你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
群集操作员和开发人员的最佳做法,用于在 Azure Kubernetes 服务 (AKS) 中生成并管理应用程序
在 Azure Kubernetes 服务 (AKS) 中成功生成并运行应用程序需要了解和实现一些关键概念,其中包括:
- 多租户和计划程序功能。
- 群集和 Pod 安全性。
- 业务连续性和灾难恢复。
以下最佳做法和概念文章由 AKS 产品组、工程团队和现场团队(包括全球黑带 (GBB))提供、撰写并分组。 他们的目的是帮助群集操作员和开发人员更好地了解上述概念并实现相应的功能。
群集操作员最佳做法
如果你是群集操作员,需要与应用程序所有者和开发人员协作,了解他们的需求。 然后就可以使用以下最佳做法来配置 AKS 群集以满足你的需求。
作为应用程序开发和部署过程的一部分,应包括的重要做法是记住遵循常用的部署和测试模式。 在部署之前测试应用程序是确保其质量、功能和与目标环境的兼容性的重要步骤。 它可以帮助你识别和修复可能影响应用程序或底层基础结构的性能、安全性或可用性的任何错误、bug 或问题。
多租户
- 群集隔离的最佳做法
- 包括可与命名空间配合使用的多租户核心组件和逻辑隔离。
- 有关基本计划程序功能的最佳做法
- 包括资源配额和 Pod 中断预算。
- 有关高级计划程序功能的最佳做法
- 包括使用排斥 (taint) 和容许 (toleration)、节点选择器和关联,以及 pod 间关联与反关联。
- 身份验证和授权的最佳做法
- 包括与 Microsoft Entra ID 集成、使用 Kubernetes 基于角色的访问控制 (Kubernetes RBAC)、使用 Azure RBAC,以及 Pod 标识。
安全性
- 有关群集安全性和升级的最佳做法
- 包括保护对 API 服务器的访问、限制容器访问权限,以及管理升级和节点重启。
- 容器映像管理和安全性的最佳做法
- 包括保护映像和运行时以及在更新基础映像时自动生成。
- Pod 安全性的最佳做法
- 包括保护对资源的访问、限制凭据公开,以及使用 Pod 标识和数字密钥保管库。
网络和存储
- 网络连接的最佳做法
- 包括使用不同的网络模型、使用入口和 Web 应用程序防火墙 (WAF),以及保护节点 SSH 访问。
- 存储和备份的最佳做法
- 包括选择适当的存储类型和节点大小、动态预配卷,以及数据备份。
运行企业就绪型工作负荷
- 业务连续性和灾难恢复的最佳做法
- 包括使用区域对、通过 Azure 流量管理器管理多个群集,以及对容器映像进行异地复制。
开发人员最佳做法
如果你是开发人员或应用程序所有者,你可以简化开发体验并定义必要的应用程序性能功能。
- 应用程序开发人员资源管理最佳做法
- 包括定义 Pod 资源请求和限制、配置开发工具,以及检查应用程序问题。
- Pod 安全性的最佳做法
- 包括保护对资源的访问、限制凭据公开,以及使用 Pod 标识和数字密钥保管库。
- 部署和群集可靠性的最佳做法
- 包括部署、群集和节点池级别的最佳做法。
Kubernetes 和 AKS 概念
以下概念性文章介绍了 AKS 中群集的一些基本功能和组件:
后续步骤
有关设计 AKS 企业级实现的指导,请参阅规划 AKS 设计。