Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Kubernetes Service (AKS), kapsayıcılı uygulamaları dağıtmak ve yönetmek için kullanabileceğiniz yönetilen bir Kubernetes hizmetidir. Diğer yönetilen hizmetlere benzer şekilde AKS de operasyonel ek yükün büyük bir kısmını Azure'a boşaltırken iş yüküne yüksek kullanılabilirlik, ölçeklenebilirlik ve taşınabilirlik özellikleri sağlar.
Bu makalede, bir mimar olarak, işlem karar ağacı'i gözden geçirip iş yükünüz için işlem birimi olarak AKS'yi seçtiğiniz varsayılır. Bu makaledeki kılavuz, Azure Well-Architected Framework sütunlarının ilkelerine eşlenen mimari öneriler sunar.
Önemli
Bu kılavuzu kullanma
Her bölümde, teknoloji kapsamına göre yerelleştirilmiş tasarım stratejilerinin yanı sıra, ilgili mimari alanları sunan bir tasarım denetim listesi vardır.
Bu stratejilerin gerçekleştirilmesine yardımcı olabilecek teknoloji özelliklerine yönelik öneriler de dahildir. Öneriler, AKS ve bağımlılıkları için kullanılabilen tüm yapılandırmaların kapsamlı bir listesini temsil etmemektedir. Bunun yerine, tasarım perspektiflerine eşlenen önemli önerileri listeler. Kavram kanıtınızı oluşturmak veya mevcut ortamlarınızı iyileştirmek için önerileri kullanın.
Temel önerileri gösteren temel mimari: AKS temel mimarisi.
Teknoloji kapsamı
Bu gözden geçirme, aşağıdaki Azure kaynakları için birbiriyle ilişkili kararlara odaklanır:
- AKS
Well-Architected Framework yapı taşlarının AKS için en iyi yöntemlerini tartıştığınızda, küme ile iş yüküarasında ayrım yapmak önemlidir. Küme en iyi yöntemleri, küme yöneticisi ve kaynak sağlayıcısı arasında paylaşılan bir sorumlulukken, iş yükü için en iyi yöntemler bir geliştiricinin etki alanıdır. Bu makalede, bu rollerin her biri için dikkat edilmesi gerekenler ve öneriler yer alır.
Not
Aşağıdaki sütunlar arasında tasarım denetim listesi ve her seçimin küme mimarisi, iş yükü mimarisi veya her ikisi için geçerli olup olmadığını belirten bir öneri listesi yer alır.
Güvenilirlik
Güvenilirlik sütununun amacı, yeterli dayanıklılık vehatalardan hızlı bir şekilde kurtarabilmek için sürekli işlevsellik sağlamaktır.
Güvenilirlik tasarım ilkeleri tek tek bileşenler, sistem akışları ve bir bütün olarak sistem için uygulanan üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
Güvenilirlik içintasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın. AKS'nin özelliklerini ve bağımlılıklarını göz önünde bulundurarak iş gereksinimlerinizle ilgili olup olmadığını belirleyin. Gerektiğinde daha fazla yaklaşım içerecek şekilde stratejiyi genişletin.
(Küme) Dayanıklılığı geliştirmek için yedeklilik oluşturun. Tek bir bölgeye dağıtım yaparken kullanılabilirliği artırmak için dayanıklılık stratejinizin bir parçası olarak AKS kümeleriniz için kullanılabilirlik alanlarını kullanın. Birçok Azure bölgesi kullanılabilirlik alanları sağlar. Bölgeler arasında düşük gecikme süreli bağlantılara sahip olacak kadar yakın, ancak yerel kesintilerin birden fazla bölgeyi etkileme olasılığını azaltmak için yeterince uzaktadır.
Kritik iş yükleri için farklı Azure bölgelerinde birden çok küme dağıtın. AKS kümelerini coğrafi olarak dağıtarak daha yüksek dayanıklılık elde edebilir ve bölgesel hataların etkilerini en aza indirebilirsiniz. Çoklu bölge stratejisi kullanılabilirliği en üst düzeye çıkarmaya ve iş sürekliliği sağlamaya yardımcı olur. İnternet'e yönelik iş yükleri, trafiği AKS kümeleri genelinde yönlendirmek için Azure Front Door veya Azure Traffic Manager kullanmalıdır. Daha fazla bilgi için bkz. çok bölgeli strateji .
Kümenizin birden çok küme topolojisinde yük devretme trafiğini güvenilir bir şekilde ölçeklendirebilmesini ve işleyebilmesini sağlamak için IP adresi alanını planlayın.
(Küme ve iş yükü) Kümenin ve iş yüklerinin güvenilirliğini ve genel sistem durumu göstergelerini izleyin. İş yükü durumunu izlemek, performans ve güvenilirlik eğilimlerini belirlemek ve sorunları gidermek için günlükleri ve ölçümleri toplayın. Azure Monitor ile Kubernetes'i izlemeye yönelik en iyi uygulamalar ve AKS çözümünüz için güvenilirlik ve sağlık izleme çözümünü tasarlamaya yardımcı iş yükleri için Well-Architected Sağlık modelleme kılavuzunu gözden geçirin.
İş yüklerinin yatay ölçeklendirmeyi destekleyecek şekilde oluşturulduğunu ve uygulama hazırlığı ile sistem durumunu bildirdiğinden emin olun.
(Küme ve iş yükü) Uygulama podlarını kullanıcı düğümü havuzlarında barındır. Sistem podlarını uygulama iş yüklerinden yalıtarak, AKS temel hizmetlerinin kaynak taleplerinden veya kullanıcı düğümü havuzlarını çalıştıran bir iş yükünün neden olduğu olası sorunlardan etkilenmediğinden emin olmanıza yardımcı olursunuz.
İş yükünüzün kullanıcı düğümü havuzlarında çalıştığından emin olun ve doğru boyutlu SKU'yu seçin. En azından kullanıcı düğümü havuzları için iki düğüm ve sistem düğümü havuzu için üç düğüm ekleyin.
(Küme ve iş yükü) AKS çalışma süresi hizmet düzeyi sözleşmesini (SLA) kullanılabilirlik ve kurtarma hedeflerinize dahil edin. Kümeniz ve iş yükünüz için güvenilirlik ve kurtarma hedeflerini tanımlamak için güvenilirlik hedeflerini tanımlamaya yönelik önerilerkılavuzu izleyin. Ardından bu hedeflere uyan bir tasarım formüle edin.
(Küme ve iş yükü) Kurtarma noktalarını bir Backup kasasında depolayarak Ve herhangi bir olağanüstü durum senaryosu sırasında geri yükleme gerçekleştirerek Azure Backup'ı kullanarak AKS küme hizmetini koruyun. AKS kümelerinde çalışan kapsayıcılı uygulamaları ve verileri yedeklemek ve geri yüklemek için, korumayı yapılandırmaya yönelik AKS yedeklemesine genel bakış makalesindeki yönergeleri izleyin.
Öneriler
| Öneri | Avantaj |
|---|---|
| (Küme ve iş yükü) Düğüm seçicileri ve bağlılık kullanarak pod zamanlamasını kontrol edin. AKS'de Kubernetes zamanlayıcı, düğümdeki donanıma göre iş yüklerini mantıksal olarak yalıtabilir. toleranslarından farklı olarak, eşleşen düğüm seçicisi olmayan podlar etiketli düğümlerde zamanlanabilir, ancak öncelik eşleşen düğüm seçicisini tanımlayan podlara verilir. |
Düğüm ilişkilendirmesi daha fazla esneklik sağlar ve pod bir düğümle eşleştirilemiyorsa ne olacağını bu sayede tanımlayabilirsiniz. |
| (Küme) Ağ gereksinimlerine ve küme boyutlandırmaya göre uygun ağ eklentisini seçin. Farklı ağ eklentileri farklı işlevsellik düzeyleri sağlar. Azure Container Networking Interface (Azure CNI), Windows tabanlı düğüm havuzları, bazı ağ gereksinimleri ve Kubernetes ağ ilkeleri gibi belirli senaryolar için gereklidir. Daha fazla bilgi için bkz. Kubenet ile Azure CNI karşılaştırması. |
Doğru ağ eklentisi daha iyi uyumluluk ve performans sağlamaya yardımcı olabilir. |
| (Küme ve iş yükü) Üretim sınıfı kümeler için AKS çalışma süresi SLA kullanın. | AKS kümeleri için Kubernetes API sunucu uç noktasının daha yüksek kullanılabilirlik garantileri nedeniyle iş yükü daha yüksek kullanılabilirlik hedeflerini destekleyebilir. |
| (Küme) AKS aracı düğümlerini fiziksel olarak ayrı veri merkezlerine dağıtarak bir Azure bölgesindeki dayanıklılığı en üst düzeye çıkarmak için kullanılabilirlik alanlarını kullanın. Kolokalite gereksinimleri varsa, tek bir bölgede sanal makine ölçek kümelerine dayalı bir AKS dağıtımı kullanın veya düğüm içi gecikmeyi en aza indirmek için yakınlık yerleştirme gruplarını kullanın. |
Düğüm havuzlarını birden çok bölgeye yayarak, bir düğüm havuzundaki düğümler başka bir bölge kapatılsa bile çalışmaya devam eder. |
| (Küme ve iş yükü) Uygulama dağıtım bildirimlerinde pod kaynak isteklerini ve sınırlarını tanımlayın. Azure İlkesi'ni kullanarak bu sınırları zorunlu kılın. | Kubernetes kümenizde kaynak tükenmesini önlemek için kapsayıcı CPU ve bellek kaynak sınırları gereklidir. |
| (Küme ve iş yükü) Sistem düğümü havuzunu uygulama iş yüklerinden yalıtılmış tutun. Sistem düğümü havuzları için en az 2 vCPU ve 4 GB bellek içeren bir sanal makine (VM) SKU'su gerekir. 4 vCPU veya daha fazlasını kullanmanızı öneririz. Daha fazla bilgi için bkz. Sistem ve kullanıcı düğümü havuzları. |
Sistem düğümü havuzu, kümenizin denetim düzlemi için gerekli olan kritik sistem podlarını barındırıyor. Bu sistem podlarını uygulama iş yüklerinden yalıtarak, temel hizmetlerin bir iş yükünün neden olduğu kaynak taleplerinden veya olası sorunlardan etkilenmediğinden emin olmanıza yardımcı olursunuz. |
| (Küme ve iş yükü) Uygulamaları belirli gereksinimlere göre ayrılmış düğüm havuzlarına ayırın. Yönetim ek yükünü azaltmak için çok sayıda düğüm havuzu kullanmaktan kaçının. | Uygulamalar aynı yapılandırmayı paylaşabilir ve GPU özellikli VM'ler, CPU veya bellek için iyileştirilmiş VM'ler ya da sıfıra ölçeklendirme olanağına ihtiyaç duyar. Düğüm havuzlarını belirli uygulamalara ayırarak, her uygulamanın kaynakları fazla sağlamadan veya az kullanmadan ihtiyaç duyduğu kaynakları aldığından emin olmanıza yardımcı olabilirsiniz. |
| (Küme) Birçok eşzamanlı giden bağlantı oluşturan iş yüklerini çalıştıran kümeler için NAT ağ geçidi kullanın. | Azure NAT Gateway büyük ölçekte güvenilir çıkış trafiğini destekler ve yüksek eşzamanlı giden trafiğe Azure Load Balancer sınırlamaları uygulayarak güvenilirlik sorunlarını önlemenize yardımcı olur. |
| (Küme ve iş yükü) AKS kümesini korumak ve olağanüstü durum sırasında alternatif bölgelere geri yüklemek için Azure Backup'ı kullanın. Azure Backup, hem küme durumu hem de uygulama verileri için çalışan kapsayıcılı uygulamaların ve verilerin yedekleme ve geri yükleme işlemlerini destekler. Yedeklemeleri bölgesel bir olağanüstü durum senaryosunda kullanabilir veyedekleri kurtarabilirsiniz. |
Azure Kubernetes Service (AKS) ile Azure Backup tam olarak yönetilen, ölçeklenebilir, güvenli ve uygun maliyetli bir çözüm sunar. Yedekleme altyapısını ayarlama ve koruma karmaşıklıkları olmadan iş yükünün güvenilirliğini artırır. |
Güvenlik
Güvenlik sütununun amacı, iş yüküne gizlilik, bütünlük ve kullanılabilirlik garanti sağlamaktır.
Güvenlik tasarımı ilkeleri AKS'nin teknik tasarımına yaklaşımlar uygulayarak bu hedeflere ulaşmak için üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
Güvenlik için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın ve güvenlik duruşunu geliştirmek için güvenlik açıklarını ve denetimleri belirleyin. AKS güvenlik kavramları hakkında bilgi edinin ve CIS Kubernetes benchmarktemelinde güvenlik sağlamlaştırma önerilerini değerlendirin. Gerektiğinde daha fazla yaklaşım içerecek şekilde stratejiyi genişletin.
(Küme) kimlik ve erişimiçin Microsoft Entra Id ile tümleştirme. Microsoft Entra Id kullanarak kümeniz için kimlik yönetimini merkezileştirin. Kullanıcı hesabı veya grup durumundaki tüm değişiklikler AKS kümesine erişimde otomatik olarak güncelleştirilir. Kimliği birincil güvenlik çeperi olarak belirleyin. Kubernetes kümenizin geliştiricilerinin ve uygulama sahiplerinin farklı kaynaklara erişmesi gerekir.
en az ayrıcalık erişimi için Microsoft Entra ID ile Kubernetes rol tabanlı erişim denetimini (RBAC)kullanın. Yönetici ayrıcalıklarının atanmasını en aza indirerek yapılandırmayı ve gizli bilgileri koruyun.
(Küme) Güvenlik izleme ve güvenlik bilgileri ve olay yönetimi araçlarıyla tümleştirme. Kümelerinizdeki tehditleri ve bunlar üzerinde çalışan iş yüklerini algılamak ve bunlara hızla yanıt vermek için kapsayıcılar için Microsoft Defender'ı Microsoft Sentinel kullanın. AKS tanılama günlüklerinizi Microsoft Sentinel'e akışla aktarmak için Microsoft Sentinel için AKS bağlayıcısını etkinleştirin.
(Küme ve iş yükü) Segmentasyon ve ağ denetimleri uygulayın. Veri sızdırmayı önlemek için yalnızca yetkili ve güvenli trafiğe izin verildiğinden ve bir güvenlik ihlalinin patlama yarıçapını içerdiğinden emin olun.
API sunucunuza yönelik küme yönetimi trafiğinin özel ağınızda kaldığından emin olmak için özel bir AKS kümesi kullanmayı göz önünde bulundurun. Veya genel kümeler için API sunucusu izin verilenler listesini kullanın.
(İş yükü) Gelen trafiği olası saldırılara karşı taramak için bir web uygulaması güvenlik duvarı (WAF) kullanın. WAF, uygulamalarınıza ulaşmadan önce kötü amaçlı trafiği engellemeye yardımcı olmak için tehditleri gerçek zamanlı olarak algılayabilir ve hafifletebilir. SQL ekleme, siteler arası betik oluşturma ve diğer Açık Web Uygulaması Güvenlik Projesi güvenlik açıkları gibi yaygın web tabanlı saldırılara karşı sağlam koruma sağlar. Azure Application Gateway veya Azure Front Door gibi bazı yük dengeleyiciler tümleşik WAF'ye sahiptir.
(İş yükü) Sağlamlaştırılmış bir iş yükünün yazılım tedarik zincirini koruyun. Sürekli tümleştirme ve sürekli teslim işlem hattınızın kapsayıcıya duyarlı tarama ile sağlamlaştırıldığından emin olun.
(Küme ve iş yükü) Özelleştirilmiş güvenli iş yükleri için ek koruma uygulayın. Kümenizin hassas bir iş yükü çalıştırması gerekiyorsa özel bir küme dağıtmanız gerekebilir. Aşağıda bazı örnekler verilmiştir:
- Ödeme Kartı Endüstri Veri Güvenliği Standardı (PCI-DSS 3.2.1): PCI-DSS 3.2.1 için AKS tarafından düzenlenen küme
- AKS ile DoD Etki Düzeyi 5 (IL5) desteği ve gereksinimleri: Azure Devlet IL5 izolasyon gereksinimleri.
Öneriler
| Öneri | Avantaj |
|---|---|
| (Küme) Kümede yönetilen kimlikleri kullanın. | Hizmet ilkelerini yönetme ve döndürme ile ilgili ek yükten kaçınabilirsiniz. |
| (İş Yükü) İş yükünüzden Azure Key Vault ve Microsoft Graph gibi Microsoft Entra korumalı kaynaklara erişmek için AKS ile Microsoft Entra İş Yükü Kimliğini kullanın. | Kimlik bilgilerini doğrudan kodunuz içinde yönetmek zorunda kalmadan Microsoft Entra ID RBAC kullanarak Azure kaynaklarına erişimi korumak için AKS İş Yükü Kimliklerini kullanın. |
| (Küme) Azure Container Registry ile kimlik doğrulaması için Microsoft Entra ID'yi AKS'den kullanın. | AKS, Microsoft Entra Id kullanarak imagePullSecrets gizli dizileri kullanmadan Container Registry ile kimlik doğrulaması yapabilir. |
| (Küme) İş yükü gereksinimleri daha yüksek segmentasyon düzeyleri gerektiriyorsa özel AKS kümesi kullanarak API sunucunuza yönelik ağ trafiğinin güvenliğini sağlayın. | Varsayılan olarak, düğüm havuzlarınız ile API sunucusu arasındaki ağ trafiği Microsoft omurga ağına gider. Özel küme kullanarak, API sunucunuza yönelik ağ trafiğinin yalnızca özel ağda kaldığından emin olmanıza yardımcı olabilirsiniz. |
| (Küme) Genel AKS kümeleri için API sunucusu tarafından yetkilendirilmiş IP adresi aralıklarını kullanın. Azure Güvenlik Duvarı gibi dağıtım derleme aracılarınızın genel IP adresleri, işlem yönetimi ve düğüm havuzlarının çıkış noktası gibi kaynakları ekleyin. | Genel kümeleri kullandığınızda, kümelerinizin API sunucusuna ulaşabilecek trafiği sınırlayarak AKS kümenizin saldırı yüzeyini önemli ölçüde azaltabilirsiniz. |
| (Küme) Microsoft Entra ID RBAC kullanarak API sunucusunu koruyun. Microsoft Entra ID tabanlı kimlikleri kullanarak tüm küme erişimini zorlamak için yerel hesapları devre dışı bırakın. |
Kubernetes API sunucusuna erişimin güvenliğini sağlamak, kümenizin güvenliğini sağlamak için yapabileceğiniz en önemli şeylerden biridir. API sunucusuna erişimi denetlemek için Kubernetes RBAC'yi Microsoft Entra ID ile tümleştirin. |
| (Küme) Azure ağ ilkelerini veya Calicokullanın. | İlkeleri kullanarak, kümedeki podlar arasındaki ağ trafiğinin güvenliğini sağlayabilir ve denetleyebilirsiniz. Calico, ilke sıralama ve öncelik, reddetme kuralları ve daha esnek eşleştirme kuralları gibi daha zengin bir özellik kümesi sağlar. |
| (Küme) Azure İlkesikullanarak kümelerin ve podların güvenliğini sağlama. | Azure İlkesi, kümelerinizde merkezi ve tutarlı bir şekilde uygun ölçekte zorlama ve koruma uygulamanıza yardımcı olabilir. Ayrıca, hangi işlevlerin podlara verildiğini kontrol edebilir ve herhangi bir şeyin şirket politikasına aykırı çalıştırılıp çalıştırılmadığını algılayabilir. |
| (Küme) Kapsayıcıların kaynaklara erişimini güvenceye alma. Kapsayıcıların gerçekleştirebileceği eylemlere erişimi sınırlayın. En az sayıda izin sağlayın ve kök veya ayrıcalıklı yükseltme kullanmaktan kaçının. Linux tabanlı kapsayıcılar için, yerleşik Linux güvenlik özelliklerini kullanarak kaynaklara güvenlik kapsayıcılarının erişimi konusunda bkz. ve. |
İzinleri kısıtlayarak ve kök veya ayrıcalıklı yükseltme kullanımından kaçınarak güvenlik ihlali riskini azaltmaya yardımcı olursunuz. Bir kapsayıcı tehlikeye girmiş olsa bile olası hasarın en aza indirildiğinden emin olmanıza yardımcı olabilirsiniz. |
| (Küme) Kümenizin giden trafiğinin Azure Güvenlik Duvarı veya HTTP ara sunucusugibi bir ağ güvenlik noktasından geçtiğinden emin olarak küme çıkış trafiğini denetleyin. | Giden trafiği Azure Güvenlik Duvarı veya HTTP ara sunucusu aracılığıyla yönlendirerek, yetkisiz erişimi ve veri sızdırmayı engelleyen güvenlik ilkelerinin uygulanmasına yardımcı olabilirsiniz. Bu yaklaşım ayrıca güvenlik ilkelerinin yönetimini basitleştirir ve AKS kümenizin tamamında tutarlı kuralları zorunlu kılmayı kolaylaştırır. |
| (Küme) Açık kaynak Microsoft Entra İş Yükü Kimliği ve Key Vault ile Secrets Store CSI Sürücüsü kullanın. | Bu özellikler güçlü şifreleme kullanarak Key Vault'taki gizli dizileri, sertifikaları ve bağlantı dizelerini korumanıza ve döndürmenize yardımcı olur. Bir erişim denetim kaydı sağlar ve önemli gizli bilgilerin dağıtım hattına dahil edilmemesini sağlar. |
| (Küme) Microsoft Defender for Containers kullanın. | Kapsayıcılar için Microsoft Defender, kümelerinizin, kapsayıcılarınızın ve bunların uygulamalarının güvenliğini izlemenize ve korumanıza yardımcı olur. |
Maliyet İyileştirme
Maliyet İyileştirme, harcama düzenlerini algılamaya, kritik alanlardaki yatırımlara öncelik vermeye ve diğer kuruluşun bütçesini karşılamak ve iş gereksinimlerini karşılamak için iyileştirmeye odaklanır.
Maliyet İyileştirme tasarım ilkeleri bu hedeflere ulaşmak ve AKS ve ortamıyla ilgili teknik tasarımda gerektiği gibi ödün vermek için üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
Yatırımlar için Maliyet İyileştirme için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın. İş yükünün iş yükü için ayrılan bütçeyle uyumlu olması için tasarımda ince ayarlamalar yapın. Tasarımınız doğru Azure özelliklerini kullanmalı, yatırımları izlemeli ve zaman içinde iyileştirme fırsatları bulmalıdır.
(Küme) AKS için fiyatlandırma katmanlarını maliyet modelinize ekleyin. Maliyetleri tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın ve hesap makinesinde farklı yapılandırma ve ödeme planlarını test edin.
(Küme) İş yükünüz için en iyi fiyatları alın. İş yüklerinizi çalıştırma maliyetini doğrudan etkilediğinden her düğüm havuzu için uygun VM SKU'su kullanın. Uygun kullanım olmadan yüksek performanslı bir VM seçmek, harcamaların boşa harcanmasına neden olabilir. Daha az güçlü bir VM seçmek performans sorunlarına ve daha fazla kapalı kalma süresine neden olabilir.
Kapasiteyi düzgün şekilde planladıysanız ve iş yükünüz tahmin edilebilirse ve uzun bir süre mevcut olacaksa, kaynak maliyetlerinizi azaltmak için Azure Rezervasyonları veya bir Tasarruf Planı'na kaydolun.
Azure Spot Sanal Makineleri seçerek önemli indirimlerle kullanılmayan Azure kapasitesini kullanın. Bu indirimler 90% kullandıkça öde fiyatlarına ulaşabilir. Azure'ın kapasiteye geri ihtiyacı varsa, Azure altyapısı Spot düğümlerini çıkartır.
AKS'yi şirket içinde veya uçta çalıştırıyorsanız, bu senaryolarda kapsayıcılı uygulamalar çalıştırdığınızda maliyetleri azaltmak için Azure Hybrid Benefit de kullanabilirsiniz.
(Küme ve iş yükü) İş yükü bileşenleri maliyetlerini iyileştirin. İş yükünüz için en uygun maliyetli bölgeyi seçin. İş yükünüzü uygun maliyetli bir şekilde çalıştırdığınızdan ve bunun müşterilerinizi etkilemediğinden veya ek ağ ücretleri oluşturmadığından emin olmak için maliyet, gecikme süresi ve uyumluluk gereksinimlerini değerlendirin. İş yükünüzü Azure'da dağıttığınız bölge maliyeti önemli ölçüde etkileyebilir. Birçok faktör nedeniyle kaynakların maliyeti Azure'daki her bölge için farklılık gösterir.
Yeni düğümlerin bu görüntüleri indirmesi gerektiğinden maliyetleri azaltmaya yardımcı olmak için küçük ve iyileştirilmiş görüntüleri koruyun. Uygulama başlatılırken kullanıcı isteği hataları veya zaman aşımları aşırı kaynak tahsisine neden olabilir. Hataları ve zaman aşımlarını önlemeye yardımcı olmak için kapsayıcının mümkün olan en kısa sürede başlatılmasını sağlayacak şekilde görüntüler oluşturun.
İş yükleriniz için en iyi izleme stratejisini belirlemek için Azure İzleyici ile Kubernetes'i izlemeye yönelik en iyi yöntemler Maliyet İyileştirme önerilerini gözden geçirin. Kümeye, düğümlere ve ad alanına göre maliyet iyileştirme fırsatlarını belirlemek için CPU, bellek, depolama ve ağ ile başlayarak performans ölçümlerini analiz edin.
(Küme ve iş yükü) İş yükü ölçeklendirme maliyetlerini iyileştirin. Tüm iş yükü gereksinimlerini karşılamaya devam ederken ölçeklendirme maliyetlerini azaltmak için alternatif dikey ve yatay ölçeklendirme yapılandırmalarını göz önünde bulundurun. İş yükleri daha az etkin olduğunda ölçeği daraltmak için otomatik ölçekleyicileri kullanın.
(Küme ve iş yükü) Maliyet verilerini toplayın ve analiz edin. Maliyet iyileştirmeyi etkinleştirmenin temeli, maliyet tasarrufu sağlayan bir kümenin yayılmasıdır. Maliyet tasarrufu hedeflerine uyum sağlamak ve bulut maliyetlerine saydamlık kazandırmak için finans, operasyon ve mühendislik ekipleri arasında işbirliği içeren bir maliyet verimliliği zihniyeti geliştirin.
Öneriler
| Öneri | Avantaj |
|---|---|
| (Küme ve iş yükü) AKS SKU seçimini ve yönetilen disk boyutunu iş yükü gereksinimleriyle hizalayın. | Seçiminizi iş yükü taleplerinizle eşleştirmek, gereksiz kaynaklar için ödeme yapmadığınızdan emin olmanıza yardımcı olur. |
| (Küme) AKS düğüm havuzlarınız için doğru VM örneği tipleriniseçin. Doğru VM örneği türlerini belirlemek için iş yükü özelliklerini, kaynak gereksinimlerini ve kullanılabilirlik gereksinimlerini göz önünde bulundurun. |
Aks üzerinde uygulama çalıştırma maliyetini doğrudan etkilediğinden doğru VM örneği türünün seçilmesi çok önemlidir. Uygun kullanım olmadan yüksek performanslı bir örnek seçmek, harcamaların boşa harcanmasına neden olabilir. Daha az güçlü bir örnek seçmek, performans sorunlarına ve daha fazla kesinti süresine yol açabilir. |
| (Küme) Daha güçlü verimli Azure Resource Manager mimarisine göre VM'leri seçin. AKS, Arm64 düğüm havuzları oluşturmayı ve küme içindeki Intel ve Resource Manager mimari düğümlerinin bir karışımını destekler. | Arm64 mimarisi, daha düşük güç kullanımı ve verimli işlem performansı nedeniyle daha iyi bir fiyat-performans oranı sağlar. Bu özellikler daha düşük maliyetle daha iyi performans getirebilir. |
| (Küme) Fazla kaynak kapasitesine yanıt olarak aracı düğümlerinin sayısını otomatik olarak azaltmak için kümesi otomatik ölçeklendiricisi etkinleştirin. | AKS kümenizdeki düğüm sayısını otomatik olarak azaltma, talep düşük olduğunda verimli bir küme çalıştırmanıza ve talep arttığında ölçeği artırmanıza olanak tanır. |
| (Küme) VM SKU seçimini otomatikleştirmek için düğüm otomatik sağlama etkinleştirin. | Düğüm otomatik sağlama işlemi, SKU seçim sürecini basitleştirir ve bekleyen pod kaynak gereksinimlerine göre, iş yüklerini en verimli ve en uygun maliyetli şekilde çalıştırmak için en uygun Sanal Makine (VM) yapılandırmasına karar verir. |
| (İş Yükü) HorizontalPodAutoscaler kullanarak bir dağıtımdaki pod sayısını CPU kullanımına veya diğer ölçümlere göre ayarlayın. | Talep düşük olduğunda pod sayısını otomatik olarak azaltma ve talep arttığında ölçeği genişletme, iş yükünüzün daha uygun maliyetli bir şekilde çalışmasına neden olur. |
| (İş Yükü) Podlarınızı doğru boyutlandırmak ve geçmiş kullanıma göre istekleri ve limitleri dinamik olarak ayarlamak için VerticalPodAutoscaler (önizleme) kullanın. | VerticalPodAutoscaler, her iş yükü için kapsayıcılarda kaynak istekleri ve sınırlar ayarlayarak diğer podlar için CPU ve bellek boşaltır ve AKS kümelerinizin etkili bir şekilde kullanımını sağlamaya yardımcı olur. |
| (Küme) AKS maliyet analizi eklentisiniyapılandırın. | Maliyet analizi kümesi uzantısı, kümelerinizdeki veya ad alanlarınızdaki çeşitli Kubernetes kaynaklarıyla ilişkili maliyetler hakkında ayrıntılı içgörüler edinmenizi sağlar. |
Operasyonel Mükemmellik
Operasyonel Mükemmellik öncelikli olarak geliştirme uygulamaları, gözlemlenebilirlik ve sürüm yönetimiyordamlarına odaklanır.
operasyonel mükemmellik tasarım ilkeleri iş yükünün operasyonel gereksinimleri için bu hedeflere ulaşmak için üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
Gözlemlenebilirlik, test ve dağıtım süreçlerini tanımlamaya yönelik Operasyonel Mükemmellik için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın. Önemli noktaları anlamak ve uygulamak için AKS en iyi yöntemleri ve 2. Gün işlemleri kılavuzu belgelerine bakın.
(Küme) Kod olarak altyapı (IaC) dağıtım yaklaşımı uygulayın. Bicep, Terraform veya benzer araçları kullanarak bildirim temelli, şablon tabanlı bir dağıtım yaklaşımı kullanın. Tüm dağıtımların yinelenebilir, izlenebilir ve bir kaynak kod deposunda depolandığından emin olun. Daha fazla bilgi için AKS ürün belgelerindeki hızlı başlangıç bakın.
(Küme ve iş yükü) Altyapı ve iş yükü dağıtımlarını otomatikleştirme. Kümenizin ve iş yüklerinizin dağıtımını yönetmek, tümleştirmek ve otomatikleştirmek için standart yazılım çözümlerini kullanın. Dağıtım işlem hatlarını kaynak denetim sisteminizle tümleştirin ve otomatikleştirilmiş testleri dahil edin.
Kümelerinizin gerekli küme genelindeki yapılandırmalar ve dağıtımlarla önyüklendiğinden emin olmak için otomatik bir işlem oluşturun. Bu işlem genellikle GitOps kullanılarak gerçekleştirilir.
Yazılım geliştirme yaşam döngünüz içinde iş yükünüz için yinelenebilir ve otomatik dağıtım süreçleri kullanın.
(Küme ve iş yükü) Kapsamlı bir izleme stratejisi uygulayın. İş yükünün durumunu izlemek, performans ve güvenilirlik eğilimlerini belirlemek ve sorunları gidermek için günlükleri ve ölçümleri toplayın. Azure İzleyici ile Kubernetes'i izlemeye yönelik en iyi yöntemlerini ve iş yükleriniz için en iyi izleme stratejisini belirlemek üzere bir izleme sistemi tasarlamaya ve oluşturmaya yönelik Well-Architected Önerileri'ni gözden geçirin.
Kontrol düzlemi veya ana API sunucusu etkileşimlerinin günlüğe kaydedildiğinden emin olmak için tanılama ayarlarını etkinleştirin.
İş yükü, canlılık ve hazır olma durumlarını da içermesi gereken, toplanabilen telemetri verilerini yayacak şekilde tasarlanmalıdır.
(Küme ve iş yükü) Üretim stratejilerinde test uygulama. Test üretim ortamında bir uygulamanın davranışını ve performansını doğrulamak ve ölçmek için gerçek dağıtımları kullanır. Uygulama veya platform güvenilirliği sorunlarını belirlemek için Kubernetes'i hedefleyen kaos mühendisliği uygulamalarını kullanın.
Azure Chaos Studio hataların simülasyonunu gerçekleştirmeye ve olağanüstü durum kurtarma durumlarını tetiklemeye yardımcı olabilir.
(Küme ve iş yükü) İş yükü yönetimini zorlayın. Azure İlkesi, kuruluş standartlarıyla tutarlı uyumluluğu sağlamaya yardımcı olur, ilke uygulamasını otomatikleştirir ve küme kaynaklarınız üzerinde merkezi görünürlük ve denetim sağlar.
AKS için kullanılabilir yerleşik ilkeler hakkında daha fazla bilgi edinmek için Azure ilkeleri bölümünü gözden geçirin.
(Cluster ve iş yükü) Görev açısından kritik iş yükleri için damga bazlı, mavi-yeşil dağıtımları kullanın. Azure platformu, kaynak sağlayıcılar ve IaC modülleri gibi aşağı akış bağımlılıklarıyla uyumluluklar doğrulanabildiğinden, damga bazlı, mavi-yeşil dağıtım yaklaşımı değişikliklerin güvenle yayınlanmasını ve kesintisiz yükseltmeler yapılmasını sağlar.
Kubernetes ve giriş denetleyicileri, sürüm mühendisliği sürecinize dahil edilmesi için birçok gelişmiş dağıtım desenini destekler. Mavi-yeşil dağıtımlar veya kanarya sürümleri gibi kalıpları göz önünde bulundurun.
(Küme ve iş yükü) İş yüklerini daha sürdürülebilir hale getirin. İş yüklerini sürdürülebilir ve bulut için daha verimli hale getirmek, maliyet iyileştirme, karbon emisyonlarını azaltma ve enerji tüketimini iyileştirmeiçin çabayı birleştirmeyi gerektirir. uygulamanın maliyetini iyileştirmek, iş yüklerini daha sürdürülebilir hale getirmenin ilk adımıdır.
Sürdürülebilir ve verimli AKS iş yükleri oluşturmayı öğrenmek için bkz. AKS 'da sürdürülebilir yazılım mühendisliği ilkeleri.
Öneriler
| Öneri | Avantaj |
|---|---|
| (Küme) AKS içinAzure ilkelerini kullanarak küme ve pod yapılandırma standartlarını kullanıma hazır hale getirme. | AKS için Azure ilkeleri, kümelerinize merkezi ve tutarlı bir şekilde büyük ölçekte zorlama ve koruma uygulamanıza yardımcı olabilir. Podlara verilen izinleri tanımlamak ve şirket ilkeleriyle uyumluluğu sağlamak için ilkeleri kullanın. |
| (İş Yükü) Kubernetes Event Driven Autoscaler (KEDA)kullanın. | KEDA, uygulamalarınızın işlenen olay sayısı gibi olaylara göre ölçeklendirilmesini sağlar. 50'den fazla KEDA ölçeklendiricisi içeren zengin bir katalog arasından seçim yapabilirsiniz. |
Performans Verimliliği
Performans Verimliliği, kapasiteyi yöneterek yük artış olduğunda bile kullanıcı deneyimini korumakla ilgilidir. Strateji kaynakları ölçeklendirmeyi, olası performans sorunlarını tanımlamayı ve iyileştirmeyi ve en yüksek performans için iyileştirmeyi içerir.
Performans Verimliliği tasarım ilkeleri beklenen kullanıma karşı bu kapasite hedeflerine ulaşmak için üst düzey bir tasarım stratejisi sağlar.
Tasarım denetim listesi
AKS için temel performans göstergelerini temel alan bir temel tanımlamaya yönelik Performans Verimliliği için tasarım gözden geçirme denetim listesini temel alarak tasarım stratejinizi başlatın.
(Küme ve iş yükü) Kapasite planlaması yapın. SKU, otomatik ölçeklendirme ayarları, IP adresleme ve yük devretme hususlarını içeren ayrıntılı bir kapasite planı çalışması gerçekleştirin ve tekrar tekrar uygulayın.
Kapasite planınızı resmileştirdikten sonra kümenin kaynak kullanımını sürekli gözlemleyerek planı sık sık güncelleştirin.
(Küme) Ölçeklendirme stratejisi tanımlayın. Kaynakların aşırı kullanma veya israf olmadan iş yükü taleplerini karşılayacak şekilde verimli bir şekilde ayarlandığından emin olmak için ölçeklendirmeyi yapılandırın. İş yükü ihtiyaçlarınızı daha az zorlamayla dinamik olarak karşılamak için küme otomatik ölçeklendirme ve HorizontalPodAutoscaler gibi AKS özelliklerini kullanın. İş yükünüzü kapsayıcıda verimli bir şekilde çalıştırmak ve dağıtım yapmak için optimize edin.
Ölçeklendirme yapılandırmasının çeşitli yönlerini anlamak için Ölçeklendirme ve bölümleme kılavuzunu gözden geçirin.
(Küme ve iş yükü) Performans testi gerçekleştirin. Hem pod hem de küme otomatik ölçeklendiricisini kullanan devam eden yük testi etkinlikleri gerçekleştirin. Sonuçları performans hedefleriyle ve oluşturulan temellerle karşılaştırın.
(Küme ve iş yükü) İş yüklerini ve akışları birbirinden bağımsız olarak ölçeklendirin. Bağımsız ölçeklendirmeye izin vermek için iş yüklerini ve akışları farklı düğüm havuzlarına ayırın. Akışlarınızı tanımlamak ve önceliklerini belirlemek için akışlar üzerinden iş yükü tasarımını optimize etme yönergelerini izleyin.
Öneriler
| Öneri | Avantaj |
|---|---|
| (Küme) İş yükü taleplerine yanıt olarak aracı düğümlerinin sayısını otomatik olarak ayarlamak için küme otomatik ölçeklendiricisi etkinleştirin. HorizontalPodAutoscaler kullanarak bir dağıtımdaki pod sayısını CPU kullanımına veya diğer ölçümlere göre ayarlayın. |
AKS kümenizdeki düğüm sayısını ve pod sayısını otomatik olarak artırma veya azaltma özelliği, verimli, uygun maliyetli bir küme çalıştırmanızı sağlar. |
| (Küme ve iş yükü) İş yüklerini farklı düğüm havuzlarına ayırın ve kullanıcı düğümü havuzunu ölçeklendirmeyi göz önünde bulundurun. | Her zaman çalışan düğümler gerektiren sistem düğümü havuzlarının aksine, kullanıcı düğümü havuzları ölçeği artırmanıza veya azaltmanıza olanak tanır. |
| (İş Yükü) AKS gelişmiş zamanlayıcı özelliklerini kullanarak bunları gerektiren iş yükleri için kaynakların gelişmiş dengelemesini uygulayın. | AKS kümelerini yönetirken genellikle ekipleri ve iş yüklerini yalıtmak gerekir. Kubernetes zamanlayıcısının sağladığı gelişmiş özellikler, belirli düğümlerde hangi podların zamanlanabileceğini denetlemenize olanak sağlar. Ayrıca, çok podlu uygulamaların küme genelinde uygun şekilde nasıl dağıtılabildiğini denetlemenize de olanak tanır. |
| (İş Yükü) İş yükünüzle ilgili sinyalleri temel alan anlamlı bir otomatik ölçeklendirme kural kümesi oluşturmak için KEDA kullanın. | Her ölçek kararı CPU veya bellek ölçümlerinden türetilmeyebilir. Ölçekle ilgili dikkat edilmesi gerekenler genellikle daha karmaşık ve hatta dış veri noktalarından gelir. KEDA, uygulamalarınızın kuyruktaki iletilerin sayısı veya konu gecikmesinin uzunluğu gibi olaylara göre ölçeklendirilmesini sağlar. |
Azure ilkeleri
Azure, Tipik Azure ilkeleri ve Kubernetes için Azure İlkesi eklentisi ve küme içinde olduğu gibi Azure kaynağına uygulanan AKS ile ilgili kapsamlı bir yerleşik ilke kümesi sağlar. Azure kaynak ilkelerinin çoğu hem Denetim/Reddetme hem de Yoksa Dağıt biçimlerinde bulunur. Yerleşik Azure İlkesi tanımlarına ek olarak, hem AKS kaynağı hem de Kubernetes için Azure İlkesi eklentisi için özel ilkeler oluşturabilirsiniz.
Bu makaledeki önerilerden bazıları Azure İlkesi aracılığıyla denetlenebilir. Örneğin, aşağıdaki küme ilkelerini de kontrol edebilirsiniz:
- Kümeler, pod belirtiminiz için yapılandırılmış hazır olma veya canlılık durumu yoklamalarına sahiptir.
- Bulut tabanlı ilkeler için Microsoft Defender.
- Microsoft Entra ID, RBAC gibi kimlik doğrulama modu ve yapılandırma ilkeleri ve yerel kimlik doğrulamayı devre dışı bırakma.
- Özel küme de dahil olmak üzere API sunucusu ağ erişim ilkeleri.
- GitOps yapılandırma ilkeleri.
- Tanılama ayarları ilkeleri.
- AKS sürüm kısıtlamaları.
- Komut çağrısını engelle.
Ayrıca aşağıdaki küme ve iş yükü ilkelerini de de de kontrol edebilirsiniz:
- Linux tabanlı iş yükleri için Kubernetes kümesi pod güvenlik girişimleri.
- AppArmor, sysctl, güvenlik yetenekleri, SELinux, seccomp, ayrıcalıklı kapsayıcılar ve otomatik bağlanan küme API kimlik bilgileri gibi pod ve kapsayıcı özellik ilkelerini ekleyin.
- Montaj, birim sürücüleri ve dosya sistemi ilkeleri.
- Pod ve kapsayıcı ağ ilkeleri, örneğin ana bilgisayar ağı, port, izin verilen dış IP'ler, HTTPS ve iç yük dengeleyiciler.
- Ad alanı dağıtım kısıtlamaları.
- CPU ve bellek kaynak sınırları.
Kapsamlı idare için Kubernetes ve işlem katmanının güvenliğini etkileyebilecek diğer ilkeler için Azure İlkesi yerleşik tanımlarını gözden geçirin.
Azure Danışmanı önerileri
Azure Danışmanı, Azure dağıtımlarınızı iyileştirmek için en iyi yöntemleri izlemenize yardımcı olan kişiselleştirilmiş bir bulut danışmanıdır. AKS'nin güvenilirliğini, güvenliğini, maliyet verimliliğini, performansını ve operasyonel mükemmelliğini geliştirmenize yardımcı olabilecek bazı öneriler aşağıdadır.
İlgili içerik
Aşağıdaki makaleleri, bu makalede vurgulanan önerileri gösteren kaynaklar olarak düşünün.
- AKS temel mimarisi
- Gelişmiş AKS mikro hizmetler mimarisi
- PCI-DSS iş yükü için AKS kümesi
- Çoklu bölge kümeleri için AKS temeli
- AKS Giriş Bölgesi Hızlandırıcısı
Aşağıdaki ürün belgelerini kullanarak uygulama uzmanlığı oluşturun: