Delen via

Moderne toepassingsplatformoplossingen beheren

  • Artikel

Het Cloud Adoption Framework biedt een methodologie om de governance van uw cloudportfolio systematisch en incrementeel te verbeteren. Dit artikel laat zien hoe u uw governancebenadering kunt uitbreiden naar Kubernetes-clusters die zijn geïmplementeerd in Azure of andere openbare of privéclouds.

Eerste governancestructuur

Governance begint met een eerste governancebasis die vaak wordt aangeduid als een governance-MVP. Met deze basis worden de basisproducten van Azure geïmplementeerd die nodig zijn voor het leveren van governance in uw cloudomgeving.

De eerste governancebasis richt zich op de volgende aspecten van governance:

  • Basis hybride netwerk en connectiviteit.
  • Op rollen gebaseerd toegangsbeheer van Azure (RBAC) voor identiteits- en toegangsbeheer.
  • Naamgevings- en tagstandaarden voor consistente identificatie van resources.
  • Organisatie van resources met behulp van resourcegroepen, abonnementen en beheergroepen.
  • Azure Policy gebruiken om governancebeleid af te dwingen.

Deze functies van de eerste governancebasis kunnen worden gebruikt om instanties van moderne toepassingsplatformoplossingen te beheren. Maar eerst moet u enkele onderdelen toevoegen aan de eerste basis om Azure Policy toe te passen op uw containers. Zodra de configuratie is uitgevoerd, kunt u Azure Policy en uw eerste governancebasis gebruiken om de volgende typen containers te beheren:

Uitbreiden over governancedisciplines

De eerste governancebasis kan worden gebruikt om uit te breiden op verschillende disciplines van governance om consistente, stabiele implementatiemethoden te garanderen voor al uw Kubernetes-exemplaren.

Governance van Kubernetes-clusters kan worden bekeken met vijf verschillende perspectieven.

Azure-resourcebeheer

De eerste is het perspectief van de Azure-resource. Ervoor zorgen dat alle clusters voldoen aan de vereisten van uw organisatie. Dit omvat concepten zoals netwerktopologie, privécluster, Azure RBAC-rollen voor SRE-teams, diagnostische instellingen, regiobeschikbaarheid, overwegingen voor knooppuntgroepen, Azure Container Registry-governance, Azure Load Balancer-opties, AKS-invoegtoepassingen, diagnostische instellingen, enzovoort. Deze governance zorgt voor consistentie in 'uiterlijk' en 'topologie' van clusters in uw organisaties. Dit moet ook worden uitgebreid naar opstartstrapping na de clusterimplementatie, zoals welke beveiligingsagents moeten worden geïnstalleerd en hoe ze moeten worden geconfigureerd.

Snowflake-clusters zijn moeilijk te beheren in elke centrale capaciteit. Minimaliseer verschillen tussen clusters, zodat beleidsregels uniform en afwijkende clusters kunnen worden toegepast, worden afgeraden en detecteerbaar. Dit kan ook technologieën bevatten die worden gebruikt voor het implementeren van de clusters, zoals ARM, Bicep of Terraform.

Azure Policy die wordt toegepast op beheergroep/abonnementsniveau kan helpen bij het leveren van veel van deze overwegingen, maar niet allemaal.

Beheer van Kubernetes-workloads

Omdat Kubernetes zelf een platform is, is de tweede de governance van wat er binnen een cluster gebeurt. Dit omvat zaken zoals naamruimterichtlijnen, netwerkbeleid, Kubernetes RBAC, limieten en quota. Dit wordt toegepast op de workloads, minder op het cluster. Elke workload zal uniek zijn, omdat ze allemaal verschillende zakelijke problemen oplossen en op verschillende manieren worden geïmplementeerd met verschillende technologieën. Er zijn mogelijk niet veel 'één grootte past bij alle' governanceprocedures, maar u moet rekening houden met governance rond het maken/verbruik van OCI-artefacten, vereisten voor de toeleveringsketen, het gebruik van openbare containerregisters, het proces voor het quarantieren van installatiekopieën, het implementatiepijplijnbeheer.

Overweeg ook om algemene hulpprogramma's en patronen te standaardiseren, indien mogelijk. Aanbevelingen voor technologieën zoals Helm, service-mesh, ingangscontrollers, GitOps-operators, permanente volumes, enzovoort. Hier is ook governance opgenomen rond het gebruik van door pod beheerde identiteiten en hetbronnen van geheimen uit Key Vault.

Vergroot de verwachtingen rond de toegang tot telemetrie om ervoor te zorgen dat eigenaren van werkbelastingen de juiste toegang hebben tot de metrische gegevens en gegevens die ze nodig hebben om hun product te verbeteren, terwijl er ook voor zorgt dat clusteroperators toegang hebben tot systeemtelemetrie om hun serviceaanbod te verbeteren. Gegevens moeten vaak worden gecorreleerd tussen de twee, en zorgen ervoor dat governancebeleid wordt geïmplementeerd om zo nodig de juiste toegang te garanderen.

Azure Policy voor AKS die op clusterniveau wordt toegepast, kan een aantal hiervan helpen leveren, maar niet alle.

Clusteroperatorrollen (DevOps, SRE)

De derde is governance rond clusteroperatorrollen. Hoe werken SRE-teams met clusters? Wat is de relatie tussen dat team en het workloadteam. Zijn ze hetzelfde? Clusteroperators moeten een duidelijk gedefinieerd playbook hebben voor clustersorageactiviteiten, zoals hoe ze toegang hebben tot de clusters, waar ze toegang hebben tot de clusters en welke machtigingen ze hebben voor de clusters, en wanneer zijn deze machtigingen toegewezen. Zorg ervoor dat er onderscheid wordt gemaakt in governancedocumentatie, beleid en trainingsmateriaal rond workloadoperator versus clusteroperator in deze context. Afhankelijk van uw organisatie zijn ze mogelijk hetzelfde.

Cluster per workload of veel workloads per cluster

De vierde is governance op multitenancy. Dat wil zeggen dat clusters een 'like grouping' van toepassingen bevatten die eigendom zijn van, per definitie, allemaal door hetzelfde workloadteam en één set gerelateerde workloadonderdelen vertegenwoordigen. Of moeten clusters per ontwerp multitenant van aard zijn met meerdere verschillende workloads en workloadeigenaren; wordt uitgevoerd en beheerd, zoals een aanbieding voor beheerde services binnen de organisatie. De governancestrategie is met name voor elke strategie verschillend en daarom moet u bepalen dat uw gekozen strategie wordt afgedwongen. Als u beide modellen moet ondersteunen, moet u ervoor zorgen dat uw governanceplan duidelijk is gedefinieerd voor welke beleidsregels van toepassing zijn op welke typen clusters.

Deze keuze moet zijn gemaakt tijdens de strategiefase , omdat dit aanzienlijke gevolgen heeft voor personeel, budgettering en innovatie.

Blijf op de hoogte van uw inspanningen

De vijfde bestaat uit bewerkingen, zoals nieuwheid van knooppuntinstallatiekopieën (patching) en Kubernetes-versiebeheer. Wie is verantwoordelijk voor upgrades van knooppuntinstallatiekopieën, het bijhouden van toegepaste patches, het bijhouden en samenstellen van herstelplannen voor Kubernetes en AKS, veelvoorkomende beveiligingsproblemen en blootstellingen van AKS? Workloadteams moeten betrokken zijn bij het valideren van hun oplossing voor clusterupgrades en als uw clusters niet actueel zijn, vallen ze buiten Azure-ondersteuning. Het hebben van een sterk beheer rond 'up-date' inspanningen is essentieel in AKS, meer dus de meeste andere platforms in Azure. Dit vereist een zeer nauwe werkrelatie met toepassingsteams en toegewezen tijd door hen, ten minste maandelijks, voor workloadvalidatie om ervoor te zorgen dat clusters actueel blijven. Zorg ervoor dat alle teams die afhankelijk zijn van Kubernetes, inzicht hebben in de vereisten en kosten van deze doorlopende inspanning, die zolang ze zich op het platform bevinden.

Beveiligingsbasislijn

De volgende aanbevolen procedures kunnen worden toegevoegd aan uw beveiligingsbasislijn om rekening te houden met de beveiliging van uw AKS-clusters:

Identiteit

Er zijn veel aanbevolen procedures die u kunt toepassen op uw identiteitsbasislijn om consistent identiteits- en toegangsbeheer in uw Kubernetes-clusters te garanderen:

Volgende stap: Moderne oplossingen voor het toepassingsplatform beheren

In de volgende artikelen vindt u richtlijnen op specifieke punten in het cloudacceptatietraject om u te helpen succesvol te zijn in het scenario voor cloudimplementatie.