Azure Kubernetes Service

Článek
08/25/2021
5 min ke čtení

Azure Kubernetes Service (AKS) zjednodušuje nasazení spravovaného clusteru Kubernetes v Azure tím, že přesouvání provozní režie do Azure. Azure se jako hostovaná služba Kubernetes stará o důležité úlohy, jako je monitorování stavu a údržba. Vzhledem k tomu, že hlavní servery Kubernetes spravuje Azure, spravujete a spravujete pouze uzly agentů. Proto je AKS zdarma. Platíte jenom za uzly agentů v rámci clusterů, ne za hlavní uzly.

Cluster AKS můžete vytvořit pomocí:

Azure CLI
Azure Portal
Azure PowerShell
Použití možností nasazení řízených šablonou, jako jsou Azure Resource Manager šablony a Terraform

Při nasazování clusteru AKS se hlavní uzel Kubernetes i všechny ostatní uzly nasadí a nakonfigurují za vás. Během procesu nasazování Azure Active Directory pokročilé funkce pro integraci, monitorování a další funkce služby Azure AD (Azure AD).

Další informace o základech Kubernetes najdete v tématu Základní koncepty Kubernetes pro AKS.

Poznámka

Tato služba podporuje Azure Lighthouse, která umožňuje poskytovatelům služeb přihlásit se ke svému vlastnímu tenantovi ke správě předplatných a skupin prostředků, které zákazníci delegovani.

AKS také podporuje Windows Server.

Přístup, zabezpečení a sledování

Pro lepší zabezpečení a správu vám AKS umožňuje integraci se službou Azure AD:

Použití řízení přístupu na základě role Kubernetes (Kubernetes RBAC)
Monitorujte stav clusteru a prostředků.

Správa identit a zabezpečení

Kubernetes RBAC

Pokud chcete omezit přístup k prostředkům clusteru, AKS podporuje Kubernetes RBAC. Kubernetes RBAC řídí přístup a oprávnění k prostředkům a oborům názvů Kubernetes.

Azure AD

Můžete nakonfigurovat cluster AKS pro integraci s Azure AD. Díky integraci Azure AD můžete nastavit přístup Ke Kubernetes na základě stávající identity a členství ve skupinách. Stávající uživatelé a skupiny Azure AD můžete získat s integrovaným přihlašovacím prostředím a přístupem k prostředkům AKS.

Další informace o identitě najdete v tématu Možnosti přístupu a identity pro AKS.

Informace, jak zabezpečit váš cluster AKS, najdete v tématu Integrace Azure Active Directory s AKS.

Integrované protokolování a monitorování

Azure Monitor for Container Health shromažďuje metriky výkonu paměti a procesoru z kontejnerů, uzlů a kontrolerů v rámci clusteru AKS a nasazených aplikací. Můžete zkontrolovat protokoly kontejneru i hlavní protokoly Kubernetes,které jsou:

Je uložený v pracovním prostoru Služby Azure Log Analytics.
K dispozici prostřednictvím Azure Portal, Azure CLI nebo koncového bodu REST.

Další informace najdete v tématu Monitorování stavu kontejneru služby Azure Kubernetes Service.

Clustery a uzly

Uzly AKS běží na virtuálních počítačích Azure. Pomocí uzlů AKS můžete připojit úložiště k uzlům a podům, upgradovat komponenty clusteru a používat gpu. AKS podporuje clustery Kubernetes s více fondy uzlů pro podporu smíšených operačních systémů a Windows Server.

Další informace o možnostech clusteru Kubernetes, uzlů a fondu uzlů najdete v tématu Základní koncepty Kubernetes pro AKS.

Uzel clusteru a škálování podů

Se změnou poptávky po zdrojích se počet uzlů nebo podů clusteru, na které běží vaše služby, automaticky škáluje nahoru nebo dolů. Horizontální automatické škálování podů i automatické škálování clusteru můžete upravit tak, aby se přizpůsobuje požadavkům a spouštěl pouze potřebné prostředky.

Další informace najdete v tématu Škálování clusteru Azure Kubernetes Service (AKS).

Upgrady uzlů clusteru

AKS nabízí několik verzí Kubernetes. Jakmile budou v AKS k dispozici nové verze, můžete cluster upgradovat pomocí rozhraní příkazového řádku Azure Portal Azure CLI. Během procesu upgradu jsou uzly pečlivě uzavřené a vyprázdněné, aby se minimalizovalo přerušení spuštěných aplikací.

Další informace o verzích životního cyklu, naleznete v tématu Podporované verze Kubernetes v AKS. Další postup, jak upgradovat, najdete v tématu Upgrade clusteru Azure Kubernetes Service (AKS).

Uzly s podporou GPU

AKS podporuje vytváření fondů uzlů s podporou GPU. Azure v současné době poskytuje jeden nebo více virtuálních počítače s podporou GPU. Virtuální počítače s podporou GPU jsou navržené pro úlohy náročné na výpočetní prostředky, úlohy náročné na grafiku a úlohy vizualizace.

Další informace najdete v tématu Použití grafických procesorů v AKS.

Důvěrné výpočetní uzly (Public Preview)

AKS podporuje vytváření důvěrných výpočetních fondů uzlů (DCSv2) založených na Intel SGX. Důvěrné výpočetní uzly umožňují kontejnerům běžet v hardwarovém důvěryhodném prostředí pro spouštění (enklávách). Izolace mezi kontejnery v kombinaci s integritou kódu prostřednictvím ověření může pomoct s vaší strategií zabezpečení kontejnerů s hloubkovou obranou. Důvěrné výpočetní uzly podporují důvěrné kontejnery (existující aplikace Dockeru) i kontejnery s podporou enkláv.

Další informace najdete v tématu Uzly důvěrného výpočetního prostředí v AKS.

Podpora svazků úložiště

Pro podporu úloh aplikací můžete připojit svazky statického nebo dynamického úložiště pro trvalá data. V závislosti na počtu připojených podů, které by měly sdílet svazky úložiště, můžete použít úložiště zálohované pomocí:

Disky Azure pro přístup k jednomu podu, nebo
Azure Files více souběžných přístupů k podu.

Další informace najdete v tématu Storage pro aplikace v AKS.

Začínáme s dynamickými trvalými svazky pomocí disků Azure nebo Azure Files.

Virtuální sítě a příchozí přenos dat

Cluster AKS je možné nasadit do stávající virtuální sítě. V této konfiguraci je každému podu v clusteru přiřazena IP adresa ve virtuální síti a může přímo komunikovat s:

Další pody v clusteru
Ostatní uzly ve virtuální síti.

Pody se také mohou připojovat k jiným službám v partnerské virtuální síti a k místním sítím přes ExpressRoute nebo připojení VPN typu site-to-site (S2S).

Další informace najdete v tématu Koncepty sítě pro aplikace v AKS.

Příchozí přenos dat se směrováním aplikace HTTP

Doplněk pro směrování aplikací HTTP pomáhá snadno přistupovat k aplikacím nasazených do clusteru AKS. Když je povolené, řešení směrování aplikace HTTP nakonfiguruje v clusteru AKS kontroler příchozího přenosu dat.

Při nasazování aplikací se automaticky nakonfigurují veřejně přístupné názvy DNS. Směrování aplikace HTTP nastaví zónu DNS a integruje ji s clusterem AKS. Pak můžete nasadit prostředky příchozího přenosu dat Kubernetes jako za běžných okolností.

Jak začít s přenosem příchozích dat, najdete v článku Směrování aplikace HTTP.

Integrace nástrojů pro vývoj

Kubernetes má bohatý ekosystém nástrojů pro vývoj a správu, které bezproblémově fungují s AKS. Mezi tyto nástroje patří Helm a rozšíření Kubernetes pro Visual Studio Code.

Azure poskytuje několik nástrojů, které pomáhají zjednodušit Kubernetes, například DevOps Starter.

DevOps Starter

DevOps Úvodní sada poskytuje jednoduché řešení pro uvedení stávajícího kódu a úložišť Git do Azure. DevOps Automaticky úvodní sada:

Vytvoří prostředky Azure (například AKS).
Nakonfiguruje kanál verze v Azure DevOps Services, který obsahuje kanál buildu pro CI.
Nastaví kanál verze pro CD. A
Vygeneruje prostředek azure application Přehledy pro monitorování.

Další informace najdete v tématu DevOps Starter.

Podpora image dockeru a privátní registr kontejnerů

AKS podporuje formátu image dockeru. Pro soukromé úložiště vašich imagí dockeru můžete AKS provést integraci se službou Azure Container Registry (ACR).

Informace o vytvoření privátního úložiště i image najdete v Azure Container Registry.

Certifikace Kubernetes

AKS má certifikaciKENF jako vyhovující Kubernetes.

Dodržování legislativní předpisů

AKS je kompatibilní se standardy SOC, ISO, PCI DSS a HIPAA. Další informace najdete v tématu Přehled Microsoft Azure předpisů.

Další kroky

Další informace o nasazení a správě AKS najdete v rychlém startu k Azure CLI.

Nasazení clusteru AKS pomocí Azure CLI