Modern uygulama platformu çözümlerini yönetme
Bulut Benimseme Çerçevesi, bulut portföyünüzün idaresini sistematik ve artımlı olarak geliştirmek için bir metodoloji sağlar. Bu makalede, idare yaklaşımınızı Azure'a veya diğer genel veya özel bulutlara dağıtılan Kubernetes kümelerine nasıl genişletebileceğiniz gösterilmektedir.
İlk idare temeli
İdare, genellikle idare MVP'si olarak adlandırılan ilk idare temeli ile başlar. Bu temel, bulut ortamınızda idare sağlamak için gereken temel Azure ürünlerini dağıtır.
İlk idare temeli, idarenin aşağıdaki yönlerine odaklanır:
- Temel karma ağ ve bağlantı.
- Kimlik ve erişim denetimi için Azure rol tabanlı erişim denetimi (RBAC).
- Kaynakların tutarlı bir şekilde tanımlanması için adlandırma ve etiketleme standartları.
- Kaynak gruplarını, abonelikleri ve yönetim gruplarını kullanarak kaynakların düzenlenmesi.
- İdare ilkelerini uygulamak için Azure İlkesi kullanın.
İlk idare temelinin bu özellikleri modern uygulama platformu çözüm örneklerini idare etmek için kullanılabilir. Ancak öncelikle kapsayıcılarınıza Azure İlkesi uygulamak için ilk temele birkaç bileşen eklemeniz gerekir. Yapılandırıldıktan sonra, aşağıdaki kapsayıcı türlerini yönetmek için Azure İlkesi ve ilk idare temelinizi kullanabilirsiniz:
İdare disiplinlerini genişletme
İlk idare temeli, tüm Kubernetes örneklerinizde tutarlı ve kararlı dağıtım yaklaşımları sağlamak için çeşitli idare disiplinlerini genişletmek için kullanılabilir.
Kubernetes kümelerinin idaresine beş farklı perspektifle bakılabilir.
Azure kaynak idaresi
Birincisi Azure kaynak perspektifidir. Tüm kümelerin kuruluşunuzun gereksinimlerine uygun olduğundan emin olun. Buna ağ topolojisi, özel küme, SRE ekipleri için Azure RBAC rolleri, tanılama ayarları, bölge kullanılabilirliği, düğüm havuzu konuları, Azure Container Registry idaresi, Azure Load Balancer seçenekleri, AKS eklentileri, tanılama ayarları gibi kavramlar dahildir. Bu idare, kuruluşlarınızdaki kümelerin "genel görünümü" ve "topolojisi" açısından tutarlılık sağlar. Bu, hangi güvenlik aracılarının yüklenmesi gerektiği ve bunların nasıl yapılandırılması gerektiği gibi küme dağıtımı önyüklemesi sonrası için de genişletilmelidir.
Kar tanesi kümelerini herhangi bir merkezi kapasitede idare etmek zordur. İlkelerin tekdüzen uygulanabilmesi ve anormal kümelerin önerilmez ve algılanabilir olması için kümeler arasındaki tutarsızlıkları en aza indirin. Bu, ARM, Bicep veya Terraform gibi kümeleri dağıtmak için kullanılan teknolojileri de içerebilir.
Yönetim grubu/abonelik düzeyinde uygulanan Azure İlkesi, bu konuların çoğunu sağlamaya yardımcı olabilir, ancak tümünü sağlamaz.
Kubernetes iş yükü idaresi
Kubernetes bir platform olduğundan, ikincisi küme içinde gerçekleşenlerin idaresidir. Bu, ad alanı kılavuzu, ağ ilkeleri, Kubernetes RBAC, sınırlar ve kotalar gibi öğeleri içerir. Bu, kümeye daha az, iş yüklerine idare uygulanır. Hepsi farklı iş sorunlarını çözdüğünden ve çeşitli teknolojilerle çeşitli şekillerde uygulanacağı için her iş yükü benzersiz olacaktır. Çok fazla "her boyuta uyan bir boyut" idare uygulamaları olmayabilir, ancak OCI yapıt oluşturma/tüketimi, tedarik zinciri gereksinimleri, genel kapsayıcı kayıt defteri kullanımı, görüntü ayarlama işlemi, dağıtım işlem hattı idaresi ile ilgili idareyi göz önünde bulundurmalısınız.
Uygulanabilirse yaygın araçlar ve desenler konusunda da standartlaştırmayı göz önünde bulundurun. Helm, hizmet ağı, giriş denetleyicileri, GitOps işleçleri, kalıcı birimler vb. gibi teknolojiler hakkında önerilerde bulunabilirsiniz. Burada pod ile yönetilen kimlik kullanımı ve Key Vault'tan gizli dizileri kaynak oluşturma ile ilgili idare de yer alır.
İş yükü sahiplerinin ürünlerini geliştirmek için ihtiyaç duydukları ölçümlere ve verilere uygun erişime sahip olduğundan emin olmak ve ayrıca küme operatörlerinin hizmet tekliflerini geliştirmek için sistem telemetrisine erişimi olduğundan emin olmak için telemetriye erişim konusunda güçlü beklentiler oluşturun. Verilerin genellikle ikisi arasında çapraz bağıntılı olması gerekir, gerektiğinde uygun erişimi sağlamak için idare ilkelerinin geçerli olduğundan emin olun.
Küme düzeyinde uygulanan AKS için Azure İlkesi, bunların bazılarını sağlamaya yardımcı olabilir, ancak tümünü sağlamaz.
Küme işleci rolleri (DevOps, SRE)
Üçüncüsü, küme işleci rolleri etrafında idaredir. SRE ekipleri kümelerle nasıl etkileşim kurar? Bu ekiple iş yükü ekibi arasındaki ilişki nedir? Aynı mı? Küme işleçlerinin kümelere nasıl eriştiği, kümelere nereden eriştiği ve kümelerde hangi izinlere sahip oldukları ve bu izinlerin ne zaman atandığı gibi küme önceliklendirme etkinlikleri için net bir şekilde tanımlanmış bir playbook'u olmalıdır. İdare belgelerinde, ilkede ve eğitim malzemelerinde iş yükü operatörü ile küme işleci arasındaki farkların bu bağlamda yapıldığından emin olun. Kuruluşunuza bağlı olarak bunlar aynı olabilir.
İş yükü başına küme veya küme başına çok sayıda iş yükü
Dördüncüsü ise çok kiracılılık idaresi. Diğer bir ifadeyle kümeler, tanım gereği sahip olduğu uygulamaların "benzer bir gruplandırması" içermesi ve bunların tümünün aynı iş yükü ekibi tarafından kullanılması ve ilgili iş yükü bileşenlerinin tek bir kümesini temsil etmesi gerekir. Veya kümelerin, tasarım gereği, birden çok farklı iş yükü ve iş yükü sahibi olan doğası gereği çok kiracılı olması gerekir; kuruluş içinde yönetilen bir hizmet teklifi gibi çalışır ve yönetilir. İdare stratejisi her biri için önemli ölçüde farklıdır ve bu nedenle seçtiğiniz stratejinin zorunlu kılınmasını idare etmelisiniz. Her iki modeli de desteklemeniz gerekiyorsa, idare planınızın hangi ilkeler için hangi küme türleri için geçerli olduğu açıkça tanımlandığından emin olun.
Bu seçim Strateji aşamasında yapılmalıdır çünkü personel oluşturma, bütçeleme ve yenilik üzerinde önemli bir etkiye sahiptir.
Güncel çalışmalara devam edin
Beşincisi düğüm görüntüsü güncelliği (düzeltme eki uygulama) ve Kubernetes sürüm oluşturma gibi işlemlere bağlıdır. Düğüm görüntüsü yükseltmeleri, uygulanan düzeltme eklerini izleme, Kubernetes ve AKS genel güvenlik açıkları ve açıkları için düzeltme planlarını izleme ve bir araya getirmek kimin sorumluluğundadır? İş yükü ekiplerinin , çözüm çalışmalarını küme yükseltmelerinde doğrulamaya katılması gerekir ve kümeleriniz güncel değilse Azure Desteği'nin dışına çıkar. Aks'de "güncel kal" çabaları konusunda güçlü bir idareye sahip olmak kritik öneme sahiptir. Bu nedenle Azure'daki diğer platformların çoğu daha önemlidir. Bu, kümelerin güncel kalmasını sağlamak için iş yükü doğrulaması için uygulama ekipleriyle çok yakın bir çalışma ilişkisi ve en azından aylık olarak ayrılmış zaman gerektirir. Kubernetes'e bağımlılık alan tüm ekiplerin, platformda oldukları sürece devam edecek olan bu devam eden çabanın gereksinimlerini ve maliyetini anladığından emin olun.
Güvenlik temeli
AKS kümelerinizin güvenliğini hesaba katmak için güvenlik temelinize aşağıdaki en iyi yöntemler eklenebilir:
- Güvenli podlar
- Podlar arasındaki trafiğin güvenliğini sağlama
- Özel kümeler kullanılmıyorsa AKS API'si için yetkili IP erişimi.
Kimlik
Kubernetes kümelerinizde tutarlı kimlik ve erişim yönetimi sağlamak için kimlik temelinize uygulayabileceğiniz birçok en iyi yöntem vardır:
- Microsoft Entra tümleştirmesi
- RBAC ve Microsoft Entra tümleştirmesi
- Kubernetes'te yönetilen kimlikler
- Microsoft Entra pod kimliği ile diğer Azure kaynaklarına erişme
Sonraki adım: Modern uygulama platformu çözümlerini yönetme
Aşağıdaki makaleler, bulut benimseme senaryosunda başarılı olmanıza yardımcı olmak için sizi bulut benimseme yolculuğunun belirli noktalarında rehberliğe götürür.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin