AKS 的資源組織考量 (選用)

  • 發行項

資源組織考慮主要是由平臺基礎管理,但以下是平臺基礎可能會影響 AKS 登陸區域加速器的一些方式。

由一般企業規模登陸區域建議所決定的整體訂用帳戶和資源群組的設計,將在 AKS 資源組織管理方式中扮演基本的角色。 如管理群組和訂用帳戶組織中所述,管理群組和訂用帳戶可用來將原則指派給其下的資源,而訂用帳戶則是用於治理和隔離資源的管理界限。

例如,如果您有公用和私人應用程式,請將它們分成不同的訂用帳戶,並命名為 CorpOnline,然後將不同的原則指派給每個訂用帳戶。 Corp 訂用帳戶有會防止建立公用 IP 位址的原則。 Online 訂用帳戶會允許網際網路連線。 如需在企業規模登陸區域設計中,要在哪些層級套用哪些原則的詳細資訊 (包括 AKS 特定原則),請參閱企業規模登陸區域參考實作中包含的原則

設計考量

  • 決定誰將管理容器主機:

    • 如果是集中管理主機,您可以減少登陸區域執行個體的數目,並要求開發人員遵循定義的程序來部署主機,以及對工作負載層級作業使用共用儀表板和警示。

    • 如果工作負載小組會管理主機,您將需要更多登陸區域執行個體來分割主機環境,並允許工作負載小組控制其部署。

    • 在這兩種情況下,您可以將此考量延伸至相鄰和相關的資源,例如 Web 應用程式防火牆、金鑰保存庫、管線建置代理程式,以及可能的跳躍箱。

  • 選擇叢集的租用模型:

    • 工作負載運作,單一租用戶:支援單一工作負載的單一叢集主機可能需要專用的登陸區域,以允許工作負載小組進行分割及控制。

    • 集中運作的多租用戶主機:當主機受到集中管理時,作業效率會來自於共用登陸區域環境中的多部主機和多個工作負載的彙總。 此彙總可減少單一叢集或工作負載支援所專用的登陸區域和主機數目。

      如果需要根據區域、業務單位、環境、重要性或其他外部限制來分隔分割,可能需要其他登陸區域。

    • 集中操作的單一租用戶,用於仍集中作業的對立或受管制工作負載,經常有針對這些工作負載的專用主機。 您仍可以藉由彙總支援的登陸區域,來體驗作業效率。

  • 根據支援整體組合需求所需的環境和主機的一般規模和一致性,選擇管理群組階層:

    • 在專用環境中支援許多專用主機的平面結構,適用於每個工作負載小組執行的非集中式作業。
    • 分割的結構,以為集中管理的主機建立管理群組,並為非集中式作業建立個別的管理群組。
    • 階層式結構可進一步分割環境,以反映計費、治理或作業需求。

  • 決定要用於 OCI 成品散發的容器登錄拓撲:

    • 每個工作負載一個登錄。
    • 每個叢集一個登錄,登錄中有多個工作負載。
    • 登陸區域中的所有叢集一個登錄,相同登錄中有多個工作負載和叢集。
    • 跨多個登陸區域的所有叢集一個登錄,相同登錄中有多個工作負載和叢集。

  • 決定 Azure 原則中容器登錄原則的範圍:

    • 在訂用帳戶層級設定原則,要求登陸區域中的所有主機都使用已定義的登錄。
    • 在資源群組層級設定更細微的原則。
    • 在管理群組層級設定更廣泛的原則。

設計建議

  • 定義要套用至部署至 Azure 的所有容器資源的命名和標記標準。 至少應該包含:
    • 工作負載名稱:識別每個叢集所支援的一或多個工作負載。
      • 叢集資源:識別來自前述考量叢集資源一致性的權限提高。
      • 主機操作員:識別哪一個小組負責主機的作業。
  • 根據您組織的容器登錄拓撲,實作原則以要求特定的 OCI 成品登錄。