Azure İyi Tasarlanmış Çerçeve gözden geçirmesi - Azure Kubernetes Service (AKS)
Bu makalede Azure Kubernetes Service (AKS) için mimari en iyi yöntemler sağlanmaktadır. Rehberlik, mimari mükemmeliyetinin beş yapı taşını temel alır:
- Güvenilirlik
- Güvenlik
- Maliyet iyileştirme
- Operasyonel mükemmellik
- Performans verimliliği
Sistem tasarımı ilkelerini anladığınızı, Azure Kubernetes Service hakkında çalışan bilgilere sahip olduğunuzu ve özellikleri konusunda bilgi sahibi olduğunuzu varsayıyoruz. Daha fazla bilgi için bkz . Azure Kubernetes Service.
Önkoşullar
İyi Tasarlanmış Çerçeve yapılarını anlamak, yüksek kaliteli, kararlı ve verimli bir bulut mimarisi oluşturmaya yardımcı olabilir. Azure İyi Tasarlanmış Çerçeve Gözden Geçirme değerlendirmesini kullanarak iş yükünüzü gözden geçirmenizi öneririz.
Bağlam açısından, tasarımında bu konuları yansıtan bir başvuru mimarisini gözden geçirmeyi göz önünde bulundurun. Azure Kubernetes Service (AKS) kümesi için temel mimari ve Azure Kubernetes Service'te Mikro hizmetler mimarisi ile başlamanızı öneririz. Ayrıca, ölçeklenebilir bir Azure Kubernetes Service (AKS) kümesi için giriş bölgesi aboneliklerini hazırlamak için mimari bir yaklaşım ve başvuru uygulaması sağlayan AKS giriş bölgesi hızlandırıcısını gözden geçirin.
Güvenilirlik
Bulutta hataların gerçekleştiğini kabul ediyoruz. Hedef, hataları tamamen önlemeye çalışmak yerine hata veren bir bileşenin etkilerini en aza indirmektir. Başarısız örnekleri en aza indirmek için aşağıdaki bilgileri kullanın.
Azure Kubernetes Service ile güvenilirliği tartışırken, küme güvenilirliği ile iş yükü güvenilirliği arasında ayrım yapmak önemlidir. Küme güvenilirliği, küme yöneticisi ve kaynak sağlayıcısı arasında paylaşılan bir sorumlulukken, iş yükü güvenilirliği bir geliştiricinin etki alanıdır. Azure Kubernetes Service,bu rollerin her ikisi için de önemli noktalara ve önerilere sahiptir.
Aşağıdaki tasarım denetim listesinde ve öneriler listesinde, her seçimin küme mimarisi, iş yükü mimarisi veya her ikisi için geçerli olup olmadığını belirtmek için açıklama balonları yapılır.
Tasarım denetim listesi
- Küme mimarisi: Kritik iş yükleri için AKS kümeleriniz için kullanılabilirlik alanlarını kullanın.
- Küme mimarisi: Kümenizin çok kümeli topolojilerde yük devretme trafiğinin işlenmesi de dahil olmak üzere güvenilir bir şekilde ölçeklenebilmesini sağlamak için IP adresi alanını planlayın.
- Küme mimarisi: İş yükleriniz için en iyi izleme stratejisini belirlemek için Azure İzleyici ile Kubernetes'i izlemeye yönelik en iyi yöntemleri gözden geçirin.
- İş yükü mimarisi: İş yüklerinin yatay ölçeklendirmeyi destekleyecek şekilde oluşturulduğunu ve uygulama hazırlığını ve sistem durumunu bildirdiğinden emin olun.
- Küme ve iş yükü mimarileri: İş yükünüzün kullanıcı düğümü havuzlarında çalıştığından emin olun ve doğru boyutta SKU'yu seçin. En azından kullanıcı düğümü havuzları için iki düğüm ve sistem düğümü havuzu için üç düğüm ekleyin.
- Küme mimarisi: Üretim iş yüklerine yönelik kullanılabilirlik hedeflerini karşılamak için AKS Çalışma Süresi SLA'sını kullanın.
AKS yapılandırma önerileri
AKS yapılandırmanızı Güvenilirlik için en iyi duruma getirmek için aşağıdaki öneri tablosunu inceleyin.
| Öneri | Avantaj |
|---|---|
| Küme ve iş yükü mimarileri: Düğüm seçicileri ve benzini kullanarak pod zamanlamayı denetleyin. | Kubernetes zamanlayıcısının düğümdeki donanıma göre iş yüklerini mantıksal olarak yalıtmasını sağlar. Toleranslardan farklı olarak, eşleşen düğüm seçicisi olmayan podlar etiketli düğümlerde zamanlanabilir; bu da düğümlerdeki kullanılmayan kaynakların tüketilmesine izin verir, ancak eşleşen düğüm seçicisini tanımlayan podlara öncelik verir. Daha fazla esneklik için düğüm benzitesini kullanın. Bu sayede pod bir düğümle eşleştirilemiyorsa ne olacağını tanımlayabilirsiniz. |
| Küme mimarisi: Ağ gereksinimlerine ve küme boyutlandırmaya göre ağ eklentisinin düzgün bir şekilde seçilmesini sağlayın. | Azure CNI, Windows tabanlı düğüm havuzları, belirli ağ gereksinimleri ve Kubernetes Ağ İlkeleri gibi belirli senaryolar için gereklidir. Daha fazla bilgi için Kubenet'e ve Azure CNI'ye başvurun. |
| Küme ve iş yükü mimarileri: Üretim sınıfı kümeler için AKS Çalışma Süresi SLA'sını kullanın. | AKS Çalışma Süresi SLA'sı aşağıdakileri garanti eder: - 99.95%Azure Kullanılabilirlik Alanları kullanan AKS Kümeleri için Kubernetes API sunucu uç noktasının kullanılabilirliği veya- 99.9%Azure Kullanılabilirlik Alanları kullanmayan AKS Kümeleri için kullanılabilirlik. |
| Küme ve iş yükü mimarileri: İş yükleriniz için en iyi izleme stratejisini belirlemek için Azure İzleyici ile Kubernetes'i izlemeye yönelik en iyi yöntemleri gözden geçirin. | Yok |
| Küme mimarisi: AKS aracı düğümlerini fiziksel olarak ayrı veri merkezlerine dağıtarak Azure bölgesinde dayanıklılığı en üst düzeye çıkarmak için kullanılabilirlik alanlarını kullanın. | Düğüm havuzları birden çok bölgeye yayılarak, bir düğüm havuzundaki düğümler başka bir bölge kapalı olsa bile çalışmaya devam eder. Kolokalite gereksinimleri varsa, düğümler arası gecikme süresini en aza indirmek için tek bir bölgeye normal Sanal Makine Ölçek Kümeleri tabanlı AKS dağıtımı veya yakınlık yerleştirme grupları kullanılabilir. |
| Küme mimarisi: Kullanılabilirliği en üst düzeye çıkarmak ve iş sürekliliği sağlamak için farklı Azure bölgelerine dağıtılan AKS kümelerini dağıtarak çok bölgeli bir strateji benimseyin. | İnternet'e yönelik iş yükleri, aks kümeleri arasında trafiği genel olarak yönlendirmek için Azure Front Door veya Azure Traffic Manager'ı kullanmalıdır. |
| Küme ve iş yükü mimarileri: Uygulama dağıtım bildirimlerinde Pod kaynak isteklerini ve sınırlarını tanımlayın ve Azure İlkesi ile uygulayın. | Kubernetes kümenizde kaynak tükenmesini önlemek için kapsayıcı CPU ve bellek kaynak sınırları gereklidir. |
| Küme ve iş yükü mimarileri: Sistem düğümü havuzunu uygulama iş yüklerinden yalıtılmış olarak tutun. | Sistem düğümü havuzları en az 2 vCPU ve 4 GB bellek içeren bir VM SKU'su gerektirir, ancak 4 vCPU veya daha fazlası önerilir. Ayrıntılı gereksinimler için Başvuru Sistemi ve kullanıcı düğümü havuzları . |
| Küme ve iş yükü mimarileri: Uygulamaları belirli gereksinimlere göre ayrılmış düğüm havuzlarına ayırın. | Uygulamalar aynı yapılandırmayı paylaşabilir ve GPU özellikli VM'ler, CPU veya bellek için iyileştirilmiş VM'ler ya da sıfıra ölçekleme özelliği gerekebilir. Ek yönetim ek yükünü azaltmak için çok sayıda düğüm havuzu kullanmaktan kaçının. |
| Küme mimarisi: Birçok eşzamanlı giden bağlantı oluşturan iş yüklerini çalıştıran kümeler için nat ağ geçidi kullanın. | Yüksek eşzamanlı giden trafikle ilgili Azure Load Balancer sınırlamalarıyla ilgili güvenilirlik sorunlarını önlemek için uygun ölçekte güvenilir çıkış trafiğini desteklemek için nat ağ geçidini kullanırız. |
Daha fazla öneri için bkz . Güvenilirlik sütunu ilkeleri.
Azure İlkesi
Azure Kubernetes Service, hem tipik Azure İlkeleri gibi Azure kaynaklarına hem de küme içindeki Kubernetes için Azure İlkesi eklentisini kullanan çok çeşitli yerleşik Azure İlkeleri sunar. Bu yapıyla ilgili olarak burada özetlenen çok sayıda temel ilke vardır. Daha ayrıntılı bir görünüm için bkz . Kubernetes için yerleşik ilke tanımları.
Küme ve iş yükü mimarisi
- Kümeler, pod belirtiminiz için yapılandırılmış hazır olma veya canlılık durumu yoklamalarına sahiptir.
Yerleşik Azure İlkesi tanımlarına ek olarak, hem AKS kaynağı hem de Kubernetes için Azure İlkesi eklentisi için özel ilkeler oluşturulabilir. Bu, kümenizde ve iş yükü mimarinizde zorlamak istediğiniz ek güvenilirlik kısıtlamaları eklemenize olanak tanır.
Güvenlik
Güvenlik, her mimarinin en önemli yönlerinden biridir. AKS'nin uygulama iş yükünüzün güvenliğini nasıl artırabileceğini keşfetmek için Güvenlik tasarımı ilkelerini gözden geçirmenizi öneririz. Azure Kubernetes Service kümenizin Ödeme Kartı Endüstri Veri Güvenliği Standardı'nın (PCI-DSS 3.2.1) mevzuat gereksinimlerini karşılayan hassas bir iş yükü çalıştıracak şekilde tasarlanması gerekiyorsa, PCI-DSS 3.2.1 için AKS tarafından düzenlenen kümeyi gözden geçirin.
AKS ile DoD Etki Düzeyi 5 (IL5) desteği ve gereksinimleri hakkında bilgi edinmek için IL5 yalıtım gereksinimlerini Azure Kamu gözden geçirin.
Azure Kubernetes Service ile güvenliği tartışırken, küme güvenliği ile iş yükü güvenliği arasında ayrım yapmak önemlidir. Küme güvenliği, küme yöneticisi ve kaynak sağlayıcısı arasında paylaşılan bir sorumlulukken, iş yükü güvenliği bir geliştiricinin etki alanıdır. Azure Kubernetes Service,bu rollerin her ikisi için de önemli noktalara ve önerilere sahiptir.
Aşağıdaki tasarım denetim listesinde ve öneriler listesinde, her seçimin küme mimarisi, iş yükü mimarisi veya her ikisi için geçerli olup olmadığını belirtmek için çağrılar yapılır.
Tasarım denetim listesi
- Küme mimarisi: Hizmet ilkelerini yönetmeyi ve döndürmeyi önlemek için Yönetilen Kimlikler'i kullanın.
- Küme mimarisi: En az ayrıcalık erişimi için Microsoft Entra Id ile Kubernetes rol tabanlı erişim denetimini (RBAC) kullanın ve yapılandırmayı ve gizli dizi erişimini korumak için yönetici ayrıcalıkları verilmesini en aza indirin.
- Küme mimarisi: Azure Sentinel ile kapsayıcılar için Microsoft Defender'ı kullanarak kümenizdeki tehditleri ve üzerinde çalışan iş yüklerini algılayın ve bunlara hızla yanıt verin.
- Küme mimarisi: API sunucunuza yönelik küme yönetimi trafiğinin özel ağınızda kaldığından emin olmak için özel bir AKS kümesi dağıtın. Veya özel olmayan kümeler için API sunucusu izin listesini kullanın.
- İş yükü mimarisi: HTTP trafiğinin güvenliğini sağlamak için bir Web Uygulaması Güvenlik Duvarı kullanın.
- İş yükü mimarisi: KAPSAYıCı kullanan tarama ile CI/CID işlem hattınızın sağlamlaştırıldığından emin olun.
Öneriler
AKS yapılandırmanızı güvenlik için en iyi duruma getirmek için aşağıdaki öneriler tablosunu inceleyin.
| Öneri | Avantaj |
|---|---|
| Küme mimarisi: Microsoft Entra tümleştirmesini kullanın. | Microsoft Entra ID'nin kullanılması, kimlik yönetimi bileşenini merkezileştirir. Kullanıcı hesabı veya grup durumundaki tüm değişiklikler AKS kümesine erişimde otomatik olarak güncelleştirilir. Kubernetes kümenizin geliştiricilerinin ve uygulama sahiplerinin farklı kaynaklara erişmesi gerekir. |
| Küme mimarisi: Azure Container Registry'de Microsoft Entra Id ile kimlik doğrulaması yapın. | AKS ve Microsoft Entra Id, gizli diziler kullanılmadan imagePullSecrets Azure Container Registry ile kimlik doğrulamasına olanak tanır. Daha fazla bilgi için Azure Kubernetes Service'ten Azure Container Registry ile kimlik doğrulamayı gözden geçirin. |
| Küme mimarisi: Özel AKS kümesiyle API sunucunuza gelen ağ trafiğinin güvenliğini sağlayın. | Varsayılan olarak, düğüm havuzlarınız ile API sunucusu arasındaki ağ trafiği Microsoft omurga ağına gider; özel bir küme kullanarak API sunucunuza yönelik ağ trafiğinin yalnızca özel ağda kaldığından emin olabilirsiniz. |
| Küme mimarisi: Özel olmayan AKS kümeleri için API sunucusu yetkili IP aralıklarını kullanın. | Genel kümeleri kullanırken, yetkili IP aralığı özelliğini kullanarak kümeler API sunucunuza ulaşabilecek trafiği yine de sınırlayabilirsiniz. Dağıtım derleme aracılarınızın genel IP'leri, işlem yönetimi ve düğüm havuzlarının çıkış noktası (Azure Güvenlik Duvarı gibi) gibi kaynakları dahil edin. |
| Küme mimarisi: Microsoft Entra RBAC ile API sunucusunu koruyun. | Kubernetes API Sunucusuna erişimin güvenliğini sağlamak, kümenizin güvenliğini sağlamak için yapabileceğiniz en önemli şeylerden biridir. API sunucusuna erişimi denetlemek için Kubernetes rol tabanlı erişim denetimini (RBAC) Microsoft Entra Id ile tümleştirin. Microsoft Entra ID tabanlı kimlikleri kullanarak tüm küme erişimini zorunlu kılmak için yerel hesapları devre dışı bırakın. |
| Küme mimarisi: Azure ağ ilkelerini veya Calico'ları kullanın. | Kümedeki podlar arasındaki ağ trafiğinin güvenliğini sağlama ve denetleme. |
| Küme mimarisi: Azure İlkesi ile kümelerin ve podların güvenliğini sağlayın. | Azure İlkesi, kümelerinize merkezi ve tutarlı bir şekilde büyük ölçekte zorlama ve koruma uygulamanıza yardımcı olabilir. Ayrıca, hangi işlev podlarının verilip verilmediğini ve şirket ilkesine göre çalışan bir şey olup olmadığını denetleyebilirsiniz. |
| Küme mimarisi: Kaynaklara kapsayıcı erişiminin güvenliğini sağlayın. | Kapsayıcıların gerçekleştirebileceği eylemlere erişimi sınırlayın. En az sayıda izin sağlayın ve kök veya ayrıcalıklı yükseltme kullanmaktan kaçının. |
| İş yükü mimarisi: HTTP trafiğinin güvenliğini sağlamak için bir Web Uygulaması Güvenlik Duvarı kullanın. | Gelen trafiği olası saldırılara karşı taramak için Azure Uygulaması lication Gateway veya Azure Front Door üzerinde Azure Web Uygulaması Güvenlik Duvarı (WAF) gibi bir web uygulaması güvenlik duvarı kullanın. |
| Küme mimarisi: Küme çıkış trafiğini denetleme. | Kümenizin giden trafiğinin Azure Güvenlik Duvarı veya HTTP ara sunucusu gibi bir ağ güvenlik noktasından geçtiğinden emin olun. |
| Küme mimarisi: Azure Key Vault ile açık kaynak Microsoft Entra İş Yükü Kimliği ve Gizli Dizi Deposu CSI Sürücüsünü kullanın. | Azure Key Vault'ta gizli dizileri, sertifikaları ve bağlantı dizesi güçlü şifreleme ile koruyun ve döndürün. Erişim denetim günlüğü sağlar ve temel gizli dizileri dağıtım işlem hattının dışında tutar. |
| Küme mimarisi: Kapsayıcılar için Microsoft Defender'u kullanın. | Kümelerinizin, kapsayıcılarınızın ve bunların uygulamalarının güvenliğini izleyin ve koruyun. |
Daha fazla öneri için bkz . Güvenlik sütunu ilkeleri.
Azure Danışmanı, Azure Kubernetes hizmetinin sağlanmasına ve geliştirilmesine yardımcı olur. RBAC yapılandırılmamış kümeler, eksik Microsoft Defender yapılandırması, API Server'a sınırsız ağ erişimi gibi aşağıdaki ilke bölümünde listelenen öğelerin bir alt kümesiyle ilgili önerilerde bulunur. Benzer şekilde, pod güvenliği girişimi öğelerinin bazıları için iş yükü önerilerinde bulunur. Önerileri gözden geçirin.
İlke tanımları
Azure İlkesi, standart ilke tanımları gibi hem Azure kaynağı hem de AKS için geçerli olan çeşitli yerleşik ilke tanımları sunar ve küme içinde kubernetes için Azure İlkesi eklentisini kullanabilir. Azure kaynak ilkelerinin çoğu hem Denetim/Reddetme hem de Mevcut Değilse Dağıt değişkeninde gelir.
Bu yapıyla ilgili olarak burada özetlenen çok sayıda temel ilke vardır. Daha ayrıntılı bir görünüm için bkz . Kubernetes için yerleşik ilke tanımları.
Küme mimarisi
- Bulut için Microsoft Defender tabanlı ilkeler
- Kimlik doğrulama modu ve yapılandırma ilkeleri (Microsoft Entra ID, RBAC, yerel kimlik doğrulamayı devre dışı bırakma)
- Özel küme de dahil olmak üzere API Server ağ erişim ilkeleri
Küme ve iş yükü mimarisi
- Kubernetes kümesi pod güvenlik girişimleri Linux tabanlı iş yükleri
- AppArmor, sysctl, güvenlik caps, SELinux, seccomp, ayrıcalıklı kapsayıcılar, otomatik küme API'si kimlik bilgileri gibi pod ve kapsayıcı yetenek ilkelerini dahil etme
- Bağlama, birim sürücüleri ve dosya sistemi ilkeleri
- Konak ağı, bağlantı noktası, izin verilen dış IP'ler, HTTP'ler ve iç yük dengeleyiciler gibi pod/kapsayıcı ağ ilkeleri
Azure Kubernetes Service dağıtımları genellikle Helm grafikleri ve kapsayıcı görüntüleri için Azure Container Registry kullanır. Azure Container Registry, ağ kısıtlamaları, erişim denetimi ve Bulut için Microsoft Defender kapsayan ve güvenli aks mimarisini tamamlayan çok çeşitli Azure ilkelerini de destekler.
Yerleşik ilkelere ek olarak, hem AKS kaynağı hem de Kubernetes için Azure İlkesi eklentisi için özel ilkeler oluşturulabilir. Bu, kümenizde ve iş yükü mimarinizde zorlamak istediğiniz ek güvenlik kısıtlamaları eklemenize olanak tanır.
Daha fazla öneri için AKS güvenlik kavramlarına bakın ve CIS Kubernetes karşılaştırması temelinde güvenlik sağlamlaştırma önerilerimizi değerlendirin.
Maliyet iyileştirme
Maliyet iyileştirme, farklı yapılandırma seçeneklerinizi ve gereksiz giderleri azaltmak ve operasyonel verimlilikleri iyileştirmek için önerilen en iyi yöntemleri anlamaktır. Bu makaledeki yönergeleri izlemeden önce aşağıdaki kaynakları gözden geçirmenizi öneririz:
- Maliyet iyileştirme tasarım ilkeleri.
- Azure Kubernetes Service'te (AKS) Amazon Elastic Kubernetes Service (Amazon EKS) ile karşılaştırıldığında fiyatlandırma ve maliyet yönetimi nasıl çalışır?
- AKS'yi şirket içinde veya uçta çalıştırıyorsanız, Azure Hibrit Avantajı bu senaryolarda kapsayıcılı uygulamaları çalıştırırken maliyetleri daha da azaltmak için de kullanılabilir.
Azure Kubernetes Service ile maliyet iyileştirmeyi tartışırken, küme kaynaklarının maliyeti ile iş yükü kaynaklarının maliyeti arasında ayrım yapmak önemlidir. Küme kaynakları, küme yöneticisi ve kaynak sağlayıcısı arasında paylaşılan bir sorumlulukken, iş yükü kaynakları bir geliştiricinin etki alanıdır. Azure Kubernetes Service,bu rollerin her ikisi için de önemli noktalara ve önerilere sahiptir.
Tasarım denetim listesinde ve öneriler listesinde, her seçimin küme mimarisi, iş yükü mimarisi veya her ikisi için geçerli olup olmadığını belirtmek için çağrılar yapılır.
Küme maliyeti iyileştirmesi için Azure fiyatlandırma hesaplayıcısına gidin ve kullanılabilir ürünlerden Azure Kubernetes Service'i seçin. Hesap makinesinde farklı yapılandırma ve ödeme planlarını test edebilirsiniz.
Tasarım denetim listesi
- Küme mimarisi: Düğüm havuzu başına uygun VM SKU'su ve uzun süreli kapasitenin beklendiği ayrılmış örnekleri kullanın.
- Küme ve iş yükü mimarileri: Uygun yönetilen disk katmanını ve boyutunu kullanın.
- Küme mimarisi: Kümeye, düğümlere ve ad alanına göre maliyet iyileştirme fırsatlarını belirlemek için CPU, bellek, depolama ve ağdan başlayarak performans ölçümlerini gözden geçirin.
- Küme ve iş yükü mimarisi: İş yükleri daha az etkin olduğunda ölçeği daraltmak için otomatik ölçekleyicileri kullanın.
Öneriler
AKS yapılandırmanızı maliyet için en iyi duruma getirmek için aşağıdaki öneriler tablosunu inceleyin.
| Öneri | Avantaj |
|---|---|
| Küme ve iş yükü mimarileri: SKU seçimini ve yönetilen disk boyutunu iş yükü gereksinimleriyle hizalayın. | Seçiminizi iş yükü taleplerinizle eşleştirmek, gereksiz kaynaklar için ödeme yapmamanızı sağlar. |
| Küme mimarisi: Doğru sanal makine örneği türünü seçin. | Aks'de uygulama çalıştırma maliyetini doğrudan etkilediğinden doğru sanal makine örneği türünün seçilmesi kritik önem taşır. Uygun kullanım olmadan yüksek performanslı bir örnek seçmek boşa harcamaya yol açarken, daha az güçlü bir örnek seçmek performans sorunlarına ve kapalı kalma süresinin artmasına neden olabilir. Doğru sanal makine örneği türünü belirlemek için iş yükü özelliklerini, kaynak gereksinimlerini ve kullanılabilirlik gereksinimlerini göz önünde bulundurun. |
| Küme mimarisi: Arm mimarisine göre sanal makineleri seçin. | AKS, Arm64 Ubuntu aracı düğümlerinin yanı sıra daha düşük maliyetle daha iyi performans getirebilecek bir küme içindeki Intel ve ARM mimari düğümlerinin bir karışımını oluşturmayı destekler. |
| Küme mimarisi: Azure Spot Sanal Makineler'i seçin. | Spot VM'ler, önemli indirimlerle (kullandıkça öde fiyatlarına kıyasla %90'a kadar) unutilized Azure kapasitesinden yararlanmanızı sağlar. Azure'ın kapasiteye geri ihtiyacı varsa, Azure altyapısı Spot düğümlerini çıkartır. |
| Küme mimarisi: Uygun bölgeyi seçin. | Birçok faktör nedeniyle kaynakların maliyeti Azure'da bölgeye göre değişir. İş yükünüzü uygun maliyetli bir şekilde çalıştırdığınızdan ve son kullanıcılarınızı etkilemediğinden veya ek ağ ücretleri oluşturmadığından emin olmak için maliyet, gecikme süresi ve uyumluluk gereksinimlerini değerlendirin. |
| İş yükü mimarisi: Küçük ve iyileştirilmiş görüntüleri koruyun. | Yeni düğümlerin bu görüntüleri indirmesi gerektiğinden görüntülerinizi akışa almak maliyetleri azaltmaya yardımcı olur. Uygulama başlatılırken kullanıcı isteği hatalarını veya zaman aşımlarını önlemeye yardımcı olmak için kapsayıcının mümkün olan en kısa sürede başlatılmasına olanak tanıyan ve fazla sağlama yapılmasına yol açabilecek şekilde görüntüler oluşturun. |
| Küme mimarisi: Fazla kaynak kapasitesine yanıt olarak aracı düğümlerinin sayısını otomatik olarak azaltmak için Küme Otomatik Ölçeklendiricisi'ni etkinleştirin. | AKS kümenizdeki düğüm sayısını otomatik olarak azaltma, talep düşük olduğunda verimli bir küme çalıştırmanıza ve talep döndürdüğünde ölçeği artırmanıza olanak tanır. |
| Küme mimarisi: VM SKU seçimini otomatikleştirmek için Düğüm Otomatik Sağlama'yı etkinleştirin. | Düğüm Otomatik Sağlama, SKU seçim sürecini basitleştirir ve bekleyen pod kaynağı gereksinimlerine göre iş yüklerini en verimli ve uygun maliyetli şekilde çalıştırmak için en uygun VM yapılandırmasına karar verir. |
| İş yükü mimarisi: Yatay Pod Otomatik Ölçeklendiricisi'ni kullanın. | Bir dağıtımdaki pod sayısını CPU kullanımına veya küme ölçeklendirme işlemlerini destekleyen diğer seçme ölçümlerine bağlı olarak ayarlayın. |
| İş yükü mimarisi: Dikey Pod Otomatik Ölçeklendiricisi (önizleme) kullanın. | Podlarınızın haklarını alın ve geçmiş kullanıma göre istekleri ve sınırları dinamik olarak ayarlayın. |
| İş yükü mimarisi: Kubernetes Olay Odaklı Otomatik Ölçeklendirme 'yi (KEDA) kullanın. | İşlenen olay sayısına göre ölçeklendirin. 50'den fazla KEDA ölçeklendiriciden oluşan zengin bir katalog arasından seçim yapın. |
| Küme ve iş yükü mimarileri: Bulut kullanımının sahipliğini sağlamak için bulut mali disiplinini ve kültürel uygulamaları benimseyin. | Maliyet iyileştirmeyi etkinleştirmenin temeli, maliyet tasarrufu kümesinin yayılmasıdır. Finansal operasyon yaklaşımı (FinOps) genellikle kuruluşların bulut maliyetlerini azaltmasına yardımcı olmak için kullanılır. Maliyet tasarrufu hedeflerine uyum sağlamak ve bulut maliyetlerine saydamlık kazandırmak için finans, operasyon ve mühendislik ekipleri arasındaki işbirliğini içeren bir uygulamadır. |
| Küme mimarisi: Azure Rezervasyonları veya Azure Tasarruf Planı için kaydolun. | Kapasiteyi düzgün bir şekilde planladıysanız, iş yükünüz tahmin edilebilirdir ve uzun bir süre için mevcut olur, kaynak maliyetlerinizi daha da azaltmak için azure rezervasyonuna veya tasarruf planına kaydolun. |
| Küme mimarisi: İş yükleriniz için en iyi izleme stratejisini belirlemek için Azure İzleyici ile Kubernetes'i izlemeye yönelik en iyi yöntemleri gözden geçirin. | Yok |
| Küme mimarisi: AKS Maliyet Analizi eklentisini yapılandırın. | Maliyet analizi kümesi uzantısı, kümelerinizdeki veya ad alanlarınızdaki çeşitli Kubernetes kaynaklarıyla ilişkili maliyetler hakkında ayrıntılı içgörüler edinmenizi sağlar. |
Daha fazla öneri için bkz. Azure Kubernetes Service'te maliyet iyileştirme sütununun ilkeleri ve Maliyetleri İyileştirme.
İlke tanımları
Maliyet iyileştirmeyle ilgili yerleşik ilkeler olmasa da, hem AKS kaynağı hem de Kubernetes için Azure İlkesi eklentisi için özel ilkeler oluşturulabilir. Bu, kümenizde ve iş yükü mimarinizde zorlamak istediğiniz ek maliyet iyileştirme kısıtlamaları eklemenize olanak tanır.
Bulut verimliliği
İş yüklerini daha sürdürülebilir ve bulut verimli hale getirmek için maliyet iyileştirme, karbon emisyonlarını azaltma ve enerji tüketimini iyileştirme çabalarının birleştirilmesi gerekir. uygulamanın maliyetini iyileştirmek, iş yüklerini daha sürdürülebilir hale getirmenin ilk adımıdır.
Azure Kubernetes Service'te (AKS) sürdürülebilir yazılım mühendisliği ilkeleri bölümünde sürdürülebilir ve verimli AKS iş yükleri oluşturmayı öğrenin.
Operasyonel mükemmellik
İzleme ve tanılama çok önemlidir. Yalnızca performans istatistiklerini ölçmekle kalmaz, aynı zamanda ölçümleri kullanarak sorunları hızla giderebilir ve düzeltebilirsiniz. Operasyonel mükemmellik tasarım ilkelerini ve 2. Gün operasyon kılavuzunu gözden geçirmenizi öneririz.
Azure Kubernetes Service ile operasyonel mükemmelliği tartışırken, küme operasyonel mükemmelliği ile iş yükü operasyonel mükemmelliği arasında ayrım yapmak önemlidir. Küme işlemleri, küme yöneticisi ve kaynak sağlayıcısı arasında paylaşılan bir sorumlulukken, iş yükü işlemleri bir geliştiricinin etki alanıdır. Azure Kubernetes Service,bu rollerin her ikisi için de önemli noktalara ve önerilere sahiptir.
Aşağıdaki tasarım denetim listesinde ve öneriler listesinde, her seçimin küme mimarisi, iş yükü mimarisi veya her ikisi için geçerli olup olmadığını belirtmek için çağrılar yapılır.
Tasarım denetim listesi
- Küme mimarisi: Bicep, Terraform veya başkalarını kullanarak şablon tabanlı bir dağıtım kullanın. Tüm dağıtımların yinelenebilir, izlenebilir ve bir kaynak kod deposunda depolandığından emin olun.
- Küme mimarisi: Kümelerinizin gerekli küme genelindeki yapılandırmalar ve dağıtımlarla önyüklendiğinden emin olmak için otomatik bir işlem oluşturun. Bu genellikle GitOps kullanılarak gerçekleştirilir.
- İş yükü mimarisi: Yazılım geliştirme yaşam döngünüz içindeki iş yükünüz için yinelenebilir ve otomatik dağıtım süreçleri kullanın.
- Küme mimarisi: Denetim düzlemi veya çekirdek API sunucusu etkileşimlerinin günlüğe kaydedildiğinden emin olmak için tanılama ayarlarını etkinleştirin.
- Küme ve iş yükü mimarileri: İş yükleriniz için en iyi izleme stratejisini belirlemek için Azure İzleyici ile Kubernetes'i izlemeye yönelik en iyi yöntemleri gözden geçirin.
- İş yükü mimarisi: İş yükü, canlılık ve hazır olma durumlarını da içermesi gereken, toplanabilen telemetri verilerini yayacak şekilde tasarlanmalıdır.
- Küme ve iş yükü mimarileri: Uygulama veya platform güvenilirliği sorunlarını belirlemek için Kubernetes'i hedefleyen kaos mühendisliği uygulamalarını kullanın.
- İş yükü mimarisi: Kapsayıcıda verimli bir şekilde çalışmak ve dağıtmak için iş yükünüzü iyileştirin.
- Küme ve iş yükü mimarileri: Azure İlkesi kullanarak küme ve iş yükü idaresi uygulama.
Öneriler
AKS yapılandırmanızı işlemler için en iyi duruma getirmek için aşağıdaki öneriler tablosunu inceleyin.
| Öneri | Avantaj |
|---|---|
| Küme ve iş yükü mimarileri: AKS en iyi yöntemler belgelerini gözden geçirin. | AKS'de uygulamaları başarıyla oluşturmak ve çalıştırmak için, anlaşılması ve uygulanması gereken önemli noktalar vardır. Bu alanlar arasında çok kiracılı ve zamanlayıcı özellikleri, küme ve pod güvenliği ya da iş sürekliliği ve olağanüstü durum kurtarma yer alır. |
| Küme ve iş yükü mimarileri: Azure Chaos Studio'yu gözden geçirin. | Azure Chaos Studio, hataların simülasyonunu gerçekleştirmeye ve olağanüstü durum kurtarma durumlarını tetiklemeye yardımcı olabilir. |
| Küme ve iş yükü mimarileri: İş yükleriniz için en iyi izleme stratejisini belirlemek için Azure İzleyici ile Kubernetes'i izlemeye yönelik en iyi yöntemleri gözden geçirin. | Yok |
| Küme mimarisi: Kullanılabilirliği en üst düzeye çıkarmak ve iş sürekliliği sağlamak için farklı Azure bölgelerine dağıtılan AKS kümelerini dağıtarak çok bölgeli bir strateji benimseyin. | İnternet'e yönelik iş yükleri, aks kümeleri arasında trafiği genel olarak yönlendirmek için Azure Front Door veya Azure Traffic Manager'ı kullanmalıdır. |
| Küme mimarisi: Azure İlkesi ile kümeleri ve pod yapılandırma standartlarını kullanıma hazır hale getirme. | Azure İlkesi, kümelerinize merkezi ve tutarlı bir şekilde büyük ölçekte zorlama ve koruma uygulamanıza yardımcı olabilir. Ayrıca, hangi işlev podlarının verilip verilmediğini ve şirket ilkesine göre çalışan bir şey olup olmadığını denetleyebilirsiniz. |
| İş yükü mimarisi: Sürüm mühendisliği sürecinizde platform özelliklerini kullanın. | Kubernetes ve giriş denetleyicileri, sürüm mühendisliği sürecinize dahil edilmesi için birçok gelişmiş dağıtım desenini destekler. Mavi-yeşil dağıtımlar veya kanarya sürümleri gibi desenleri göz önünde bulundurun. |
| Küme ve iş yükü mimarileri: Görev açısından kritik iş yükleri için damga düzeyi mavi/yeşil dağıtımları kullanın. | Dağıtım ve test dahil olmak üzere görev açısından kritik tasarım alanlarınızı otomatikleştirin. |
Daha fazla öneri için bkz . Operasyonel mükemmellik sütunu ilkeleri.
Azure Danışmanı, desteklenmeyen AKS sürümleri ve yapılandırılmamış tanılama ayarları gibi aşağıdaki ilke bölümünde listelenen öğelerin bir alt kümesiyle ilgili önerilerde de bulunur. Benzer şekilde, varsayılan ad alanının kullanımıyla ilgili iş yükü önerilerinde bulunur.
İlke tanımları
Azure İlkesi, standart ilke tanımları gibi hem Azure kaynağı hem de AKS için geçerli olan çeşitli yerleşik ilke tanımları sunar ve küme içinde kubernetes için Azure İlkesi eklentisini kullanabilir. Azure kaynak ilkelerinin çoğu hem Denetim/Reddetme hem de Mevcut Değilse Dağıt değişkeninde gelir.
Bu yapıyla ilgili olarak burada özetlenen çok sayıda temel ilke vardır. Daha ayrıntılı bir görünüm için bkz . Kubernetes için yerleşik ilke tanımları.
Küme mimarisi
- Kubernetes için Azure İlkesi eklentisi
- GitOps yapılandırma ilkeleri
- Tanılama ayarları ilkeleri
- AKS sürüm kısıtlamaları
- Komut çağrısını engelle
Küme ve iş yükü mimarisi
- Ad alanı dağıtım kısıtlamaları
Yerleşik ilkelere ek olarak, hem AKS kaynağı hem de Kubernetes için Azure İlkesi eklentisi için özel ilkeler oluşturulabilir. Bu, kümenizde ve iş yükü mimarinizde zorlamak istediğiniz ek güvenlik kısıtlamaları eklemenize olanak tanır.
Performans verimliliği
Performans verimliliği, kullanıcılar tarafından anlamlı bir şekilde yerleştirilen talepleri karşılamak amacıyla iş yükünüzü ölçeklendirme becerisidir. Performans verimliliği ilkelerini gözden geçirmenizi öneririz.
Azure Kubernetes Service ile performansı tartışırken, küme performansı ile iş yükü performansı arasında ayrım yapmak önemlidir. Küme performansı, küme yöneticisi ve kaynak sağlayıcısı arasında paylaşılan bir sorumlulukken, iş yükü performansı bir geliştiricinin etki alanıdır. Azure Kubernetes Service,bu rollerin her ikisi için de önemli noktalara ve önerilere sahiptir.
Aşağıdaki tasarım denetim listesinde ve öneriler listesinde, her seçimin küme mimarisi, iş yükü mimarisi veya her ikisi için geçerli olup olmadığını belirtmek için çağrılar yapılır.
Tasarım denetim listesi
Azure Kubernetes Service için tasarım seçimleri yaparken Performans verimliliği ilkelerini gözden geçirin.
- Küme ve iş yükü mimarileri: SKU, otomatik ölçeklendirme ayarları, IP adresleme ve yük devretme konularını içeren ayrıntılı bir kapasite planı alıştırması gerçekleştirin ve yineleyin.
- Küme mimarisi: Yanıt iş yükü taleplerindeki aracı düğümlerinin sayısını otomatik olarak ayarlamak için küme otomatik ölçeklendiricisini etkinleştirin.
- Küme mimarisi: Bir dağıtımdaki pod sayısını CPU kullanımına veya diğer seçme ölçümlerine göre ayarlamak için Yatay pod otomatik ölçeklendiricisini kullanın.
- Küme ve iş yükü mimarileri: Hem pod hem de küme otomatik ölçeklendiricisi kullanan devam eden yük testi etkinlikleri gerçekleştirin.
- Küme ve iş yükü mimarileri: bağımsız ölçeklendirmeye olanak sağlayan iş yüklerini farklı düğüm havuzlarına ayırın.
Öneriler
Azure Kubernetes Service yapılandırmanızı performans için en iyi duruma getirmek için aşağıdaki öneriler tablosunu inceleyin.
| Öneri | Avantaj |
|---|---|
| Küme ve iş yükü mimarileri: Ayrıntılı bir kapasite planı geliştirin ve sürekli gözden geçirin ve gözden geçirin. | Kapasite planınızı resmileştirdikten sonra kümenin kaynak kullanımı sürekli gözlemlenerek sık sık güncelleştirilmelidir. |
| Küme mimarisi: Kaynak kısıtlamalarına yanıt olarak aracı düğümlerinin sayısını otomatik olarak ayarlamak için küme otomatik ölçeklendiricisini etkinleştirin. | AKS kümenizdeki düğüm sayısını otomatik olarak artırma veya azaltma özelliği, verimli ve uygun maliyetli bir küme çalıştırmanızı sağlar. |
| Küme ve iş yükü mimarileri: İş yüklerini farklı düğüm havuzlarına ayırın ve kullanıcı düğümü havuzlarını ölçeklendirmeyi göz önünde bulundurun. | Her zaman çalışan düğümler gerektiren Sistem düğümü havuzlarının aksine, kullanıcı düğümü havuzları ölçeği artırmanıza veya azaltmanıza olanak tanır. |
| İş yükü mimarisi: AKS gelişmiş zamanlayıcı özelliklerini kullanın. | Bunları gerektiren iş yükleri için kaynakların dengelemesini denetlemeye yardımcı olur. |
| İş yükü mimarisi: Anlamlı iş yükü ölçeklendirme ölçümleri kullanın. | Tüm ölçek kararları CPU veya bellek ölçümlerinden türetilebilir. Ölçekle ilgili önemli noktalar genellikle daha karmaşık ve hatta dış veri noktalarından gelir. İş yükünüzle ilgili sinyalleri temel alan anlamlı bir otomatik ölçeklendirme kural kümesi oluşturmak için KEDA kullanın. |
Daha fazla öneri için bkz . Performans verimliliği sütunu ilkeleri.
İlke tanımları
Azure İlkesi, standart ilke tanımları gibi hem Azure kaynağı hem de AKS için geçerli olan çeşitli yerleşik ilke tanımları sunar ve küme içinde kubernetes için Azure İlkesi eklentisini kullanabilir. Azure kaynak ilkelerinin çoğu hem Denetim/Reddetme hem de Mevcut Değilse Dağıt değişkeninde gelir.
Bu yapıyla ilgili olarak burada özetlenen çok sayıda temel ilke vardır. Daha ayrıntılı bir görünüm için bkz . Kubernetes için yerleşik ilke tanımları.
Küme ve iş yükü mimarisi
- CPU ve bellek kaynak sınırları
Yerleşik ilkelere ek olarak, hem AKS kaynağı hem de Kubernetes için Azure İlkesi eklentisi için özel ilkeler oluşturulabilir. Bu, kümenizde ve iş yükü mimarinizde zorlamak istediğiniz ek güvenlik kısıtlamaları eklemenize olanak tanır.
Ek kaynaklar
Azure Mimari Merkezi kılavuzu
- AKS temel mimarisi
- Gelişmiş AKS mikro hizmetler mimarisi
- PCI-DSS iş yükü için AKS kümesi
- Çoklu bölge kümeleri için AKS temeli
Bulut Benimseme Çerçevesi kılavuzu
Sonraki adımlar
- Azure CLI'yi kullanarak Azure Kubernetes Service (AKS) kümesi dağıtma Hızlı Başlangıç: Azure CLI kullanarak Azure Kubernetes Service (AKS) kümesi dağıtma