Procedimientos recomendados de operadores de clúster y desarrolladores para crear y administrar aplicaciones en Azure Kubernetes Service (AKS)
La creación y ejecución correctas de aplicaciones en Azure Kubernetes Service (AKS) requieren la comprensión y la implementación de algunas consideraciones clave, entre las que se incluyen:
- Características multiinquilino y programador
- Seguridad de clúster y pod
- Continuidad empresarial y recuperación ante desastres
El grupo de productos de AKS, los equipos de ingeniería y los equipos de campo (incluidos cinturones negros globales [GBB]) han escrito y agrupado los procedimientos recomendados siguientes y los artículos conceptuales, así como han contribuido a ellos. Su propósito es ayudar a los operadores y desarrolladores de clústeres a comprender las consideraciones anteriores e implementar las características adecuadas.
Procedimientos recomendados para operadores de clúster
Como operador de clúster, trabaje en conjunto con los propietarios y desarrolladores de aplicaciones para conocer sus necesidades. A continuación, puede usar los siguientes procedimientos recomendados para configurar los clústeres de AKS según sea necesario.
Servicios multiinquilino
- Procedimientos recomendados para el aislamiento de clústeres
- Incluye los componentes principales de los servicios multiinquilino y el aislamiento lógico con espacios de nombres.
- Procedimientos recomendados para las características básicas del programador
- Incluye el uso de las cuotas de recursos y los presupuestos de interrupciones de pod.
- Procedimientos recomendados para las características avanzadas del programador
- Incluye el uso de defectos y tolerancias, los selectores de nodo y afinidad, y la afinidad y falta de afinidad entre pods.
- Procedimientos recomendados para autenticación y autorización
- Incluye la integración en Azure Active Directory, el uso del control de acceso basado en rol de Kubernetes (RBAC de Kubernetes), el uso de Azure RBAC y el uso de identidades de pod.
Seguridad
- Procedimientos recomendados para actualizaciones y seguridad de clústeres
- Incluye la protección del acceso al servidor de API, limitar el acceso a los contenedores y la administración de las actualizaciones y los reinicios de nodos.
- Procedimientos recomendados para la administración y la protección de las imágenes de contenedor
- Incluye la protección de la imagen y los runtime y compilaciones automatizadas en actualizaciones de la imagen base.
- Procedimientos recomendados para la seguridad de pods
- Incluye la protección del acceso a los recursos, la limitación de la exposición de las credenciales y el uso de identidades de pods y almacenes de claves digitales.
Red y almacenamiento
- Procedimientos recomendados para la conectividad de red
- Incluye distintos modelos de red, el uso de firewalls de aplicaciones web (WAF) y de entrada, y la protección del acceso SSH a los nodos.
- Procedimientos recomendados para almacenamiento y copias de seguridad
- Incluye la elección del tipo de almacenamiento y el tamaño de nodo apropiados, el aprovisionamiento dinámico de volúmenes, y copias de seguridad de datos.
Ejecución de cargas de trabajo preparadas para la empresa
- Procedimientos recomendados para continuidad empresarial y recuperación ante desastres
- Incluye el uso de pares de regiones, varios clústeres con Azure Traffic Manager y la replicación geográfica de las imágenes de contenedor.
Procedimientos recomendados para desarrolladores
Como desarrollador o propietario de una aplicación, puede simplificar su experiencia de desarrollo y definir las necesidades de rendimiento de la aplicación.
- Procedimientos recomendados para desarrolladores de aplicaciones para administrar recursos
- Incluye la definición de las solicitudes y los límites de recursos de pod, la configuración de las herramientas de desarrollo y la comprobación de problemas de la aplicación.
- Procedimientos recomendados para la seguridad de pods
- Incluye la protección del acceso a los recursos, la limitación de la exposición de las credenciales y el uso de identidades de pods y almacenes de claves digitales.
Conceptos de Kubernetes/AKS
Para ayudar a comprender algunas de las características y componentes de estos procedimientos recomendados, también puede consultar los siguientes artículos conceptuales para clústeres en Azure Kubernetes Service (AKS):
- Conceptos básicos de Kubernetes
- Acceso e identidad
- Conceptos de seguridad
- Conceptos de red
- Opciones de almacenamiento
- Opciones de escalado
Pasos siguientes
Si necesita empezar a trabajar con AKS, siga uno de los tutoriales de inicio rápido para implementar un clúster de Azure Kubernetes Service (AKS) con la CLI de Azure o Azure Portal.