Metodtips för klusterisolering i Azure Kubernetes Service (AKS)

När du hanterar kluster i Azure Kubernetes Service (AKS) måste du ofta isolera team och arbetsbelastningar. AKS ger flexibilitet i hur du kör kluster med flera klientorganisationer och isolerar resurser. För att maximera din investering i Kubernetes är det viktigt att du förstår aks funktioner för flera innehavare och isolering.

Den här artikeln om metodtips fokuserar på isolering för klusteroperatorer. I den här artikeln kan du se hur du:

• Planera för kluster med flera klientorganisationer och separation av resurser.
• Använd logisk eller fysisk isolering i dina AKS-kluster.

Utforma kluster för flera innehavare

Med Kubernetes kan du logiskt isolera team och arbetsbelastningar i samma kluster. Målet är att ange minsta möjliga behörighet för de resurser som varje team behöver. Ett Kubernetes-namnområde skapar en logisk isoleringsgräns. Andra Kubernetes-funktioner och överväganden för isolering och flera innehavare omfattar följande områden:

• Metodtips för klusterisolering i Azure Kubernetes Service (AKS)
  • Utforma kluster för flera innehavare
    • Schemaläggning
    • Nätverk
    • Autentisering och auktorisering
    • Fraktbehållare
  • Logiskt isolerade kluster
  • Fysiskt isolerade kluster
  • Nästa steg

Schemaläggning

Schemaläggning använder grundläggande funktioner som resurskvoter och poddstörningar. Mer information om dessa funktioner finns i Metodtips för grundläggande scheduler-funktioner i AKS.

Mer avancerade scheduler-funktioner är:

• Taints och toleranser.
• Nodväljare.
• Nod- och poddtillhörighet eller antitillhörighet.

Mer information om dessa funktioner finns i Metodtips för avancerade scheduler-funktioner i AKS.

Nätverk

Nätverk använder nätverksprinciper för att styra flödet av trafik in och ut ur poddar.

Mer information finns i Skydda trafik mellan poddar med hjälp av nätverksprinciper i AKS.

Autentisering och auktorisering

Autentisering och auktorisering använder:

• Rollbaserad åtkomstkontroll (RBAC).
• Microsoft Entra-integrering.
• Poddidentiteter.
• Hemligheter i Azure Key Vault.

Mer information om dessa funktioner finns i Metodtips för autentisering och auktorisering i AKS.

Containers

Containrar omfattar:

• Azure Policy-tillägget för AKS för att framtvinga poddsäkerhet.
• Poddsäkerhetsantagning.
• Genomsöker bilder och körning efter sårbarheter.
• Använda App Armor eller Seccomp (Säker databehandling) för att begränsa containeråtkomsten till den underliggande noden.

Logiskt isolerade kluster

Vägledning för bästa praxis

Avgränsa team och projekt med logisk isolering. Minimera antalet fysiska AKS-kluster som du distribuerar för att isolera team eller program.

Med logisk isolering kan du använda ett enda AKS-kluster för flera arbetsbelastningar, team eller miljöer. Kubernetes-namnområden utgör den logiska isoleringsgränsen för arbetsbelastningar och resurser.

Logisk separation av kluster ger vanligtvis en högre podddensitet än fysiskt isolerade kluster, med mindre överskott av beräkningskapacitet som ligger inaktiv i klustret. I kombination med Autoskalning av Kubernetes-kluster kan du skala upp eller ned antalet noder för att uppfylla kraven. Den här metodtipsen minimerar kostnaderna genom att bara köra det antal noder som krävs.

Kubernetes-miljöer är inte helt säkra för fientlig användning av flera klientorganisationer. I en miljö med flera klientorganisationer arbetar flera klienter med en delad infrastruktur. Om alla klienter inte kan vara betrodda behöver du extra planering för att förhindra att klientorganisationer påverkar andras säkerhet och tjänst.

Andra säkerhetsfunktioner, till exempel Kubernetes RBAC för noder, blockerar effektivt kryphål. För verklig säkerhet när du kör fientliga arbetsbelastningar för flera klientorganisationer bör du bara lita på ett hypervisor-program. Säkerhetsdomänen för Kubernetes blir hela klustret och inte en enskild nod.

För dessa typer av fientliga arbetsbelastningar med flera klientorganisationer bör du använda fysiskt isolerade kluster.

Fysiskt isolerade kluster

Vägledning för bästa praxis

Minimera användningen av fysisk isolering för varje separat team- eller programdistribution och använd logisk isolering i stället.

Fysiskt avgränsande AKS-kluster är en vanlig metod för klusterisolering. I den här isoleringsmodellen tilldelas team eller arbetsbelastningar ett eget AKS-kluster. Fysisk isolering kan se ut som det enklaste sättet att isolera arbetsbelastningar eller team, men den lägger till hantering och ekonomiska omkostnader. Med fysiskt isolerade kluster måste du underhålla flera kluster och individuellt ge åtkomst och tilldela behörigheter. Du debiteras också för varje enskild nod.

Fysiskt isolerade kluster har vanligtvis låg podddensitet. Eftersom varje team eller arbetsbelastning har ett eget AKS-kluster överetablerades klustret ofta med beräkningsresurser. Ofta schemaläggs några poddar på dessa noder. Nodkapacitet som inte har anspråk kan inte användas för program eller tjänster under utveckling av andra team. Dessa överskottsresurser bidrar till de extra kostnaderna i fysiskt isolerade kluster.

Nästa steg

Den här artikeln fokuserar på klusterisolering. Mer information om klusteråtgärder i AKS finns i följande artiklar om bästa praxis:

• Grundläggande Funktioner för Kubernetes Scheduler
• Avancerade Funktioner för Kubernetes Scheduler
• Autentisering och auktorisering