Řízení moderních řešení kontejnerůGovern modern container solutions

Rozhraní pro přijetí do cloudu poskytuje metodologii pro systematické a přírůstkové řízení vašeho cloudového portfolia.The Cloud Adoption Framework provides a methodology to systematically and incrementally improve governance of your cloud portfolio. V tomto článku se dozvíte, jak můžete nasadit přístup k zásadám správného řízení pro clustery Kubernetes nasazené do Azure nebo jiných veřejných nebo privátních cloudů.This article demonstrates how you can extend your governance approach to Kubernetes clusters deployed to Azure or other public or private clouds.

Základ počátečních zásad správného řízeníInitial governance foundation

Zásady správného řízení začínají počátečním základem zásad správného řízení, který se často označuje jako MVP pro řízení.Governance starts with an initial governance foundation often referred to as a governance MVP. Tato platforma nasazuje základní produkty Azure, které jsou potřeba pro poskytování zásad správného řízení napříč vaším cloudovým prostředím.This foundation deploys the basic Azure products required to deliver governance across your cloud environment.

Počáteční základ zásad správného řízení se zaměřuje na následující aspekty zásad správného řízení:The initial governance foundation focuses on the following aspects of governance:

  • Základní hybridní síť a připojení.Basic hybrid network and connectivity.
  • Řízení přístupu na základě role (RBAC) v Azure pro řízení přístupu a identit.Azure Role-based access control (RBAC) for identity and access control.
  • Vytváření názvů a označování standardů pro konzistentní identifikaci prostředků.Naming and tagging standards for consistent identification of resources.
  • Organizace prostředků pomocí skupin prostředků, předplatných a skupin pro správu.Organization of resources using resource groups, subscriptions, and management groups.
  • Azure Policy a plány Azure pro vymáhání zásad správného řízení.Azure Policy and Azure Blueprints to enforce governance policies.

Každá z těchto funkcí počátečního základu zásad správného řízení se dá použít k řízení moderních instancí řešení kontejnerů.Each of these features of the initial governance foundation can be used to govern modern container solutions instances. Nejdřív ale budete muset do počátečního základu přidat několik komponent, které Azure Policy použít pro vaše kontejnery.But first, you'll need to add a few components to the initial foundation to apply Azure Policy to your containers. Po nakonfigurování můžete pomocí Azure Policy a svého počátečního základu zásad správného řízení řídit následující typy kontejnerů:Once configured, you can use Azure Policy and your initial governance foundation to govern the following types of containers:

Rozbalit obory řízeníExpand on governance disciplines

Počáteční základ zásad správného řízení se dá použít k rozšíření různých disciplín zásad správného řízení, aby se zajistil jednotný a stabilní přístup k nasazení napříč všemi vašimi Kubernetes instancemi.The initial governance foundation can be used to expand on various disciplines of governance to ensure consistent, stable deployment approaches across all of your Kubernetes instances.

Zásady správného řízení clusterů Kubernetes můžete prohledat pomocí pěti různých perspektiv.Governance of Kubernetes clusters can be looked at with five distinct perspectives.

Zásady správného řízení prostředků AzureAzure resource governance

První je perspektiva prostředků Azure.The first is the Azure resource perspective. Ujistěte se, že všechny clustery vyhovují požadavkům vaší organizace.Ensuring that all clusters adhere to your organization's requirements. To zahrnuje koncepty, jako je topologie sítě, Privátní cluster, role Azure RBAC pro týmy SRE, nastavení diagnostiky, dostupnost oblasti, hlediska fondu uzlů, Azure Container Registry zásad správného řízení, Azure Load Balancer možnosti, AKS doplňky, nastavení diagnostiky atd.This includes concepts like network topology, private cluster, Azure RBAC roles for SRE teams, diagnostics settings, region availability, node pool considerations, Azure Container Registry governance, Azure Load Balancer options, AKS add-ons, diagnostics settings, and so on. Tento zásad správného řízení zajišťuje konzistenci v "vzhledu a chování" a "topologii" clusterů ve vašich organizacích.This governance ensures consistency in "look and feel" and "topology" of clusters in your organizations. Tato akce by se taky měla nasazovat, aby se nastavilo spouštění nasazení clusteru, například jaké agenty zabezpečení musí být nainstalované a jak se mají nakonfigurovat.This should also extend to post cluster deployment bootstrapping, such as what security agents must be installed and how they should be configured.

Clustery Snowflake se obtížně řídí jakoukoli centrální kapacitou.Snowflake clusters are hard to govern in any central capacity. Minimalizujte rozpory mezi clustery, aby se zásady mohly použít jednotně a neobvyklé clustery se nedoporučuje a zjistitelné.Minimize discrepancies between clusters so that policies can apply uniformly and anomalous clusters are discouraged and detectable. To může zahrnovat i technologie používané k nasazení clusterů, jako je ARM, bicep nebo Terraformu.This might also include technologies used to deploy the clusters, such as ARM, Bicep, or Terraform.

Azure Policy aplikovaná na úrovni skupiny pro správu nebo předplatného vám může poskytnout spoustu těchto informací, ale ne vše.Azure Policy applied at management group/subscription level can help deliver a lot of these considerations, but not all.

Zásady správného řízení úloh KubernetesKubernetes workload governance

Vzhledem k tomu, že Kubernetes je sama o sobě, druhým je řízení toho, co se v clusteru stane.Since Kubernetes is itself a platform, the second is the governance of what happens within a cluster. To by zahrnovalo například doprovodné materiály k oboru názvů, zásady sítě, Kubernetes RBAC, omezení a kvóty.This would include things like namespace guidance, network policies, Kubernetes RBAC, limits, and quotas. Toto je zásady správného řízení pro úlohy, které jsou méně pro cluster.This would be governance applied to the workloads, less to the cluster. Všechny úlohy budou jedinečné, protože všechny řeší různé obchodní problémy a budou se implementovat různými způsoby s různými technologiemi.Every workload is going to be unique, since they all solve different business problems and will be implemented in various ways with various technologies. Je možné, že jedna velikost nevyhovuje všem "postupům zásad správného řízení", ale měli byste zvážit zásady správného řízení týkající se vytváření/používání artefaktů OCI, požadavky na dodavatelských řetězců, využití registru veřejného kontejneru, procesu umístění snímku image, zásad správného řízení kanálu nasazení.There might not be many "one size fits all" governance practices, but you should consider governance around OCI artifact creation/consumption, supply chain requirements, public container registry usage, image quarantining process, deployment pipeline governance.

Zvažte také standardizaci běžných nástrojů a vzorů, pokud je to možné.Consider standardizing around common tooling and patterns as well, if practicable to do. Vydejte doporučení na technologie, jako je Helm, síť, řadiče pro příjem dat, GitOps operátory, trvalé svazky a tak dále.Put forth recommendations on technologies like Helm, service mesh, ingress controllers, GitOps operators, persistent volumes, and so on. V tomto článku by se taky mohlo jednat o použití pod správou identity pod spravovaným identitou a s využitím zdrojů z Key Vault.Included in here would also be governance around the usage of pod managed identity and sourcing secrets from Key Vault.

Dodržte silné očekávání kolem přístupu k telemetrie a zajistěte, aby vlastníci úloh měli odpovídající přístup k metrikám a datům, které potřebují ke zlepšení jejich produktu, a zároveň zajistí, aby operátoři clusteru měli přístup k systémové podpoře pro zlepšení nabídky služeb.Drive strong expectations around access to telemetry, to ensure workload owners have appropriate access to the metrics and data they need to improve their product, while also ensuring cluster operators have access to system telemetric to improve their service offering. Data často musí být vzájemně vzájemně vzájemně probíhat vzájemná vazba, aby se zajistil vhodný přístup v případě potřeby.Data often needs to be cross correlated between the two, ensure governance policies are in place to ensure appropriate access when necessary.

Azure Policy pro AKS, která se používá na úrovni clusteru, vám může přispět k dodávání některých z těchto, ale ne všech.Azure Policy for AKS applied at the cluster level can help deliver some of these, but not all.

Role operátora clusteru (DevOps, SRE)Cluster operator roles (DevOps, SRE)

Třetí ze zásad správného řízení pro role operátora clusteru.The third is governance around cluster operator roles. Jak týmy SRE pracovat s clustery?How to SRE teams interact with clusters? Jaký je vztah mezi týmem a týmem úloh.What's the relationship between that team and the workload team. Jsou to stejné?Are they the same? Operátoři clusterů by měli mít jasně definované PlayBook pro aktivity třídění clusteru, například jak přistupují ke clusterům, odkud mají přístup k clusterům a jaká oprávnění mají v clusterech a kdy jsou tato oprávnění přiřazena.Cluster operators should have a clearly defined playbook for cluster triage activities, such as how they access the clusters, from where they access the clusters, and what permissions they have on the clusters, and when are those permissions assigned. Zajistěte, aby v tomto kontextu byla v dokumentaci pro řízení, zásadách a školicích materiálech k disvedla jakákoli odlišnosti.Ensure any distinctions are made in governance documentation, policy, and training materials around workload operator vs. cluster operator in this context. V závislosti na vaší organizaci se může jednat o stejnou.Depending on your organization they may be the same.

Cluster na úlohu nebo mnoho úloh na clusterCluster per workload or many workloads per cluster

Čtvrtá je zásad správného řízení pro víceklientské architektury.The fourth is governance on multitenancy. To znamená, že clustery obsahují "podobné seskupování" aplikací vlastněných podle definice, a to vše stejným týmem úloh a představuje jednu sadu souvisejících komponent pro úlohy.That is to say should clusters contain a "like grouping" of applications owned, by definition, all by the same workload team and represent a single set of related workload components. Nebo by se měly clustery provádět podle návrhu s více různými úlohami a vlastníky úloh, a to v podstatě. běží a řídí se jako nabídka spravované služby v rámci organizace.Or should clusters be, by design, multitenant in nature with multiple disparate workloads and workload owners; running and governed like a managed service offering within the organization. Strategie zásad správného řízení je pro každý z nich obzvláště odlišná a jako taková by se měla řídit, jestli se vybraná strategie vynutila.The governance strategy is notably different for each, and as such you should govern that your chosen strategy is enforced. Pokud potřebujete podporovat oba modely, ujistěte se, že je váš plán zásad správného řízení jasně definovaný, pro které zásady platí, které typy clusterů se použijí.If you have to support both models, ensure your governance plan is clearly defined for which policies apply to which types of clusters.

Tato volba by měla být vytvořená během fáze strategie , protože má významný dopad na zaměstnance, rozpočtování a inovace.This choice should have been made during the Strategy phase because it has significant impact to staffing, budgeting, and innovation.

Udržení aktuálního úsilíStay current efforts

Pátý problém je okolo operací, jako je například aktuálnost obrázku uzlu (opravy) a správa verzí Kubernetes.The fifth is around operations, such as node image freshness (patching) and Kubernetes versioning. Kdo je zodpovědný za upgrady imagí uzlů, sledování použitých oprav, sledování a vkládání Kubernetes a AKS CVEs nápravných plánů?Who is responsible for node image upgrades, tracking applied patches, tracking and putting together Kubernetes and AKS CVEs remediation plans? Týmy úloh se musí zapojit do ověření, že jejich řešení funguje při upgradech clusteru, a pokud vaše clustery nejsou aktuální, přestanou podporovat Azure.Workload teams need to be involved in validating their solution works on cluster upgrades, and if your clusters are not current, they will fall out of Azure Support. V rámci AKS je pro většinu ostatních platforem v Azure důležité zásady správného řízení, které se budou zabývat aktuálním úsilím.Having a strong governance in place around "stay current" efforts is critical in AKS, more so most other platforms in Azure. To bude vyžadovat velmi těsnou pracovní relaci s aplikačními týmy a vyhrazeným časem, a to nejméně měsíčně, aby bylo možné zajistit, aby clustery zůstaly aktuální.This will necessitate a very close working relationship with application teams and dedicated time by them, at least monthly, for workload validation to ensure clusters stay current. Zajistěte, aby všechny týmy, které pobírají závislost na Kubernetes, pochopily požadavky a náklady na toto trvalé úsilí, které bude trvat, dokud budou na platformě.Ensure all teams taking a dependency on Kubernetes understands the requirements and cost of this ongoing effort, which will last as long as they are on the platform.

Standardní hodnoty zabezpečeníSecurity baseline

Do směrného plánu zabezpečení je možné přidat následující osvědčené postupy pro zabezpečení clusterů AKS:The following best practices can be added to your security baseline, to account for security of your AKS clusters:

IdentitaIdentity

Existuje spousta osvědčených postupů, které můžete použít na svůj směrný plán identity, abyste zajistili konzistentní správu identit a přístupu napříč clustery Kubernetes:There are many best practices you can apply to your identity baseline to ensure consistent identity and access management across your Kubernetes clusters:

Další krok: Správa moderních řešení kontejnerůNext step: Manage modern container solutions

Následující články vám pomůžou s pokyny v konkrétních bodech v cestě k přijetí cloudu, které vám pomůžou s úspěšným scénářem při přijímání do cloudu.The following articles will take you to guidance at specific points in the cloud adoption journey to help you be successful in the cloud adoption scenario.