適用於 AKS 的安全 DevOps

Kubernetes Service
監視器
Pipelines
原則
GitHub

解決方案構想

本文是解決方案概念。 如果您想要以詳細資訊擴充內容,例如潛在的使用案例、替代服務、實作考慮或定價指引,請提供 GitHub 意見反應讓我們知道。

DevOps 和 Kubernetes 在一起比較好。 藉由在 Azure 上與 Kubernetes 一起實作安全的 DevOps,您可以大規模達成速度和安全性之間的平衡,並更快速地提供程式碼。

潛在使用案例

使用 CI/CD 搭配動態原則控制項,以將防護線放在開發程式周圍,然後透過持續監視加速您的意見反應迴圈。 使用 Azure Pipelines 快速提供,同時確保強制執行重要原則,並Azure 原則。 Azure 可讓您即時觀察組建和發行管線,以及輕鬆套用合規性稽核和重新設定的能力。

架構

架構圖表顯示透過 C I/ C D 管線對原始程式碼的內部迴圈,將 Helm 圖表和 Azure 容器傳送至 K S 生產叢集。

下載這個架構的 Visio 檔案

資料流程

  1. 開發人員會在相同的 Kubernetes 叢集中,快速逐一查看、測試及偵錯應用程式的不同部分。
  2. 程式碼會合並至 GitHub 存放庫,之後 Azure Pipelines 會執行自動化建置和測試。
  3. 發行管線會自動執行預先定義的部署策略,並變更每個程式碼。
  4. Kubernetes 叢集是布建的,方法是使用 Helm 圖表之類的工具來定義應用程式資源和組態所需的狀態。
  5. 容器映射會推送至Azure Container Registry。
  6. 叢集運算子會在 Azure 原則 中定義原則,以控管 AKS 叢集的部署。
  7. Azure 原則在 AKS 控制平面層級稽核管線的要求。
  8. 應用程式遙測、容器健康情況監視,以及使用 Azure 監視器取得即時記錄分析。
  9. 深入解析可用來解決問題,並饋送至下一個短期衝刺計畫。

單元

  • GitHub Enterprise 會裝載原始程式碼,開發人員可以在組織內和開放原始碼社群內共同作業。 GitHub Enterprise 提供進階安全性功能,以識別您撰寫的程式碼和開放原始碼相依性中的弱點
  • Azure Pipelines 是一項服務,可提供持續整合和持續傳遞作業,以自動建置和釋放您的應用程式。
  • Azure Container Registry裝載 Docker 容器映射。 此服務包含容器映射掃描與雲端Microsoft Defender整合。
  • Azure Kubernetes Service提供完全由 Azure 管理的 Kubernetes 叢集,以確保基礎結構的可用性和安全性。
  • Azure 原則可讓您建立、指派和管理原則。 這些原則會對您的資源強制執行不同的規則和效果,讓這些資源能符合公司標準和服務等級協定的規範。 它也會與Azure Kubernetes Service整合。
  • Azure 監視器 可讓您深入瞭解應用程式與基礎結構的可用性和效能。 它也可讓您存取訊號,以監視解決方案的健康情況,並提早找出異常活動。

參與者

本文由 Microsoft 維護。 它原本是由下列參與者所撰寫。

主體作者:

下一步

請參閱相關的架構: