Azure Well-Architected Framework incelemesi - Azure Kubernetes Service (AKS)
Bu makalede, Azure Kubernetes Service (AKS) için mimari en iyi yöntemler sağlanır. Kılavuz, mimari mükemmeliyetinin beş yapı taşını temel alır:
- Güvenilirlik
- Güvenlik
- Maliyet iyileştirmesi
- Operasyonel Mükemmellik
- Performans verimliliği
Sistem tasarımı ilkelerini anladığınızı, Azure Kubernetes Service hakkında bilgi sahibi olduğunuzu ve özellikleri konusunda bilgi sahibi olduğunuzu varsayıyoruz. Daha fazla bilgi için bkz. Azure Kubernetes Service.
Önkoşullar
Well-Architected Framework yapı taşlarını anlamak, yüksek kaliteli, kararlı ve verimli bir bulut mimarisi oluşturmaya yardımcı olabilir. Azure Well-Architected Framework Gözden Geçirme değerlendirmesini kullanarak iş yükünüzü gözden geçirmenizi öneririz.
Bağlam açısından, tasarımında bu konuları yansıtan bir başvuru mimarisini gözden geçirmeyi göz önünde bulundurun. Azure Kubernetes Service (AKS) kümesi için temel mimari ve Azure Kubernetes Service mikro hizmetler mimarisiyle başlamanızı öneririz. Ayrıca, ölçeklenebilir bir Azure Kubernetes Service (AKS) kümesi için giriş bölgesi aboneliklerini hazırlamak için mimari bir yaklaşım ve başvuru uygulaması sağlayan AKS giriş bölgesi hızlandırıcısını gözden geçirin.
Güvenilirlik
Bulutta hataların gerçekleştiğini kabul ediyoruz. Hedef, hataları tamamen önlemeye çalışmak yerine hata veren bir bileşenin etkilerini en aza indirmektir. Başarısız örnekleri en aza indirmek için aşağıdaki bilgileri kullanın.
güvenilirliği Azure Kubernetes Service tartışırken, küme güvenilirliği ile iş yükü güvenilirliği arasında ayrım yapmak önemlidir. Küme güvenilirliği, küme yöneticisi ve kaynak sağlayıcısı arasında paylaşılan bir sorumlulukken, iş yükü güvenilirliği bir geliştiricinin etki alanıdır. Azure Kubernetes Service bu rollerin her ikisi için de önemli noktalar ve öneriler vardır.
Aşağıdaki tasarım denetim listesinde ve öneriler listesinde, her seçimin küme mimarisi, iş yükü mimarisi veya her ikisi için geçerli olup olmadığını belirtmek için çağrılar yapılır.
Tasarım denetim listesi
- Küme mimarisi: Kritik iş yükleri için AKS kümeleriniz için kullanılabilirlik alanlarını kullanın.
- Küme mimarisi: Çok kümeli topolojilerde yük devretme trafiğinin işlenmesi de dahil olmak üzere kümenizin güvenilir bir şekilde ölçeklenebilmesini sağlamak için IP adresi alanını planlayın.
- Küme mimarisi:Kümenizi izlemek için Kapsayıcı içgörülerini etkinleştirin ve güvenilirliği etkileyen olaylara yönelik uyarıları yapılandırın.
- İş yükü mimarisi: İş yüklerinin yatay ölçeklendirmeyi destekleyecek şekilde oluşturulduğunu ve uygulama hazırlığını ve sistem durumunu bildirdiğinden emin olun.
- Küme ve iş yükü mimarileri: İş yükünüzün kullanıcı düğümü havuzlarında çalıştığından emin olun ve doğru boyutta SKU'yu seçin. En azından kullanıcı düğümü havuzları için iki düğüm ve sistem düğümü havuzu için üç düğüm ekleyin.
- Küme mimarisi: Üretim iş yüklerinin kullanılabilirlik hedeflerini karşılamak için AKS Çalışma Süresi SLA'sını kullanın.
AKS yapılandırma önerileri
AKS yapılandırmanızı Güvenilirlik için en iyi duruma getirmek için aşağıdaki öneriler tablosunu inceleyin.
| Öneri | Avantaj |
|---|---|
| Küme ve iş yükü mimarileri: Düğüm seçicileri ve benzini kullanarak pod zamanlamasını denetleyin. | Kubernetes zamanlayıcısının düğümdeki donanıma göre iş yüklerini mantıksal olarak yalıtmasına olanak tanır. Toleranslardan farklı olarak, eşleşen düğüm seçicisi olmayan podlar etiketli düğümlerde zamanlanabilir; bu da düğümlerdeki kullanılmayan kaynakların kullanmasına izin verir, ancak eşleşen düğüm seçiciyi tanımlayan podlara öncelik verir. Daha fazla esneklik için düğüm benzitesini kullanın. Bu sayede pod bir düğümle eşleştirilemiyorsa ne olacağını tanımlayabilirsiniz. |
| Küme mimarisi: Ağ gereksinimlerine ve küme boyutlandırmaya göre ağ eklentisinin düzgün bir şekilde seçilmesini sağlayın. | Azure CNI, Windows tabanlı düğüm havuzları, belirli ağ gereksinimleri ve Kubernetes Ağ İlkeleri gibi belirli senaryolar için gereklidir. Daha fazla bilgi için Kubenet ile Azure CNI karşılaştırması yapın. |
| Küme ve iş yükü mimarileri: Üretim sınıfı kümeleri için AKS Çalışma Süresi SLA'sını kullanın. | AKS Çalışma Süresi SLA'sı aşağıdakileri garanti eder: - 99.95%Azure Kullanılabilirlik Alanları kullanan AKS Kümeleri için Kubernetes API sunucu uç noktasının kullanılabilirliği veya- 99.9%Azure Kullanılabilirlik Alanları kullanmayan AKS Kümeleri için kullanılabilirlik. |
| Küme ve iş yükü mimarileri:Kapsayıcı içgörüleri ile küme izlemeyi yapılandırın. | Kapsayıcı içgörüleri, Ölçümler API'sini kullanarak Kubernetes'te kullanılabilen denetleyicilerin, düğümlerin ve kapsayıcıların sistem durumunu ve performansını izlemeye yardımcı olur. Prometheus ile tümleştirme, uygulama ve iş yükü ölçümlerinin toplanmasını sağlar. |
| Küme mimarisi: AKS aracı düğümlerini fiziksel olarak ayrı veri merkezlerine dağıtarak azure bölgesinde dayanıklılığı en üst düzeye çıkarmak için kullanılabilirlik alanlarını kullanın. | Düğüm havuzları birden çok bölgeye yayılarak, bir düğüm havuzundaki düğümler, başka bir bölge kapatılmış olsa bile çalışmaya devam eder. Kolokalite gereksinimleri varsa, düğümler arası gecikme süresini en aza indirmek için tek bir bölgeye normal VMSS tabanlı AKS dağıtımı veya yakınlık yerleştirme grupları kullanılabilir. |
| Küme mimarisi: Kullanılabilirliği en üst düzeye çıkarmak ve iş sürekliliği sağlamak için farklı Azure bölgelerine dağıtılan AKS kümelerini dağıtarak çok bölgeli bir strateji benimseyin. | İnternet'e yönelik iş yükleri, trafiği AKS kümeleri arasında küresel olarak yönlendirmek için Azure Front Door veya Azure Traffic Manager'dan yararlanmalıdır. |
| Küme ve iş yükü mimarileri: Uygulama dağıtım bildirimlerinde Pod kaynak isteklerini ve sınırlarını tanımlayın ve Azure İlkesi ile uygulayın. | Kubernetes kümenizde kaynak tükenmesini önlemek için kapsayıcı CPU ve bellek kaynak sınırları gereklidir. |
| Küme ve iş yükü mimarileri: Sistem düğümü havuzunu uygulama iş yüklerinden yalıtılmış olarak tutun. | Sistem düğümü havuzları en az 2 vCPU ve 4 GB bellek içeren bir VM SKU gerektirir, ancak 4 vCPU veya daha fazlası önerilir. Ayrıntılı gereksinimler için Başvuru Sistemi ve kullanıcı düğümü havuzları . |
| Küme ve iş yükü mimarileri: Uygulamaları belirli gereksinimlere göre ayrılmış düğüm havuzlarına ayırın. | Uygulamalar aynı yapılandırmayı paylaşabilir ve GPU özellikli VM'ler, CPU veya bellek için iyileştirilmiş VM'ler ya da sıfıra ölçeklendirme özelliğine ihtiyaç duyar. Ek yönetim yükünü azaltmak için çok sayıda düğüm havuzu kullanmaktan kaçının. |
| Küme mimarisi: Birçok eşzamanlı giden bağlantı oluşturan iş yüklerini çalıştıran kümeler için NAT ağ geçidi kullanın. | Yüksek eşzamanlı giden trafikle ilgili Azure Load Balancer sınırlamalarıyla ilgili güvenilirlik sorunlarını önlemek için uygun ölçekte güvenilir çıkış trafiğini desteklemek için bir NAT Ağ Geçidi kullanın. |
Daha fazla öneri için bkz . Güvenilirlik sütunu ilkeleri.
Azure İlkesi
Azure Kubernetes Service, hem tipik Azure İlkeleri gibi Azure kaynaklarına hem de küme içinde Kubernetes için Azure İlkesi eklentisini kullanan çok çeşitli yerleşik Azure İlkeleri sunar. Çok sayıda ilke vardır ve bu yapıyla ilgili temel ilkeler burada özetlenir. Daha ayrıntılı bir görünüm için bkz. Kubernetes için yerleşik ilke tanımları.
Küme ve iş yükü mimarisi
- Kümeler, pod belirtimleriniz için yapılandırılmış hazır olma veya canlılık durumu yoklamalarına sahiptir.
Yerleşik Azure İlkesi tanımlarına ek olarak, hem AKS kaynağı hem de Kubernetes için Azure İlkesi eklentisi için özel ilkeler oluşturulabilir. Bu, kümenizde ve iş yükü mimarinizde zorlamak istediğiniz ek güvenilirlik kısıtlamaları eklemenize olanak tanır.
Güvenlik
Güvenlik, her mimarinin en önemli yönlerinden biridir. AKS'nin uygulama iş yükünüzün güvenliğini nasıl artırabileceğini keşfetmek için Güvenlik tasarımı ilkelerini gözden geçirmenizi öneririz. Azure Kubernetes Service kümenizin Ödeme Kartı Sektör Veri Güvenliği Standardı'nın (PCI-DSS 3.2.1) mevzuat gereksinimlerini karşılayan hassas bir iş yükü çalıştıracak şekilde tasarlanması gerekiyorsa, PCI-DSS 3.2.1 için AKS tarafından düzenlenen kümeyi gözden geçirin.
AKS ile DoD Etki Düzeyi 5 (IL5) desteği ve gereksinimleri hakkında bilgi edinmek için IL5 yalıtım gereksinimlerini Azure Kamu gözden geçirin.
Azure Kubernetes Service ile güvenliği tartışırken, küme güvenliği ile iş yükü güvenliği arasında ayrım yapmak önemlidir. Küme güvenliği, küme yöneticisi ve kaynak sağlayıcısı arasında paylaşılan bir sorumlulukken, iş yükü güvenliği bir geliştiricinin etki alanıdır. Azure Kubernetes Service bu rollerin her ikisi için de önemli noktalar ve öneriler vardır.
Aşağıdaki tasarım denetim listesinde ve öneriler listesinde, her seçimin küme mimarisi, iş yükü mimarisi veya her ikisi için geçerli olup olmadığını belirtmek için çağrılar yapılır.
Tasarım denetim listesi
- Küme mimarisi: Hizmet ilkelerinin yönetilmesini ve döndürülmesini önlemek için Yönetilen Kimlikler'i kullanın.
- Küme mimarisi:En az ayrıcalık erişimi için Microsoft Entra ID ile Kubernetes rol tabanlı erişim denetimini (RBAC) kullanın ve yapılandırmayı ve gizli dizi erişimini korumak için yönetici ayrıcalıkları verilmesini en aza indirin.
- Küme mimarisi: Azure Sentinel ile kapsayıcılar için Microsoft Defender kullanarak kümenizdeki tehditleri ve bunlar üzerinde çalışan iş yüklerini algılayın ve bunlara hızla yanıt verin.
- Küme mimarisi: API sunucunuza yönelik küme yönetim trafiğinin özel ağınızda kaldığından emin olmak için özel bir AKS kümesi dağıtın. Veya özel olmayan kümeler için API sunucusu izin listesini kullanın.
- İş yükü mimarisi: HTTP trafiğinin güvenliğini sağlamak için bir Web Uygulaması Güvenlik Duvarı kullanın.
- İş yükü mimarisi: KAPSAYıCı kullanan tarama ile CI/CID işlem hattınızın sağlamlaştırıldığından emin olun.
Öneriler
AKS yapılandırmanızı güvenlik için en iyi duruma getirmek için aşağıdaki öneriler tablosunu inceleyin.
| Öneri | Avantaj |
|---|---|
| Küme mimarisi: Microsoft Entra tümleştirmeyi kullanın. | Microsoft Entra ID kullanılması kimlik yönetimi bileşenini merkezileştirir. Kullanıcı hesabı veya grup durumundaki tüm değişiklikler AKS kümesine erişimde otomatik olarak güncelleştirilir. Kubernetes kümenizin geliştiricilerinin ve uygulama sahiplerinin farklı kaynaklara erişmesi gerekir. |
| Küme mimarisi: Azure Container Registry için Microsoft Entra ID kimlik doğrulaması. | AKS ve Microsoft Entra ID, gizli diziler kullanılmadan imagePullSecrets Azure Container Registry ile kimlik doğrulamasına olanak tanır. Daha fazla bilgi için Azure Kubernetes Service'den Azure Container Registry ile kimlik doğrulama'ya bakın. |
| Küme mimarisi:Özel AKS kümesiyle API sunucunuza gelen ağ trafiğinin güvenliğini sağlayın. | Varsayılan olarak, düğüm havuzlarınızla API sunucusu arasındaki ağ trafiği Microsoft omurga ağını hareket eder; özel küme kullanarak API sunucunuza gelen ağ trafiğinin yalnızca özel ağda kaldığından emin olabilirsiniz. |
| Küme mimarisi: Özel olmayan AKS kümeleri için API sunucusu yetkili IP aralıklarını kullanın. | Genel kümeleri kullanırken, yetkili IP aralığı özelliğini kullanarak kümeler API sunucunuza ulaşabilecek trafiği yine de sınırlayabilirsiniz. Dağıtım derleme aracılarınızın genel IP'leri, işlem yönetimi ve düğüm havuzlarının çıkış noktası (Azure Güvenlik Duvarı gibi) gibi kaynakları dahil edin. |
| Küme mimarisi: API sunucusunu Microsoft Entra RBAC ile koruyun. | Kubernetes API Sunucusuna erişimin güvenliğini sağlamak, kümenizin güvenliğini sağlamak için yapabileceğiniz en önemli şeylerden biridir. API sunucusuna erişimi denetlemek için Kubernetes rol tabanlı erişim denetimini (RBAC) Microsoft Entra ID ile tümleştirin. Microsoft Entra ID tabanlı kimlikleri kullanarak tüm küme erişimini zorlamak için yerel hesapları devre dışı bırakın. |
| Küme mimarisi:Azure ağ ilkelerini veya Calico'ları kullanın. | Kümedeki podlar arasındaki ağ trafiğinin güvenliğini sağlama ve denetleme. |
| Küme mimarisi:Azure İlkesi ile kümelerin ve podların güvenliğini sağlama. | Azure İlkesi, kümelerinize merkezi ve tutarlı bir şekilde büyük ölçekte zorlama ve koruma uygulamanıza yardımcı olabilir. Ayrıca, hangi işlev podlarının verilip verilmediğini ve şirket ilkesine göre çalışan bir şey olup olmadığını da denetleyebilir. |
| Küme mimarisi: Kaynaklara kapsayıcı erişiminin güvenliğini sağlama. | Kapsayıcıların gerçekleştirebileceği eylemlere erişimi sınırlayın. En az sayıda izin sağlayın ve kök veya ayrıcalıklı yükseltme kullanmaktan kaçının. |
| İş yükü mimarisi: HTTP trafiğinin güvenliğini sağlamak için bir Web Uygulaması Güvenlik Duvarı kullanın. | Olası saldırılara karşı gelen trafiği taramak için Azure Application Gateway veya Azure Front Doorüzerinde Azure Web Uygulaması Güvenlik Duvarı (WAF) gibi bir web uygulaması güvenlik duvarı kullanın. |
| Küme mimarisi: Küme çıkış trafiğini denetleyin. | Kümenizin giden trafiğinin Azure Güvenlik Duvarı veya HTTP ara sunucusu gibi bir ağ güvenlik noktasından geçtiğinden emin olun. |
| Küme mimarisi: Azure Key Vault ile açık kaynak Microsoft Entra İş Yükü Kimliği ve Gizli Dizi Deposu CSI Sürücüsünü kullanın. | Azure Key Vault'da gizli dizileri, sertifikaları ve bağlantı dizelerini güçlü şifrelemeyle koruyun ve döndürün. Erişim denetim günlüğü sağlar ve temel gizli dizileri dağıtım işlem hattının dışında tutar. |
| Küme mimarisi:Kapsayıcılar için Microsoft Defender kullanın. | Kümelerinizin, kapsayıcılarınızın ve bunların uygulamalarının güvenliğini izleyin ve koruyun. |
Daha fazla öneri için bkz. Güvenlik sütunu ilkeleri.
Azure Danışmanı, Azure Kubernetes hizmetinin sağlanmasına ve geliştirilmesine yardımcı olur. Aşağıdaki ilke bölümünde listelenen öğelerin bir alt kümesi üzerinde RBAC yapılandırılmamış kümeler, eksik Microsoft Defender yapılandırması, API Sunucusuna sınırsız ağ erişimi gibi önerilerde bulunur. Benzer şekilde, pod güvenliği girişimi öğelerinin bazıları için iş yükü önerilerinde bulunur. Önerileri gözden geçirin.
İlke tanımları
Azure İlkesi, standart ilke tanımları gibi hem Azure kaynağı hem de AKS için geçerli olan ve küme içinde de Kubernetes için Azure İlkesi eklentisini kullanan çeşitli yerleşik ilke tanımları sunar. Azure kaynak ilkelerinin çoğu hem Denetim/Reddetme hem de Mevcut Değilse Dağıt değişkeninde bulunur.
Çok sayıda ilke vardır ve bu yapıyla ilgili temel ilkeler burada özetlenir. Daha ayrıntılı bir görünüm için bkz. Kubernetes için yerleşik ilke tanımları.
Küme mimarisi
- Bulut tabanlı ilkeler için Microsoft Defender
- Kimlik doğrulama modu ve yapılandırma ilkeleri (Microsoft Entra ID, RBAC, yerel kimlik doğrulamayı devre dışı bırak)
- Özel küme de dahil olmak üzere API Server ağ erişim ilkeleri
Küme ve iş yükü mimarisi
- Kubernetes küme pod güvenlik girişimleri Linux tabanlı iş yükleri
- AppArmor, sysctl, security caps, SELinux, seccomp, ayrıcalıklı kapsayıcılar, otomatik küme API'si kimlik bilgileri gibi pod ve kapsayıcı yetenek ilkelerini dahil etme
- Bağlama, birim sürücüleri ve dosya sistemi ilkeleri
- Konak ağı, bağlantı noktası, izin verilen dış IP'ler, HTTP'ler ve iç yük dengeleyiciler gibi Pod/Kapsayıcı ağ ilkeleri
Azure Kubernetes Service dağıtımları genellikle Helm grafikleri ve kapsayıcı görüntüleri için Azure Container Registry kullanır. Azure Container Registry, güvenli bir AKS mimarisini tamamlayan Bulut için ağ kısıtlamaları, erişim denetimi ve Microsoft Defender kapsayan çok çeşitli Azure ilkelerini de destekler.
Yerleşik ilkelere ek olarak, hem AKS kaynağı hem de Kubernetes için Azure İlkesi eklentisi için özel ilkeler oluşturulabilir. Bu, kümenizde ve iş yükü mimarinizde zorlamak istediğiniz ek güvenlik kısıtlamaları eklemenize olanak tanır.
Daha fazla öneri için AKS güvenlik kavramlarına bakın ve CIS Kubernetes karşılaştırması temelinde güvenlik sağlamlaştırma önerilerimizi değerlendirin.
Maliyet iyileştirmesi
Maliyet iyileştirmesi, farklı yapılandırma seçeneklerinizi ve gereksiz giderleri azaltmak ve operasyonel verimlilikleri iyileştirmek için önerilen en iyi yöntemleri anlamaktır. Bu makaledeki yönergeleri izlemeden önce aşağıdaki kaynakları gözden geçirmenizi öneririz:
- Maliyet iyileştirme tasarım ilkeleri.
- Fiyatlandırma ve maliyet yönetiminin Azure Kubernetes Service(AKS) ile Amazon Elastic Kubernetes Service (Amazon EKS) karşılaştırması.
- AKS'yi şirket içinde veya uçta çalıştırıyorsanız, Azure Hibrit Avantajı bu senaryolarda kapsayıcılı uygulamalar çalıştırırken maliyetleri daha da azaltmak için de kullanılabilir.
maliyet iyileştirmeyi Azure Kubernetes Service ile tartışırken, küme kaynaklarının maliyetiyleiş yükü kaynaklarının maliyeti arasında ayrım yapmak önemlidir. Küme kaynakları, küme yöneticisiyle kaynak sağlayıcıları arasında paylaşılan bir sorumlulukken, iş yükü kaynakları bir geliştiricinin etki alanıdır. Azure Kubernetes Service bu rollerin her ikisi için de önemli noktalar ve öneriler vardır.
Tasarım denetim listesinde ve öneriler listesinde, her seçimin küme mimarisi, iş yükü mimarisi veya her ikisi için geçerli olup olmadığını belirtmek için çağrılar yapılır.
Küme maliyeti iyileştirmesi için Azure fiyatlandırma hesaplayıcısına gidin ve kullanılabilir ürünlerden Azure Kubernetes Service seçin. Hesap makinesinde farklı yapılandırma ve ödeme planlarını test edebilirsiniz.
Tasarım denetim listesi
- Küme mimarisi: Düğüm havuzu başına uygun VM SKU'su ve uzun süreli kapasitenin beklendiği ayrılmış örnekleri kullanın.
- Küme ve iş yükü mimarileri: Uygun yönetilen disk katmanını ve boyutunu kullanın.
- Küme mimarisi: Kümeye, düğümlere ve ad alanına göre maliyet iyileştirme fırsatlarını belirlemek için CPU, bellek, depolama ve ağdan başlayarak performans ölçümlerini gözden geçirin.
- Küme ve iş yükü mimarisi: İş yükleri daha az etkin olduğunda ölçeği daraltmak için otomatik ölçeklendiricileri kullanın.
Öneriler
AKS yapılandırmanızı maliyet için en iyi duruma getirmek için aşağıdaki öneriler tablosunu inceleyin.
| Öneri | Avantaj |
|---|---|
| Küme ve iş yükü mimarileri: SKU seçimini ve yönetilen disk boyutunu iş yükü gereksinimleriyle uyumlu hale getirme. | Seçiminizi iş yükü taleplerinizle eşleştirmek, gereksiz kaynaklar için ödeme yapmamanızı sağlar. |
| Küme mimarisi: Doğru sanal makine örneği türünü seçin. | Aks üzerinde uygulama çalıştırma maliyetini doğrudan etkilediğinden doğru sanal makine örneği türünün seçilmesi kritik önem taşır. Düzgün kullanım olmadan yüksek performanslı bir örnek seçmek boşa harcamaya yol açarken güçlü bir örnek seçmek performans sorunlarına ve kapalı kalma süresinin artmasına neden olabilir. Doğru sanal makine örneği türünü belirlemek için iş yükü özelliklerini, kaynak gereksinimlerini ve kullanılabilirlik gereksinimlerini göz önünde bulundurun. |
| Küme mimarisi:Arm mimarisine göre sanal makineleri seçin. | AKS, ARM64 Ubuntu aracı düğümlerinin yanı sıra daha düşük maliyetle daha iyi performans getirebilecek bir küme içindeki Intel ve ARM mimarisi düğümlerinin karışımını oluşturmayı destekler. |
| Küme mimarisi:Azure Spot Sanal Makineler'ı seçin. | Spot VM'ler, önemli indirimlerle (kullandıkça öde fiyatlarına kıyasla %90'a kadar) unutılmış Azure kapasitesinden yararlanmanızı sağlar. Azure'ın kapasiteye geri ihtiyacı varsa, Azure altyapısı Spot düğümlerini çıkartır. |
| Küme mimarisi: Uygun bölgeyi seçin. | Birçok faktör nedeniyle kaynakların maliyeti Azure'daki bölgeye göre değişir. İş yükünüzü uygun maliyetli bir şekilde çalıştırdığınızdan ve son kullanıcılarınızı etkilemediğinden veya ek ağ ücretleri oluşturmadığından emin olmak için maliyet, gecikme süresi ve uyumluluk gereksinimlerini değerlendirin. |
| İş yükü mimarisi: Küçük ve iyileştirilmiş görüntüleri koruyun. | Yeni düğümlerin bu görüntüleri indirmesi gerektiğinden görüntülerinizin akışının azaltılması maliyetleri azaltmaya yardımcı olur. Uygulama başlatılırken kullanıcı isteği hatalarını veya zaman aşımlarını önlemeye yardımcı olmak için kapsayıcının mümkün olan en kısa sürede başlatılmasına olanak tanıyan ve fazla sağlama yapılmasına yol açabilecek şekilde görüntüler oluşturun. |
| Küme mimarisi: Fazla kaynak kapasitesine yanıt olarak aracı düğümlerinin sayısını otomatik olarak azaltmak için Küme Otomatik Ölçeklendiricisi'ni etkinleştirin. | AKS kümenizdeki düğüm sayısını otomatik olarak azaltma, talep düşük olduğunda verimli bir küme çalıştırmanızı ve talep döndürdüğünde ölçeği artırmanızı sağlar. |
| Küme mimarisi: VM SKU seçimini otomatikleştirmek için Düğüm Otomatik Sağlama'yı etkinleştirin. | Node Autoprovision, SKU seçim işlemini basitleştirir ve bekleyen pod kaynağı gereksinimlerine göre iş yüklerini en verimli ve uygun maliyetli şekilde çalıştırmak için en uygun VM yapılandırmasına karar verir. |
| İş yükü mimarisi:Yatay Pod Otomatik Ölçeklendiricisi'ni kullanın. | Bir dağıtımdaki pod sayısını CPU kullanımına veya küme ölçeğini daraltma işlemlerini destekleyen diğer seçme ölçümlerine bağlı olarak ayarlayın. |
| İş yükü mimarisi:Dikey Pod Otomatik Ölçeklendiricisi'ni (önizleme) kullanın. | Podlarınızı haklarınızı oluşturun ve geçmiş kullanıma göre istekleri ve sınırları dinamik olarak ayarlayın. |
| İş yükü mimarisi:Kubernetes Olay Odaklı Otomatik Ölçeklendirme 'yi (KEDA) kullanın. | İşlenen olay sayısına göre ölçeklendirin. 50'den fazla KEDA ölçeklendiriciden oluşan zengin bir katalog arasından seçim yapın. |
| Küme ve iş yükü mimarileri: Bulut kullanımının sahipliğini sağlamak için bir bulut finansal disiplini ve kültürel uygulama benimseyin. | Maliyet iyileştirmesini etkinleştirmenin temeli, maliyet tasarrufu kümesinin yayılmasıdır. Finansal operasyon yaklaşımı (FinOps) genellikle kuruluşların bulut maliyetlerini azaltmasına yardımcı olmak için kullanılır. Maliyet tasarrufu hedeflerine uyum sağlamak ve bulut maliyetlerine saydamlık kazandırmak için finans, operasyon ve mühendislik ekipleri arasında işbirliğini içeren bir uygulamadır. |
| Küme mimarisi:Azure Rezervasyonları veya Azure Tasarruf Planı için kaydolun. | Kapasiteyi düzgün bir şekilde planladıysanız iş yükünüz tahmin edilebilirdir ve uzun bir süre için mevcutsa, kaynak maliyetlerinizi daha da azaltmak için azure rezervasyonuna veya tasarruf planına kaydolun. |
| Küme mimarisi:Kapsayıcı içgörüleri ile küme izlemeyi yapılandırın. | Kapsayıcı içgörüleri, kümelerinizin boşta ve ayrılmamış kaynaklarıyla ilgili eyleme dönüştürülebilir içgörüler sağlamasına yardımcı olur. Kapsayıcı içgörüleri ayrıca Prometheus ölçümlerini toplamayı destekler ve uygulamanızın ve altyapınızın bütünsel bir görünümünü elde etmek için Azure Yönetilen Grafana ile tümleşir. |
| Küme mimarisi:AKS Maliyet Analizi eklentisini yapılandırın. | Maliyet analizi kümesi uzantısı, kümelerinizdeki veya ad alanlarınızdaki çeşitli Kubernetes kaynaklarıyla ilişkili maliyetler hakkında ayrıntılı içgörüler edinmenizi sağlar. |
Daha fazla öneri için bkz. Maliyet iyileştirme sütununun ilkeleri ve Azure Kubernetes Service Maliyetleri İyileştirme.
İlke tanımları
Maliyet iyileştirmeyle ilgili yerleşik ilkeler olmasa da, hem AKS kaynağı hem de Kubernetes için Azure İlkesi eklentisi için özel ilkeler oluşturulabilir. Bu sayede kümenizde ve iş yükü mimarinizde uygulamak istediğiniz ek maliyet iyileştirme kısıtlamaları ekleyebilirsiniz.
Bulut verimliliği
İş yüklerini daha sürdürülebilir ve bulut için verimli hale getirmek için maliyet iyileştirme çabalarının birleştirilmesi, karbon emisyonlarının azaltılması ve enerji tüketiminin iyileştirilmesi gerekir. uygulamanın maliyetini iyileştirmek, iş yüklerini daha sürdürülebilir hale getirmenin ilk adımıdır.
Azure Kubernetes Service'de (AKS) sürdürülebilir yazılım mühendisliği ilkeleri bölümünden sürdürülebilir ve verimli AKS iş yükleri oluşturmayı öğrenin.
Operasyonel Mükemmellik
İzleme ve tanılama çok önemlidir. Performans istatistiklerini ölçmekle kalmaz, aynı zamanda ölçümleri kullanarak sorunları hızla giderebilir ve düzeltebilirsiniz. Operasyonel mükemmellik tasarım ilkelerini ve 2. Gün operasyon kılavuzunu gözden geçirmenizi öneririz.
Azure Kubernetes Service ile operasyonel mükemmelliği tartışırken, küme operasyonel mükemmelliği ile iş yükü operasyonel mükemmelliği arasında ayrım yapmak önemlidir. Küme işlemleri, küme yöneticisi ve kaynak sağlayıcıları arasında paylaşılan bir sorumluluk, iş yükü işlemleri ise bir geliştiricinin etki alanıdır. Azure Kubernetes Service bu rollerin her ikisi için de dikkat edilmesi gerekenler ve öneriler vardır.
Aşağıdaki tasarım denetim listesinde ve öneriler listesinde, her seçimin küme mimarisi, iş yükü mimarisi veya her ikisi için geçerli olup olmadığını belirtmek için çağrılar yapılır.
Tasarım denetim listesi
- Küme mimarisi: Bicep, Terraform veya başkalarını kullanarak şablon tabanlı dağıtım kullanın. Tüm dağıtımların yinelenebilir, izlenebilir ve bir kaynak kod deposunda depolandığından emin olun.
- Küme mimarisi: Kümelerinizin gerekli küme genelindeki yapılandırmalar ve dağıtımlarla önyüklendiğinden emin olmak için otomatik bir işlem oluşturun. Bu genellikle GitOps kullanılarak gerçekleştirilir.
- İş yükü mimarisi: Yazılım geliştirme yaşam döngünüz içinde iş yükünüz için yinelenebilir ve otomatik dağıtım süreçleri kullanın.
- Küme mimarisi: Denetim düzlemi veya çekirdek API sunucusu etkileşimlerinin günlüğe kaydedildiğinden emin olmak için tanılama ayarlarını etkinleştirin.
- Küme ve iş yükü mimarileri:Kapsayıcı içgörülerinin , üzerinde çalışan kümenin ve iş yüklerinin kullanılabilirliğini ve performansını izlemek için ölçümleri, günlükleri ve tanılamaları toplamasını sağlayın.
- İş yükü mimarisi: İş yükü, canlılık ve hazır olma durumlarını da içermesi gereken, toplanabilecek telemetri verilerini yayacak şekilde tasarlanmalıdır.
- Küme ve iş yükü mimarileri: Uygulama veya platform güvenilirliği sorunlarını belirlemek için Kubernetes'i hedefleyen kaos mühendisliği uygulamalarını kullanın.
- İş yükü mimarisi: Kapsayıcıda verimli bir şekilde çalışmak ve dağıtmak için iş yükünüzü iyileştirin.
- Küme ve iş yükü mimarileri: Azure İlkesi kullanarak küme ve iş yükü idaresi uygulama.
Öneriler
AKS yapılandırmanızı işlemler için en iyi duruma getirmek için aşağıdaki öneriler tablosunu inceleyin.
| Öneri | Avantaj |
|---|---|
| Küme ve iş yükü mimarileri:AKS en iyi yöntemler belgelerini gözden geçirin. | AKS'de uygulamaları başarıyla oluşturmak ve çalıştırmak için, anlaşılması ve uygulanması gereken önemli noktalar vardır. Bu alanlar arasında çok kiracılı ve zamanlayıcı özellikleri, küme ve pod güvenliği ya da iş sürekliliği ve olağanüstü durum kurtarma yer alır. |
| Küme ve iş yükü mimarileri:Azure Chaos Studio'yu gözden geçirin. | Azure Chaos Studio hataların simülasyonunu gerçekleştirmeye ve olağanüstü durum kurtarma durumlarını tetiklemeye yardımcı olabilir. |
| Küme ve iş yükü mimarileri:Kapsayıcı içgörüleri ile küme izlemeyi yapılandırın. | Kapsayıcı içgörüleri, Ölçümler API'si ve kapsayıcı günlükleri aracılığıyla Kubernetes'te bulunan denetleyicilerden, düğümlerden ve kapsayıcılardan bellek ve işlemci ölçümlerini toplayarak kapsayıcıların performansını izlemeye yardımcı olur. |
| İş yükü mimarisi: Azure İzleyici ile uygulama performansını izleme. | Aks kümesinde çalışan uygulamaların kod tabanlı izlenmesi için Application Insights'ı yapılandırın. |
| İş yükü mimarisi: Kapsayıcı içgörüleri ile Prometheus ölçümlerini kazıma işlemini yapılandırın. | Azure İzleyici'nin bir parçası olan kapsayıcı içgörüleri, Prometheus ölçümlerini toplamak için sorunsuz bir ekleme deneyimi sağlar. Daha fazla bilgi için Prometheus ölçümlerini kazıma yapılandırma başvurusu. |
| Küme mimarisi: Kullanılabilirliği en üst düzeye çıkarmak ve iş sürekliliği sağlamak için farklı Azure bölgelerine dağıtılan AKS kümelerini dağıtarak çok bölgeli bir strateji benimseyin. | İnternet'e yönelik iş yükleri, aks kümeleri arasında trafiği genel olarak yönlendirmek için Azure Front Door veya Azure Traffic Manager'ı kullanmalıdır. |
| Küme mimarisi:Azure İlkesi ile kümeleri ve pod yapılandırma standartlarını kullanıma hazır hale getirme. | Azure İlkesi, kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlama ve koruma uygulamanıza yardımcı olabilir. Ayrıca, hangi işlev podlarının verildiğini ve şirket ilkesine karşı çalışan bir şey olup olmadığını da denetleyebilir. |
| İş yükü mimarisi: Sürüm mühendisliği sürecinizde platform özelliklerini kullanın. | Kubernetes ve giriş denetleyicileri, yayın mühendisliği sürecinize dahil edilmesi için birçok gelişmiş dağıtım desenini destekler. Mavi-yeşil dağıtımlar veya kanarya sürümleri gibi desenleri göz önünde bulundurun. |
| Küme ve iş yükü mimarileri: Görev açısından kritik iş yükleri için damga düzeyi mavi/yeşil dağıtımları kullanın. | Dağıtım ve test dahil olmak üzere görev açısından kritik tasarım alanlarınızı otomatikleştirin. |
Daha fazla öneri için bkz. operasyonel mükemmellik sütunu ilkeleri.
Azure Danışmanı ayrıca aşağıdaki ilke bölümünde listelenen öğelerin bir alt kümesiyle ilgili olarak desteklenmeyen AKS sürümleri ve yapılandırılmamış tanılama ayarları gibi önerilerde bulunur. Benzer şekilde, varsayılan ad alanının kullanımıyla ilgili iş yükü önerilerinde bulunur.
İlke tanımları
Azure İlkesi, standart ilke tanımları gibi hem Azure kaynağı hem de AKS için geçerli olan çeşitli yerleşik ilke tanımları sunar ve küme içinde kubernetes için Azure İlkesi eklentisini kullanabilir. Azure kaynak ilkelerinin çoğu hem Denetim/Reddetme hem de Mevcut Değilse Dağıt değişkeninde bulunur.
Çok sayıda ilke vardır ve bu yapıyla ilgili temel ilkeler burada özetlenir. Daha ayrıntılı bir görünüm için bkz. Kubernetes için yerleşik ilke tanımları.
Küme mimarisi
- Kubernetes için Azure İlkesi eklentisi
- GitOps yapılandırma ilkeleri
- Tanılama ayarları ilkeleri
- AKS sürüm kısıtlamaları
- Komut çağrısını engelle
Küme ve iş yükü mimarisi
- Ad alanı dağıtım kısıtlamaları
Yerleşik ilkelere ek olarak, hem AKS kaynağı hem de Kubernetes için Azure İlkesi eklentisi için özel ilkeler oluşturulabilir. Bu, kümenizde ve iş yükü mimarinizde zorlamak istediğiniz ek güvenlik kısıtlamaları eklemenize olanak tanır.
Performans verimliliği
Performans verimliliği, kullanıcılar tarafından anlamlı bir şekilde yerleştirilen talepleri karşılamak amacıyla iş yükünüzü ölçeklendirme becerisidir. Performans verimliliği ilkelerini gözden geçirmenizi öneririz.
Azure Kubernetes Service ile performansı tartışırken, küme performansı ile iş yükü performansı arasında ayrım yapmak önemlidir. Küme performansı, küme yöneticisi ve kaynak sağlayıcısı arasında paylaşılan bir sorumluluk, iş yükü performansı ise bir geliştiricinin etki alanıdır. Azure Kubernetes Service bu rollerin her ikisi için de dikkat edilmesi gerekenler ve öneriler vardır.
Aşağıdaki tasarım denetim listesinde ve öneriler listesinde, her seçimin küme mimarisi, iş yükü mimarisi veya her ikisi için geçerli olup olmadığını belirtmek için çağrılar yapılır.
Tasarım denetim listesi
Azure Kubernetes Service için tasarım seçimleri yaparken Performans verimliliği ilkelerini gözden geçirin.
- Küme ve iş yükü mimarileri: SKU, otomatik ölçeklendirme ayarları, IP adresleme ve yük devretme konularını içeren ayrıntılı bir kapasite planı alıştırması gerçekleştirin ve yinein.
- Küme mimarisi: Yanıt iş yükü taleplerindeki aracı düğümlerinin sayısını otomatik olarak ayarlamak için küme otomatik ölçeklendiricisini etkinleştirin.
- Küme mimarisi: Cpu kullanımına veya diğer seçme ölçümlerine bağlı olarak dağıtımdaki pod sayısını ayarlamak için Yatay pod otomatik ölçeklendiricisini kullanın.
- Küme ve iş yükü mimarileri: Hem pod hem de küme otomatik ölçeklendiricisini kullanan devam eden yük testi etkinlikleri gerçekleştirin.
- Küme ve iş yükü mimarileri: bağımsız ölçeklendirmeye olanak sağlayan iş yüklerini farklı düğüm havuzlarına ayırın.
Öneriler
performans için Azure Kubernetes Service yapılandırmanızı iyileştirmek için aşağıdaki öneriler tablosunu keşfedin.
| Öneri | Avantaj |
|---|---|
| Küme ve iş yükü mimarileri: Ayrıntılı bir kapasite planı geliştirin ve sürekli gözden geçirip gözden geçirin. | Kapasite planınızı resmileştirdikten sonra kümenin kaynak kullanımı sürekli gözlemlenerek sık sık güncelleştirilmelidir. |
| Küme mimarisi: Kaynak kısıtlamalarına yanıt olarak aracı düğümlerinin sayısını otomatik olarak ayarlamak için küme otomatik ölçeklendiricisini etkinleştirin. | AKS kümenizdeki düğüm sayısını otomatik olarak artırma veya azaltma özelliği, verimli ve uygun maliyetli bir küme çalıştırmanızı sağlar. |
| Küme ve iş yükü mimarileri: İş yüklerini farklı düğüm havuzlarına ayırın ve kullanıcı düğümü havuzlarını ölçeklendirmeyi göz önünde bulundurun. | Her zaman çalışan düğümler gerektiren Sistem düğümü havuzlarının aksine, kullanıcı düğümü havuzları ölçeği artırmanıza veya azaltmanıza olanak tanır. |
| İş yükü mimarisi: AKS gelişmiş zamanlayıcı özelliklerini kullanın. | Bunları gerektiren iş yükleri için kaynakların dengelemesini denetlemeye yardımcı olur. |
| İş yükü mimarisi: Anlamlı iş yükü ölçeklendirme ölçümlerini kullanın. | Tüm ölçek kararları CPU veya bellek ölçümlerinden türetilebilir. Ölçeklendirme konusunda dikkat edilmesi gereken noktalar genellikle daha karmaşık ve hatta dış veri noktalarından gelir. İş yükünüzle ilgili sinyalleri temel alan anlamlı bir otomatik ölçeklendirme kural kümesi oluşturmak için KEDA kullanın. |
Daha fazla öneri için bkz. Performans verimliliği sütunu ilkeleri.
İlke tanımları
Azure İlkesi, standart ilke tanımları gibi hem Azure kaynağı hem de AKS için geçerli olan ve küme içinde de Kubernetes için Azure İlkesi eklentisini kullanan çeşitli yerleşik ilke tanımları sunar. Azure kaynak ilkelerinin çoğu hem Denetim/Reddetme hem de Mevcut Değilse Dağıt değişkeninde bulunur.
Çok sayıda ilke vardır ve bu yapıyla ilgili temel ilkeler burada özetlenir. Daha ayrıntılı bir görünüm için bkz. Kubernetes için yerleşik ilke tanımları.
Küme ve iş yükü mimarisi
- CPU ve bellek kaynak sınırları
Yerleşik ilkelere ek olarak, hem AKS kaynağı hem de Kubernetes için Azure İlkesi eklentisi için özel ilkeler oluşturulabilir. Bu, kümenizde ve iş yükü mimarinizde zorlamak istediğiniz ek güvenlik kısıtlamaları eklemenize olanak tanır.
Ek kaynaklar
Azure Mimari Merkezi kılavuzu
- AKS temel mimarisi
- Gelişmiş AKS mikro hizmetler mimarisi
- PCI-DSS iş yükü için AKS kümesi
- Çok bölgeli kümeler için AKS temeli
Bulut Benimseme Çerçevesi kılavuzu
Sonraki adımlar
- Azure CLI kullanarak Azure Kubernetes Service (AKS) kümesi dağıtma Hızlı Başlangıç: Azure CLI kullanarak Azure Kubernetes Service (AKS) kümesi dağıtma
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin