Modern alkalmazásplatform-megoldások szabályozása
A felhőadaptálási keretrendszer módszertant biztosít a felhőportfólió irányításának szisztematikus és növekményes javítására. Ez a cikk bemutatja, hogyan terjesztheti ki irányítási megközelítését az Azure-ban vagy más nyilvános vagy magánfelhőkben üzembe helyezett Kubernetes-fürtökre.
Kezdeti irányítási alaprendszer
A szabályozás egy kezdeti irányítási alaprendszerrel kezdődik, amelyet gyakran irányítási MVP-nek neveznek. Ez az alaprendszer üzembe helyezi azokat az alapvető Azure-termékeket, amelyek a felhőkörnyezeten belüli irányítás biztosításához szükségesek.
A kezdeti irányítási alaprendszer a következő szabályozási szempontokra összpontosít:
- Alapszintű hibrid hálózat és kapcsolat.
- Azure szerepköralapú hozzáférés-vezérlés (RBAC) identitás- és hozzáférés-vezérléshez.
- Elnevezési és címkézési szabványok az erőforrások konzisztens azonosításához.
- Erőforrások szervezése erőforráscsoportokkal, előfizetésekkel és felügyeleti csoportokkal.
- Az Azure Policy alkalmazása szabályozási szabályzatok kikényszerítéséhez.
A kezdeti szabályozási alap ezen funkciói a modern alkalmazásplatform-megoldáspéldányok szabályozására használhatók. Először azonban hozzá kell adnia néhány összetevőt a kezdeti alaprendszerhez az Azure Policy tárolókra való alkalmazásához. A konfigurálás után az Azure Policy és a kezdeti szabályozási alap használatával szabályozhatja a következő tárolótípusokat:
A szabályozási szemléletek bővítése
A kezdeti szabályozási alap használható a különböző szabályozási diszciplínák bővítésére, hogy az összes Kubernetes-példány konzisztens, stabil üzembe helyezési megközelítéseit biztosíthassa.
A Kubernetes-fürtök szabályozása öt különböző nézőpontból vizsgálható meg.
Azure-erőforrások szabályozása
Az első az Azure-erőforrás perspektívája. Annak biztosítása, hogy minden fürt megfeleljen a szervezet követelményeinek. Ilyenek például a hálózati topológia, a privát fürt, az SRE-csapatok Azure RBAC-szerepkörei, a diagnosztikai beállítások, a régiók rendelkezésre állása, a csomópontkészletek szempontjai, az Azure Container Registry szabályozása, az Azure Load Balancer beállításai, az AKS-bővítmények, a diagnosztikai beállítások stb. Ez a szabályozás biztosítja a szervezetek fürtöinek "megjelenésében és megjelenésében" és "topológiájában" való konzisztenciát. Ennek kiterjednie kell a fürt üzembe helyezésének utáni rendszerindításra is, például hogy milyen biztonsági ügynököket kell telepíteni, és hogyan kell konfigurálni őket.
A hópehelyfürtök központi kapacitásban nehezen szabályozhatóak. Minimalizálja a fürtök közötti eltéréseket, hogy a szabályzatok egységesen alkalmazhatók legyenek, és a rendellenes fürtök ne legyenek elriasztva és észlelhetők. Ide tartozhatnak a fürtök üzembe helyezéséhez használt technológiák is, például az ARM, a Bicep vagy a Terraform.
A felügyeleti csoport/előfizetés szintjén alkalmazott Azure Policy sok ilyen szempontot segíthet, de nem mindegyiket.
Kubernetes számítási feladatok szabályozása
Mivel a Kubernetes maga egy platform, a második a fürtben zajló folyamatok szabályozása. Ilyenek például a névtérre vonatkozó útmutatás, a hálózati szabályzatok, a Kubernetes RBAC, a korlátok és a kvóták. Ez a számítási feladatokra alkalmazott szabályozás lenne, kevésbé a fürtre. Minden számítási feladat egyedi lesz, mivel mindegyik különböző üzleti problémákat old meg, és különböző módokon, különböző technológiákkal lesz implementálva. Előfordulhat, hogy nem sok "egy méret felel meg az összesnek" szabályozási gyakorlat, de érdemes megfontolni az OCI-összetevők létrehozását/használatát, az ellátási lánc követelményeit, a nyilvános tárolóregisztrációs adatbázis használatát, a lemezkép-raktálási folyamatot, az üzembehelyezési folyamat szabályozását.
Fontolja meg a közös eszközök és minták egységesítését is, ha ez megvalósítható. Javaslatokat tesz olyan technológiákra, mint a Helm, a service mesh, a bejövőforgalom-vezérlők, a GitOps-operátorok, az állandó kötetek stb. Az itt található szabályozás a pod által felügyelt identitások használatával és a Key Vault titkos kulcsainak beszerzésével kapcsolatos.
Erős elvárásokat támaszt a telemetriához való hozzáféréssel kapcsolatban annak biztosítása érdekében, hogy a számítási feladatok tulajdonosai megfelelő hozzáféréssel rendelkezzenek a termékük javításához szükséges metrikákhoz és adatokhoz, valamint hogy a fürtüzemeltetők hozzáférjenek a rendszer telemetriai adataihoz a szolgáltatásajánlatuk javítása érdekében. Az adatokat gyakran kell összevetni a kettő között, és gondoskodni kell arról, hogy az irányítási szabályzatok érvényben legyenek a megfelelő hozzáférés biztosítása érdekében, ha szükséges.
A fürt szintjén alkalmazott Azure Policy for AKS segíthet ezek némelyikének megvalósításában, de nem mindegyikben.
Fürt operátori szerepkörei (DevOps, SRE)
A harmadik a fürtoperátori szerepkörök szabályozása. Hogyan kommunikálhatnak az SRE-csapatok a fürtökkel? Mi a kapcsolat a csapat és a számítási feladatokat tartalmazó csapat között? Ugyanazok? A fürtüzemeltetőknek rendelkezniük kell egy egyértelműen definiált forgatókönyvvel a fürtbeosztási tevékenységekhez, például a fürtök elérésének módjához, a fürtök eléréséhez, a fürtökhöz való hozzáféréshez és a fürtökhöz tartozó engedélyekhez, és hogy mikor vannak hozzárendelve ezek az engedélyek. Ebben a kontextusban győződjön meg arról, hogy az irányítási dokumentációban, a szabályzatban és a képzési anyagokban különbséget tesz a számítási feladatok operátora és a fürt operátora között. A szervezettől függően előfordulhat, hogy azonosak.
Fürt számítási feladatonként vagy fürtönként több számítási feladat
A negyedik a több-bérlős szabályozás. Ez azt jelenti, hogy a fürtök olyan alkalmazások "hasonló csoportosítását" tartalmazzák, amelyek definíció szerint ugyanannak a számítási feladatcsoportnak a tulajdonában állnak, és a kapcsolódó számítási feladatok összetevőinek egyetlen készletét képviselik. Vagy a fürtöknek tervezés szerint több-bérlősnek kell lenniük több különböző számítási feladattal és számítási feladat tulajdonosával; a szervezeten belüli felügyelt szolgáltatásajánlatként fut és szabályozható. A szabályozási stratégia mindegyiknél eltérő, ezért önnek kell szabályoznia a választott stratégia kikényszerítését. Ha mindkét modellt támogatnia kell, győződjön meg arról, hogy a szabályozási terv egyértelműen meghatározza, hogy mely szabályzatok milyen típusú fürtökre vonatkoznak.
Ezt a döntést a stratégia szakaszában kellett volna meghozni, mert jelentős hatással van a személyzetre, a költségvetésre és az innovációra.
A jelenlegi erőfeszítések megőrzése
Az ötödik a műveletek, például a csomópont képének frissessége (javítás) és a Kubernetes verziószámozása. Ki a felelős a csomópontrendszerképek frissítéséért, az alkalmazott javítások nyomon követéséért, a Kubernetes és az AKS gyakori biztonsági réseinek és kitettségeinek nyomon követéséért és összeállításáért? A számítási feladatokat végző csapatoknak részt kell venniük a megoldás fürtfrissítéseken való ellenőrzésében, és ha a fürtök nem aktuálisak, akkor ki fognak esni az Azure-támogatásból. Az AKS-ben, így az Azure többi platformja esetében is kritikus fontosságú, hogy az "aktuálisak maradjanak" törekvések köré erős szabályozást vezessenek be. Ehhez nagyon szoros munkakapcsolatra lesz szükség az alkalmazáscsapatokkal, és legalább havonta külön időt kell szánni a számítási feladatok ellenőrzésére, hogy a fürtök naprakészek maradjanak. Győződjön meg arról, hogy a Kubernetes-függőséget vállaló összes csapat tisztában van ennek a folyamatban lévő munkának a követelményeivel és költségével, amely addig tart, amíg a platformon vannak.
Biztonsági alapkonfiguráció
Az AKS-fürtök biztonsága érdekében az alábbi ajánlott eljárásokat lehet hozzáadni a biztonsági alapkonfigurációhoz:
- Podok biztonságossá tétele
- A podok közötti forgalom biztonságossá tétele
- Engedélyezett IP-hozzáférés az AKS API-hoz , ha nem privát fürtöket használ.
Identitás
Az identitáskezelési alapkonfigurációra számos ajánlott eljárás alkalmazható a Kubernetes-fürtök egységes identitás- és hozzáférés-kezelésének biztosítása érdekében:
- Microsoft Entra-integráció
- RBAC és Microsoft Entra integráció
- Felügyelt identitások a Kubernetesben
- Más Azure-erőforrások elérése a Microsoft Entra pod identitásával
Következő lépés: Modern alkalmazásplatform-megoldások kezelése
Az alábbi cikkek útmutatást nyújtanak a felhőbevezetési folyamat egyes pontjain, hogy sikeresek legyenek a felhőbevezetési forgatókönyvben.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: