Serviço de Kubernetes do Azure

O AKS (Serviço de Kubernetes do Azure) simplifica a implantação de um cluster do Kubernetes gerenciado no Azure, transferindo a sobrecarga operacional para o Azure. Como um serviço Kubernetes hospedado, o Azure lida com as tarefas críticas, como o monitoramento da integridade e a manutenção. Como os mestres do Kubernetes são gerenciados pelo Azure, você só gerencia e mantém os nós de agente. Além disso, o AKS é gratuito; você paga apenas pelos nós de agente dentro dos clusters, não pelos mestres.

Você pode criar um cluster do AKS usando:

Ao implantar um cluster do AKS, o mestre do Kubernetes e todos os nós serão implantados e configurados para você. A rede avançada, o monitoramento, a integração do Azure AD (Azure Active Directory) e outros recursos podem ser configurados durante o processo de implantação.

Para obter mais informações sobre os conceitos básicos do Kubernetes, confira Conceitos básicos do Kubernetes para o AKS.

Observação

Esse serviço dá suporte ao Azure Lighthouse, que permite que os provedores de serviços entrem no próprio locatário para gerenciar assinaturas e grupos de recursos delegados pelos clientes.

O AKS também dá suporte a contêineres do Windows Server.

Acesso, segurança e monitoramento

Para segurança e gerenciamento aprimorados, o AKS permite fazer a integração ao Azure AD para:

  • Usar o RBAC (controle de acesso baseado em função) do Kubernetes.
  • Monitorar a integridade do cluster e dos recursos.

Gerenciamento de segurança e identidade

RBAC do Kubernetes

Para limitar o acesso aos recursos de cluster, o AKS dá suporte ao RBAC do Kubernetes. O RBAC do Kubernetes controla o acesso e as permissões para recursos e namespaces do Kubernetes.

Azure AD

Você pode configurar um cluster do AKS para se integrar ao Azure AD. Com a integração do Azure AD, o acesso do Kubernetes pode ser configurado com base em identidade e associação de grupo existentes. Seus usuários e grupos existentes do Azure AD podem receber uma experiência de logon integrada e acesso a recursos do AKS.

Para obter mais informações sobre identidade, confira Opções de acesso e identidade do AKS.

Para proteger seus clusters do AKS, confira Integrar o Azure Active Directory ao AKS.

Monitoramento e registro em log integrados

O Azure Monitor para a Integridade do Contêiner coleta métricas de desempenho de processador e memória de contêineres, nós e controladores no cluster do AKS e nos aplicativos implantados. Você pode examinar os logs de contêiner e os logs mestre do Kubernetes, que ficam:

  • Armazenados um workspace do Azure Log Analytics.
  • Disponíveis por meio do portal do Azure, da CLI do Azure ou de um ponto de extremidade REST.

Para obter mais informações, confira Monitorar a integridade de contêiner do Serviço de Kubernetes do Azure.

Clusters e nós

Os nós do AKS são executados em VMs (máquinas virtuais) do Azure. Com os nós do AKS, você pode conectar o armazenamento a nós e pods, atualizar componentes do cluster e usar GPUs. O AKS dá suporte a clusters de Kubernetes que executam vários pools de nós para dar suporte a sistemas operacionais mistos e contêineres do Windows Server.

Para obter mais informações sobre as funcionalidades de nó, pool de nós e cluster do Kubernetes, confira Conceitos principais do Kubernetes para o AKS.

Nó de cluster e dimensionamento de pod

Conforme a demanda por recursos vai mudando, o número de nós de cluster ou pods que executam os serviços aumenta ou diminui automaticamente. Você pode ajustar tanto o dimensionamento horizontal automático do pod quanto o dimensionamento automático do cluster para se adequar às demandas e executar somente os recursos necessários.

Para obter mais informações, confira Dimensionar um cluster do AKS (Serviço de Kubernetes do Azure).

Atualizações de nó de cluster

O AKS oferece várias versões do Kubernetes. Conforme novas versões ficam disponíveis no AKS, o cluster pode ser atualizado pelo portal do Azure ou pela CLI do Azure. Durante o processo de atualização, os nós são cuidadosamente isolados e esvaziados para minimizar as interrupções nos aplicativos em execução.

Para saber mais sobre as versões do ciclo de vida, confira Versões do Kubernetes compatíveis com o AKS. Para obter etapas sobre como atualizar, confira Atualizar um cluster do AKS (Serviço de Kubernetes do Azure).

Nós habilitados para GPU

O AKS dá suporte à criação de pools de nó habilitados para GPU. No momento, o Azure fornece uma ou várias VMs habilitadas para GPU. As VMs habilitadas para GPU são projetadas para cargas de trabalho de visualização e com muita computação e muitos gráficos.

Para obter mais informações, confira Como usar GPUs no AKS.

Nós de computação confidencial (versão prévia pública)

O AKS dá suporte à criação de pools de nós de computação confidencial baseados no Intel SGX (VMs DCSv2). Os nós de computação confidencial permitem que os contêineres sejam executados em um Ambiente de Execução Confiável baseado em hardware (enclaves). O isolamento entre contêineres, combinados com a integridade de código por meio de atestado, pode ajudar com sua estratégia de segurança de contêiner de defesa em profundidade. Os nós de computação confidencial dão suporte a contêineres confidenciais (aplicativos existentes do Docker) e contêineres com reconhecimento de enclave.

Para obter mais informações, confira Nós de computação confidencial no AKS.

Suporte a volumes de armazenamento

Para dar suporte a cargas de trabalho do aplicativo, você pode montar volumes de armazenamento estáticos ou dinâmicos para dados persistentes. Dependendo de quantos pods conectados você espera que compartilhem o armazenamento, é possível usar o armazenamento com uma das seguintes opções:

  • Discos do Azure para acesso de pod único;
  • Arquivos do Azure para acesso de vários pods simultâneos.

Para obter mais informações, confira Opções de armazenamento para aplicativos no AKS.

Comece com volumes dinâmicos e persistentes usando Discos do Azure ou Arquivos do Azure.

Entrada e redes virtuais

Um cluster do AKS pode ser implantado em uma rede virtual existente. Nessa configuração, cada pod no cluster é atribuído um endereço IP na rede virtual e pode se comunicar diretamente com:

  • outros pods no cluster;
  • outros nós na rede virtual.

Os pods também podem se conectar a outros serviços em uma rede virtual emparelhada e a redes locais com conexões ExpressRoute ou VPN S2S (site a site).

Para obter mais informações, confira Conceitos de rede para aplicativos no AKS.

Entrada com roteamento de aplicativo HTTP

O complemento de roteamento de aplicativo HTTP ajuda você a acessar com facilidade aplicativos implantados no cluster do AKS. Quando habilitada, a solução de roteamento do aplicativo HTTP configura um controlador de entrada em seu cluster do AKS.

Quando os aplicativos são implantados, os nomes DNS publicamente acessíveis são configurados automaticamente. O roteamento de aplicativo HTTP configura uma zona DNS e a integra ao cluster do AKS. Em seguida, você pode implantar os recursos de entrada do Kubernetes como de costume.

Para começar a usar o tráfego de entrada, confira Roteamento de aplicativo HTTP.

Integração de ferramentas de desenvolvimento

O Kubernetes tem um ecossistema rico de ferramentas de desenvolvimento e gerenciamento que funcionam perfeitamente com o AKS. Essas ferramentas incluem o Helm e a extensão do Kubernetes para Visual Studio Code.

O Azure fornece várias ferramentas que ajudam a simplificar o Kubernetes, como o DevOps Starter.

DevOps Starter

O DevOps Starter fornece uma solução simples para trazer o código existente e o repositório Git para o Azure. O DevOps Starter realiza as seguintes tarefas automaticamente:

  • cria recursos do Azure (como o AKS);
  • configura um pipeline de lançamento no Azure DevOps Services que inclui um pipeline de build de integração contínua;
  • configura um pipeline de lançamento de CD e
  • gera um recurso do Azure Application Insights para monitoramento.

Para obter mais informações, confira DevOps Starter.

Suporte de imagem do Docker e registro de contêiner privado

O AKS dá suporte ao formato de imagem do Docker. Para ter armazenamento particular de suas imagens do Docker, integre o AKS ao ACR (Registro de Contêiner do Azure).

Para criar um repositório de imagens privado, confira Registro de Contêiner do Azure.

Certificação Kubernetes

O AKS foi certificado pela CNCF como em conformidade com o Kubernetes.

Conformidade normativa

O AKS está em conformidade com SOC, ISO, PCI DSS e HIPAA. Para obter mais informações, confira Visão geral da conformidade do Microsoft Azure.

Próximas etapas

Saiba mais sobre como implantar e gerenciar o AKS com o Início Rápido da CLI do Azure.