在 Azure Kubernetes 服务 (AKS) 中成功生成并运行应用程序需要了解和实现一些关键概念,其中包括:
- 多租户和计划程序功能。
- 群集和 Pod 安全性。
- 业务连续性和灾难恢复。
以下最佳做法和概念文章由 AKS 产品组、工程团队和现场团队(包括全球黑带 (GBB))提供、撰写并分组。 他们的目的是帮助群集操作员和开发人员更好地了解上述概念并实现相应的功能。
群集操作员最佳做法
如果你是群集操作员,需要与应用程序所有者和开发人员协作,了解他们的需求。 然后就可以使用以下最佳做法来配置 AKS 群集以满足你的需求。
作为应用程序开发和部署过程的一部分,应包括的重要做法是记住遵循常用的部署和测试模式。 在部署之前测试应用程序是确保其质量、功能和与目标环境的兼容性的重要步骤。 它可以帮助你识别和修复可能影响应用程序或底层基础结构的性能、安全性或可用性的任何错误、bug 或问题。
多租户
- 群集隔离的最佳做法:包括具有命名空间的多租户核心组件和逻辑隔离。
- 基本调度器功能的最佳实践:包括使用资源配额和 Pod 中断预算。
- 高级调度器功能的最佳实践:包括使用污点和容忍度、节点选择器和亲和性,以及 Pod 间亲和性和反亲和性。
- Cluster 身份验证概念:包括与 Microsoft Entra ID 的集成、使用 Kubernetes 基于角色的访问控制(Kubernetes RBAC)以及使用 Azure RBAC。
- 群集授权概念:包括与 Microsoft Entra ID 的集成、使用 Kubernetes 基于角色的访问控制(Kubernetes RBAC)、使用 Azure RBAC,以及 Pod 标识。
安全性
- 群集安全性和升级的最佳做法:包括保护对 API 服务器的访问、限制容器访问和管理升级和节点重启。
- 容器映像管理和安全性的最佳做法:包括保护映像和运行时以及基于基础映像更新的自动生成。
- Pod 安全性的最佳做法:包括保护对资源的访问、限制凭据公开以及使用 Pod 标识和数字密钥保管库。
网络和存储
- 网络连接的最佳做法:包括不同的网络模型,使用入口和 Web 应用程序防火墙(WAF),以及保护节点 SSH 访问。
- 存储和备份的最佳做法:包括选择适当的存储类型和节点大小、动态预配卷和数据备份。
运行企业就绪型工作负荷
- 业务连续性和灾难恢复的最佳做法:包括使用区域对、具有Azure 流量管理器的多个群集以及容器映像的异地复制。
开发人员最佳做法
如果你是开发人员或应用程序所有者,你可以简化开发体验并定义必要的应用程序性能功能。
- 应用程序开发人员管理资源的最佳做法:包括定义 Pod 资源请求和限制、配置开发工具以及检查应用程序问题。
- Pod 安全性的最佳做法:包括保护对资源的访问、限制凭据公开以及使用 Pod 标识和数字密钥保管库。
- 部署和群集可靠性的最佳做法:包括部署、群集和节点池级别最佳做法。
Kubernetes 和 AKS 概念
以下概念性文章介绍了 AKS 中群集的一些基本功能和组件: