Osvědčené postupy při vytváření a správě aplikací v prostředí Azure Kubernetes Service (AKS) pro vývojáře a operátory cloudu.

Článek
08/02/2024

Úspěšné sestavování a spouštění aplikací ve službě Azure Kubernetes Service (AKS) vyžaduje pochopení a implementaci některých klíčových konceptů, mezi které patří:

Funkce víceklientské architektury a plánovače
Zabezpečení clusteru a podů
Provozní kontinuita a zotavení po havárii

Produktová skupina AKS, technické týmy a terénní týmy (včetně globálních černých pásů (GBB) přispěly k následujícím osvědčeným postupům a koncepčním článkům a seskupily je. Jejich účelem je pomoci operátorům clusteru a vývojářům lépe porozumět výše uvedeným konceptům a implementovat příslušné funkce.

Osvědčené postupy pro operátory clusteru

Pokud jste operátor clusteru, spolupracujte s vlastníky aplikací a vývojáři a seznamte se s jejich potřebami. Potom můžete pomocí následujících osvědčených postupů nakonfigurovat clustery AKS tak, aby vyhovovaly vašim potřebám.

Důležitým postupem, který byste měli zahrnout jako součást procesu vývoje a nasazení aplikací, je pamatovat na to, že dodržujete běžně používané vzory nasazení a testování. Testování aplikace před nasazením je důležitým krokem k zajištění jeho kvality, funkčnosti a kompatibility s cílovým prostředím. Může vám pomoct identifikovat a opravit všechny chyby, chyby nebo problémy, které můžou ovlivnit výkon, zabezpečení nebo použitelnost aplikace nebo základní infrastruktury.

Architektura s více tenanty

Osvědčené postupy pro izolaci clusteru
- Zahrnuje víceklientské základní komponenty a logickou izolaci s obory názvů.
Osvědčené postupy pro základní funkce plánovače
- Zahrnuje použití kvót prostředků a rozpočtů přerušení podů.
Osvědčené postupy pro pokročilé funkce plánovače
- Zahrnuje použití taintů a tolerací, selektorů uzlů a spřažení a spřažení mezi pody a anti-spřažení.
Osvědčené postupy pro ověřování a autorizaci
- Zahrnuje integraci s Id Microsoft Entra, s využitím řízení přístupu na základě role Kubernetes (Kubernetes RBAC), s využitím Azure RBAC a identit podů.

Zabezpečení

Osvědčené postupy pro zabezpečení clusteru a upgrady
- Zahrnuje zabezpečení přístupu k serveru rozhraní API, omezení přístupu ke kontejneru a správu upgradů a restartování uzlů.
Osvědčené postupy pro správu a zabezpečení imagí kontejnerů
- Zahrnuje zabezpečení imagí a modulů runtime a automatizovaných sestavení na aktualizacích základních imagí.
Osvědčené postupy pro zabezpečení podů
- Zahrnuje zabezpečení přístupu k prostředkům, omezení vystavení přihlašovacích údajů a používání identit podů a trezorů digitálních klíčů.

Síť a úložiště

Osvědčené postupy pro připojení k síti
- Zahrnuje různé síťové modely využívající příchozí přenos dat a firewally webových aplikací (WAF) a zabezpečení přístupu SSH uzlů.
Osvědčené postupy pro ukládání a zálohování
- Zahrnuje výběr vhodného typu úložiště a velikosti uzlu, dynamické zřizování svazků a zálohování dat.

Spouštění úloh připravených pro podnikové prostředí

Osvědčené postupy pro provozní kontinuitu a zotavení po havárii
- Zahrnuje použití párů oblastí, více clusterů s Azure Traffic Managerem a geografickou replikaci imagí kontejnerů.

Osvědčené postupy pro vývojáře

Pokud jste vlastníkem vývojáře nebo aplikace, můžete zjednodušit vývojové prostředí a definovat požadované funkce výkonu aplikací.

Osvědčené postupy pro vývojáře aplikací ke správě prostředků
- Zahrnuje definování požadavků a omezení prostředků podů, konfiguraci vývojových nástrojů a kontrolu problémů s aplikacemi.
Osvědčené postupy pro zabezpečení podů
- Zahrnuje zabezpečení přístupu k prostředkům, omezení vystavení přihlašovacích údajů a používání identit podů a trezorů digitálních klíčů.
Osvědčené postupy pro nasazení a spolehlivost clusteru
- Zahrnuje osvědčené postupy pro nasazení, cluster a fond uzlů.

Koncepty Kubernetes a AKS

Následující koncepční články popisují některé základní funkce a komponenty pro clustery v AKS:

Další kroky

Pokyny k návrhu implementace AKS na podnikové úrovni najdete v tématu Plánování návrhu AKS.

Sdílet prostřednictvím