أفضل الممارسات لعزل نظام المجموعة في Azure Kubernetes Service (AKS)

أثناء إدارة المجموعات في Azure Kubernetes Service (AKS)، غالبًا ما تحتاج إلى عزل الفرق وأحمال العمل. تسمح AKS بالمرونة في كيفية تشغيل المجموعات متعددة المستأجرين وعزل الموارد. لزيادة استثمارك في Kubernetes إلى أقصى حد، من المهم أن تفهم ميزات الإيجار المتعدد وعزل AKS.

تركز هذه المقالة المتعلقة بأفضل الممارسات على عزل عوامل تشغيل نظام المجموعة. في هذه المقالة، ستتعرف على كيفية:

• التخطيط لمجموعات متعددة المستأجرين وفصل الموارد.
• استخدم العزل المنطقي أو المادي في مجموعات AKS.

تصميم أنظمة مجموعات متعددة الإيجار

يتيح لك Kubernetes عزل الفرق وأحمال العمل في نفس نظام المجموعة منطقياً. الهدف هو توفير أقل عدد من الامتيازات التي يتم تحديد نطاقها للموارد التي يحتاجها كل فريق. تنشأ مساحة اسم Kubernetes حد عزل منطقي. تتضمن ميزات واعتبارات Kubernetes الأخرى للعزل والإيجار المتعدد المجالات التالية:

• أفضل الممارسات لعزل نظام المجموعة في خدمة Azure Kubernetes (AKS)
  • تصميم مجموعات لإيجارات متعددة
    • الجدولة
    • التواصل الشبكي
    • المصادقة والتخويل
    • الحاويات
  • مجموعات معزولة منطقيا
  • مجموعات معزولة ماديا
  • الخطوات التالية

جدولة

تستخدم الجدولة الميزات الأساسية مثل حصص الموارد وميزانيات تعطيل الجراب. لمزيد من المعلومات حول هذه الميزات، راجع أفضل الممارسات للميزات الأساسية للمجدول في AKS.

تتضمن ميزات المجدول الأكثر تقدماً ما يلي:

• العيوب والتفاوتات.
• محددات العقدة.
• العقدة وترابط الحاوية أو مقاومة الحاوية.

لمزيد من المعلومات حول هذه الميزات، راجع أفضل الممارسات للميزات المتطورة للمجدول في AKS.

الشبكات

تستخدم الشبكات نهج الشبكة للتحكم في تدفق نسبة استخدام الشبكة داخل وخارج الحاويات.

لمزيد من المعلومات، راجع تأمين نسبة استخدام الشبكة بين pods باستخدام نهج الشبكة في AKS.

المصادقة والتخويل

تستخدم المصادقة والتخويل الآتي:

• التحكم في الوصول استناداً إلى الدور (RBAC).
• تكامل Microsoft Entra.
• هويات الجراب.
• البيانات السرية في Azure Key Vault.

لمزيد من المعلومات حول هذه الميزات، راجع أفضل الممارسات للمصادقة والتخويل في AKS.

الحاويات

تشمل الحاويات ما يلي:

• الوظيفة الإضافية لنهج Azure ل AKS لفرض أمان الجراب.
• قبول أمان الجراب.
• فحص الصور ووقت التشغيل بحثا عن الثغرات الأمنية.
• استخدام App Armor أو Seccomp (الحوسبة الآمنة) لتقييد وصول الحاوية إلى العقدة المصدر.

مجموعات معزولة منطقيا

إرشادات أفضل الممارسات

فرق ومشروعات منفصلة باستخدام العزل المنطقي. تصغير عدد أنظمة مجموعات AKS الفعلية التي تستخدمها لعزل الفرق أو التطبيقات.

باستخدام العزل المنطقي، يمكنك استخدام نظام مجموعة AKS واحد لأحمال عمل أو فرق أو بيئات متعددة. تشكل مساحات أسماء خدمة Kubernetes حد العزل المنطقي لأحمال العمل والموارد.

الفصل المنطقي لأنظمة المجموعات عادةً ما يوفر كثافة للحاوية أعلى من أنظمة المجموعات المعزولة فعلياً، مع قدرة إنتاجية لحساب أقل زيادة والتي تكون خاملة في نظام المجموعة. عند دمجها مع مقياس نظام مجموعة Kubernetes ذات التحجيم التلقائي، يمكنك زيادة أو تقليل عدد العقد لتلبية الطلبات. يقلل نهج أفضل الممارسات هذا التكاليف عن طريق تشغيل العدد المطلوب فقط من العقد.

بيئات Kubernetes ليست آمنة تماما للاستخدام العدائي متعدد المستأجرين. في بيئة متعددة المستأجرين، يعمل العديد من المستأجرين على بنية أساسية مشتركة. إذا كان لا يمكن الوثوق بجميع المستأجرين، فأنت بحاجة إلى تخطيط إضافي لمنع المستأجرين من التأثير على أمان الآخرين وخدمهم.

تمنع ميزات الأمان الأخرى، مثل Kubernetes RBAC للعقد، عمليات الاستغلال بكفاءة. لضمان الأمان الحقيقي عند تشغيل أحمال العمل العدائية متعددة المستأجرين، يجب أن تثق فقط في hypervisor. يصبح مجال الأمان ل Kubernetes المجموعة بأكملها وليس عقدة فردية.

بالنسبة لهذه الأنواع من أعباء العمل العدائية متعددة المستأجرين، يجب عليك استخدام نظم مجموعات معزولة ماديًا.

مجموعات معزولة ماديا

إرشادات أفضل الممارسات

تقليل استخدام العزل المادي لكل فريق منفصل أو توزيع تطبيق واستخدام العزل المنطقي بدلا من ذلك.

يعد فصل أنظمة مجموعات AKS فعلياً هو أسلوب شائع لعزل نظام المجموعة. في نموذج العزل هذا، تُعين الفرق أو أحمال العمل الخاصة بهم في نظام مجموعة AKS. في حين أن العزل الفعلي قد يبدو أسهل طريقة لعزل أحمال العمل أو الفرق، فهو يضيف الإدارة والنفقات العامة المالية. مع أنظمة المجموعات المعزولة فعليا، يجب الاحتفاظ بتجمعات متعددة وتوفير الوصول وتعيين الأذونات بشكل فردي. كما تتم محاسبتك على كل عقدة على حدة.

عادة ما يكون للمجموعات المعزولة فعليا كثافة جراب منخفضة. ونظراً لأن لكل فريق أو حمل عمل لديه نظام مجموعة AKS الخاصة به، فإن نظام المجموعة غالباً ما يكون مزوداً بحساب للموارد. في كثير من الأحيان، تتم جدولة عدد قليل من الحجيرات على تلك العقد. لا يمكن لفرق أخرى استخدام القدرة الإنتاجية للعقدة غير المطالب بها للتطبيقات أو الخدمات قيد التطوير. تساهم هذه الموارد الزائدة في التكاليف الإضافية في المجموعات المعزولة فعليا.

الخطوات التالية

ركزت هذه المقالة على عزل نظام المجموعة. لمزيد من المعلومات حول عمليات نظام المجموعة في AKS، راجع مقالات أفضل الممارسات التالية:

• ميزات جدولة Kubernetes الأساسية
• ميزات جدولة Kubernetes المتقدمة
• المصادقة والتخويل