Ajánlott eljárások a fürtelszigeteléshez Azure Kubernetes Service (AKS)

A fürtök AKS Azure Kubernetes Service kezelése során gyakran el kell különítenie a csapatokat és a számítási feladatokat. Az AKS rugalmasságot biztosít a több-bérlős fürtök futtatásához és az erőforrások elkülönítéséhez. A Kubernetesbe való befektetés maximalizálása érdekében először is értse meg és implementálja az AKS több-bérlős és elkülönítési funkcióit.

Ez az ajánlott eljárásokról cikk a fürtüzemeltetők elkülönítését összpontosítja. Ebben a cikkben az alábbiakkal ismerkedhet meg:

  • Több-bérlős fürtök és az erőforrások elkülönítésének megterve
  • Logikai vagy fizikai elkülönítés használata az AKS-fürtökben

Fürtök tervezése több-bérlős kialakításhoz

A Kubernetes lehetővé teszi az egy fürtön belül található csapatok és számítási feladatok logikai elkülönítését. A cél az, hogy a legkevesebb jogosultságot biztosítsuk, és az egyes csapat számára szükséges erőforrásokra terjed ki. A Kubernetes-névtér logikai elkülönítési határt hoz létre. Az elkülönítéssel és a több-bérlős módokkal kapcsolatos további Kubernetes-funkciók, valamint megfontolandó szempontok a következők:

Ütemezés

Az ütemezés olyan alapvető funkciókat használ, mint az erőforráskvóták és a podkimaradások költségvetése. További információ ezekről a funkciókról: Ajánlott eljárások az AKS alapszintű ütemezői funkcióihoz.

A Scheduler speciális funkciói többek között a következők:

  • Fertőzöttek és toleranák
  • Csomópontválasztók
  • Csomópont- és podaffinitással vagy antiaffinitással.

További információ ezekről a funkciókról: Az AKS speciális ütemezőifunkcióinak ajánlott eljárásai.

Hálózatkezelés

A hálózat hálózati szabályzatokkal vezéreli a podok be- és kifelé áramló forgalmát.

Hitelesítés és engedélyezés

A hitelesítés és az engedélyezés a következő felhasználási módokon használható:

  • Szerepköralapú hozzáférés-vezérlés (RBAC)
  • Azure Active Directory (AD) integrációja
  • Pod-identitások
  • Titkos kulcsok a Azure Key Vault

További információ ezekről a funkciókról: Ajánlott hitelesítési és engedélyezési eljárások az AKS-hez.

Tárolók

A tárolók a következők:

  • Az Azure Policy bővítmény az AKS-hez a podok biztonságának kikényszerítenie.
  • Podbiztonsági környezetek használata.
  • A rendszerképek és a futtatás biztonsági réseit is átvizsgálja.
  • Az App Armor vagy a Seccomp (Secure Computing) használata a tárolók mögöttes csomóponthoz való hozzáférésének korlátozására.

Fürtök logikai elkülönítése

Útmutatás az ajánlott eljárásokhoz

Válassza szét a csapatokat és a projekteket logikai elkülönítés használatával. Minimalizálja a csapatok vagy alkalmazások elkülönítéséhez üzembe helyezett fizikai AKS-fürtök számát.

Logikai elkülönítés esetén egyetlen AKS-fürt több számítási feladathoz, csapathoz vagy környezethez is használható. A Kubernetes-névterek alkotják a számítási feladatok és erőforrások logikai elkülönítési határát.

Logical isolation of a Kubernetes cluster in AKS

A fürtök logikai elkülönítése általában nagyobb podsűrűséget biztosít, mint a fizikailag elkülönített fürtök, és kevesebb felesleges számítási kapacitás van tétlenek a fürtben. A Kubernetes-fürt automatikus skálázóval kombinálva az igényeknek megfelelően fel- vagy leskálolhatja a csomópontok számát. Az automatikus skálázás ezen ajánlott eljárása minimálisra csökkenti a költségeket azáltal, hogy csak a szükséges csomópontok számát futtatja.

A Kubernetes-környezetek jelenleg nem teljes mértékben biztonságosak a rosszindulatú több-bérlős használathoz. Több-bérlős környezetben több bérlő dolgozik egy közös, megosztott infrastruktúrán. Ha az összes bérlő nem megbízható, további tervezésre van szükség, hogy a bérlők ne befolyásolják mások biztonságát és szolgáltatását.

További biztonsági funkciók, például a Kubernetes RBAC a csomópontokhoz, hatékonyan blokkolják a biztonsági réseket. A valódi biztonság érdekében a rosszindulatú több-bérlős számítási feladatok futtatásakor csak hipervizorban szabad megbízni. A Kubernetes biztonsági tartománya lesz a teljes fürt, nem pedig egy különálló csomópont.

Az ilyen típusú rosszindulatú több-bérlős számítási feladatokhoz fizikailag elkülönített fürtök használata a cél.

Fürtök fizikai elkülönítése

Útmutatás az ajánlott eljárásokhoz

Minimalizálja a fizikai elkülönítés használatát az egyes különálló csapat- vagy alkalmazástelepítések esetén. Ehelyett használjon logikai elkülönítést az előző szakaszban tárgyaltak szerint.

Az AKS-fürtök fizikai elkülönítése a fürtök elkülönítésének gyakori megközelítése. Ebben az elkülönítési modellben a csapatok vagy számítási feladatok saját AKS-fürthöz vannak rendelve. Bár a fizikai elkülönítés a számítási feladatok vagy csapatok elkülönítésének legegyszerűbb módja lehet, felügyeleti és pénzügyi többletterhelést okoz. Most fenn kell tartania ezt a több fürtöt, és külön kell biztosítania a hozzáférést és az engedélyek hozzárendelését. Az egyes csomópontok után is ki lesz számlázva.

Physical isolation of individual Kubernetes clusters in AKS

A fizikailag különálló fürtök általában alacsony podsűrűségűek. Mivel minden csapatnak vagy számítási feladatnak saját AKS-fürtje van, a fürt gyakran túlterhelt a számítási erőforrásokkal. Gyakran előfordul, hogy kis számú pod van ütemezve ezen a csomóponton. A nem felszabadított csomópontkapacitás nem használható más csapatok által fejlesztés alatt álló alkalmazásokhoz vagy szolgáltatásokhoz. Ezek a többleterőforrások hozzájárulnak a fizikailag különálló fürtök további költségeihez.

Következő lépések

Ez a cikk a fürtelszigetelésről volt szó. Az AKS-fürtműveletekkel kapcsolatos további információkért tekintse meg az alábbi ajánlott eljárásokat: