Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Kubernetes Service (AKS) egy felügyelt Kubernetes-szolgáltatás, amellyel tárolóalapú alkalmazásokat helyezhet üzembe és kezelhet. A többi felügyelt szolgáltatáshoz hasonlóan az AKS a működési többlet nagy részét kiterheli az Azure-ba, miközben magas rendelkezésre állási, méretezhetőségi és hordozhatósági funkciókat biztosít a számítási feladat számára.
Ez a cikk feltételezi, hogy tervezőként áttekintette a számítási döntési fát, és az AKS-t választotta számítási feladatához. A cikk útmutatása olyan architekturális javaslatokat tartalmaz, amelyek az Azure Well-Architected-keretrendszer pilléreinek alapelveihez vannak megfeleltetve.
Fontos
Útmutató használata
Minden szakasz rendelkezik egy tervezési ellenőrzőlistával, amely a technológiai hatókörre honosított tervezési stratégiákkal együtt mutatja be a problémás architekturális területeket.
Ezek közé tartoznak azok a technológiai képességekre vonatkozó javaslatok is, amelyek segíthetnek ezeknek a stratégiáknak a kialakításában. A javaslatok nem jelentik az AKS-hez és függőségeihez elérhető összes konfiguráció teljes listáját. Ehelyett felsorolják a tervezési szempontokhoz hozzárendelt legfontosabb javaslatokat. A javaslatok segítségével elkészítheti a megvalósíthatósági igazolást, vagy optimalizálhatja meglévő környezeteit.
Alapvető architektúra, amely bemutatja a legfontosabb javaslatokat: AKS alaparchitektúra.
technológiai hatókör
Ez az áttekintés a következő Azure-erőforrásokhoz tartozó, egymással összefüggő döntésekre összpontosít:
- AKS
Amikor a Well-Architected Keretrendszer alappilléreinek ajánlott eljárásait tárgyalja az AKS-hez, fontos különbséget tenni fürt és számítási feladatokközött. A fürt ajánlott eljárásai a fürt rendszergazdája és az erőforrás-szolgáltató közös felelőssége, míg a munkaterhelés ajánlott eljárásai a fejlesztők területe. Ez a cikk az egyes szerepkörökhöz kapcsolódó szempontokat és javaslatokat tartalmazza.
Jegyzet
Az alábbi pillérek közé tartozik egy tervezési ellenőrzőlista és egy javaslatok listája, amelyek jelzik, hogy az egyes lehetőségek alkalmazhatók-e fürt architektúrájára, számítási feladatok architektúrájára vagy mindkettőre.
Megbízhatóság
A megbízhatósági pillér célja a folyamatos működés biztosítása azáltal, hogy elegendő rugalmasságot épít ki, és képes gyorsan helyreállni a hibákból.
megbízhatósági tervezési alapelvek az egyes összetevőkre, rendszerfolyamatokra és a rendszer egészére alkalmazott magas szintű tervezési stratégiát biztosítanak.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a megbízhatósági tervezési ellenőrzőlista alapján. Az AKS funkcióit és függőségeit szem előtt tartva határozza meg az üzleti követelményekhez való relevanciáját. Bővítse ki a stratégiát, hogy szükség szerint további megközelítéseket is tartalmazzon.
A (klaszter) redundancia kiépítése a reziliencia javítása érdekében. Használjon rendelkezésre állási zónákat az AKS-klasztereihez, mint rugalmassági stratégiájának részét, hogy növelje a rendelkezésre állást, amikor egyetlen régióban helyezi üzembe. Számos Azure-régió biztosít rendelkezésre állási zónákat. A zónák elég közel vannak ahhoz, hogy alacsony késésű kapcsolatok legyenek köztük, de elég messze vannak egymástól ahhoz, hogy csökkentse annak valószínűségét, hogy a helyi kimaradások több zónát is érintenek.
Kritikus számítási feladatok esetén helyezzünk üzembe több fürtöt különböző Azure-régiókban. Az AKS-fürtök földrajzi elosztásával nagyobb rugalmasságot érhet el, és minimalizálhatja a regionális hibák hatásait. A többrégiós stratégia segít maximalizálni a rendelkezésre állást és biztosítani az üzletmenet folytonosságát. Az internetkapcsolattal rendelkező számítási feladatoknak az Azure Front Door-t vagy a Azure Traffic Manager-t kell használniuk a forgalom globális irányításához az AKS-fürtök között. További információ: többrégiós stratégia.
Tervezze meg az IP-címteret, hogy a fürt megbízhatóan méretezhesse és kezelje a többfürtös topológiák feladatátvételi forgalmát.
(Fürt és munkaterhelés) A fürt és a munkaterhelések megbízhatóságának és általános állapotának monitorozása. Naplók és metrikák gyűjtése a munkaterhelések állapotának figyeléséhez, a teljesítmény- és megbízhatósági trendek azonosításához, valamint a problémák elhárításához. Tekintse át a Kubernetes az Azure Monitorral történő monitorozásának legjobb gyakorlatait, valamint a számítási feladatok Well-Architected állapotmodellezésének útmutatóját, hogy segítséget kapjon az AKS-megoldás megbízhatósági és állapotmonitorozási megoldásának megtervezéséhez.
Győződjön meg arról, hogy a számítási feladatok a horizontális skálázás és a jelentésalkalmazások felkészültségének és állapotának támogatására lettek létrehozva.
(Fürt és számítási feladatok) Alkalmazási podok elhelyezése felhasználói csomópontkészletekben. A rendszer podok alkalmazási számítási feladatoktól való elkülönítésével biztosíthatja, hogy az AKS alapvető szolgáltatásait ne befolyásolják a felhasználói csomópontkészleteket futtató számítási feladatok által támasztott erőforrásigények vagy azok lehetséges problémái.
Győződjön meg arról, hogy a számítási feladat felhasználói csomópontkészleteken fut, és válassza ki a megfelelő méretű termékváltozatot. Legalább két csomópontot kell tartalmaznia a felhasználói csomópontkészletekhez, és három csomópontot a rendszercsomópont-készlethez.
(Fürt és számítási feladat) Vegye figyelembe az AKS üzemidőre vonatkozó szolgáltatási szint megállapodást (SLA) a rendelkezésre állási és helyreállítási célokhoz. A fürt és a számítási feladat megbízhatósági és helyreállítási céljainak meghatározásához kövesse a megbízhatósági célok meghatározására vonatkozó ajánlásokcímű cikkében található útmutatást. Ezután fogalmazzon meg egy tervet, amely megfelel ezeknek a céloknak.
(Fürt és munkaterhelés) Az AKS-fürtszolgáltatás védelme az Azure Backup használatával úgy biztosítható, hogy a helyreállítási pontokat egy biztonsági mentési tárolóban helyezzük el, és katasztrófahelyzet esetén végrehajtjuk a visszaállítást. Az AKS-fürtökben futó tárolóalapú alkalmazások és adatok biztonsági mentéséhez és visszaállításához kövesse az AKS biztonsági mentési áttekintésének útmutatását a védelem konfigurálásához.
Ajánlások
| Ajánlás | Juttatás |
|---|---|
| (Csoport és számítási feladat) A podütemezés vezérlése csomópontválasztók és affinitás segítségével. Az AKS-ben a Kubernetes-ütemező logikailag képes elkülöníteni a számítási feladatokat hardver alapján a csomóponton. Ellentétben a tűrésekkel, az olyan podok, amelyek nem rendelkeznek egyező csomópontválasztóval, ütemezhetők címkézett csomópontokra, de azok a podok élveznek elsőbbséget, amelyek meghatározzák az egyező csomópontválasztót. |
A csomópont affinitása nagyobb rugalmasságot eredményez, ami lehetővé teszi annak meghatározását, hogy mi történik, ha a pod nem felel meg egy csomópontnak. |
| (Fürt) Válassza ki a megfelelő hálózati beépülő modult a hálózati követelmények és a fürt méretezése alapján. A különböző hálózati beépülő modulok különböző szintű funkciókat biztosítanak. Az Azure Container Networking Interface (Azure CNI) meghatározott forgatókönyvekhez szükséges, például Windows-alapú csomópontkészletekhez, néhány hálózati követelményhez és Kubernetes-hálózati szabályzathoz. További információért lásd: Kubenet szemben az Azure CNI-vel. |
A megfelelő hálózati beépülő modul segíthet a jobb kompatibilitás és teljesítmény biztosításában. |
| (Fürt és számítási feladat) Használja az AKS üzemidőre vonatkozó SLA-t termelési szintű fürtökhöz. | A számítási feladat támogathatja a magasabb rendelkezésre állási célokat, mivel az AKS-fürtök Kubernetes API-kiszolgálóvégpontja magasabb rendelkezésre állási garanciákat biztosít. |
| (Fürt) A rendelkezésre állási zónák segítségével maximalizálhatja a rugalmasságot az Azure-régión belül az AKS node-ok fizikailag különálló adatközpontok közötti elosztásával. Ha együttelhelyezési követelmények léteznek, használjon egy normál, virtuális gépméretezési csoportokon alapuló AKS-üzembe helyezést egyetlen zónába, vagy használja közelségi elhelyezési csoportokat a csomópontok közötti késleltetés minimalizálása érdekében. |
A csomópontkészletek több zóna közötti elosztásával az egyik csomópontkészlet csomópontjai akkor is futnak, ha egy másik zóna leáll. |
| (Fürt és számítási feladat) Pod forrásszükségletek és korlátok meghatározása alkalmazástelepítési jegyzékekben. Kényszerítse ki ezeket a korlátokat az Azure Policy használatával. | A Kubernetes-fürtben a tárolók CPU- és memóriaerőforrás-korlátai szükségesek ahhoz, hogy elkerüljük az erőforrások kimerülését. |
| (Fürt és számítási feladat) Tartsa elkülönítve a rendszercsomópont-készletet az alkalmazás számítási feladataitól. A rendszercsomópont készletei legalább 2 vCPU-vel és 4 GB memóriával rendelkező virtuális gép konfigurációt igényelnek. Javasoljuk, hogy 4 vagy több vCPU-t használjon. További információ: Rendszer- és felhasználói csomópontkészletek. |
A rendszercsomópont-készlet kritikus rendszer-podokat üzemeltet, amelyek elengedhetetlenek a fürt vezérlősík működéséhez. Ezeknek a rendszer podoknak az alkalmazás-számítási feladatoktól való elkülönítésével biztosíthatja, hogy az alapvető szolgáltatásokat ne befolyásolja az erőforrásigények vagy a számítási feladatok által okozott lehetséges problémák. |
| (Fürt és számítási feladat) Különítse el az alkalmazásokat a dedikált csomópontkészletekhez adott követelmények alapján. Kerülje a nagy számú csomópontkészletet a felügyeleti többletterhelés csökkentése érdekében. | Az alkalmazások megoszthatják ugyanazt a konfigurációt, és szükségük lehet GPU-képes virtuális gépekre, processzor- vagy memóriaoptimalizált virtuális gépekre, illetve nullára skálázhatóságra. A csomópontkészletek adott alkalmazásokra való felosztásával biztosíthatja, hogy az egyes alkalmazások az erőforrások túlméretezése vagy kihasználatlan kihasználása nélkül megkapják a szükséges erőforrásokat. |
| (Fürt) Használjon NAT-átjárót olyan fürtökhöz, amelyek több egyidejű kimenő kapcsolatot létesítő számítási feladatokat futtatnak. | Az Azure NAT Gateway nagy méretekben támogatja a megbízható kimenő forgalmat, és segít elkerülni a megbízhatósági problémákat azáltal, hogy azure Load Balancer-korlátozásokat alkalmaz a magas egyidejű kimenő forgalomra. |
| (Fürt és számítási feladat) Az Azure Backup segítségével védeni az AKS-fürtöt, és visszaállítása másodlagos régiókba katasztrófa esetén. Az Azure Backup támogatja a tárolóalapú alkalmazások és a fürtállapot és az alkalmazásadatok esetében egyaránt futó adatok biztonsági mentési és visszaállítási műveleteit. A biztonsági másolatokat regionális vészforgatókönyvekben használhatja, és helyreállíthatja a biztonsági mentéseket. |
Az Azure Backup és az Azure Kubernetes Service (AKS) teljes mértékben felügyelt, méretezhető, biztonságos és költséghatékony megoldást kínál. Növeli a számítási feladatok megbízhatóságát a biztonsági mentési infrastruktúra beállításának és karbantartásának bonyolultsága nélkül. |
Biztonság
A biztonsági pillér célja, hogy bizalmasságot, integritást és rendelkezésre állást biztosítson a számítási feladat számára.
A biztonsági tervezési alapelvek magas szintű tervezési stratégiát biztosítanak e célok eléréséhez az AKS műszaki tervezésére alkalmazott megközelítések alkalmazásával.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a biztonsági tervezési felülvizsgálati ellenőrzőlista alapján, és azonosítsa a biztonsági réseket és ellenőrzéseket a biztonsági helyzet javítására. Ismerkedjen meg az AKS biztonsági fogalmaival, és értékelje ki a biztonsági megerősítésre vonatkozó javaslatokat a CIS Kubernetesbenchmark alapján. Bővítse ki a stratégiát, hogy szükség szerint további megközelítéseket is tartalmazzon.
(Fürt) Integráljon Microsoft Entra ID-t az identitás- és hozzáférés-kezeléshez. Centralizálja a fürt identitáskezelését a Microsoft Entra ID használatával. A felhasználói fiók vagy a csoport állapotának bármilyen módosítása automatikusan frissül az AKS-fürthöz való hozzáféréskor. Azonosítsák az identitást az elsődleges biztonsági határvonalként. A Kubernetes-fürt fejlesztőinek és alkalmazástulajdonosainak különböző erőforrásokhoz kell hozzáférni.
Használja a Kubernetes szerepköralapú hozzáférés-vezérlést (RBAC) Microsoft Entra ID-vel a minimális jogosultságú hozzáférést. A konfiguráció és a titkos kódok védelme a rendszergazdai jogosultságok kiosztásának minimalizálásával.
(Cluster) Integráljon a biztonsági monitorozási, a biztonsági információ- és eseménykezelő eszközökkel. A Microsoft Defender for Containers és Microsoft Sentinel használatával észlelheti és gyorsan reagálhat a fenyegetésekre a fürtökön és a rajtuk futó számítási feladatokon. Engedélyezze a AKS-összekötőt a Microsoft Sentinel számára, hogy az AKS diagnosztikai naplóit továbbítsa a Microsoft Sentinelbe.
(Fürtök és munkaterhelés) Implementálja a szegmentálást és a hálózati vezérléseket. Az adatszivárgás megakadályozása érdekében győződjön meg arról, hogy csak az engedélyezett és biztonságos forgalom van megengedve, és korlátozza a biztonsági incidens hatósugarát.
Fontolja meg egy privát AKS-fürt használatát annak biztosításához, hogy az API-kiszolgáló fürtfelügyeleti forgalma a magánhálózaton maradjon. Vagy használja az API-kiszolgáló engedélyezési listáját nyilvános fürtökhöz.
(Számítási feladat) Webalkalmazási tűzfal (WAF) használata a bejövő forgalom lehetséges támadásainak vizsgálatához. WAF valós időben képes észlelni és enyhíteni a fenyegetéseket, hogy megakadályozza a rosszindulatú forgalmat, mielőtt az alkalmazásokat elérené. Robusztus védelmet nyújt a gyakori webalapú támadások, például az SQL-injektálás, a helyek közötti szkriptelés és az Open Web Application Security Project egyéb biztonsági rései ellen. Egyes terheléselosztók, például Azure Application Gateway vagy Azure Front Door integrált WAF-sel rendelkeznek.
(Munkaterhelés) Egy megerősített munkaterhelés szoftverellátási láncának fenntartása. Győződjön meg arról, hogy a folyamatos integrációs és szállítási csővezetéke megerősítve van tárolóérzékeny vizsgálattal.
(Fürt és számítási feladat) Extra védelem biztosítása speciális biztonságos számítási feladatokhoz. Ha a fürtnek érzékeny számítási feladatot kell futtatnia, szüksége lehet egy magánfürt üzembe helyezésére. Íme néhány példa:
- Fizetési Kártya Iparági Adatbiztonsági Szabvány (PCI-DSS 3.2.1): AKS által szabályozott fürt PCI-DSS 3.2.1
- DoD Impact Level 5 (IL5) támogatás és követelmények az AKS-hez: Azure Government IL5 szeparációs követelményei.
Ajánlások
| Ajánlás | Előny |
|---|---|
| (Fürt) Használjon felügyelt identitásokat a fürtön. | Elkerülheti a szolgáltatási alapelvek kezelésével és elforgatásával járó többletterhelést. |
| (Számítási feladat) Használja Microsoft Entra számítási feladat azonosítóját az AKS- a Microsoft Entra által védett erőforrások, például az Azure Key Vault és a Microsoft Graph eléréséhez a számítási feladatból. | Az AKS számítási feladatok azonosítóinak használatával megvédheti az Azure-erőforrásokhoz való hozzáférést a Microsoft Entra ID RBAC használatával anélkül, hogy közvetlenül a kódban kellene kezelnie a hitelesítő adatokat. |
| (Fürt) A Microsoft Entra ID használatával hitelesítsen az Azure Container Registry az AKS-en keresztül. | A Microsoft Entra ID használatával az AKS imagePullSecrets titkos kulcsok használata nélkül végezhet hitelesítést a Tárolóregisztrációs adatbázissal. |
| (API-szerver) Ha a munkaterhelési követelmények magasabb szintű szegmentálást igényelnek, biztosítsa a hálózati forgalmat az API-kiszolgáló felé a privát AKS-fürt használatával. | Alapértelmezés szerint a csomópontkészletek és az API-kiszolgáló közötti hálózati forgalom a Microsoft gerinchálózatán halad át. Privát fürt használatával biztosíthatja, hogy az API-kiszolgáló felé irányuló hálózati forgalom csak a magánhálózaton legyen. |
| (Cluster) Nyilvános AKS-fürtök esetén használjon az API szerver által engedélyezett IP-címtartományokat. Adjon meg olyan forrásokat, mint az üzembehelyezési buildügynökök nyilvános IP-címei, az üzemeltetés kezelése és a csomópontkészletek kimenő pontja, például az Azure Firewall. | Nyilvános fürtök használatakor jelentősen csökkentheti az AKS-fürtök támadási felületét azáltal, hogy korlátozza a fürtök API-kiszolgálójához eljutó forgalmat. |
| (Fürt) Az API szerver védelme a Microsoft Entra ID RBAC használatával. Tiltsa le a helyi fiókokat, hogy a Microsoft Entra ID-alapú identitások használatával kényszerítse az összes fürthozzáférést. |
A Kubernetes API-kiszolgálóhoz való hozzáférés biztosítása az egyik legfontosabb lépés, amellyel biztonságossá teheti a fürtöt. Integrálja a Kubernetes RBAC-t a Microsoft Entra-azonosítóval az API-kiszolgálóhoz való hozzáférés szabályozásához. |
| (Fürt) Használja az Azure-hálózati szabályzatokat vagy a Calico-t. | Szabályzatok használatával biztonságossá teheti és szabályozhatja a fürt podjai közötti hálózati forgalmat. A Calico gazdagabb képességeket biztosít, beleértve a szabályzatok sorrendjét és prioritását, a megtagadási szabályokat és a rugalmasabb egyezésszabályokat. |
| (Fürt) Fürtök és podok védelme Azure Policyhasználatával. | Az Azure Policy segítségével központi, konzisztens módon alkalmazhatja a fürtökre vonatkozó nagy léptékű kényszerítéseket és biztonsági intézkedéseket. Szabályozhatja, hogy a podok milyen funkciókhoz kapnak jogosultságot, és ellenőrizheti, hogy bármi ellentétes-e a vállalati szabályzattal. |
| (Klaszter) Biztonságos konténerhozzáférés az erőforrásokhoz. Korlátozza a tárolók által végrehajtható műveletekhez való hozzáférést. Adja meg a legkevesebb engedélyt, és kerülje a gyökér- vagy emelt szintű eszkaláció használatát. Linux-alapú tárolók esetén lásd: A biztonsági tárolók hozzáférése az erőforrásokhoz beépített Linux biztonsági funkciókkal. |
Az engedélyek korlátozásával és a gyökér- vagy emelt szintű eszkaláció használatának elkerülésével csökkentheti a biztonsági incidensek kockázatát. Segíthet biztosítani, hogy még akkor is, ha egy tároló sérül, a lehetséges károk minimalizálódjanak. |
| (Fürt) A fürt kimenő forgalmának szabályozásához gondoskodjon arról, hogy a fürt kimenő forgalma áthaladjon egy hálózati biztonsági ponton, például Azure Firewall vagy egy HTTP-proxy. | A kimenő forgalom Azure Firewallon vagy HTTP-proxyn keresztüli átirányításával olyan biztonsági szabályzatokat kényszeríthet ki, amelyek megakadályozzák a jogosulatlan hozzáférést és az adatok kiszivárgását. Ez a megközelítés leegyszerűsíti a biztonsági szabályzatok felügyeletét is, és megkönnyíti a konzisztens szabályok kikényszerítését a teljes AKS-fürtön. |
| (Fürt) Használja a nyílt forráskódú Microsoft Entra Workload ID és a Secret Store CSI-illesztőprogramot a Key Vaulttal. | Ezek a funkciók erős titkosítással segítenek megvédeni és elforgatni a titkos kulcsokat, a tanúsítványokat és a kapcsolati sztringeket a Key Vaultban. Hozzáférési naplózási naplót biztosítanak, és az alapvető titkos kulcsokat távol tartják az üzembehelyezési folyamattól. |
| Microsoft Defender for Containers használja (Fürt). | A Microsoft Defender for Containers segít a fürtök, a tárolók és az azokban található alkalmazások biztonságának felügyeletében és fenntartásában. |
Költségoptimalizálás
A költségoptimalizálás az a kiadási minták felismerésére, a kritikus területeken lévő beruházások rangsorolására, valamint az egyéb területek optimalizálására összpontosít, a szervezet költségvetésének megfelelve és az üzleti követelmények teljesítése mellett.
A Költségoptimalizálás tervezési alapelvei magas szintű tervezési stratégiát biztosítanak e célok eléréséhez és az AKS-hez és környezetéhez kapcsolódó műszaki tervezés során szükséges kompromisszumok kialakításához.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a , költségoptimalizálási és a beruházásokra vonatkozó tervezési felülvizsgálati ellenőrzőlista alapján. Finomhangolja a tervet, hogy a számítási feladat igazodjon a számítási feladathoz lefoglalt költségvetéshez. A tervezésnek a megfelelő Azure-képességeket kell használnia, figyelnie kell a beruházásokat, és meg kell találnia az optimalizálás lehetőségeit az idő függvényében.
(Fürt) Az AKS tarifacsomagjait foglalja bele a költségmodellbe. A költségek becsléséhez használja a Azure díjkalkulátort, és tesztelje a különböző konfigurációs és fizetési terveket a kalkulátorban.
(Fürt) A számítási feladathoz leginkább illő díjszabást érheti el. Minden csomópontkészlethez használja a megfelelő virtuálisgép-termékváltozatot, mert az közvetlenül befolyásolja a számítási feladatok futtatásának költségeit. A nagy teljesítményű virtuális gépek megfelelő kihasználtság nélküli kiválasztása pazarló költségekhez vezethet. A kevésbé hatékony virtuális gépek kiválasztása teljesítményproblémát és megnövekedett állásidőt okozhat.
Ha megfelelően megtervezte a kapacitást, és a számítási feladat kiszámítható, valamint hosszabb ideig fog fennállni, jelentkezzen az Azure Reservations vagy egy megtakarítási terv megkötésére, hogy csökkentse az erőforrásköltségeit.
Válassza az Azure Spot Virtuális Gépeket, hogy kihasználatlan Azure-kapacitást használjon jelentős kedvezményekkel. Ezek a kedvezmények akár a használatalapú árak 90%-át is elérhetik. Ha az Azure-nak vissza kell igényelnie a kapacitást, az Azure-infrastruktúra kiüríti a kihasználatlan csomópontokat.
Ha helyszíni vagy peremhálózati AKS-t futtat, Azure Hybrid Benefit használatával csökkentheti a költségeket, amikor tárolóalapú alkalmazásokat futtat ezekben a forgatókönyvekben.
(Fürt és számítási feladat) a számítási feladatok összetevőinek költségeinek optimalizálása. Válassza ki a számítási feladat legköltséghatékonyabb régióját. Értékelje ki a költségekre, késésre és megfelelőségre vonatkozó követelményeket annak érdekében, hogy a számítási feladat költséghatékonyan fusson, és hogy az ne befolyásolja az ügyfeleket, és ne hozzon létre további hálózati díjakat. Az a régió, ahol üzembe helyezi a számítási feladatot az Azure-ban, jelentősen befolyásolhatja a költségeket. Számos tényező miatt az erőforrások költsége az Azure minden régiójában eltérő.
Kis méretű és optimalizált rendszerképek karbantartása a költségek csökkentése érdekében, mivel az új csomópontoknak le kell tölteniük ezeket a lemezképeket. Az alkalmazás indításakor a felhasználói kérések hibái vagy időtúllépései túlméretezést okozhatnak. Készítsen képeket úgy, hogy a tároló a lehető leghamarabb elinduljon a hibák és időtúllépések elkerülése érdekében.
Tekintse át a Költségoptimalizálási javaslatokat a Ajánlott eljárásokban az Azure Monitorral történő Kubernetes monitorozáshoz, hogy meghatározza a számítási feladatokhoz legmegfelelőbb monitorozási stratégiát. Elemezze a teljesítménymutatókat, a processzorral, a memóriával, a tárolóval és a hálózattal kezdve, a fürt, a csomópontok és a névtér szerinti költségoptimalizálási lehetőségek azonosításához.
(Fürt és számítási feladat) a számítási feladatok skálázási költségeinek optimalizálása. Fontolja meg az alternatív vertikális és vízszintes méretezési konfigurációkat a skálázási költségek csökkentése érdekében, miközben továbbra is megfelel az összes számítási feladatra vonatkozó követelménynek. Alkalmazzon automatikus skálázókat a méretezés csökkentésére, amikor a számítási feladatok kevésbé aktívak.
(Klaszter és munkaterhelés) Költségadatok gyűjtése és elemzése. A költségoptimalizálás alapja egy költséghatékony klaszter terjedése. Költséghatékonysági szemlélet kialakítása, amely magában foglalja a pénzügyi, üzemeltetési és mérnöki csapatok közötti együttműködést a költségmegtakarítási célokhoz való igazodás és a felhőköltségek átláthatóságának biztosítása érdekében.
Ajánlások
| Ajánlás | Juttatás |
|---|---|
| (Fürt és számítási feladat) A AKS termékváltozat kiválasztásának és a felügyelt lemezméret igazítása a számítási feladatokra vonatkozó követelményekhez. | Az Ön kiválasztásának munkaterheléséhez való igazítása segít abban, hogy ne fizessen a szükségtelen erőforrásokért. |
| (Fürt) Válassza ki a megfelelő virtuálisgép-példánytípusokat a AKS-csomópontkészletekhez. A megfelelő virtuálisgép-példánytípusok meghatározásához fontolja meg a számítási feladatok jellemzőit, az erőforrás-követelményeket és a rendelkezésre állási igényeket. |
A megfelelő virtuálisgép-példánytípus kiválasztása kulcsfontosságú, mivel közvetlenül befolyásolja az alkalmazások AKS-en való futtatásának költségeit. A nagy teljesítményű példányok megfelelő kihasználtság nélküli kiválasztása pazarló költségekhez vezethet. A kevésbé erős példány kiválasztása teljesítményproblémákhoz és megnövekedett állásidőhöz vezethet. |
| (Fürt) A hatékonyabb Azure Resource Manager-architektúra alapján válassza ki a virtuális gépeket. Az AKS támogatja az Arm64-csomópontkészletek létrehozását, valamint az Intel és a Resource Manager architektúracsomópontok kombinációját a fürtön belül. | Az Arm64-architektúra alacsonyabb energiafelhasználása és hatékony számítási teljesítménye miatt jobb ár-teljesítmény arányt biztosít. Ezek a képességek alacsonyabb költséggel jobb teljesítményt érhetnek el. |
| (Fürt) Engedélyezze a fürt automatikus skálázóját, hogy automatikusan csökkentse az agent csomópontok számát a túlzott erőforrás-kapacitásra reagálva. | Az AKS-fürtön lévő csomópontok számának automatikus skálázásával hatékony fürtöt futtathat, ha alacsony az igény, és vertikálisan felskálázható az igény növekedésekor. |
| (Fürt) Engedélyezze a csomópont automatikus kiépítését a VM SKU kiválasztás automatizálására. | A csomópont automatikus kiépítése leegyszerűsíti az SKU kiválasztási folyamatát, és a függőben lévő pod-erőforrás követelmények alapján az optimális virtuális gép konfigurációt választja a számítási feladatok leghatékonyabb és legköltséghatékonyabb futtatásához. |
| (Számítási feladat) A HorizontalPodAutoscaler használatával módosíthatja a podok számát egy üzemelő példányban a processzorhasználat vagy más metrikák alapján. | A podok számának automatikus csökkentése, ha alacsony az igény, és növelése, amikor az igény nő, költséghatékonyabbá teszi a számítási feladatok működését. |
| (Számítási feladat) A VerticalPodAutoscaler (előzetes verzió) segítségével optimalizálhatja a podok méretét, valamint dinamikusan állíthatja be a kéréseket és korlátokat a korábbi használat alapján. | Az egyes számítási feladatokhoz tartozó erőforrás-kérelmek és tárolók korlátainak beállításával a VerticalPodAutoscaler felszabadítja a processzort és a memóriát a többi pod számára, és segít biztosítani az AKS-fürtök hatékony kihasználtságát. |
| (Fürt) Konfigurálja a AKS költségelemzési bővítményt. | A költségelemzési fürtbővítmény lehetővé teszi, hogy részletes betekintést nyerjen a fürtök vagy névterek különböző Kubernetes-erőforrásaihoz társított költségekbe. |
Működési kiválóság
Az operatív kiválóság elsősorban a fejlesztési eljárásokra, a megfigyelhetőségre és a kiadáskezelésivonatkozó eljárásokra összpontosít.
A Működési kiválóság tervezési alapelvei magas szintű tervezési stratégiát biztosítanak a számítási feladatok működési követelményeihez kitűzött célok eléréséhez.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát az Operational Excellence tervezési felülvizsgálati ellenőrzőlistája alapján, amely meghatározza a megfigyelhetőségi, tesztelési és üzembe helyezési folyamatokat. Nézze meg az AKS ajánlott eljárásait és a "Day-2" üzemeltetési útmutatót, hogy tanulmányozza a megértéshez és a megvalósításhoz szükséges legfontosabb szempontokat.
Infrastruktúra mint kód (IaC) üzembe helyezési módszer implementálása. Deklaratív, sablonalapú megközelítés alkalmazása Bicep, Terraform vagy hasonló eszközök révén. Győződjön meg arról, hogy az összes üzembe helyezés megismételhető, nyomon követhető és egy forráskód-adattárban van tárolva. További információ: rövid útmutatók az AKS termékdokumentációjában.
(Fürtök és számítási feladatok) Az infrastruktúra és a számítási feladatok üzembe helyezésének automatizálása. Használjon standard szoftvermegoldásokat a fürtök és a számítási feladatok üzembe helyezésének kezelésére, integrálására és automatizálására. Integrálhatja az üzembehelyezési folyamatokat a forrásvezérlő rendszerrel, és automatizált teszteket is magában foglal.
Hozzon létre egy automatizált folyamatot, ami segít biztosítani, hogy a fürtök a szükséges fürtszintű konfigurációkkal és üzembe helyezésekkel legyenek ellátva és beállítva. Ezt a folyamatot általában a GitOps használatával hajtják végre.
A szoftverfejlesztési életcikluson belül ismételhető és automatizált üzembe helyezési folyamatokat használhat a számítási feladatokhoz.
(Fürt és számítási feladat) Átfogó monitorozási stratégia implementálása. Naplók és metrikák gyűjtése a számítási feladatok állapotának monitorozásához, a teljesítmény és a megbízhatóság trendjeinek azonosításához, valamint a problémák elhárításához. Tekintse át a Kubernetes Azure Monitor-való monitorozásának ajánlott eljárásait, valamint a Well-Architected javaslatokat egy monitorozási rendszer tervezésére és létrehozására a számítási feladatok legjobb monitorozási stratégiájának meghatározásához.
Engedélyezze a diagnosztikai beállításokat annak biztosításához, hogy a vezérlősík vagy az ALAPVETŐ API-kiszolgáló interakciói naplózva legyenek.
A munkaterhelést úgy kell megtervezni, hogy olyan telemetriát bocsásson ki, amely összegyűjthető, és tartalmaznia kell az élőképességi és készültségi állapotokat.
(Fürt és számítási feladat) Tesztelés implementálása éles stratégiákban. Éles környezetben végzett tesztelés valós üzembe helyezésekkel ellenőrzi és méri az alkalmazás viselkedését és teljesítményét az éles környezetben. Az alkalmazás- vagy platform megbízhatósági problémáinak azonosításához használjon káosztervezési eljárásokat, amelyek a Kubernetesre irányulnak.
Azure Chaos Studio segíthet szimulálni a hibákat, és vészhelyreállítási helyzeteket aktiválni.
(Fürt és munkaterhelés) Kényszerítsd érvényre a munkaterhelés irányítását. Az Azure Policy segít a szervezeti szabványoknak való konzisztens megfelelőség biztosításában, automatizálja a szabályzatok érvényesítését, valamint központosított láthatóságot és felügyeletet biztosít a fürt erőforrások felett.
Tekintse át az Azure-szabályzatok szakaszt az AKS-hez elérhető beépített szabályzatokról.
(Fürt és számítási feladat) Kritikus fontosságú számítási feladatokhoz bélyegszintű, kék-zöld üzembe helyezések alkalmazása. A bélyegszintű, kék-zöld üzembe helyezési megközelítés növelheti a bizalmat a módosítások kiadásakor, és lehetővé teszi a leállási idő nélküli frissítéseket, mivel az alárendelt függőségekkel való kompatibilitások, mint az Azure platform, az erőforrás-szolgáltatók és az IaC-modulok, érvényesíthetők.
A Kubernetes és a bejövőforgalom-vezérlők számos fejlett üzembehelyezési mintát támogatnak a kiadástervezési folyamatba való felvételhez. Fontolja meg a mintákat, például a kék-zöld üzembe helyezéseket vagy a kanári-kiadásokat.
(Fürt és számítási feladat) Tegyük fenntarthatóbbá a számítási feladatokat. A számítási feladatok fenntarthatóbbá és felhőhatékonyabbá tétele megköveteli a költségoptimalizálás, a szén-dioxid-kibocsátás csökkentése és az energiafogyasztás optimalizálása körüli erőfeszítések összevonását. Az alkalmazás költségeinek optimalizálása a számítási feladatok fenntarthatóbbá tételének első lépése.
A fenntartható és hatékony AKS-számítási feladatok létrehozásának megismeréséhez tekintse meg fenntartható szoftverfejlesztés alapelveit az AKS-ben.
Ajánlások
| Ajánlás | Juttatás |
|---|---|
| Fürt) A fürt- és podkonfigurációs szabványok működésbe hozása az Azure-szabályzatokkal az AKS esetében. | Az AKS-hez készült Azure-szabályzatok segítségével központi, konzisztens módon alkalmazhatja a fürtökre vonatkozó helyszíni kényszerítési és biztonsági intézkedéseket. Szabályzatokkal határozhatja meg a podokhoz adott engedélyeket, és biztosíthatja a vállalati szabályzatoknak való megfelelést. |
| (Munkaterhelés) Használja a Kubernetes eseményvezérelt automatikus skálázó (KEDA) . | A KEDA lehetővé teszi az alkalmazások számára a skálázást események alapján, például a feldolgozott események száma alapján. Több mint 50 KEDA-skálázó gazdag katalógusából választhat. |
Teljesítményhatékonyság
A teljesítményhatékonyság arról szól, a felhasználói élmény fenntartása akkor is, ha a kapacitás kezelésével növekszik a terhelés. A stratégia magában foglalja az erőforrások skálázását, a lehetséges szűk keresztmetszetek azonosítását és optimalizálását, valamint a csúcsteljesítmény optimalizálását.
A Teljesítményhatékonyság tervezési alapelvei magas szintű tervezési stratégiát biztosítanak e kapacitáscélok eléréséhez a várt használattal szemben.
Tervezési ellenőrzőlista
Indítsa el a tervezési stratégiát a teljesítményhatékonyság tervezési felülvizsgálati ellenőrzőlistája alapján, amely az AKS fő teljesítménymutatói alapján definiálja az alaptervet.
(Fürt és számítási terhelés) Kapacitástervezés elvégzése. Részletes kapacitástervezési gyakorlat elvégzése és iterálása, amely tartalmazza a termékváltozatot, az automatikus méretezési beállításokat, az IP-címzést és a hibakezelési szempontokat.
A kapacitásterv formalizálása után gyakran frissítse a tervet a klaszter erőforrás-kihasználtságának folyamatos megfigyelésével.
(Fürt) Definiáljon egy skálázási stratégiát. Konfigurálja a skálázást annak biztosítása érdekében, hogy az erőforrások hatékonyan legyenek összehangolva a számítási feladatok igényeinek megfelelően, elkerülve a túlhasználatot vagy a pazarlást. Az AKS-funkciókat, például a fürt automatikus skálázását és a HorizontalPodAutoscaler szolgáltatást használva rugalmasan alkalmazkodhat a számítási feladatok igényeihez, és csökkentheti a műveletek terhelését. Optimalizálja munkaterhelését, hogy hatékonyan működjön és telepíthető legyen egy konténerben.
Tekintse át a skálázási és particionálási útmutatót a skálázási konfiguráció különböző aspektusainak megismeréséhez.
(Fürt és munkaterhelés) Teljesítménytesztelést végez. Folyamatos terheléstesztelési tevékenységeket hajt végre, amelyek mind a pod, mind a fürt automatikus skálázását gyakorolják. Hasonlítsa össze az eredményeket a teljesítménycélokkal és a megállapított alapkonfigurációkkal.
(Fürt és számítási feladat) A számítási feladatok és folyamatok egymástól függetlenül skálázhatók. Különítse el a számítási feladatokat és a különböző csomópontkészletekbe irányuló folyamatokat, hogy lehetővé tegye a független skálázást. Kövesse a Számítási feladatok tervezésének optimalizálása folyamatok használatával útmutatását a folyamatok azonosításához és rangsorolásához.
Ajánlások
| Ajánlás | Előny |
|---|---|
| (Fürt) Engedélyezze fürt skálázóját az ügynökcsomópontok számának automatikus beállításához, a munkafolyamatok igényeihez igazodva. A HorizontalPodAutoscaler használatával a podok számát az üzembe helyezésben a CPU-használat vagy más metrikák alapján módosíthatja. |
Az AKS-fürtben lévő csomópontok és podok számának automatikus felskálázása vagy leskálázása lehetővé teszi egy hatékony, költséghatékony fürt futtatását. |
| (Fürt és számítási feladat) Különítse el a számítási feladatokat különböző csomópontkészletekre, és fontolja meg felhasználói csomópontkészlets skálázását. | A mindig futó csomópontokat igénylő rendszercsomópontok készleteitől eltérően a felhasználói csomópontkészletek lehetővé teszik a vertikális felskálázást vagy a leskálázást. |
| (Számítási feladat) Használja az AKS speciális ütemezőfunkcióit, hogy megvalósítsa az erőforrások fejlett kiegyensúlyozását az őket igénylő számítási feladatokhoz. | AKS-fürtök kezelésekor gyakran szükséges a csapatok és a számítási feladatok elkülönítése. A Kubernetes-ütemező speciális funkciói lehetővé teszik annak szabályozását, hogy mely podok ütemezhetők bizonyos csomópontokon. Emellett irányíthatja, hogy a multipod alkalmazások hogyan oszthatók el megfelelően a fürtön. |
| (Számítási feladat) A KEDA használatával a számítási feladatra jellemző jelek alapján készíthet értelmes automatikus skálázási szabálykészletet. | Nem minden méretezési döntés származtatható cpu- vagy memóriametrikából. A méretezési szempontok gyakran összetettebb vagy akár külső adatpontokból származnak. A KEDA lehetővé teszi az alkalmazások számára, hogy események alapján skálázhatók, például az üzenetsorokban lévő üzenetek száma vagy egy témakör késésének hossza alapján. |
Azure-szabályzatok
Az Azure az Azure-erőforrásra vonatkozó AKS-hez kapcsolódó beépített szabályzatok széles halmazát biztosítja, például a tipikus Azure-szabályzatokat és a Kubernetes Azure Policy bővítményét, valamint a fürtön belül. Az Azure-erőforrásszabályzatok közül számos Audit/Deny és Deploy If Not Exists változatban is megtalálható. A beépített Azure Policy-definíciók mellett egyéni szabályzatokat is létrehozhat az AKS-erőforráshoz és a KubernetesHez készült Azure Policy-bővítményhez.
A cikkben szereplő javaslatok némelyike az Azure Policy használatával ellenőrizhető. Például a következő csoportszabályzatokat ellenőrizheti:
- A fürtök készenléti vagy élettartam-egészségi próbákkal rendelkeznek, amelyeket a pod specifikációjához konfiguráltak.
- Microsoft Defender felhőalapú szabályzatokhoz.
- Hitelesítési mód és konfigurációs szabályzatok, például a Microsoft Entra ID, az RBAC és a helyi hitelesítés letiltása.
- API-kiszolgáló hálózati hozzáférési szabályzatai, beleértve a privát klasztert is.
- GitOps-konfigurációs szabályzatok.
- Diagnosztikai beállítások házirendjei.
- Az AKS verziókorlátozásai.
- Parancshívás megakadályozása.
Ellenőrizheti a következő cluster- és számítási feladat szabályzatokat is:
- A Kubernetes fürt podbiztonsági kezdeményezései Linux-alapú számítási feladatokhoz.
- Pod- és konténerképesség-szabályzatokat tartalmazhat, például AppArmor, sysctl, biztonsági korlátok, SELinux, seccomp, privilégizált tárolók és automatikus fürt API-hitelesítő adatok.
- Csatolás, kötetmeghajtók és fájlrendszer-szabályzatok.
- Pod- és tárolóhálózati házirendek, mint például a host hálózat, portok, engedélyezett külső IP-címek, HTTP és belső terheléselosztók.
- Névtér telepítési korlátozásai.
- CPU- és memóriaerőforrás-korlátok.
Az átfogó szabályozáshoz tekintse át a Kubernetes Azure Policy beépített definícióit, valamint a számítási réteg biztonságát esetleg befolyásoló egyéb szabályzatokat.
Azure Advisor javaslatok
Az Azure Advisor egy személyre szabott felhőtanácsadó, amely segít az Ajánlott eljárások követésében az Azure-üzemelő példányok optimalizálása érdekében. Íme néhány javaslat, amely segíthet az AKS megbízhatóságának, biztonságának, költséghatékonyságának, teljesítményének és működési kiválóságának javításában.
Kapcsolódó tartalom
Vegye figyelembe az alábbi cikkeket forrásként, amelyek a cikkben kiemelt ajánlásokat mutatják be.
- AKS alaparchitektúra
- Speciális AKS-mikroszolgáltatás-architektúra
- AKS-fürt PCI-DSS számítási feladatokhoz
- AKS-alapkonfiguráció többrégiós fürtökhöz
- AKS Landing Zone Akcelerátor
Implementációs szakértelem kiépítése a következő termékdokumentációval: