom védelméhez. | A bejövő forgalom lehetséges támadások kereséséhez használjon webalkalmazási tűzfalat, például az Azure Web Application Firewall (WAF) Azure Application Gateway vagy az Azure Front Dooron. |
| Fürtarchitektúra: Fürt kimenő forgalmának szabályozása. | Győződjön meg arról, hogy a fürt kimenő forgalma egy hálózati biztonsági ponton halad át, például Azure Firewall vagy HTTP-proxyn. |
| Fürtarchitektúra: Használja a nyílt forráskódú Microsoft Entra Számítási feladat ID és a Titkos kulcstár CSI-illesztőprogramját az Azure Key Vault. | Az Azure Key Vault titkos kulcsainak, tanúsítványainak és kapcsolati sztringjeinek védelme és rotálása erős titkosítással. Hozzáférési auditnaplót biztosít, és kizárja az alapvető titkos kulcsokat az üzembehelyezési folyamatból. |
| Fürtarchitektúra: Használja a tárolókhoz készült Microsoft Defender. | A fürtök, tárolók és alkalmazásaik biztonságának figyelése és fenntartása. |
További javaslatokért lásd a biztonsági pillér alapelveit.
Az Azure Advisor segít az Azure Kubernetes szolgáltatás biztosításában és fejlesztésében. Javaslatokat tesz az alábbi szabályzatszakaszban felsorolt elemek egy részhalmazára, például a konfigurált RBAC nélküli fürtökre, a hiányzó Microsoft Defender konfigurációra, az API-kiszolgálóhoz való korlátlan hálózati hozzáférésre. Hasonlóképpen javaslatot tesz a számítási feladatokra néhány podbiztonsági kezdeményezési elemhez. Tekintse át a javaslatokat.
Szabályzatdefiníciók
Azure Policy különböző beépített szabályzatdefiníciókat kínál, amelyek az Azure-erőforrásra és az AKS-re is vonatkoznak, például a standard szabályzatdefiníciókra, valamint a Kubernetes Azure Policy bővítményének használatával, szintén a fürtön belül. Az Azure-erőforrásszabályzatok nagy része mind az Audit/Deny, mind a Deploy If Not Exists (Üzembe helyezés, ha nem létezik ) változatban megtalálható.
Számos szabályzat létezik, és a pillérhez kapcsolódó legfontosabb politikákat itt foglaljuk össze. Részletesebb nézetért lásd a Kubernetes beépített szabályzatdefinícióit.
Fürtarchitektúra
- Microsoft Defender felhőalapú szabályzatokhoz
- Hitelesítési mód és konfigurációs szabályzatok (Microsoft Entra ID, RBAC, helyi hitelesítés letiltása)
- API Server hálózati hozzáférési szabályzatok, beleértve a privát fürtöt is
Fürt- és számításifeladat-architektúra
- Kubernetes-fürt podbiztonsági kezdeményezései Linux-alapú számítási feladatok
- Pod- és tárolóképesség-szabályzatok, például AppArmor, sysctl, biztonsági caps, SELinux, seccomp, emelt szintű tárolók, automatikus fürt API hitelesítő adatai
- Csatlakoztatási, kötetillesztők és fájlrendszer-szabályzatok
- Pod-/tárolóhálózati szabályzatok, például gazdagéphálózat, port, engedélyezett külső IP-címek, HTTP-k és belső terheléselosztók
Azure Kubernetes Service üzemelő példányok gyakran használnak Azure Container Registry Helm-diagramokhoz és tárolólemezképekhez. Azure Container Registry emellett számos olyan Azure-szabályzatot támogat, amely kiterjed a hálózati korlátozásokra, a hozzáférés-vezérlésre és a felhőhöz készült Microsoft Defender, amely kiegészíti a biztonságos AKS-architektúrát.
A beépített szabályzatok mellett egyéni szabályzatok is létrehozhatók az AKS-erőforráshoz és a Kubernetes Azure Policy bővítményéhez. Ez lehetővé teszi további biztonsági korlátozások hozzáadását a fürt és a számítási feladat architektúrájában.
További javaslatokért tekintse meg az AKS biztonsági fogalmait , és értékelje ki a biztonsági korlátozásokra vonatkozó javaslatokat a CIS Kubernetes-teljesítményteszt alapján.
Költségoptimalizálás
A költségoptimalizálás a különböző konfigurációs lehetőségek és ajánlott eljárások megértését ismerteti a szükségtelen költségek csökkentése és a működési hatékonyság javítása érdekében. Mielőtt követené a cikkben található útmutatást, javasoljuk, hogy tekintse át a következő forrásokat:
- A költségoptimalizálás tervezési alapelvei.
- Hogyan működik a díjszabás és a költségkezelés a Azure Kubernetes Service (AKS) és az Amazon Elastic Kubernetes Service (Amazon EKS) esetében.
- Ha az AKS-t a helyszínen vagy a peremhálózaton futtatja, Azure Hybrid Benefit is felhasználható a költségek további csökkentésére a tárolóalapú alkalmazások ezekben a forgatókönyvekben való futtatásakor.
Amikor a költségoptimalizálást Azure Kubernetes Service tárgyalja, fontos különbséget tenni a fürterőforrások költségei és a számítási feladatok erőforrásainak költségei között. A fürterőforrások a fürt rendszergazdája és az erőforrás-szolgáltató közös felelősségi körébe tartoznak, míg a számítási feladatok erőforrásai a fejlesztők tartományai. Azure Kubernetes Service mindkét szerepkörhöz megfontolandó szempontok és javaslatok tartoznak.
A tervezési ellenőrzőlistában és a javaslatok listájában a rendszer kitárcsázva jelzi, hogy az egyes lehetőségek alkalmazhatók-e a fürtarchitektúrára, a számításifeladat-architektúrára vagy mindkettőre.
A fürtköltség-optimalizáláshoz nyissa meg az Azure díjkalkulátorát, és válassza a Azure Kubernetes Service lehetőséget az elérhető termékek közül. A kalkulátorban különböző konfigurációs és fizetési csomagokat tesztelhet.
Tervezési ellenőrzőlista
- Fürtarchitektúra: Használjon megfelelő virtuálisgép-termékváltozatot csomópontkészletenként és fenntartott példányonként, ahol hosszú távú kapacitás várható.
- Fürt- és számításifeladat-architektúrák: Használja a megfelelő felügyelt lemezszintet és -méretet.
- Fürtarchitektúra: Tekintse át a teljesítménymetrikákat, kezdve a processzorral, a memóriával, a tárterülettel és a hálózattal, hogy azonosíthassa a fürt, a csomópontok és a névtér szerinti költségoptimalizálási lehetőségeket.
- Fürt- és számításifeladat-architektúra: Ha a számítási feladatok kevésbé aktívak, az automatikus skálázók használatával skálázhat.
Javaslatok
Tekintse át az alábbi javaslattáblázatot az AKS-konfiguráció költségoptimalizáló megoldásához.
| Ajánlás | Előny |
|---|---|
| Fürt- és számításifeladat-architektúrák: A termékváltozat kiválasztásának és a felügyelt lemez méretének igazítása a számítási feladatokra vonatkozó követelményekhez. | A kiválasztás és a számítási feladatok igényeinek megfeleltetése biztosítja, hogy ne kelljen fizetnie a felesleges erőforrásokért. |
| Fürtarchitektúra: Válassza ki a megfelelő virtuálisgép-példánytípust. | A megfelelő virtuálisgép-példánytípus kiválasztása kritikus fontosságú, mivel közvetlenül befolyásolja az alkalmazások AKS-en való futtatásának költségeit. A nagy teljesítményű példányok megfelelő kihasználtság nélküli kiválasztása pazarló költségekhez vezethet, míg egy hatékony példány kiválasztása teljesítményproblémákhoz és megnövekedett állásidőhöz vezethet. A megfelelő virtuálisgép-példány típusának meghatározásához vegye figyelembe a számítási feladatok jellemzőit, az erőforrás-követelményeket és a rendelkezésre állási igényeket. |
| Fürtarchitektúra: Válassza ki a virtuális gépeket az ARM-architektúra alapján. | Az AKS támogatja az ARM64 Ubuntu-ügynökcsomópontok létrehozását, valamint a fürtön belüli vegyes Intel- és ARM-architektúracsomópontok létrehozását, amelyek alacsonyabb költség mellett jobb teljesítményt biztosítanak. |
| Fürtarchitektúra: Válassza az Azure Spot Virtual Machines lehetőséget. | A kihasználatlan virtuális gépek lehetővé teszik, hogy a kihasználatlan Azure-kapacitást jelentős kedvezményekkel kihasználja (akár 90%-kal a használatalapú fizetéshez képest). Ha az Azure-nak vissza kell kapnia a kapacitást, az Azure-infrastruktúra kiüríti a kihasználatlan csomópontokat. |
| Fürtarchitektúra: Válassza ki a megfelelő régiót. | Számos tényező miatt az erőforrások költségei régiónként változnak az Azure-ban. Értékelje ki a költségeket, a késést és a megfelelőségi követelményeket, hogy biztosítsa a számítási feladatok költséghatékony futtatását, és ne befolyásolja a végfelhasználókat, és ne hozzon létre további hálózati díjakat. |
| Számítási feladatok architektúrája: Kis méretű és optimalizált rendszerképek karbantartása. | A rendszerképek streamelése segít csökkenteni a költségeket, mivel az új csomópontoknak le kell tölteniük ezeket a lemezképeket. Hozzon létre lemezképeket úgy, hogy a tároló a lehető leghamarabb elinduljon, így elkerülhetők a felhasználói kérések hibái vagy időtúllépései az alkalmazás indításakor, ami túlzott leépítést okozhat. |
| Fürtarchitektúra: Engedélyezze a fürt automatikus skálázási eszközét , hogy automatikusan csökkentse az ügynökcsomópontok számát a felesleges erőforrás-kapacitásra válaszul. | Az AKS-fürt csomópontjainak számának automatikus leskálázásával hatékony fürtöt futtathat, ha alacsony az igény, és vertikálisan felskálázható, amikor az igény visszatér. |
| Fürtarchitektúra: Engedélyezze a Node Autoprovisiont a virtuálisgép-termékváltozat kiválasztásának automatizálásához. | A Node Autoprovision leegyszerűsíti a termékváltozat kiválasztásának folyamatát, és a függőben lévő poderőforrás-követelmények alapján az optimális virtuálisgép-konfigurációt választja a számítási feladatok leghatékonyabb és legköltséghatékonyabb futtatásához. |
| Számítási feladatok architektúrája: Használja a Vízszintes pod automatikus skálázási eszközét. | Állítsa be az üzemelő példányok számát a cpu-kihasználtságtól vagy más, a fürtméretezési műveleteket támogató metrikáktól függően. |
| Számítási feladatok architektúrája: Használja a Függőleges pod automatikus skálázási eszközét (előzetes verzió). | Rightsize your pods and dynamicly set requests and limits on historic usage. |
| Számítási feladatok architektúrája: Használja a Kubernetes eseményvezérelt automatikus skálázását (KEDA). | Skálázás a feldolgozandó események száma alapján. Válasszon több mint 50 KEDA-skálázó gazdag katalógusából. |
| Fürt- és számítási feladatok architektúrái: Felhőbeli pénzügyi szemlélet és kulturális gyakorlat bevezetése a felhőhasználat tulajdonjogának ösztönzésére. | A költségoptimalizálás engedélyezésének alapja egy költségmegtakarítási fürt elterjedése. A pénzügyi üzemeltetési megközelítést (FinOps) gyakran használják a felhőköltségek csökkentésének elősegítésére. Ez egy olyan gyakorlat, amely magában foglalja a pénzügyi, üzemeltetési és mérnöki csapatok közötti együttműködést a költségmegtakarítási célok összehangolása és a felhőköltségek átláthatóságának biztosítása érdekében. |
| Fürtarchitektúra: Regisztráljon az Azure Reservations vagy az Azure Savings Plan szolgáltatásra. | Ha megfelelően tervezi a kapacitást, a számítási feladat kiszámítható, és hosszabb ideig létezik, regisztráljon egy Azure Reservationre vagy egy megtakarítási tervre az erőforrásköltségek további csökkentése érdekében. |
| Fürtarchitektúra: Konfigurálja a fürt monitorozását a Container Insights használatával. | A Tárolóelemzések segítségével végrehajtható elemzéseket biztosít a fürtök tétlen és nem áthelyezett erőforrásairól. A Container Insights emellett támogatja a Prometheus-metrikák gyűjtését is, és integrálható az Azure Managed Grafana szolgáltatással, hogy holisztikus képet kapjon az alkalmazásról és az infrastruktúráról. |
| Fürtarchitektúra: Konfigurálja az AKS Cost Analysis bővítményt. | A költségelemzési fürtbővítmény lehetővé teszi, hogy részletes betekintést nyerjen a fürtökben vagy névterekben található különböző Kubernetes-erőforrásokhoz kapcsolódó költségekbe. |
További javaslatokért lásd: A költségoptimalizálási pillér alapelvei és a költségek optimalizálása Azure Kubernetes Service.
Szabályzatdefiníciók
Bár nincsenek olyan beépített szabályzatok, amelyek a költségoptimalizáláshoz kapcsolódnak, egyéni szabályzatok hozhatók létre mind az AKS-erőforráshoz, mind a Kubernetes Azure Policy bővítményéhez. Ez lehetővé teszi további költségoptimalizálási korlátozások hozzáadását, amit a fürt- és számítási feladatarchitektúrában szeretne kikényszeríteni.
Felhőhatékonyság
A számítási feladatok fenntarthatóbbá és felhőhatékonyabbá tételéhez kombinálni kell a költségoptimalizálással, a szén-dioxid-kibocsátás csökkentésével és az energiafogyasztás optimalizálásával kapcsolatos erőfeszítéseket. Az alkalmazás költségeinek optimalizálása a számítási feladatok fenntarthatóbbá tételének első lépése.
Ismerje meg, hogyan hozhat létre fenntartható és hatékony AKS-számítási feladatokat a fenntartható szoftvermérnöki alapelvek Azure Kubernetes Service (AKS) című témakörben.
Működésbeli kiválóság
A monitorozás és a diagnosztika létfontosságú. Nemcsak a teljesítménystatisztikákat mérheti, hanem a metrikákat is gyorsan elháríthatja és elháríthatja. Javasoljuk, hogy tekintse át az operatív kiválóság tervezési alapelveit és a 2. nap üzemeltetési útmutatót.
Amikor az operatív kiválóságot Azure Kubernetes Service tárgyalja, fontos különbséget tenni a fürt működési kiválósága és a számítási feladatok működési kiválósága között. A fürtműveletek a fürt rendszergazdája és az erőforrás-szolgáltató közös felelősségi körébe tartoznak, míg a számítási feladatok egy fejlesztő tartománya. Azure Kubernetes Service mindkét szerepkörre vonatkozóan megfontolandó szempontokat és javaslatokat ad.
Az alábbi tervezési ellenőrzőlistában és javaslatok listájában a rendszer kijelezi, hogy az egyes lehetőségek alkalmazhatók-e a fürtarchitektúrára, a számítási feladatok architektúrájára vagy mindkettőre.
Tervezési ellenőrzőlista
- Fürtarchitektúra: Használjon sablonalapú üzembe helyezést a Bicep, a Terraform vagy mások használatával. Győződjön meg arról, hogy az összes üzemelő példány megismételhető, nyomon követhető és egy forráskód-adattárban van tárolva.
- Fürtarchitektúra: Automatizált folyamat létrehozása annak biztosítása érdekében, hogy a fürtök a szükséges fürtszintű konfigurációkkal és üzemelő példányokkal legyenek leképezve. Ezt gyakran a GitOps használatával hajtják végre.
- Számítási feladatok architektúrája: Használjon ismétlődő és automatizált üzembehelyezési folyamatokat a számítási feladatokhoz a szoftverfejlesztési életcikluson belül.
- Fürtarchitektúra: Engedélyezze a diagnosztikai beállításokat a vezérlősík vagy az API-kiszolgáló alapvető interakcióinak naplózásához.
- Fürt- és számítási feladatok architektúrái: A Tárolóelemzések segítségével metrikákat, naplókat és diagnosztikákat gyűjthet a rajta futó fürt és számítási feladatok rendelkezésre állásának és teljesítményének monitorozásához.
- Számítási feladatok architektúrája: A számítási feladatot úgy kell megtervezni, hogy összegyűjthető telemetriát bocsátson ki, amelynek tartalmaznia kell az élő vonalakat és a készültségi állapotokat is.
- Fürt- és számítási feladatok architektúrái: Az alkalmazás- vagy platform-megbízhatósági problémák azonosításához használjon olyan káosztechnológiai eljárásokat, amelyek a Kubernetesre irányulnak.
- Számítási feladatok architektúrája: Optimalizálja a számítási feladatokat a tárolók hatékony üzemeltetéséhez és üzembe helyezéséhez.
- Fürt- és számítási feladatok architektúrái: Fürt- és számítási feladatok szabályozásának kényszerítése Azure Policy használatával.
Javaslatok
Az AKS-konfiguráció műveletekhez való optimalizálásához tekintse meg az alábbi javaslatokat.
| Ajánlás | Előny |
|---|---|
| Fürt- és számítási feladatok architektúrái: Tekintse át az AKS ajánlott eljárásainak dokumentációját . | Az alkalmazások sikeres létrehozásához és futtatásához az AKS-ben fontos szempontokat kell figyelembe venni a megértéshez és a megvalósításhoz. Ezek közé tartoznak a több-bérlős és ütemező funkciók, a fürt- és podbiztonság, illetve az üzletmenet folytonossága és a vészhelyreállítás. |
| Fürt- és számítási feladatok architektúrái: Tekintse át az Azure Chaos Studiót. | Az Azure Chaos Studio segíthet szimulálni a hibákat, és vészhelyreállítási helyzeteket aktiválni. |
| Fürt- és számítási feladatok architektúrái: Konfigurálja a fürt monitorozását a Container Insights használatával. | A Tárolóelemzések segítségével a Tárolók teljesítményének monitorozásához memória- és processzormetrikákat gyűjthet a Kubernetesben elérhető vezérlőkből, csomópontokból és tárolókból a Metrics API-n és a tárolónaplókon keresztül. |
| Számítási feladatok architektúrája: Az alkalmazás teljesítményének monitorozása az Azure Monitorral. | Az Application Insights konfigurálása az AKS-fürtön futó alkalmazások kódalapú monitorozásához. |
| Számítási feladatok architektúrája: Konfigurálja a Prometheus-metrikák kaparását a Container Insights használatával. | Az Azure Monitor részét képező tárolóelemzések zökkenőmentes előkészítési felületet biztosítanak a Prometheus-metrikák gyűjtéséhez. További információkért tekintse meg a Prometheus-metrikák kaparásának konfigurálását ismertető témakört. |
| Fürtarchitektúra:Többrégiós stratégia bevezetése a különböző Azure-régiókban üzembe helyezett AKS-fürtök üzembe helyezésével a rendelkezésre állás maximalizálása és az üzletmenet folytonosságának biztosítása érdekében. | Az internetkapcsolattal rendelkező számítási feladatoknak az Azure Front Doort vagy az Azure Traffic Managert kell használniuk a forgalom globális irányításához az AKS-fürtök között. |
| Fürtarchitektúra: Fürtök és podok konfigurációs szabványainak üzembe helyezése Azure Policy. | Azure Policy segítségével központosított, konzisztens módon alkalmazhatja a fürtökre vonatkozó, nagy léptékű kényszerítéseket és biztosítékokat. Azt is szabályozhatja, hogy mely függvények podokat adják meg, és hogy fut-e valami a vállalati szabályzattal szemben. |
| Számítási feladatok architektúrája: Platformképességek használata a kiadástervezési folyamat során. | A Kubernetes és a bejövőforgalom-vezérlők számos fejlett üzembe helyezési mintát támogatnak a kiadástervezési folyamatba való felvételhez. Fontolja meg az olyan mintákat, mint a kék-zöld üzemelő példányok vagy a kanári kiadások. |
| Fürt- és számítási feladatok architektúrái: Kritikus fontosságú számítási feladatokhoz használjon bélyegszintű kék/zöld üzemelő példányokat. | Automatizálja a kritikus fontosságú tervezési területeket, beleértve az üzembe helyezést és a tesztelést. |
További javaslatokért lásd a működési kiválósági pillér alapelveit.
Az Azure Advisor emellett javaslatokat tesz az alábbi szabályzatszakaszban felsorolt elemek egy részhalmazára, például a nem támogatott AKS-verziókra és a nem konfigurált diagnosztikai beállításokra. Hasonlóképpen a számítási feladatokra vonatkozó javaslatokat tesz az alapértelmezett névtér használatára.
Szabályzatdefiníciók
Azure Policy különböző beépített szabályzatdefiníciókat kínál, amelyek az Azure-erőforrásra és az AKS-re is vonatkoznak, például a standard szabályzatdefiníciókra, valamint a Kubernetes Azure Policy bővítményének használatával, a fürtön belül is. Az Azure-erőforrásszabályzatok nagy része mind az Audit/Deny, mind a Deploy If Not Exists (Üzembe helyezés, ha nem létezik ) változatban is megtalálható.
Számos politika létezik, és a pillérhez kapcsolódó legfontosabb politikákat itt foglaljuk össze. Részletesebb nézetért lásd a Kubernetes beépített szabályzatdefinícióit.
Fürtarchitektúra
- Azure Policy Kubernetes-bővítmény
- GitOps-konfigurációs szabályzatok
- Diagnosztikai beállításokra vonatkozó szabályzatok
- Az AKS verziókorlátozásai
- Parancshívás megakadályozása
Fürt- és számítási feladatok architektúrája
- Névtér üzembehelyezési korlátozásai
A beépített szabályzatok mellett egyéni szabályzatok is létrehozhatók az AKS-erőforráshoz és a Kubernetes Azure Policy bővítményéhez is. Ez lehetővé teszi további biztonsági korlátozások hozzáadását a fürt- és számítási feladatarchitektúrában.
Teljesítménybeli hatékonyság
A teljesítménybeli hatékonyság lehetővé teszi, hogy a számítási feladatok hatékonyan méretezhetők legyenek a felhasználók igényei szerint. Javasoljuk, hogy tekintse át a teljesítményhatékonyság alapelveit.
Amikor a teljesítményt Azure Kubernetes Service tárgyalja, fontos különbséget tenni a fürt teljesítménye és a számítási feladatok teljesítménye között. A fürt teljesítménye megosztott felelősség a fürt rendszergazdája és az erőforrás-szolgáltató között, míg a számítási feladatok teljesítménye egy fejlesztő tartománya. Azure Kubernetes Service mindkét szerepkörre vonatkozóan megfontolandó szempontokat és javaslatokat ad.
Az alábbi tervezési ellenőrzőlistában és javaslatok listájában a rendszer kijelezi, hogy az egyes lehetőségek alkalmazhatók-e a fürtarchitektúrára, a számítási feladatok architektúrájára vagy mindkettőre.
Tervezési ellenőrzőlista
Ahogy tervezési döntéseket hoz Azure Kubernetes Service, tekintse át a Teljesítményhatékonyság alapelveit.
- Fürt- és számítási feladatok architektúrái: Végezzen el és iteráljon egy részletes kapacitásterv-gyakorlatot, amely magában foglalja a termékváltozatot, az automatikus skálázási beállításokat, az IP-címzést és a feladatátvételi szempontokat.
- Fürtarchitektúra: Engedélyezze a fürt automatikus skálázási funkcióját , hogy automatikusan módosítsa az ügynökcsomópontok számát a válasz számítási feladatok igényeinek megfelelően.
- Fürtarchitektúra: A Vízszintes pod automatikus skálázási eszközzel módosíthatja az üzembe helyezésben lévő podok számát a cpu-kihasználtságtól vagy más kiválasztott metrikáktól függően.
- Fürt- és számítási feladatok architektúrái: Végezzen folyamatos terheléstesztelési tevékenységeket, amelyek a podot és a fürtöt is automatikusan skálázják.
- Fürt- és számítási feladatok architektúrái: Különítse el a számítási feladatokat különböző csomópontkészletekre, amelyek lehetővé teszik a független skálázást.
Javaslatok
A Azure Kubernetes Service-konfiguráció teljesítményre való optimalizálásához tekintse meg az alábbi javaslatokat.
| Ajánlás | Előny |
|---|---|
| Fürt- és számításifeladat-architektúrák: Dolgozzon ki egy részletes kapacitástervet, és folyamatosan tekintse át és vizsgálja felül. | A kapacitásterv formalizálása után gyakran frissíteni kell a fürt erőforrás-kihasználtságának folyamatos megfigyelésével. |
| Fürtarchitektúra: Engedélyezze a fürt automatikus skálázási eszközét , hogy automatikusan módosítsa az ügynökcsomópontok számát az erőforrás-korlátozásoknak megfelelően. | Az AKS-fürtben lévő csomópontok számának automatikus fel- vagy leskálázása lehetővé teszi egy hatékony, költséghatékony fürt futtatását. |
| Fürt- és számításifeladat-architektúrák: Különítse el a számítási feladatokat különböző csomópontkészletekre, és fontolja meg a felhasználói csomópontkészletek skálázását . | A mindig futó csomópontokat igénylő rendszercsomópontok készleteitől eltérően a felhasználói csomópontkészletek lehetővé teszik a vertikális fel- vagy leskálázást. |
| Számítási feladatok architektúrája: Az AKS speciális ütemezőfunkcióinak használata. | Segít szabályozni az erőforrások kiegyensúlyozását az őket igénylő számítási feladatokhoz. |
| Számítási feladatok architektúrája: Használjon jelentéssel bíró számításifeladat-skálázási metrikákat. | Nem minden méretezési döntés származtatható cpu- vagy memóriametrikákból. A skálázási szempontok gyakran összetettebb vagy akár külső adatpontokból származnak. A KEDA használatával értelmes automatikus skálázási szabálykészletet hozhat létre a számítási feladatra jellemző jelek alapján. |
További javaslatokért lásd a teljesítményhatékonysági pillér alapelveit.
Szabályzatdefiníciók
Azure Policy különböző beépített szabályzatdefiníciókat kínál, amelyek az Azure-erőforrásra és az AKS-re is vonatkoznak, például a standard szabályzatdefiníciókra, valamint a Kubernetes Azure Policy bővítményének használatával, szintén a fürtön belül. Az Azure-erőforrásszabályzatok nagy része mind az Audit/Deny, mind a Deploy If Not Exists (Üzembe helyezés, ha nem létezik ) változatban megtalálható.
Számos szabályzat létezik, és a pillérhez kapcsolódó legfontosabb politikákat itt foglaljuk össze. Részletesebb nézetért lásd a Kubernetes beépített szabályzatdefinícióit.
Fürt- és számításifeladat-architektúra
- Cpu- és memóriaerőforrás-korlátok
A beépített szabályzatok mellett egyéni szabályzatok is létrehozhatók az AKS-erőforráshoz és a Kubernetes Azure Policy bővítményéhez. Ez lehetővé teszi további biztonsági korlátozások hozzáadását a fürt és a számítási feladat architektúrájában.
További források
Útmutató az Azure Architecture Centerhez
- Az AKS alapkonfigurációs architektúrája
- Speciális AKS-mikroszolgáltatás-architektúra
- AKS-fürt PCI-DSS számítási feladathoz
- AKS-alapkonfiguráció többrégiós fürtökhöz
Útmutató a felhőbevezetési keretrendszerhez
Következő lépések
- Azure Kubernetes Service- (AKS-) fürt üzembe helyezése az Azure CLI rövid útmutatójával: Azure Kubernetes Service -fürt üzembe helyezése az Azure CLI használatával
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: