Práticas recomendadas para o operador e o desenvolvedor do cluster para criar e gerenciar aplicativos no Serviço de Kubernetes do Azure (AKS)
Para criar e executar aplicativos com êxito no AKS (Serviço Kubernetes do Azure) é necessário compreender e implementar alguns conceitos fundamentais, incluindo:
- Recursos de multilocação e agendador.
- Segurança de cluster e Pod.
- Continuidade dos negócios e recuperação de desastres.
O grupo de produtos do AKS, equipes de engenharia e equipes de campo (incluindo especialistas experientes do mundo todo [GBBs]) contribuíram, escreveram e agruparam as melhores práticas e artigos conceituais a seguir. O objetivo deles é ajudar os operadores de cluster e desenvolvedores a entender os conceitos acima e a implementar os recursos apropriados.
Práticas recomendadas para o operador de cluster
Se você é um operador de cluster, trabalhe com os proprietários e desenvolvedores do aplicativo para compreender as necessidades deles. Assim, você poderá usar as práticas recomendadas a seguir para configurar os clusters do AKS para atender às suas necessidades.
Uma prática importante que você deve incluir como parte do processo de desenvolvimento e implantação do seu aplicativo é lembrar-se de seguir os padrões de teste e implantação comumente usados. Testar seu aplicativo antes da implantação é uma etapa importante para garantir a qualidade, funcionalidade e compatibilidade com o ambiente de destino. Isso pode ajudar a identificar e corrigir erros, bugs ou problemas que possam afetar o desempenho, a segurança ou a usabilidade do aplicativo ou da infraestrutura subjacente.
Multilocação
- Práticas recomendadas para isolamento do cluster
- Inclui os componentes principais de multilocação e isolamento lógico com namespaces.
- Práticas recomendadas para recursos básicos do agendador
- Inclui o uso de cotas de recursos e os orçamentos de interrupção de pod.
- Práticas recomendadas para recursos avançados do agendador
- Inclui o uso de taints e tolerations, seletores de nó e afinidade e a afinidade entre pod e antiafinidade.
- Práticas recomendadas para autenticação e autorização
- Inclui a integração com o Microsoft Entra ID, usando o CONTROLE de acesso baseado em função do Kubernetes (RBAC do Kubernetes), usando o RBAC do Azure e identidades de pod.
Segurança
- Práticas recomendadas para atualizações e segurança de cluster
- Inclui a proteção de acesso ao servidor de API, limitando o acesso do contêiner e o gerenciamento de atualizações e reinicializações de nó.
- Práticas recomendadas para gerenciamento e segurança de imagens de contêiner.
- Inclui proteção da imagem e de runtimes, além de buils automatizados nas atualizações de imagem base.
- Práticas recomendadas para segurança do pod
- Inclui acesso seguro aos recursos, limitando a exposição de credencial e usando as identidades de pod e cofres de chaves digitais.
Rede e armazenamento
- Práticas recomendadas para conectividade de rede
- Inclui modelos de rede diferentes, usando firewalls de aplicativo de entrada e da Web (WAF) e protegendo o acesso SSH ao nó.
- Práticas recomendadas para armazenamento e backup
- Inclui escolher o tipo de armazenamento e o tamanho de nó apropriados, os volumes de provisionamento dinâmico e os backups de dados.
Executar cargas de trabalho prontas para empresas
- Práticas recomendadas para continuidade dos negócios e recuperação de desastres
- Inclui o uso de pares de regiões, vários clusters com o Gerenciador de Tráfego do Azure e a replicação geográfica de imagens de contêiner.
Melhores práticas do desenvolvedor
Se você é um desenvolvedor ou proprietário do aplicativo, você pode simplificar sua experiência de desenvolvimento e definir as características de desempenho necessárias do aplicativo.
- Práticas recomendadas para os desenvolvedores de aplicativos gerenciarem recursos
- Inclui a definição de pod solicitações de recursos e limites, de pod, configuração de ferramentas de desenvolvimento e verificação de problemas do aplicativo.
- Práticas recomendadas para segurança do pod
- Inclui acesso seguro aos recursos, limitando a exposição de credencial e usando as identidades de pod e cofres de chaves digitais.
- Melhores práticas para implantação e confiabilidade do cluster
- Inclui as práticas recomendadas de implantação, cluster e nível de pool de nós.
Conceitos de Kubernetes e AKS
Os seguintes artigos conceituais abordam alguns dos recursos e componentes fundamentais para clusters no AKS:
- Principais conceitos do Kubernetes
- Acesso e identidade
- Conceitos de segurança
- Conceitos de rede
- Opções de armazenamento
- Opções de dimensionamento
Próximas etapas
Para obter diretrizes sobre como criar uma implementação em escala empresarial do AKS, consulte Planejar o design do AKS.
Azure Kubernetes Service