Защищенный процесс DevOps для AKS

Служба Kubernetes
Azure Monitor
Pipelines
Политика
GitHub

Идеи, связанные с решением

Эта статья является идеей решения. Если вы хотите расширить содержимое с дополнительными сведениями, такими как потенциальные варианты использования, альтернативные службы, рекомендации по реализации или рекомендации по ценам, сообщите нам об этом, предоставив отзыв GitHub.

DevOps и Kubernetes лучше работают вместе. Реализовав secure DevOps вместе с Kubernetes в Azure, вы можете достичь баланса между скоростью и безопасностью и быстрее доставлять код в большом масштабе.

Потенциальные варианты использования

Положите средства защиты вокруг процессов разработки, используя CI/CD с динамическими элементами управления политикой, а затем ускоряйте цикл обратной связи с постоянным мониторингом. Используйте Azure Pipelines для быстрой доставки, обеспечивая применение критически важных политик с Политика Azure. Azure обеспечивает наблюдаемость в режиме реального времени для конвейеров сборки и выпуска, а также возможность легко применять аудит соответствия и перенастройки.

Архитектура

Схема архитектуры показывает внутренний цикл к исходному коду с помощью конвейеров C/C D в диаграмму Helm и контейнер Azure в рабочий кластер A K S.

Скачайте файл Visio этой архитектуры.

Поток данных

  1. Разработчики быстро итерируют, тестируют и отлаживать различные части приложения вместе в одном кластере Kubernetes.
  2. Код объединяется в репозиторий GitHub, после чего автоматические сборки и тесты выполняются Azure Pipelines.
  3. Конвейер выпуска автоматически выполняет предварительно определенную стратегию развертывания с каждым изменением кода.
  4. Кластеры Kubernetes подготавливаются с помощью таких средств, как диаграммы Helm, которые определяют требуемое состояние ресурсов и конфигураций приложений.
  5. Образ контейнера отправляется в Реестр контейнеров Azure.
  6. Операторы кластера определяют политики в Политика Azure для управления развертываниями в кластере AKS.
  7. Политика Azure выполняет аудит запросов из конвейера на уровне уровня управления AKS.
  8. Данные телеметрии приложений, мониторинг работоспособности контейнеров и log analytics в режиме реального времени получаются с помощью Azure Monitor.
  9. Аналитические сведения используются для решения проблем и передаются в следующие планы спринта.

Компоненты

  • GitHub Enterprise размещает исходный код, где разработчики могут совместно работать в вашей организации и сообществах с открытым кодом. GitHub Enterprise предлагает расширенные функции безопасности для выявления уязвимостей в написанном коде и в зависимостях с открытым кодом.
  • Azure Pipelines — это служба, предоставляющая задания непрерывной интеграции и непрерывной поставки для автоматического создания и выпуска приложения.
  • Реестр контейнеров Azure размещает образы контейнеров Docker. Эта служба включает сканирование образов контейнеров с интеграцией с Microsoft Defender для облака.
  • Служба Azure Kubernetes предлагает кластер Kubernetes, полностью управляемый Azure, чтобы обеспечить доступность и безопасность инфраструктуры.
  • Политика Azure позволяет создавать, назначать политики и управлять ими. Эти политики гарантируют соблюдение различных правил и действий с ресурсами, что обеспечивает соответствие этих ресурсов корпоративным стандартам и соглашениям об уровне обслуживания. Она также интегрируется с Служба Azure Kubernetes.
  • Azure Monitor позволяет получать аналитические сведения о доступности и производительности приложения и инфраструктуры. Он также предоставляет доступ к сигналам для мониторинга работоспособности решения и выявления аномальных действий на ранних этапах.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Автор субъекта:

Дальнейшие действия

Ознакомьтесь со связанными архитектурами: