Toepassingsgegevensbeveiliging voor AKS-workloads in Azure NetApp Files

In dit artikel wordt een oplossing beschreven voor het beheren en uitvoeren van toepassingsgegevensbeheer van stateful toepassingen in containers, hun resources en hun gegevens.

Architectuur

Een Visio-bestand van deze architectuur downloaden.

Gegevensstroom

1. Er wordt een Azure NetApp Files-account gemaakt in een Azure-abonnement en capaciteitspools worden gedefinieerd. Deze pools zijn toegewezen aan serviceniveaus die nodig zijn voor de implementatie, zoals Standard, Premium en Ultra.

2. Een of meer AKS-clusters worden geïmplementeerd. De clusters moeten het volgende zijn:

   • In een regio waar AKS en Azure NetApp Files beschikbaar zijn. Zie Producten beschikbaar per regio voor regio's waar deze producten beschikbaar zijn.
   • In een virtueel netwerk dat directe toegang heeft tot een subnet dat is gedelegeerd voor Azure NetApp Files. Zie Richtlijnen voor azure NetApp Files-netwerkplanning voor meer informatie.

3. Een gebruiker meldt zich aan voor een Astra Control Service-account. Astra Control Service maakt gebruik van een Azure-service-principalreferentie die inzendertoegang heeft om de AKS-clusters te vinden die moeten worden beheerd. Astra Control Service installeert Astra Trident en maakt StorageClasses toegewezen aan elke servicelaag wanneer een cluster wordt toegevoegd aan Astra Control Service. Astra Trident maakt Kubernetes PersistentVolumes (PVs) van de toepassing PersistentVolumeClaims (PVC's) met behulp van de automatisch geïmplementeerde Sc-objecten (StorageClass) die zijn toegewezen aan de Azure NetApp Files-capaciteitspools. Bij de toewijzing wordt rekening gehouden met het serviceniveau van de capaciteitspools.

4. De gebruiker installeert toepassingen op de AKS-clusters. Mogelijke implementatiemethoden zijn Helm-grafieken, operators en YAML-manifesten. De toepassingen kunnen worden gegroepeerd op labels of naamruimten. Astra Trident richt permanente volumes in op basis van persistentVolumeClaims met behulp van de StorageClass objecten.

5. Astra Control Service beheert toepassingen en de bijbehorende resources, zoals pods, services, implementaties en PersistentVolumeClaim (PVC)-objecten. Het beheert ook het PersistentVolume (PV) dat is gebonden aan het PVC. Gebruikers definiëren toepassingen met behulp van een van de volgende methoden:

   • Ze in een naamruimte opnemen
   • Een aangepast Kubernetes-label gebruiken om resources te groeperen

Gebruikers kunnen ook clusterobjecten, zoals opslagklassen, groeperen met (a) specifieke toepassingen om ze samen te beheren.

Astra Control Service organiseert momentopnamen en back-ups van een bepaald tijdstip, back-upbeleid en directe actieve klonen om toepassingsworkloads te beveiligen. Astra Control Service behaalt deze beveiliging door:

• Astra Control Service-beveiligingsbeleid maken. Deze kunnen worden gemaakt voor momentopnamen en/of back-ups en een schema en back-updoel opgeven. Met deze beleidsregels kunt u toepassingen automatisch beveiligen volgens een vooraf bepaald schema.

• Momentopnamen maken op aanvraag voor afzonderlijke of een groep toepassingen.

• Instantane back-ups of klonen maken voor afzonderlijke of een groep toepassingen.

  Wanneer er noodgevallen of app-fouten optreden, herstellen back-ups en momentopnamen de status van toepassingen. Gebruikers kunnen apps klonen en migreren tussen naamruimten en AKS-clusters. De clusters kunnen zich in dezelfde of afzonderlijke regio's bevinden.

Onderdelen

• AKS is een volledig beheerde Kubernetes-service waarmee u eenvoudig toepassingen in containers kunt implementeren en beheren. AKS biedt serverloze Kubernetes-technologie, een geïntegreerde CI/CD-ervaring (continue integratie en continue levering) en beveiliging en governance op bedrijfsniveau.
• Azure NetApp Files is een Azure Storage-service. Deze service biedt SMB-bestandsshares (Network File System) en server message block (SMB). Met Azure NetApp Files kunt u eenvoudig complexe toepassingen op basis van bestanden migreren en uitvoeren zonder codewijzigingen. Deze service is geschikt voor gebruikers met permanente volumes in Kubernetes-omgevingen.
• Azure Virtual Network is de fundamentele bouwsteen voor privénetwerken in Azure. Via Virtual Network kunnen Azure-resources zoals virtuele machines veilig communiceren met elkaar, internet en on-premises netwerken.
• Astra Control Service is een volledig beheerde toepassingsbewuste gegevensbeheerservice. Met Astra Control Service kunt u gegevensrijke Kubernetes-workloads beheren, beveiligen en verplaatsen in openbare clouds en on-premises omgevingen. Deze service biedt gegevensbeveiliging, herstel na noodgevallen en migratie voor Kubernetes-workloads. Astra Control Service maakt gebruik van de toonaangevende technologie voor gegevensbeheer van Azure NetApp Files voor momentopnamen, back-ups, replicatie tussen regio's en klonen.

Alternatieven

U kunt een aangepaste multi-pronged benadering gebruiken om afzonderlijk een back-up te maken van permanente volumes, Kubernetes-resources en andere configuratiestatusresources die u nodig hebt wanneer u een toepassing herstelt. Maar deze benadering kan het volgende zijn:

• Omslachtig.
• Moeilijk om compatibel te maken met alle apps.
• Moeilijk te schalen over de meerdere apps en omgevingen die een typische onderneming heeft.

In bepaalde omgevingen kunt u de kosten verlagen door cross-peering van virtueel netwerkverkeer te voorkomen. Om dit verkeer te elimineren, vereenvoudigt u de oplossing. Breng met name de AKS-clusters en het subnet dat u delegeert voor Azure NetApp Files naar hetzelfde virtuele netwerk, zoals in dit diagram wordt geïllustreerd:

Een Visio-bestand van deze architectuur downloaden.

Scenariodetails

Met toepassingen in containers kan het lastig zijn om toepassingsgegevensbeveiliging uit te voeren. De toepassing bestaat uit meerdere microservices, die als één entiteit moeten worden beheerd. Wanneer u bedrijfskritieke workloads implementeert in Kubernetes, moet toepassingsgegevensbeheer het volgende zijn:

• Eenvoudig. Het opstellen van beleid voor gegevensbeveiliging en momentopnamen op aanvraag en back-ups moet intuïtief zijn. Dit beleid mag niet afhankelijk zijn van de details van de onderliggende infrastructuur.
• Draagbare. Om mobiliteit tussen regio's mogelijk te maken voor toepassingen, moeten meerdere Kubernetes-clusters de back-ups kunnen gebruiken.
• Toepassingsbewust. Uw oplossing moet de hele toepassing beveiligen, inclusief standaard Kubernetes-resources, zoals geheimen, ConfigMap objecten en permanente volumes. U moet ook aangepaste Kubernetes-resources beveiligen. Indien mogelijk moeten procedures de toepassing voor de momentopname en back-up stilzetten. Deze procedure voorkomt het verlies van vluchtgegevens tijdens back-ups.

NetApp Astra Control Service is een oplossing voor het uitvoeren van stateful toepassingsgegevensbeheer waarmee u aan deze doelstellingen kunt voldoen. Astra Control Service biedt mogelijkheden voor gegevensbeveiliging, herstel na noodgevallen en toepassingsmobiliteit. Het biedt stateful AKS-workloads met een uitgebreide set opslag- en toepassingsbewuste gegevensbeheerservices. De technologie voor gegevensbescherming van Azure NetApp Files onderbouwt deze services.

Potentiële gebruikscases

Deze oplossing is van toepassing op systemen die stateful toepassingen uitvoeren:

• Systemen voor continue integratie (CI), zoals Jenkins
• Databaseworkloads zoals MySQL, MongoDB en PostgreSQL
• AI- en machine learning-onderdelen zoals TensorFlow en PyTorch
• Elasticsearch-implementaties
• Kafka-toepassingen
• Broncodebeheerplatforms zoals GitLab

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.

Wanneer u een AKS-cluster implementeert, implementeert u het in één regio. Als u toepassingsworkloads wilt beveiligen, kunt u de workloads het beste implementeren in meerdere AKS-clusters die meerdere regio's omvatten. Factoren die van invloed zijn op de implementatie zijn de beschikbaarheid van AKS-regio's en gekoppelde Azure-regio's. Wanneer u clusters implementeert in meerdere beschikbaarheidszones, distribueert u knooppunten over meerdere zones binnen één regio. Deze distributie van AKS-clusterbronnen verbetert de beschikbaarheid van clusters omdat de clusters bestand zijn tegen het mislukken van een specifieke zone.

Azure NetApp Files is standaard maximaal beschikbaar. Het is gebouwd op een maximaal beschikbare bare-metal vloot van alle flashopslagsystemen. Zie SLA voor Azure NetApp Files voor de beschikbaarheidsgarantie van deze service.

Azure NetApp Files ondersteunt replicatie tussen regio's voor herstel na noodgevallen. U kunt continu volumes tussen Azure-regioparen repliceren. Zie deze resources voor meer informatie over replicatie tussen regio's:

• Zie Replicatie tussen regio's van Azure NetApp Files-volumes voor algemene informatie.
• Zie Herstel na noodgevallen beheren met replicatie tussen regio's voor vereisten voor replicatie tussen regio's.
• Zie Volumereplicatie maken voor Azure NetApp Files voor informatie over het configureren van replicatie tussen regio's.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

Gebruik de Azure-prijscalculator om de kosten van de volgende onderdelen te schatten:

• AKS
• Azure NetApp Files
• Virtual Network

Zie Prijzen voor Astra Control Service-prijsplannen. Door Astra Control Service te gebruiken, kunt u zich richten op uw toepassing in plaats van tijd en resources te besteden aan het bouwen van aangepaste oplossingen die niet worden geschaald. Astra Control Service is beschikbaar op Azure Marketplace.

Gebruik de Azure NetApp Files Performance Calculator om gedetailleerde bandbreedte- en prijsberekeningen uit te voeren. Er zijn eenvoudige en geavanceerde rekenmachines beschikbaar.

Operationele uitmuntendheid

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.

Wanneer u met het Kubernetes-besturingsvlak werkt, is het belangrijk om uw infrastructuur en platformlaag te bewaken. Astra Control Service biedt een geïntegreerd besturingsvlak dat u kunt gebruiken om beveiligingsbeleid voor toepassingen in meerdere AKS-clusters te definiëren en te beheren. Een dashboard biedt een manier om workloads in verschillende regio's continu te verwerken. Astra Trident biedt ook een uitgebreide set prometheus-metrische gegevens die u kunt gebruiken om ingerichte opslag te bewaken.

Prestatie-efficiëntie

Prestatie-efficiëntie is de mogelijkheid om op efficiënte wijze uw werkbelasting te schalen om te voldoen aan de vereisten die gebruikers eraan stellen. Zie overzicht van de pijler Prestatie-efficiëntie voor meer informatie.

AKS-clusters kunnen extra werkknooppunten toevoegen om de schaalbaarheid te vergroten. Als u de oplossing wilt schalen, kunt u knooppuntgroepen toevoegen of bestaande knooppuntgroepen schalen. Met deze stappen verhoogt u het aantal knooppunten in uw cluster, het totale aantal kernen en het geheugen dat beschikbaar is voor uw toepassingen in containers.

In elk virtueel netwerk kunt u slechts één subnet delegeren voor Azure NetApp Files.

Wanneer u een basisconfiguratie gebruikt voor azure NetApp Files-netwerkfuncties, is er een limiet van 1000 IP-adressen per virtueel netwerk. De standaardconfiguratie van netwerkfuncties beperkt het aantal IP-adressen niet. Zie Configureerbare netwerkfuncties voor meer informatie. Zie Resourcelimieten voor Azure NetApp Files voor een volledige lijst met resourcelimieten voor Azure NetApp Files.

Azure NetApp Files biedt meerdere prestatielagen. Wanneer u Astra Control Service gebruikt om AKS-clusters te detecteren, maakt het onboardingproces gecureerde StorageClass objecten die zijn toegewezen aan de servicelagen Standard, Premium en Ultra. Wanneer gebruikers toepassingen implementeren, kiezen ze een opslaglaag die aan hun vereisten voldoet. Meerdere capaciteitspools kunnen naast elkaar bestaan. Ingerichte volumes hebben een prestatiegarantie die overeenkomt met de servicelaag. Zie Serviceniveaus voor Azure NetApp Files voor een lijst met serviceniveaus die door Azure NetApp Files worden ondersteund.

Dit scenario implementeren

Als u deze oplossing wilt implementeren, hebt u een Azure-account nodig. Gratis een account maken

Voer de volgende stappen uit om dit scenario te implementeren:

1. Registreer de resourceprovider waarmee u Azure NetApp Files kunt gebruiken.
2. Bekijk de vereisten voor het gebruik van Astra Control Service met AKS.
3. Gebruik Azure Portal om een NetApp-account te maken.
4. Capaciteitspools instellen in het Azure NetApp Files-account.
5. Een subnet delegeren voor Azure NetApp Files.
6. Maak een service-principal voor Astra Control Service om AKS-clusters te detecteren en back-up-, herstel- en gegevensbeheerbewerkingen uit te voeren.
7. Registreer u voor Astra Control Service door een NetApp Cloud Central-account te maken.
8. Voeg AKS-clusters toe aan Astra Control Service om toepassingen te beheren.
9. Toepassingen detecteren in Astra Control Service. De manier waarop u toepassingen detecteert en beheert, is afhankelijk van de manier waarop u ze implementeert en identificeert. Typische identificatiestrategieën zijn het groeperen van toepassingsobjecten in een toegewezen naamruimte, het toewijzen van labels aan objecten waaruit een toepassing bestaat en het gebruik van Helm-grafieken. Astra Control Service ondersteunt alle drie de strategieën.
10. Beveiligingsbeleid instellen voor het maken van back-ups en het herstellen van toepassingen. Voordat u beveiligingsbeleid definieert, moet u uw workloads duidelijk identificeren. Een vereiste is dat Astra Control Service elke toepassing uniek kan detecteren. Zie Apps beheren voor meer informatie.

Zie Herstel na noodgevallen van AKS-workloads met Astra Control Service en Azure NetApp Files voor stappen die u kunt uitvoeren om toepassingen te beveiligen.

Zie de documentatie van Astra Control Service voor gedetailleerde informatie over Astra Control Service.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. Het is oorspronkelijk geschreven door de volgende inzender.

Hoofdauteur:

• Arnt de Gier | Technische marketingtechnicus

Volgende stappen

• Zie zelfstudie: Een AKS-cluster (Azure Kubernetes Service) implementeren voor informatie over het gebruik van AKS om een cluster te implementeren.

• Zie quickstart: Azure NetApp Files instellen en een NFS-volume maken om aan de slag te gaan met Azure NetApp Files.

• Zie de documentatie van Astra Control Service voor meer informatie over Astra Control Service.

• Zie Disaster Recovery van AKS-workloads met Astra Control Service en Azure NetApp Files voor uitgebreide uitleg over het gebruik van Astra Control Service voor herstel na noodgevallen.

• Zie AKS-basislijn voor clusters met meerdere regio's voor informatie over het uitvoeren van meerdere exemplaren van een AKS-cluster in meerdere regio's.

• Zie deze bronnen voor algemene informatie over oplossingsonderdelen:

  • Wat is Azure Kubernetes Service?
  • Wat is Azure NetApp Files?
  • NetApp Astra Control Service

Verwante resources

• Ondernemingsbestandsshares met herstel na noodgevallen
• Platform voor e-commerce in Azure Kubernetes Service
• Basislijnarchitectuur voor een AKS-cluster (Azure Kubernetes Service)