Что представляет собой Служба Azure Kubernetes?

Служба Azure Kubernetes (AKS) упрощает развертывание управляемого кластера Kubernetes в Azure, выгружая операционные издержки в Azure. Размещенная в Azure служба Kubernetes отвечает за критические задачи, в частности за мониторинг работоспособности и техническое обслуживание. При создании кластера AKS автоматически создается и настраивается уровень управления. Этот уровень управления предоставляется бесплатно в качестве управляемого ресурса Azure от пользователя. Вы платите только за узлы, подключенные к кластеру AKS, и управляете ими.

Кластер AKS можно создать с помощью следующих средств:

• Azure CLI
• Azure PowerShell
• Портал Azure
• Варианты развертывания на основе шаблонов, такие как шаблоны Azure Resource Manager, Bicep и Terraform.

При развертывании кластера AKS указывается количество и размер узлов, а AKS развертывает и настраивает уровень управления Kubernetes и узлы. В процессе развертывания можно настроить расширенную сеть, интеграцию Azure Active Directory (Azure AD), мониторинг и другие функции.

Дополнительные сведения о Kubernetes см. в статье о ключевых концепциях Kubernetes для службы Azure Kubernetes (AKS).

Примечание

Эта служба поддерживает Azure Lighthouse, что позволяет поставщикам услуг входить в собственный арендатор для управления подписками и группами ресурсов, которые делегируют клиенты.

AKS также поддерживает контейнеры Windows Server.

Доступ, безопасность и мониторинг

Для улучшения безопасности и управления можно интегрировать с Azure AD, чтобы:

• использование управления доступом Kubernetes на основе ролей (Kubernetes RBAC);
• мониторинг работоспособности кластера и ресурсов.

Управление идентификаторами и безопасностью

Kubernetes RBAC

Чтобы ограничить доступ к ресурсам кластера, служба AKS поддерживает Kubernetes RBAC. Kubernetes RBAC управляет доступом к ресурсам и пространствам имен Kubernetes, а также разрешениями для доступа к ним.

Azure AD

Вы можете настроить кластер AKS для интеграции с Azure AD. Благодаря интеграции с Azure AD вы можете настроить доступ к Kubernetes на основе существующих удостоверений и членства в группах. Существующим пользователям и группам Azure AD можно предоставить доступ к ресурсам AKS, а также интегрированный единый вход.

Дополнительные сведения об идентификаторе см. в статье о возможностях контроля доступа и идентификации в AKS.

Сведения о защите кластеров AKS см. в статье Интеграция Azure AD с AKS.

Встроенное ведение журналов и мониторинг

Azure Monitor для работоспособности контейнеров собирает метрики производительности памяти и процессора из контейнеров, узлов и контроллеров в кластерах AKS и развернутых приложениях. Вы можете просмотреть как журналы контейнеров, так и журналы Kubernetes, которые:

• Хранится в рабочей области Azure Log Analytics .
• доступны через портал Azure, Azure CLI или конечную точку REST.

Дополнительные сведения см. в статье Мониторинг работоспособности контейнера AKS.

Кластеры и узлы

Узлы AKS выполняются на виртуальных машинах Azure. Благодаря узлам AKS можно подключить хранилище к узлам и объектам pod, обновить компоненты кластера и использовать GPU. AKS поддерживает кластеры Kubernetes, которые используют несколько пулов узлов для поддержки смешанных операционных систем и контейнеров Windows Server.

Дополнительные сведения о возможностях кластеров, узлов и пулов узлов Kubernetes см. в статье Ключевые понятия Kubernetes для AKS.

Масштабирование узла и pod кластера

При изменении нагрузки на ресурсы также автоматически увеличивается или уменьшается число узлов кластера или объектов pod, на которых выполняются ваши службы. Вы можете настроить средство горизонтального автомасштабирования объектов pod или средство автомасштабирования кластера, чтобы адаптироваться к требованиям и задействовать только нужный объем ресурсов.

Дополнительные сведения см. в статье Масштабирование кластера AKS.

Обновления узла кластера

В AKS доступно несколько версий Kubernetes. По мере выпуска новых версий в AKS вы можете обновить кластер с помощью портал Azure, Azure CLI или Azure PowerShell. Чтобы свести к минимуму время простоя работающих приложений, в процессе обновления узлы тщательно блокируются и останавливаются.

Дополнительные сведения о версиях жизненного цикла см. в статье о поддерживаемых версиях Kubernetes в AKS. Инструкции по обновлению см. в статье Обновление кластера AKS.

Узлы с GPU

Служба AKS поддерживает создание пулов узлов с GPU. Сейчас Azure предоставляет одну или несколько виртуальных машин с поддержкой GPU. Виртуальные машины с поддержкой GPU предназначены для рабочих нагрузок с большим объемом вычислений, графической обработки и визуализаций.

Дополнительные сведения см. в статье об использовании GPU в AKS.

Узлы конфиденциальных вычислений (общедоступная предварительная версия)

AKS поддерживает создание пулов узлов конфиденциальных вычислений на основе Intel SGX (виртуальные машины DCSv2). Узлы конфиденциальных вычислений позволяют контейнерам работать в доверенной среде выполнения (в анклавах) на основе оборудования. Изоляция между контейнерами в сочетании с обеспечением целостности кода путем аттестации может помочь при разработке стратегии углубленной защиты контейнеров. Узлы конфиденциальных вычислений могут работать как с конфиденциальными контейнерами (существующие приложения Docker), так и с контейнерами, поддерживающими анклавы.

Дополнительные сведения см. в статье об узлах конфиденциальных вычислений в AKS.

Узлы Mariner

Mariner — это дистрибутив Linux с открытым исходным кодом, созданный корпорацией Майкрософт, и теперь он доступен для предварительной версии в качестве узла контейнера на Служба Azure Kubernetes (AKS). Узел контейнера Mariner обеспечивает надежность и согласованность между облаком и пограничными продуктами AKS, AKS-HCI и Arc. Вы можете развернуть пулы узлов Mariner в новом кластере, добавить пулы узлов Mariner в существующие кластеры Ubuntu или перенести узлы Ubuntu на узлы Mariner.

Дополнительные сведения см. в статье Использование узла контейнеров Mariner в AKS.

Поддержка тома хранилища

Для поддержки рабочих нагрузок приложений можно подключить статические или динамические тома хранилища для постоянных данных. В зависимости от количества подключенных модулей pod, которые должны совместно использовать тома хранилища, можно использовать хранилище на основе:

• Диски Azure для доступа с одним модулем pod
• Файлы Azure для одновременного доступа к нескольким модулям pod.

Дополнительные сведения см. в статье о возможности хранения данных приложений в AKS.

Виртуальные сети и входные данные

Кластер AKS можно развернуть в существующей виртуальной сети. В этой конфигурации каждому контейнеру pod в кластере назначается IP-адрес в виртуальной сети. Они могут напрямую взаимодействовать с другими контейнерами pod в кластере, а также другими узлами в виртуальной сети.

Модули pod также могут подключаться к другим службам в пиринговой виртуальной сети и локальных сетях через ExpressRoute или VPN-подключения типа "сеть — сеть" (S2S).

Дополнительные сведения см. в статье об основных сетевых понятиях для приложений в AKS.

Входящий трафик маршрутизации приложений HTTP

Надстройка маршрутизации приложений HTTP упрощает доступ к приложениям, развернутым в кластере AKS. При установке этого параметра решение маршрутизации приложений HTTP настраивает контроллер входящего трафика в кластере AKS.

При развертывании приложений общедоступные DNS-имена настраиваются автоматически. Маршрутизация HTTP-трафика приложений настраивает зону DNS и интегрирует ее с кластером AKS. Затем можно развернуть ресурсы входящего трафика Kubernetes в обычном режиме.

Чтобы приступить к работе с входящий трафик, см. статью Маршрутизация приложений HTTP.

Интеграция средств разработки

Платформа Kubernetes включает обширную экосистему средств разработки и управления, совместимых с AKS. К этим средствам относятся Helm и расширение Kubernetes для Visual Studio Code.

Azure предоставляет несколько средств, которые помогают упростить Kubernetes.

Поддержка образов Docker и частный реестр контейнеров

Служба Azure Kubernetes поддерживает формат образов Docker. Для частного хранилища образов Docker можно интегрировать AKS с Реестром контейнеров Azure (ACR).

Сведения о том, как создать хранилище частных образов, см. в статье о Реестре контейнеров Azure.

Сертификация Kubernetes

СЛУЖБА AKS сертифицирована CNCF как соответствующая требованиям Kubernetes.

Соблюдение нормативных требований

AKS соответствует нормативным требованиям SOC, ISO, PCI DSS и HIPAA. Дополнительные сведения см. в документе о предложениях Azure для соответствия требованиям.

Дальнейшие действия

Дополнительные сведения о развертывании AKS и управлении ими.

Рекомендации по созданию приложений в AKS и управлению ими для оператора кластера и разработчика