Doporučené postupy pro vytváření a správu aplikací ve službě Azure Kubernetes (AKS) pro operátora clusteru a vývojáře
Sestavování a spouštění aplikací ve službě Azure Kubernetes Service (AKS) vyžaduje porozumění a implementaci některých klíčových doporučení, včetně těchto:
- Funkce víceklientské architektury a plánovače.
- Zabezpečení clusteru a pod.
- Provozní kontinuita a zotavení po havárii.
AKS Produktová skupina, technické týmy a týmy pro pole (včetně globálních černých pásů [GBBs]) přispěly do zapsaného a seskupené z následujících osvědčených postupů a koncepčních článků. Jejich účelem je pomáhat provozovatelům clusteru a vývojářům porozumět výše uvedeným hlediskům a implementovat příslušné funkce.
Doporučené postupy pro operátora clusteru
Jako operátor clusteru můžete spolupracovat s vlastníky aplikací a vývojáři a pochopit jejich potřeby. Pak můžete pomocí následujících osvědčených postupů nakonfigurovat clustery AKS podle potřeby.
Architektura s více tenanty
- Osvědčené postupy pro izolaci clusteru
- Zahrnuje základní komponenty víceklientské architektury a logickou izolaci s obory názvů.
- Osvědčené postupy pro základní funkce plánovače
- Zahrnuje použití kvót prostředků a rozpočtů přerušení pod.
- Osvědčené postupy pro pokročilé funkce plánovače
- Zahrnuje použití chuti a tolerování, selektorů uzlů a spřažení a spřažení a proti spřažení.
- Osvědčené postupy pro ověřování a autorizaci
- Zahrnuje integraci s Azure Active Directory s využitím Kubernetes řízení přístupu na základě role (Kubernetes RBAC), pomocí Azure RBAC a identity pod.
Zabezpečení
- Osvědčené postupy pro zabezpečení clusteru a upgrady
- Zahrnuje zabezpečení přístupu k serveru rozhraní API, omezení přístupu k kontejneru a správu upgradů a restartování uzlů.
- Osvědčené postupy pro správu a zabezpečení imagí kontejneru
- Zahrnuje zabezpečení image a běhových prostředí a automatických sestavení na základních aktualizacích imagí.
- Osvědčené postupy pro zabezpečení pod
- Zahrnuje zabezpečení přístupu k prostředkům, omezování vystavování přihlašovacích údajů a používání identit pod a digitálních trezorů klíčů.
Síť a úložiště
- Osvědčené postupy pro připojení k síti
- Zahrnuje různé síťové modely, použití bran firewall pro příchozí a webové aplikace (WAF) a zabezpečení přístupu k uzlu pomocí protokolu SSH.
- Osvědčené postupy pro ukládání a zálohování
- Zahrnuje výběr vhodného typu úložiště a velikosti uzlu, dynamické zřizování svazků a zálohování dat.
Spuštění úloh připravených pro podniky
- Osvědčené postupy pro zajištění kontinuity podnikových procesů a zotavení po havárii
- Zahrnuje použití párů oblastí, více clusterů s Azure Traffic Manager a geografickou replikaci imagí kontejneru.
Osvědčené postupy pro vývojáře
Jako vlastníkem vývojářů nebo aplikací můžete zjednodušit vývojové prostředí a definovat požadavky na výkon aplikací.
- Osvědčené postupy pro vývojáře aplikací ke správě prostředků
- Zahrnuje definování požadavků a omezení prostředků pod, konfiguraci vývojářských nástrojů a kontrolu potíží s aplikacemi.
- Osvědčené postupy pro zabezpečení pod
- Zahrnuje zabezpečení přístupu k prostředkům, omezování vystavování přihlašovacích údajů a používání identit pod a digitálních trezorů klíčů.
Koncepty Kubernetes/AKS
Pro pochopení některých funkcí a součástí těchto osvědčených postupů můžete také zobrazit následující koncepční články pro clustery ve službě Azure Kubernetes (AKS):
- Základní koncepty Kubernetes
- Přístup a identita
- Koncepce zabezpečení
- Koncepty sítě
- Možnosti úložiště
- Možnosti škálování
Další kroky
Pokud potřebujete začít s AKS, postupujte podle jednoho z rychlých startů a nasaďte cluster Azure Kubernetes Service (AKS) pomocí rozhraní příkazového řádku Azure CLI nebo Azure Portal.