Kubernetes düğümlerini ve düğüm havuzlarını yönetme

Kubernetes mimarisi iki katmandan oluşur: denetim düzlemi ve düğüm havuzunda en az bir düğüm. Bu makalede Amazon Elastic Kubernetes Service (EKS) ve Azure Kubernetes Service (AKS) aracı düğümlerini ve çalışan düğümlerini nasıl yönettiği açıklanır ve karşılaştırılmaktadır.

Uyarı

Bu makale, Amazon EKS'yi bilen profesyonellerin Azure Kubernetes Service'i (AKS) anlamasına yardımcı olan bir dizi makalenin bir parçasıdır.

Hem Amazon EKS hem de AKS'de, bulut platformu denetim düzlemi katmanını sağlar ve yönetir ve müşteri düğüm katmanını yönetir. Aşağıdaki diyagramda AKS Kubernetes mimarisindeki denetim düzlemi ile düğümler arasındaki ilişki gösterilmektedir.

Diyagram iki bölüme ayrılmıştır: Azure tarafından yönetilen ve Müşteri tarafından yönetilen. Azure tarafından yönetilen bölüm, API sunucusu, zamanlayıcı, etcd (anahtar-değer deposu) ve denetleyici yöneticisi gibi bileşenleri içeren kontrol düzlemini kapsar. API sunucusu diğer üç bileşene bağlanır. Müşteri tarafından yönetilen bölüm, kubelet, kapsayıcı çalışma zamanı, kube-proxy ve bir kapsayıcı gibi bileşenlere sahip düğümleri içerir. Kontrol düzlemindeki scheduler, kubelet'e bağlanır. Kubelet, kapsayıcıya bağlanan kapsayıcı çalışma zamanı ile bağlanır.

Amazon EKS yönetilen düğüm grupları

Amazon EKS yönetilen düğüm grupları, Amazon EKS kümeleri için Amazon Elastic Compute Cloud (EC2) çalışan düğümlerinin sağlama ve yaşam döngüsü yönetimini otomatikleştirir. Amazon Web Services (AWS) kullanıcıları eksctl komut satırı yardımcı programını kullanarak EKS kümeleri için düğüm oluşturabilir, güncelleştirebilir veya sonlandırabilir. Düğüm güncellemeleri ve sonlandırmaları, uygulamaların kullanılabilirliğini korumak amacıyla düğümleri otomatik olarak izole eder ve üzerlerindeki yükleri boşaltır.

Her yönetilen düğüm, Amazon EKS'nin çalıştırıp denetlediği bir Amazon EC2 otomatik ölçeklendirme grubunun parçası olarak sağlanır. Kubernetes kümesi otomatik ölçeklendiricisi, podlar başarısız olduğunda veya diğer düğümlere yeniden zamanlandığında kümedeki çalışan düğümlerinin sayısını otomatik olarak ayarlar. Her düğüm grubunu, bir bölgedeki birden çok kullanılabilirlik alanında çalışacak şekilde yapılandırabilirsiniz.

Daha fazla bilgi için bkz. Yönetilen düğüm grubu oluşturma ve Yönetilen düğüm grubunu güncelleştirme.

Kubernetes podlarını AWS Fargate üzerinde de çalıştırabilirsiniz. Fargate, kapsayıcılar için isteğe bağlı, doğru boyutlu işlem kapasitesi sağlar. Daha fazla bilgi için bkz . İşlem yönetimini basitleştirme.

Karpenter

Karpenter , Kubernetes kümelerinde düğüm yaşam döngüsü yönetimini iyileştirmeye yardımcı olan açık kaynak bir projedir. Podların belirli zamanlama gereksinimlerine göre düğümlerin sağlanmasını ve sağlanmasının kaldırılmasını otomatikleştirir, bu da ölçeklendirme ve maliyet optimizasyonunu geliştirir. Karpenter'i aşağıdaki ana işlevler için kullanın:

• Kaynak kısıtlamaları nedeniyle Kubernetes zamanlayıcısının zamanlayamadığı podları izleyin.

• Zamanlanamayan podların kaynak istekleri, düğüm seçicileri, benzimleri ve toleransları gibi zamanlama gereksinimlerini değerlendirin.

• Zamanlanamayan podların gereksinimlerini karşılamak için yeni düğümleri yapılandırın.

• Artık ihtiyacınız kalmadığında düğümleri kaldırın.

Karpenter'ı kullanarak düğüm sağlama kısıtlamaları olan düğüm havuzlarını tanımlayabilirsiniz; örneğin, taint'ler, etiketler, gereksinimler (örnek türleri ve bölgeleri) ve sağlanan toplam kaynaklarla ilgili sınırlar. İş yüklerini dağıtırken pod belirtimlerinde çeşitli zamanlama kısıtlamaları belirtin. Örneğin kaynak isteklerini veya sınırlarını, düğüm seçicilerini, düğüm veya pod benzimlerini, toleransları ve topoloji yayma kısıtlamalarını belirtebilirsiniz. Karpenter daha sonra bu belirtimlere göre doğru boyutlu düğümleri yapılandırıyor.

Karpenter'ın kullanıma sunulmasından önce Amazon EKS kullanıcıları, kümelerinin işlem kapasitesini dinamik olarak ayarlamak için öncelikli olarak Amazon EC2 otomatik ölçeklendirme gruplarına ve Kubernetes kümesi otomatik ölçeklendiricisine bağımlıdır. Karpenter'ın sağladığı esnekliği ve çeşitliliği elde etmek için onlarca düğüm grubu oluşturmanız gerekmez. Kubernetes kümesi otomatik ölçeklendiricisinin aksine Karpenter, Kubernetes sürümlerine daha az bağımlıdır ve AWS ile Kubernetes API'leri arasında geçiş gerektirmez.

Karpenter, örnek düzenleme sorumluluklarını daha basit, daha kararlı ve kümeye daha duyarlı olan tek bir sistem içinde birleştirir. Karpenter, aşağıdakiler için basitleştirilmiş yollar sağlayarak küme otomatik ölçeklendiricisinin zorluklarının üstesinden gelmeye yardımcı olur:

• düğümleri iş yükü gereksinimlerine göre yapılandırın.

• Esnek düğüm havuzu seçeneklerini kullanarak örnek türüne göre farklı düğüm yapılandırmaları oluşturun. Belirli birkaç özel düğüm grubunu yönetmek yerine Karpenter'ı kullanarak tek, esnek bir düğüm havuzu kullanarak çeşitli iş yükü kapasitesini yönetin.

• Düğümleri hızlı bir şekilde başlatarak ve podları zamanlayarak uygun ölçekte geliştirilmiş pod zamanlaması elde edin.

Karpenter, otomatik ölçeklendirme gruplarına ve yönetilen düğüm gruplarına kıyasla ölçeklendirme yönetimini Kubernetes'in yerel API'leriyle daha yakından tümleştirir. Otomatik ölçeklendirme grupları ve yönetilen düğüm grupları, EC2 CPU yükü gibi AWS düzeyindeki ölçümlere göre ölçeklendirmeyi tetikleyen AWS'ye özgü soyutlamalardır. Küme otomatik ölçeklendiricisi, Kubernetes soyutlamalarını AWS soyutlamalarıyla bir araya getirse de belirli bir kullanılabilirlik alanı için zamanlama gibi bazı esnekliklerden ödün veremektedir.

Karpenter, DOĞRUDAN Kubernetes içinde daha fazla esneklik sağlayan AWS'ye özgü bileşenleri ortadan kaldırarak düğüm yönetimini basitleştirir. Yüksek, yüksek talep dönemleriyle karşılaşan veya farklı işlem gereksinimlerine sahip iş yüklerini çalıştıran kümeler için Karpenter kullanın. Daha statik ve tutarlı iş yükleri çalıştıran kümeler için yönetilen düğüm gruplarını ve otomatik ölçeklendirme gruplarını kullanın. Gereksinimlerinize bağlı olarak, dinamik ve statik olarak yönetilen düğümlerin bir birleşimini kullanabilirsiniz.

Kata Kapsayıcıları

Kata Kapsayıcıları , yüksek oranda güvenli bir kapsayıcı çalışma zamanı sağlayan açık kaynak bir projedir. Kapsayıcıların basit doğasını sanal makinelerin (VM) güvenlik avantajlarıyla birleştirir. Kata Kapsayıcıları, iş yükleri arasında aynı Linux Çekirdeğini paylaşan geleneksel kapsayıcılardan farklı olarak her kapsayıcıyı farklı bir konuk işletim sistemiyle başlatarak iş yükü yalıtımını ve güvenliğini geliştirir. Kata Kapsayıcıları, kapsayıcıları aynı konak makinedeki kapsayıcılar arasında katı yalıtım sağlayan Open Container Initiative (OCI) uyumlu bir VM'de çalıştırır. Kata Kapsayıcıları aşağıdaki özellikleri sağlar:

• Gelişmiş iş yükü yalıtımı: Her kapsayıcı, donanım düzeyinde yalıtım sağlamaya yardımcı olmak için kendi basit VM'sinde çalışır.

• Geliştirilmiş güvenlik: VM teknolojisinin kullanılması, kapsayıcı kaçışları riskini azaltan ek bir güvenlik katmanı sağlar.

• Endüstri standartlarıyla uyumluluk: Kata Kapsayıcıları, OCI kapsayıcı biçimi ve Kubernetes Container Runtime Arabirimi gibi endüstri standardı araçlarla tümleştirilir.

• Birden çok mimari ve hiper yönetici desteği: Kata Kapsayıcıları AMD64 ve ARM mimarilerini destekler ve bunu Bulut Hiper Yöneticisi ve Firecracker gibi hiper yöneticilerle kullanabilirsiniz.

• Kolay dağıtım ve yönetim: Kata Kapsayıcıları, Kubernetes düzenleme sistemini kullandığından iş yükü düzenlemeyi basitleştirir.

AWS'de Kata Kapsayıcıları ayarlamak ve çalıştırmak için Firecracker kullanmak üzere bir Amazon EKS kümesi yapılandırın. Firecracker, Güvenli, çok kiracılı kapsayıcı tabanlı ve işlev tabanlı hizmetler oluşturmanıza ve yönetmenize yardımcı olan, Amazon'un açık kaynaklı bir sanallaştırma teknolojisidir. Geleneksel VM'lere kıyasla gelişmiş güvenlik ve iş yükü yalıtımı sağlayan mikroVM'ler olarak adlandırılan basit VM'lerde iş yüklerini dağıtmak için Firecracker kullanın. MikroVM'ler ayrıca kapsayıcıların hızını ve kaynak verimliliğini artırır. AWS EKS'de Kata Kapsayıcıları'nı çalıştırma adımlarını izleyin.

Adanmış sunucular

Kapsayıcıları dağıtmak ve çalıştırmak için Amazon EKS'yi kullandığınızda, kapsayıcıları Amazon EC2 ayrılmış konaklarında çalıştırabilirsiniz. Ancak bu özellik yalnızca kendi kendine yönetilen düğüm grupları için kullanılabilir. Bu nedenle el ile bir başlatma şablonu ve otomatik ölçeklendirme grupları oluşturmanız gerekir. Ardından ayrılmış konakları, başlatma şablonunu ve otomatik ölçeklendirme gruplarını EKS kümesiyle kaydedin. Bu kaynakları oluşturmak için genel EC2 otomatik ölçeklendirme ile aynı yöntemi kullanın.

AWS EKS'yi kullanarak EC2 ayrılmış konaklarında kapsayıcı çalıştırma hakkında daha fazla bilgi için aşağıdaki kaynaklara bakın:

• Amazon EKS düğümleri
• Adanmış sunucu kısıtlamaları
• Özel sunucular tahsis et
• Ayrılmış konak rezervasyonları satın alma
• Otomatik yerleştirme

AKS düğümleri ve düğüm havuzları

Aks kümesini otomatik olarak oluşturduğunuzda, çekirdek Kubernetes hizmetleri ve uygulama iş yükü düzenlemesi sağlayan bir denetim düzlemi oluşturulur ve yapılandırılır. Azure platformu, AKS denetim düzlemini yönetilen bir Azure kaynağı olarak hiçbir ücret ödemeden sağlar. Denetim düzlemi ve kaynakları yalnızca kümeyi oluşturduğunuz bölgede bulunur.

Aracı düğümleri veya çalışan düğümleri olarak da adlandırılan düğümler, iş yüklerini ve uygulamaları barındırıyor. AKS'de, AKS kümesine bağlı aracı düğümlerini tam olarak yönetir ve bunlar için ödeme gerçekleştirirsiniz.

Uygulamaları ve destekleyici hizmetleri çalıştırmak için AKS kümesinin, Kubernetes düğüm bileşenlerini ve kapsayıcı çalışma zamanını çalıştıran bir Azure VM olan en az bir düğüme ihtiyacı vardır. Her AKS kümesinin en az bir düğümü olan en az bir sistem düğümü havuzu içermesi gerekir.

AKS, aynı yapılandırmanın düğümlerini AKS iş yüklerini çalıştıran VM'lerin düğüm havuzlarında birleştirir. CoreDNS gibi kritik sistem podlarını barındırmak için sistem düğümü havuzlarını kullanın. İş yükü podlarını barındırmak için kullanıcı düğümü havuzlarını kullanın. AKS kümenizde örneğin geliştirme ortamında yalnızca bir düğüm havuzu istiyorsanız, sistem düğümü havuzunda uygulama podları zamanlayabilirsiniz.

Azure VM dört bileşen içerir: kubelet, kapsayıcı çalışma zamanı, kube-proxy ve bir kapsayıcı. Azure sanal ağı, kube-proxy bileşenine bağlanan Azure sanal ağ arabirimine bağlanır. Kubelet kapsayıcı çalışma zamanına, kapsayıcı çalışma zamanı ise kapsayıcıya bağlanır. Azure disk depolama ve Azure Dosyalar kapsayıcıya işaret eder.

Ayrıca, farklı düğümlerde farklı iş yüklerini ayrıştırmak için birden çok kullanıcı düğümü havuzu oluşturabilirsiniz. Bu yaklaşım gürültülü komşu sorununu önlemeye yardımcı olur ve farklı işlem veya depolama taleplerine sahip uygulamaları destekler.

Sistem veya kullanıcı düğümü havuzu içindeki her aracı düğümü temelde bir VM'dir. Azure Sanal Makine Ölçek Kümeleri VM'leri yapılandırıp AKS kümesi yönetir. Daha fazla bilgi için Düğüm havuzları'na bakın.

AKS kümesi oluştururken veya var olan bir AKS kümesine yeni düğümler ve düğüm havuzları eklerken çalışan düğümleri için başlangıç sayısını ve boyutunu tanımlayabilirsiniz. VM boyutu belirtmezseniz, Windows düğüm havuzları için varsayılan boyut Standard_D2s_v3 ve Linux düğüm havuzları için Standard_DS2_v2.

Önemli

İç düğüm çağrıları ve platform hizmetleriyle iletişimde daha iyi gecikme süresi sağlamak için Hızlandırılmış Ağ'ı destekleyen bir VM serisi seçin.

Düğüm havuzu oluştur

Yeni bir düğüm havuzu oluşturduğunuzda, düğüm kaynak grubunda ilişkili sanal makine ölçek kümesi oluşturulur. Bu Azure kaynak grubu AKS kümesi için tüm altyapı kaynaklarını içerir. Bu kaynaklar Kubernetes düğümlerini, sanal ağ kaynaklarını, yönetilen kimlikleri ve depolamayı içerir.

Varsayılan olarak, düğüm kaynak grubunun gibi MC_<resourcegroupname>_<clustername>_<location>bir adı vardır. AKS, kümeyi sildiğinde düğüm kaynak grubunu otomatik olarak siler. Bu kaynak grubunu yalnızca kümenin yaşam döngüsünü paylaşan kaynaklar için kullanmalısınız.

Daha fazla bilgi için bkz. AKS'de küme için düğüm havuzları oluşturma.

Düğüm havuzu ekle

Yeni veya mevcut bir AKS kümesine düğüm havuzu eklemek için Azure portalı, Azure CLI veya AKS REST API'sini kullanın. Ayrıca, Bicep, Azure Resource Manager şablonları veya Terraform gibi kod olarak altyapı (IaC) araçlarını da kullanabilirsiniz.

Aşağıdaki kod örneği, üç düğümü olan adlı bir düğüm havuzu eklemek için Azure CLI mynodepool komutunu kullanır. Düğüm havuzunu myAKSCluster kaynak grubundaki myResourceGroup adlı mevcut bir AKS kümesine ekler.

az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --node-vm-size Standard_D8ds_v4 \
      --name mynodepool \
      --node-count 3

Spot düğüm havuzları

Spot düğüm havuzu, spot sanal makine ölçek kümesinin desteklediği bir düğüm havuzudur. Kullanılmayan Azure kapasitesinden daha düşük maliyetle yararlanmak için AKS kümenizdeki düğümler için spot VM'leri kullanın. Kullanılabilir kullanılmayan kapasite miktarı düğüm boyutu, bölge ve günün saati gibi faktörlere göre değişir.

Spot düğüm havuzu dağıttığınızda, kapasite varsa Azure spot düğümleri tahsis eder. Ancak, spot düğümlerin bir hizmet düzeyi sözleşmesi (SLA) yoktur. Spot düğüm havuzunu destekleyen bir spot ölçek kümesi, tek bir arıza alanında dağıtılır ve yüksek kullanılabilirlik garantisi vermez. Azure kapasiteye ihtiyaç duyduğunda, Azure altyapısı spot düğümleri çıkartır. Çıkarmadan en fazla 30 saniye önce bir bildirim alırsınız. Spot düğüm havuzunu kümenin varsayılan düğüm havuzu olarak kullanamazsınız. Spot düğüm havuzunu yalnızca ikincil havuz olarak kullanın.

Kesintileri, erken sonlandırmaları veya çıkarmaları işleyebilen iş yükleri için spot düğümleri kullanın. Örneğin, toplu işlem işleri, geliştirme ve test ortamları ve büyük işlem iş yükleri için spot düğüm havuzunda zamanlayın. Daha fazla bilgi için bkz . Spot örnek sınırlamaları.

Aşağıdaki az aks nodepool add komut, otomatik ölçeklendirmenin etkinleştirildiği mevcut bir kümeye spot düğüm havuzu ekler.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name myspotnodepool \
      --node-vm-size Standard_D8ds_v4 \
      --priority Spot \
      --eviction-policy Delete \
      --spot-max-price -1 \
      --enable-cluster-autoscaler \
      --min-count 1 \
      --max-count 3 \
      --no-wait

Daha fazla bilgi için, AKS kümesine bir spot nod havuzu ekleyin bölümüne bakın.

Kısa ömürlü işletim sistemi diskleri

Varsayılan olarak, Azure VM işletim sistemi diskini otomatik olarak Azure Depolama'ya çoğaltır. Bu yaklaşım, VM'nin başka bir konağa yeniden yerleştirilmesi gerekiyorsa veri kaybını önler. Ancak kapsayıcılar yerel durumu korumak için tasarlanmamıştır, bu nedenle işletim sistemi diskini Azure Depolama'da depolamak AKS için sınırlı avantajlar sağlar. Bu yaklaşım, düğümün daha yavaş sağlanmasına ve okuma ve yazma gecikme süresinin artmasına neden olabilir.

Buna karşılık kısa ömürlü işletim sistemi diskleri, geçici bir disk gibi yalnızca konak makinede depolanır. Ayrıca daha düşük okuma ve yazma gecikmesi ile daha hızlı düğüm ölçeklendirme ve küme yükseltmeleri sağlar. Geçici bir disk gibi VM fiyatı da kısa ömürlü bir işletim sistemi diski içerdiğinden ek depolama maliyeti ödemezsiniz.

Önemli

İşletim sistemi için açıkça yönetilen diskler istemezseniz AKS, belirli bir düğüm havuzu yapılandırması için mümkünse kısa ömürlü bir işletim sistemi olarak varsayılan olarak kullanılır.

Kısa ömürlü işletim sistemi kullanmak için işletim sistemi diskinin VM önbelleğine sığması gerekir. Azure VM belgelerinde, giriş/çıkış (G/Ç) aktarım hızının yanındaki vm önbellek boyutu, gibibayt (GiB) cinsinden önbellek boyutu olarak parantez içinde gösterilir.

Örneğin, varsayılan 100 GB işletim sistemi disk boyutuna sahip AKS varsayılan Standard_DS2_v2 VM boyutu kısa ömürlü işletim sistemini destekler, ancak yalnızca 86 GB önbellek boyutuna sahiptir. Aksi yönde belirtmezseniz, bu yapılandırma varsayılan olarak yönetilen diskleri kullanır. Bu boyut için kısa ömürlü işletim sistemi isteğinde bulunursanız doğrulama hatası alırsınız.

60 GB işletim sistemi diski olan aynı Standard_DS2_v2 VM'yi isterseniz, varsayılan olarak kısa ömürlü işletim sistemi alırsınız. İstenen 60 GB işletim sistemi boyutu en fazla 86 GB önbellek boyutundan daha küçük.

100 GB işletim sistemi diski olan Standard_D8s_v3 kısa ömürlü işletim sistemini destekler ve 200 GB önbellek boyutuna sahiptir. İşletim sistemi disk türünü belirtmezseniz, düğüm havuzu varsayılan olarak kısa ömürlü işletim sistemi alır.

Aşağıdaki az aks nodepool add komut, kısa ömürlü işletim sistemi diskiyle var olan bir kümeye yeni düğüm havuzunun nasıl ekleneceğini gösterir. parametresi işletim sistemi disk türünü --node-osdisk-type olarak ayarlar ve Ephemeral parametresi işletim sistemi disk boyutunu tanımlar.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name mynewnodepool \
      --node-vm-size Standard_D8ds_v4 \
      --node-osdisk-type Ephemeral \
      --node-osdisk-size 48

Daha fazla bilgi için bkz. Kısa ömürlü işletim sistemi diski.

AKS'deki Azure Sanal Makineler için düğüm havuzları

EKS'deki her yönetilen düğüm grubu, Amazon EKS'nin yönettiği bir Amazon EC2 otomatik ölçeklendirme grubu tarafından yedeklenmiştir. Bu tümleştirme, EKS'nin düğüm grubu içindeki EC2 örneklerini otomatik olarak yapılandırmasını ve ölçeklendirmesini sağlar.

Otomatik ölçeklendirme gruplarını birden çok EC2 örnek türünü destekleyecek şekilde yapılandırabilirsiniz, ancak her örnek türü için kaç düğüm oluşturulacağını veya ölçeklendirileceğini belirtemezsiniz. Bunun yerine EKS, düğüm grubunun ölçeklendirmesini istediğiniz yapılandırmaya ve ilkelere göre yönetir. Bu yaklaşım, iş yükü gereksinimlerinize uygun EC2 örnek türlerini seçebilmeniz için düğüm grubu için yönetim sürecini basitleştirir ve otomatikleştirir. Komut satırı aracını veya AWS Yönetim Konsolu'nu kullanarak eksctl de başlatabilirsiniz.

Azure Sanal Makineler düğüm havuzları için AKS, her aracı düğümünü yapılandırır ve başlatır. Azure Sanal Makine Ölçek Kümeleri düğüm havuzları için AKS, Sanal Makine Ölçek Kümeleri modelini yönetir ve düğüm havuzundaki tüm aracı düğümleri arasında tutarlılık sağlamak için bunu kullanır. Kümenizi tek tek iş yüklerinize en uygun VM'lerle yönetmek için Sanal Makineler düğüm havuzlarını kullanabilirsiniz. Ayrıca her VM boyutu için kaç düğüm oluşturulacağını veya ölçeklendirileceğini belirtebilirsiniz.

Düğüm havuzu, farklı boyutlara sahip bir vm kümesinden oluşur. Her VM farklı bir iş yükü türünü destekler. SKU'lar olarak adlandırılan bu VM boyutları, belirli amaçlar için iyileştirilmiş farklı ailelere ayrılır. Daha fazla bilgi için bkz. Azure'da VM boyutları.

Birden çok VM boyutunun ölçeklendirilebilmesi için Sanal Makineler düğüm havuzu türü bir ScaleProfilekullanır. Bu profil, istenen VM boyutunu ve sayısını belirterek düğüm havuzunun nasıl ölçeklendirileceğini yapılandırıyor. A ManualScaleProfile , istenen VM boyutunu ve sayısını belirten bir ölçek profilidir. Yalnızca bir ManualScaleProfile VM boyutuna izin verilir. Düğüm havuzunuzdaki her VM boyutu için ayrı ManualScaleProfile bir oluşturmanız gerekir.

Yeni bir Sanal Makineler düğüm havuzu oluşturduğunuzda, ManualScaleProfileen az bir ScaleProfile gerekir. Tek bir Sanal Makineler düğüm havuzu için birden çok el ile ölçek profili oluşturabilirsiniz.

Sanal Makineler düğüm havuzlarının avantajları şunlardır:

• Esneklik: Düğüm belirtimlerini iş yüklerinize ve gereksinimlerinize uyacak şekilde güncelleştirebilirsiniz.

• hassas ayarlı denetim: Tek düğüm düzeyindeki denetimler, tutarlılığı geliştirmek için farklı belirtimlerin düğümlerini belirtmeye ve birleştirmeye yardımcı olur.

• Randıman: İşletim gereksinimlerinizi basitleştirmek için kümenizin düğüm ayak izini azaltabilirsiniz.

Sanal Makineler düğüm havuzları, dinamik iş yükleri ve yüksek kullanılabilirlik gereksinimleri için daha iyi bir deneyim sağlar. Bunları kullanarak bir düğüm havuzunda aynı ailenin birden çok VM'sini ayarlayabilirsiniz ve iş yükünüz yapılandırdığınız kullanılabilir kaynaklarda otomatik olarak zamanlanır.

Aşağıdaki tabloda Sanal Makineler düğüm havuzları standart Sanal Makine Ölçek Kümeleri düğüm havuzlarıyla karşılaştırılır.

Düğüm havuzu türü	Yetenekler
Sanal Makine düğüm havuzu	Bir düğüm havuzundaki düğümleri ekleyebilir, kaldırabilir veya güncelleyebilirsiniz. VM türleri, D serisi veya A serisi gibi aynı aile türünde herhangi bir VM olabilir.
Sanal Makine Ölçek Kümeleri düğüm havuzu	Bir düğüm havuzunda aynı boyut ve türde düğümler ekleyebilir veya kaldırabilirsiniz. Kümeye yeni bir VM boyutu eklerseniz yeni bir düğüm havuzu oluşturmanız gerekir.

Sanal Makineler düğüm havuzları aşağıdaki sınırlamalara sahiptir:

• Küme otomatik ölçeklendiricisi desteklenmez.
• InfiniBand kullanılamıyor.
• Windows düğüm havuzları desteklenmez.
• Bu özellik Azure portalında kullanılamaz. Oluşturma, okuma, güncelleştirme ve silme (CRUD) işlemleri gerçekleştirmek veya havuzu yönetmek için Azure CLI veya REST API'lerini kullanın.
• Node pool snapshot desteklenmiyor.
• Düğüm havuzundaki tüm VM boyutları aynı VM ailesinden olmalıdır. Örneğin, aynı düğüm havuzundaki bir N serisi VM türünü D serisi VM türüyle birleştiremezsiniz.
• Sanal Makineler düğüm havuzları, düğüm havuzu başına en fazla beş farklı VM boyutuna izin verir.

Sanal düğümler

Aks kümesindeki uygulama iş yüklerinin ölçeğini hızla genişletmek için sanal düğümleri kullanabilirsiniz. Sanal düğümler hızlı pod teminini sağlar ve çalışma süresi için yalnızca saniye başına ödeme yapılır. Daha fazla pod çoğaltması çalıştırmak için küme otomatik ölçeklendiricisinin yeni çalışan düğümleri kullanıma hazır hale getirmesini beklemeniz gerekmez. Yalnızca Linux podları ve düğümleri sanal düğümleri destekler. AKS için sanal düğümler eklentisi, açık kaynak Sanal Kubelet projesini temel alır.

Sanal düğüm işlevselliği Azure Container Instances'a bağlıdır. Daha fazla bilgi için bkz. Sanal düğümleri kullanmak için AKS kümesi oluşturma ve yapılandırma.

Renk tonları, etiketler ve etiketler

Düğüm havuzu oluşturduğunuzda Kubernetes lekeler, etiketler ve Azure etiketleri ekleyebilirsiniz. Her renk tonu, etiket veya etiket, bu düğüm havuzundaki tüm düğümler için geçerlidir.

Bir taint içeren bir düğüm havuzu oluşturmak için az aks nodepool add komutunu, --node-taints parametresiyle kullanabilirsiniz. Düğüm havuzundaki düğümleri etiketlemek için parametresini --labels kullanın ve aşağıdaki kodda gösterildiği gibi bir etiket listesi belirtin:

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name mynodepool \
      --node-vm-size Standard_NC6 \
      --node-taints sku=gpu:NoSchedule \
      --labels dept=IT costcenter=9999

Daha fazla bilgi için bkz Düğüm havuzu için bir leke, etiket veya etiket belirlemek.

Rezerve edilmiş sistem etiketleri

Amazon EKS, gibi eks.amazonaws.com/capacityTypeyönetilen bir düğüm grubundaki tüm düğümlere kapasite türünü belirten otomatik Kubernetes etiketleri ekler. AKS ayrıca aracı düğümlerine otomatik olarak sistem etiketleri ekler.

Aşağıdaki ön ekler AKS kullanımı için ayrılmıştır ve düğümler için kullanılamaz:

• kubernetes.azure.com/
• kubernetes.io/

Diğer ayrılmış ön ekler için bkz . Kubernetes iyi bilinen etiketler, ek açıklamalar ve renk tonları.

Aşağıdaki tabloda AKS kullanımı için ayrılmış olan ve düğümler için kullanılamayabilecek etiketler listeleniyor. Tabloda Sanal düğüm kullanımı sütunu, sanal düğümlerin etiketi destekleyip desteklemediğini belirtir.

Sanal düğüm kullanımı sütununda:

• Yok , özelliğin konağın değiştirilmesini gerektirdiğinden sanal düğümlere uygulanmadığı anlamına gelir.
• Aynı , sanal düğüm havuzu ve standart düğüm havuzu için beklenen değerlerin aynı olduğu anlamına gelir.
• Sanal, sanal düğüm podları temel alınan VM'leri görünür hale getirmediği için VM SKU değerlerinin yerini alır.
• Sanal düğüm sürümü , sanal Kubelet-ACI bağlayıcı sürümünün geçerli sürümünü ifade eder.
• Sanal düğüm alt ağı adı , sanal düğüm podlarını Kapsayıcı Örneklerine dağıtan alt ağdır.
• Sanal düğüm sanal ağı , sanal düğüm alt ağını içeren sanal ağdır.

Etiket	Değer	Örnek veya seçenekler	Sanal düğüm kullanımı
kubernetes.azure.com/agentpool	<agent pool name>	nodepool1	Aynısı
kubernetes.io/arch	amd64	runtime.GOARCH	Mevcut Değil
kubernetes.io/os	<OS type>	Linux veya Windows	Linux
node.kubernetes.io/instance-type	<VM size>	Standard_NC6	Virtual
topology.kubernetes.io/region	<Azure region>	westus2	Aynısı
topology.kubernetes.io/zone	<Azure zone>	0	Aynısı
kubernetes.azure.com/cluster	<MC_RgName>	MC_aks_myAKSCluster_westus2	Aynısı
kubernetes.azure.com/mode	<mode>	User veya System	User
kubernetes.azure.com/role	agent	Agent	Aynısı
kubernetes.azure.com/scalesetpriority	<scale set priority>	Spot veya Regular	Mevcut Değil
kubernetes.io/hostname	<hostname>	aks-nodepool-00000000-vmss000000	Aynısı
kubernetes.azure.com/storageprofile	<OS disk storage profile>	Managed	Mevcut Değil
kubernetes.azure.com/storagetier	<OS disk storage tier>	Premium_LRS	Mevcut Değil
kubernetes.azure.com/instance-sku	<SKU family>	Standard_N	Virtual
kubernetes.azure.com/node-image-version	<VHD version>	AKSUbuntu-1804-2020.03.05	Sanal düğüm sürümü
kubernetes.azure.com/subnet	<nodepool subnet name>	subnetName	Sanal düğüm alt ağ adı
kubernetes.azure.com/vnet	<nodepool virtual network name>	vnetName	Sanal düğüm ve sanal ağ
kubernetes.azure.com/ppg	<nodepool ppg name>	ppgName	Mevcut Değil
kubernetes.azure.com/encrypted-set	<nodepool encrypted-set name>	encrypted-set-name	Mevcut Değil
kubernetes.azure.com/accelerator	<accelerator>	nvidia	Mevcut Değil
kubernetes.azure.com/fips_enabled	<fips enabled>	True	Mevcut Değil
kubernetes.azure.com/os-sku	<os/sku>	Bkz. İşletim sistemi SKU'su oluşturma veya güncelleştirme	Linux SKU'su

Windows düğüm havuzları

Azure Container Networking Interface ağ eklentisi aracılığıyla Windows Server kapsayıcı düğümü havuzları oluşturmak ve kullanmak için AKS kullanabilirsiniz. Gerekli alt ağ aralıklarını ve ağ konularını planlamak için bkz. Azure Container Networking Interface'i yapılandırma.

Aşağıdaki az aks nodepool add komut, Windows Server kapsayıcılarını çalıştıran bir düğüm havuzu ekler:

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name mywindowsnodepool \
      --node-vm-size Standard_D8ds_v4 \
      --os-type Windows \
      --node-count 1

Yukarıdaki komut AKS kümesi sanal ağında varsayılan alt ağı kullanır. Windows düğüm havuzu olan bir AKS kümesi oluşturma hakkında daha fazla bilgi için bkz. AKS'de Windows Server kapsayıcısı oluşturma.

Düğüm havuzuyla ilgili dikkat edilmesi gerekenler

Tek veya birden çok düğüm havuzu oluşturup yönetirken aşağıdaki önemli noktalar ve sınırlamalar geçerlidir:

• Kotalar, VM boyutu kısıtlamaları ve bölge kullanılabilirliği AKS düğüm havuzları için geçerlidir.

• Sistem havuzları en az bir düğüm içermelidir. AKS kümesindeki yerini alacak başka bir sistem düğümü havuzunuz varsa sistem düğümü havuzunu silebilirsiniz. Kullanıcı düğümü havuzları sıfır veya daha fazla düğüm içerebilir.

• Oluşturduktan sonra bir düğüm havuzunun VM boyutunu değiştiremezsiniz.

• Birden çok düğüm havuzu için AKS kümesinin Standart SKU yük dengeleyicileri kullanması gerekir. Temel SKU yük dengeleyiciler birden çok düğüm havuzunu desteklemez.

• Tüm küme düğümü havuzlarının aynı sanal ağda ve düğüm havuzuna atanan tüm alt ağların aynı sanal ağda olması gerekir.

• Küme oluştururken birden çok düğüm havuzu oluşturursanız, tüm düğüm havuzları için Kubernetes sürümleri denetim düzlemi sürümüyle eşleşmelidir. Kümeyi yapılandırdıktan sonra sürümleri güncelleştirmek için düğüm başına havuz işlemlerini kullanın.

Düğüm havuzlarının ölçeklendirilmesi

Uygulama iş yükünüz değiştikçe, düğüm havuzundaki düğüm sayısını değiştirmeniz gerekebilir. Düğüm sayısını el ile büyütmek veya küçültmek için az aks nodepool scale komutunu kullanın. Aşağıdaki örnek, içindeki düğüm mynodepool sayısını beşe ölçeklendirir:

az aks nodepool scale \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name mynodepool \
    --node-count 5

Düğüm havuzlarını otomatik olarak ölçeklendirin

AKS, küme otomatik ölçeklendiricisini kullanarak düğüm havuzlarını otomatik olarak ölçeklendirmeyi destekler. Bu özelliği her düğüm havuzunda etkinleştirin ve en az ve en fazla düğüm sayısını tanımlayın.

Aşağıdaki az aks nodepool add komut, mevcut kümeye adlı mynodepool yeni bir düğüm havuzu ekler. parametresi, --enable-cluster-autoscaler yeni düğüm havuzunda küme otomatik ölçeklendiricisini etkinleştirir. --min-count ve --max-count parametreleri havuzdaki düğümlerin en az ve en fazla sayısını belirtir.

  az aks nodepool add \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --name mynewnodepool \
  --node-vm-size Standard_D8ds_v4 \
  --enable-cluster-autoscaler \
  --min-count 1 \
  --max-count 5

Aşağıdaki az aks nodepool update komutu, düğüm havuzu için mynewnodepool en az düğüm sayısını bir ile üç arasında güncelleştirir.

  az aks nodepool update \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --name mynewnodepool \
  --update-cluster-autoscaler \
  --min-count 1 \
  --max-count 3

Küme otomatik ölçeklendiricisini devre dışı bırakmak için az aks nodepool update komutunu --disable-cluster-autoscaler parametresiyle kullanın.

  az aks nodepool update \
  --resource-group myResourceGroup \
  --cluster-name myAKSCluster \
  --name mynodepool \
  --disable-cluster-autoscaler

Mevcut bir kümede küme otomatik ölçeklendiricisini yeniden etkinleştirmek için az aks nodepool update komutunu kullanın ve --enable-cluster-autoscaler, --min-count ve --max-count parametrelerini belirtin.

Tek düğüm havuzları için küme otomatik ölçeklendiricisini kullanma hakkında daha fazla bilgi için bkz. AKS'de küme otomatik ölçeklendiricisini kullanma.

Pod İzole Etme

Tam olarak yönetilen bir çözüm olarak AKS üzerinde Kata Kapsayıcılarını kolayca kurmak ve çalıştırmak için Pod İzolasyonunu kullanın. Pod Korumalı Alanı, kapsayıcı uygulaması ile kapsayıcı konağının CPU, bellek ve ağ gibi paylaşılan çekirdek ve işlem kaynakları arasında yalıtım sınırı oluşturan bir AKS özelliğidir.

Pod Kapsülleme, kiracı iş yüklerinin hassas bilgilerin güvenliğini sağlamasına ve mevzuat, sektör veya idare uyumluluk gereksinimlerini karşılamasına yardımcı olmak için diğer güvenlik önlemlerini veya veri koruma denetimlerini tamamlar. Bu gereksinimler arasında Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), Uluslararası Standardizasyon Kuruluşu (ISO) 27001 ve Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) yer alır.

Farklı ekiplerin veya müşterilerin kiracı iş yüklerini yalıtmaya yardımcı olmak için uygulamaları ayrı kümelere veya düğüm havuzlarına dağıtın. Kuruluşunuz veya hizmet olarak yazılım (SaaS) çözümünüz bunları gerektiriyorsa, birden çok küme ve düğüm havuzu kullanabilirsiniz. Ancak bazı senaryolar, paylaşılan VM düğümü havuzlarına sahip tek bir kümeden yararlanıyor. Örneğin, aynı düğümde güvenilmeyen ve güvenilen podları çalıştırmak için tek bir küme kullanabilir ya da yerel iletişimi hızlandırmak ve işlevsel gruplama sağlamak amacıyla DaemonSet'leri ve ayrıcalıklı kapsayıcıları aynı düğümde yan yana yerleştirebilirsiniz.

Pod Sandboxing, bu iş yüklerini ayrı kümelerde veya düğüm havuzlarında çalıştırmaya gerek kalmadan aynı küme düğümlerinde bulunan kiracı uygulamaları yalıtmanıza yardımcı olabilir. Diğer yöntemler kodunuzu yeniden derlemenizi gerektirebilir veya başka uyumluluk sorunları oluşturabilir. AKS'de Pod Sandboxing, gelişmiş bir güvenlik sanal makine (VM) sınırı içinde değiştirilmemiş tüm kapsayıcıları çalıştırabilir.

Pod Korumalı Alanı, AKS yığını için Azure Linux kapsayıcı konağında çalışan ve donanım destekli yalıtım sağlayan Kata Kapsayıcılarına dayanır. AKS'de Kata Kapsayıcıları, güvenliği sağlamlaştırılmış bir Azure hiper yöneticisi üzerine kurulmuştur. Her pod için yalıtım elde etmek için üst VM düğümündeki kaynakları kullanan iç içe yerleştirilmiş, basit bir Kata VM'sini kullanır. Bu modelde, her Kata podu, iç içe bir Kata misafir VM'de kendi çekirdeğini kullanır. Tek bir konuk VM içinde birkaç Kata kapsayıcısı yerleştirmek ve üst VM'de kapsayıcıları çalıştırmaya devam etmek için bu modeli kullanın. Bu model, paylaşılan AKS kümesinde güçlü bir yalıtım sınırı sağlar.

Daha fazla bilgi için Pod Yalıtımı için AKS'de Kata VM izole edilmiş kapsayıcıların desteği başlığına bakın.

Azure Adanmış Sunucu

Azure Ayrılmış Ana Bilgisayar , fiziksel sunucu düzeyinde donanım yalıtımı sağlamaya yardımcı olmak için tek bir Azure aboneliğine ayrılmış fiziksel sunucular sağlayan bir hizmettir. Bu ayrılmış konakları bir bölge, kullanılabilirlik alanı ve hata etki alanı içinde sağlayabilirsiniz. VM'leri doğrudan tahsis edilmiş konaklara yerleştirebilirsiniz.

Aşağıdaki avantajları sağlamak için AKS ile Ayrılmış Ana Bilgisayar kullanın:

• Donanım yalıtımı, ayrılmış sunuculara başka hiçbir VM'nin yerleştirilmemesini sağlar ve bu da kiracı iş yükleri için ekstra bir yalıtım katmanı sağlar. Ayrılmış konaklar aynı veri merkezlerine dağıtılır ve diğer çözümlenmemiş konaklarla aynı ağı ve temel depolama altyapısını paylaşır.

• Adanmış Sunucu, Azure platformunun başlattığı bakım etkinlikleri üzerinde kontrol sağlar. Hizmetler üzerindeki etkiyi azaltmak ve kiracı iş yüklerinin kullanılabilirliğini ve gizliliğini sağlamaya yardımcı olmak için bir bakım penceresi seçebilirsiniz.

Özel Sunucu, SaaS sağlayıcılarının kiracı uygulamalarının düzenleyici, sektör ve yönetim uyumluluk gereksinimlerini karşıladığından emin olmak ve hassas bilgilerin güvenliğini sağlamak konusunda yardımcı olabilir. Daha fazla bilgi için bkz. AKS kümesine Ayrılmış Ana Bilgisayar Ekleme.

Karpenter

Karpenter , Kubernetes için oluşturulmuş bir açık kaynak düğüm yaşam döngüsü yönetim projesidir. Bu kümede çalışan iş yüklerinin verimliliğini ve maliyetini artırmak için Karpenter'ı bir Kubernetes kümesine ekleyin. Karpenter, Kubernetes zamanlayıcısının zamanlanamaz olarak işaretlediği podları izler. Ayrıca pod gereksinimlerini karşılayabilen düğümleri dinamik olarak sağlar ve yönetir.

Karpenter, yönetilen bir kümede düğüm sağlama ve iş yükü yerleştirme üzerinde ayrıntılı denetim sağlar. Bu denetim kaynak ayırmayı iyileştirir, her kiracının uygulamaları arasında yalıtım sağlamaya yardımcı olur ve operasyonel maliyetleri azaltır ve bu da çok kiracılılığı artırır. AKS üzerinde çok kiracılı bir çözüm oluşturduğunuzda Karpenter, farklı kiracıları desteklemek için çeşitli uygulama gereksinimlerini yönetmeye yardımcı olacak kullanışlı özellikler sağlar.

Örneğin, bazı kiracı uygulamalarının GPU için iyileştirilmiş düğüm havuzlarında, bazılarının ise bellek için iyileştirilmiş düğüm havuzlarında çalışması gerekebilir. Uygulamanız depolama için düşük gecikme süresi gerektiriyorsa, bir pod için belirli bir kullanılabilirlik alanında çalışan bir düğüm gerektiğini belirtmek için Karpenter'ı kullanabilirsiniz. Ardından depolama ve uygulama katmanınızı bir arada konumlandırabilirsiniz.

AKS, Karpenter aracılığıyla AKS kümelerinde düğüm otomatik sağlamayı etkinleştirir. Kullanıcıların çoğu, Karpenter'ı yönetilen eklenti olarak etkinleştirmek için düğüm otomatik sağlama modunu kullanmalıdır. Daha fazla bilgi için, Düğüm Otomatik Sağlama'ya bakın. Daha gelişmiş özelleştirmeye ihtiyacınız varsa, Karpenter'ı kendi kendine barındırabilirsiniz. Daha fazla bilgi için bkz . AKS Karpenter sağlayıcısı.

Gizli VM’ler

Gizli bilgi işlem, yazılım destekli veya donanım destekli yalıtım ve şifreleme aracılığıyla kullanılırken verilerin korunmasına yardımcı olan bir güvenlik önlemidir. Bu teknoloji, bekleyen verileri ve aktarımdaki verileri korumaya yardımcı olan geleneksel yaklaşımlara ek bir güvenlik katmanı ekler.

AWS platformu, EC2 örneklerinde ve Amazon EKS'de kullanılabilenNitro Enclaves aracılığıyla gizli bilgi işlemi destekler. Amazon EC2 örnekleri ayrıca AMD Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP) desteği de sağlar. Çalışma Zamanı Kanıtlama GitHub deposu, AMD SEV-SNP desteğiyle EKS için Amazon Machine Image derlemek ve dağıtmak için yapıtlar sağlar.

Azure, aks kümesindeki katı yalıtım, gizlilik ve güvenlik gereksinimlerini karşılamaya yardımcı olmak için müşterilere gizli VM'ler sağlar. Bu gizli VM'ler donanım tabanlı bir güvenilir yürütme ortamı kullanır. Özel olarak, Azure gizli VM'leri AMD SEV-SNP teknolojisini kullanır. Bu teknoloji, hipervizörün ve diğer konak yönetimi kodlarının VM belleği ve durumuna erişimini engeller. Operatör erişimine karşı ek bir savunma ve koruma katmanı eklemek için bu yaklaşımı kullanın. Daha fazla bilgi için bkz. AKS kümesinde gizli VM'leri kullanma ve Azure'daki gizli VM'lere genel bakış.

Federal Bilgi İşlem Standartları

Federal Bilgi Süreci Standartları (FIPS) 140-3 , bilgi teknolojisi ürün ve sistemlerinde şifreleme modülleri için minimum güvenlik gereksinimlerini tanımlayan bir ABD kamu standardıdır. Kiracı iş yüklerinizin yalıtımını, gizliliğini ve güvenliğini geliştirmek için AKS düğüm havuzları için FIPS uyumluluğunu etkinleştirin. FIPS uyumluluğu şifreleme, karma oluşturma ve güvenlikle ilgili diğer işlemler için doğrulanmış şifreleme modüllerinin kullanılmasını sağlamaya yardımcı olur. FiPS özellikli AKS düğüm havuzlarını kullanarak mevzuat ve sektör uyumluluk gereksinimlerini karşılamaya yardımcı olan güçlü şifreleme algoritmaları ve mekanizmaları kullanın. Çok kiracılı AKS ortamlarınızın güvenlik duruşunu güçlendirme hakkında daha fazla bilgi için bkz. AKS düğüm havuzları için FIPS'yi etkinleştirme.

Konak tabanlı şifreleme

EKS'de, mimariniz veri güvenliğini geliştirmek için aşağıdaki özellikleri kullanabilir:

• Amazon Elastic Block Store (EBS) şifrelemesi: EKS çalışan düğümlerinize bağlı Amazon EBS birimlerinde bekleyen verileri şifreleyebilirsiniz.

• AWS Anahtar Yönetimi Hizmeti (KMS):Şifreleme anahtarlarını yönetmek ve bekleyen verilerinizin şifrelenmesini zorunlu kılmaya yardımcı olmak için AWS KMS'yi kullanabilirsiniz. Gizli dizi şifrelemesini etkinleştirirseniz kendi AWS KMS anahtarınızı kullanarak Kubernetes gizli dizilerini şifreleyebilirsiniz. Daha fazla bilgi için bkz. Kubernetes gizli dizilerini mevcut kümelerde AWS KMS ile şifreleme.

• Amazon S3 sunucu tarafı şifrelemesi: EKS uygulamalarınız Amazon S3 ile etkileşim kurarsa bekleyen verilerin korunmasına yardımcı olmak için S3 demetleriniz için sunucu tarafı şifrelemeyi etkinleştirebilirsiniz.

AKS'de konak tabanlı şifreleme kiracı iş yükü yalıtımını, gizliliğini ve güvenliğini daha da güçlendirir. Konak tabanlı şifrelemeyi etkinleştirdiğinizde AKS, temel konak makinelerinde bekleyen verileri şifreler. Bu yaklaşım, hassas kiracı bilgilerinin yetkisiz erişime karşı korunmasına yardımcı olur. Uçtan uca şifrelemeyi etkinleştirdiğinizde, geçici diskler ve kısa ömürlü işletim sistemi diskleri, platform tarafından yönetilen anahtarlar aracılığıyla şifrelenir halde saklanır.

AKS'de işletim sistemi diskleri ve veri diskleri varsayılan olarak platform tarafından yönetilen anahtarlar aracılığıyla sunucu tarafı şifreleme kullanır. Bu disklerin önbellekleri, platform tarafından yönetilen anahtarlar aracılığıyla beklemede şifrelenir. Veri koruma anahtarını şifrelemek için kendi anahtar şifreleme anahtarınızı kullanabilirsiniz. Bu yöntem zarf şifrelemesi veya sarmalama olarak adlandırılır. Belirttiğiniz şifreleme anahtarı , işletim sistemi diskleri ve veri diskleri için önbelleği de şifreler.

Konak tabanlı şifreleme, çok kiracılı ortamlar için bir güvenlik katmanı ekler. Her kiracının işletim sistemi diskindeki ve veri diski önbelleklerindeki verileri, seçilen disk şifreleme türüne bağlı olarak müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarlar aracılığıyla bekleme durumunda şifrelenir. Daha fazla bilgi için aşağıdaki kaynaklara bakın:

• AKS üzerinde sunucu tabanlı şifreleme
• AKS 'da Azure diskleriyle KAG
• Azure disk depolamanın sunucu tarafı şifrelemesi

Güncelleştirmeler ve yükseltmeler

Azure, güvenilirliği, performansı ve güvenliği geliştirmek için VM barındırma platformunu düzenli aralıklarla güncelleştirir. Bu güncellemeler, barındırma ortamında yazılım bileşenlerine düzeltme eki uygulamaktan ağ bileşenlerini yükseltmeye veya donanımı kullanımdan kaldırmaya kadar değişir. Daha fazla bilgi için bkz. Azure'da VM'ler için bakım.

VM barındırma altyapısı güncelleştirmeleri genellikle mevcut AKS kümelerinin aracı düğümleri gibi barındırılan VM'leri etkilemez. Barındırılan VM'leri etkileyen güncelleştirmeler için Azure, konağı güncelleştirirken VM'yi duraklatarak veya VM'yi zaten güncelleştirilmiş bir konağa dinamik olarak geçirerek yeniden başlatma gerektiren durumları en aza indirir.

Bir güncelleştirme yeniden başlatma gerektiriyorsa, Azure güncelleştirmeyi başlatabileceğiniz bir zaman penceresi ve bildirim sağlar. Güncelleştirme acil olmadığı sürece konak makineleri için kendi kendine bakım penceresi genellikle 35 gündür.

VM'leri güncelleştirmek için planlı bakımı kullanabilirsiniz. Azure CLI, Azure PowerShell veya Azure portalını kullanarak planlı bakım bildirimlerini yönetin. Planlı bakım, küme otomatik yükseltme özelliğini kullanıp kullanmadığınızı algılar ve bakım pencereniz sırasında yükseltmeleri otomatik olarak planlar. Daha fazla bilgi için bkz. AKS kümeniz için bakım pencerelerini zamanlamak için planlı bakımı kullanma ve az aks maintenanceconfiguration komutu.

Kubernetes yükseltmeleri

AKS kümesi yaşam döngüsünün bir parçası, düzenli aralıklarla en son Kubernetes sürümüne yükseltmeyi içerir. En son güvenlik sürümlerini ve özelliklerini almak için yükseltmeleri uygulamanız gerekir. Mevcut düğüm havuzu VM'lerinin Kubernetes sürümünü yükseltmek için düğümleri bağlayıp boşaltmanız ve bunları güncelleştirilmiş bir Kubernetes disk görüntüsünü temel alan yeni düğümlerle değiştirmeniz gerekir.

Varsayılan olarak AKS, yükseltmeler sırasında artış sağlamak için ek bir düğümle yapılandırıyor. Varsayılan bir değer, max-surge ayarları için iş yükü kesintisini en aza indirir. Bu yapılandırma, mevcut uygulamaları kordon altına alma veya boşaltma işleminden önce, eski sürümlü düğümleri değiştirmek üzere ek bir düğüm oluşturur. Yükseltme hızı ile yükseltme kesintisi max-surge arasındaki dengeyi iyileştirmek için düğüm havuzu başına değeri özelleştirebilirsiniz. Daha yüksek max-surge bir değer yükseltme işleminin hızını artırır, ancak için max-surge büyük bir değer yükseltme işlemi sırasında kesintilere neden olabilir.

Örneğin, 100% değeri, max-surge düğüm sayısını iki katına çıkararak mümkün olan en hızlı yükseltme işlemini sağlar. Ancak bu değer düğüm havuzundaki tüm düğümleri aynı anda boşaltıyor. Test için bu yüksek değeri kullanmak isteyebilirsiniz, ancak üretim düğümü havuzları için 33%ayarını kullanın max-surge .

AKS, değer için max-surge hem tamsayı hem de yüzde değerlerini kabul eder. gibi 5 bir tamsayı, aşırı gerilime neden olacak beş ek düğümü gösterir. max-surge için yüzde değerini 1%'den 100%'ye kadar, en yakın düğüm sayısına yuvarlayarak ayarlayabilirsiniz. Değer 50%, havuzdaki geçerli düğüm sayısının yarısına eşit bir artış değerini gösterir.

Yükseltme sırasında max-surge değerini, en az 1 ve düğüm havuzundaki düğüm sayısına eşit en fazla değer olarak ayarlayabilirsiniz. Daha büyük değerler ayarlayabilirsiniz, ancak için max-surge düğüm sayısı üst sınırı havuzdaki düğüm sayısını aşamaz.

Önemli

Yükseltme işlemleri için düğüm yükseltmeleri için istenen max-surge sayı için yeterli abonelik kotası gerekir. Örneğin, her biri dört düğümlü beş düğüm havuzu olan bir kümenin toplam 20 düğümü vardır. Her düğüm havuzunun max-surge değeri 50%ise, yükseltmeyi tamamlamak için fazladan işlem ve 10 düğümden oluşan bir IP kotasına veya beş havuza iki düğüm gerekir.

Azure Container Networking Interface kullanıyorsanız alt ağda AKS gereksinimlerini karşılamak için yeterli IP'ye sahip olduğunuzdan emin olun.

Düğüm havuzlarını yükseltme

Kullanılabilir yükseltmeleri görmek için az aks get-upgrades komutunu kullanın.

az aks get-upgrades --resource-group <myResourceGroup> --name <myAKSCluster>

Düğüm havuzlarının durumunu görmek için az aks nodepool list komutunu kullanın.

  az aks nodepool list -g <myResourceGroup> --cluster-name <myAKSCluster>

Tek düğüm havuzunu yükseltmek için az aks nodepool upgrade komutunu kullanın.

  az aks nodepool upgrade \
      --resource-group <myResourceGroup> \
      --cluster-name <myAKSCluster> \
      --name <mynodepool> \
      --kubernetes-version <KUBERNETES_VERSION>

Daha fazla bilgi için aşağıdaki kaynaklara bakın:

• AKS düğüm imaj yükseltmesi
• Birden çok düğüm havuzuyla küme denetim düzlemi yükseltme

Yükseltmeyle ilgili dikkat edilmesi gerekenler

AKS kümesinde Kubernetes sürümünü yükseltirken aşağıdaki en iyi yöntemleri göz önünde bulundurun:

• AKS kümesindeki tüm düğüm havuzlarını aynı Kubernetes sürümüne yükseltmeniz gerekir. Varsayılan davranışı az aks upgrade tüm düğüm havuzlarını ve denetim düzlemini yükselter.

• Yükseltmeleri el ile gerçekleştirin veya kümenizde bir otomatik yükseltme kanalı ayarlayın. VM'lere düzeltme eki uygulamak için planlı bakım kullanırsanız, otomatik yükseltmeler de belirtilen bakım pencereniz sırasında başlar. Daha fazla bilgi edinmek için bkz. Bir AKS kümesini yükseltme.

• az aks upgrade bayrağına --control-plane-only sahip komut, küme denetim düzlemini yükselter ve kümedeki ilişkili düğüm havuzlarını değiştirmez. Tek tek düğüm havuzlarını yükseltmek için, komutta hedef düğüm havuzunu ve Kubernetes sürümünü az aks nodepool upgrade belirtin.

• AKS kümesi yükseltmesi, düğümlerinizi zamanlanamaz hale getirme ve iş yüklerini boşaltma işlemlerini tetikler. Kullanılabilir işlem kotanız düşükse yükseltme başarısız olabilir. Daha fazla bilgi için bkz. Bölgesel vCPU kotalarını artırma.

• parametresini max-surge gereksinimlerinize göre yapılandırın. Tamsayı veya yüzde değeri kullanın. Üretim düğümü havuzları için %33 ayarını kullanın max-surge . Daha fazla bilgi için Düğüm dalgalanması yükseltmesini özelleştirme bölümüne bakın.

• Azure Container Networking Interface ağını kullanan bir AKS kümesini yükseltirken, ayarların oluşturduğu ek düğümler için alt ağda yeterli miktarda kullanılabilir özel IP adresi olduğundan emin olun. Daha fazla bilgi için bkz. AKS'de Azure Container Networking Interface ağını yapılandırma.

• Küme düğümü havuzlarınız bir bölge içinde birden çok kullanılabilirlik alanına yayılmışsa, yükseltme işlemi geçici olarak dengesiz bir bölge yapılandırması oluşturabilir. Daha fazla bilgi için bkz. Birden çok kullanılabilirlik alanına yayılan düğüm havuzları.

Katkıda Bulunanlar

Microsoft bu makaleyi korur. Bu makaleyi aşağıdaki katkıda bulunanlar yazdı.

Asıl yazarlar:

• Paolo Salvatori | Baş Sistem Mühendisi

Diğer katkıda bulunanlar:

• Laura Nicolas | Kıdemli Yazılım Mühendisi
• Chad Kittel | Baş Yazılım Mühendisi - Azure Desenleri ve Uygulamaları
• Ed Price | Üst Düzey İçerik Programı Yöneticisi
• Theano Petersen | Teknik Yazar

Nonpublic LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki Adımlar

• AKS kümesi en iyi uygulamaları
• Bir genel DNS bölgesi ile özel bir AKS kümesi oluşturun
• Terraform ve Azure DevOps kullanarak özel AKS kümesi oluşturma
• Azure NAT Gateway ve Azure Application Gateway ile genel veya özel AKS kümesi oluşturma
• Özel AKS kümesiyle özel uç noktaları kullanma
• Application Gateway Giriş Denetleyicisi ile AKS kümesi oluşturma
• Eğitim: Kubernetes'e giriş
• Eğitim: Azure'da Kubernetes'e giriş
• Eğitim: Kubernetes'te uygulama geliştirme ve dağıtma
• Eğitim: AKS'de işlem maliyetlerini iyileştirme

İlgili kaynaklar

• Amazon EKS uzmanları için AKS
• Kubernetes kimlik ve erişim yönetimi
• Kubernetes izleme ve kayıt
• Kubernetes'e güvenli ağ erişimi
• Kubernetes kümesi için depolama seçenekleri
• Kubernetes için maliyet yönetimi
• Küme idaresi
• AKS çözüm yolculuğu
• AKS 2. gün işlemleri kılavuzu
• Uç işlem seçeneğinde bir Kubernetes seçin
• AKS için GitOps