Udostępnij za pośrednictwem

Zarządzanie nowoczesnymi rozwiązaniami platformy aplikacji

  • Artykuł

Przewodnik Cloud Adoption Framework zawiera metodologię systematycznego i przyrostowego ulepszania ładu portfela chmury. W tym artykule pokazano, jak rozszerzyć podejście ładu do klastrów Kubernetes wdrożonych na platformie Azure lub w innych chmurach publicznych lub prywatnych.

Początkowe podstawy ładu

Ład zaczyna się od początkowej podstawy ładu, często określanej jako MVP ładu. Ta podstawa wdraża podstawowe produkty platformy Azure wymagane do zapewnienia ładu w środowisku chmury.

Początkowa podstawa ładu koncentruje się na następujących aspektach ładu:

  • Podstawowa sieć hybrydowa i łączność.
  • Kontrola dostępu oparta na rolach (RBAC) na platformie Azure na potrzeby tożsamości i kontroli dostępu.
  • Standardy nazewnictwa i tagowania w celu spójnej identyfikacji zasobów.
  • Organizacja zasobów przy użyciu grup zasobów, subskrypcji i grup zarządzania.
  • Zastosuj usługę Azure Policy, aby wymusić zasady ładu.

Te funkcje początkowej podstawy ładu mogą służyć do zarządzania wystąpieniami nowoczesnych rozwiązań platformy aplikacji. Najpierw należy jednak dodać kilka składników do początkowej podstawy, aby zastosować usługę Azure Policy do kontenerów. Po skonfigurowaniu można użyć usługi Azure Policy i początkowej podstawy ładu, aby zarządzać następującymi typami kontenerów:

Rozwijanie dziedzin ładu

Początkowa podstawa ładu może służyć do rozszerzania różnych dziedzin ładu w celu zapewnienia spójnych, stabilnych podejść wdrażania we wszystkich wystąpieniach platformy Kubernetes.

Zarządzanie klastrami Kubernetes można przyjrzeć się pięcioma odrębnymi perspektywami.

Nadzór nad zasobami platformy Azure

Pierwsza to perspektywa zasobu platformy Azure. Zapewnienie, że wszystkie klastry są zgodne z wymaganiami organizacji. Obejmuje to takie pojęcia jak topologia sieci, klaster prywatny, role RBAC platformy Azure dla zespołów SRE, ustawienia diagnostyczne, dostępność regionów, zagadnienia dotyczące puli węzłów, ład usługi Azure Container Registry, opcje usługi Azure Load Balancer, dodatki usługi AKS, ustawienia diagnostyczne itd. Ten ład zapewnia spójność w zakresie "wyglądu i działania" i "topologii" klastrów w organizacjach. Powinno to również obejmować uruchamianie po wdrożeniu klastra, takie jak agenty zabezpieczeń, którzy muszą być zainstalowani i jak należy je skonfigurować.

Klastry snowflake są trudne do zarządzania w każdej centralnej pojemności. Zminimalizuj rozbieżności między klastrami, aby zasady mogły stosować jednolicie i nietypowe klastry są zniechęcane i wykrywalne. Może to również obejmować technologie używane do wdrażania klastrów, takich jak ARM, Bicep lub Terraform.

Usługa Azure Policy zastosowana na poziomie grupy zarządzania/subskrypcji może pomóc w zapewnieniu wielu z tych zagadnień, ale nie wszystkich.

Nadzór nad obciążeniem platformy Kubernetes

Ponieważ platforma Kubernetes jest platformą, drugim jest zarządzanie tym, co dzieje się w klastrze. Obejmuje to takie elementy jak wskazówki dotyczące przestrzeni nazw, zasady sieci, kontrola dostępu na podstawie ról kubernetes, limity i limity przydziału. Byłoby to zarządzanie stosowane do obciążeń, mniej do klastra. Każde obciążenie będzie unikatowe, ponieważ wszystkie rozwiążą różne problemy biznesowe i zostaną zaimplementowane na różne sposoby z różnymi technologiami. Może nie istnieć wiele rozwiązań ładu "jeden rozmiar pasujący do wszystkich", ale należy rozważyć ład wokół tworzenia/zużycia artefaktów OCI, wymagań łańcucha dostaw, użycia publicznego rejestru kontenerów, procesu kwarantowania obrazów, ładu potoku wdrażania.

Należy również rozważyć standaryzację typowych narzędzi i wzorców, jeśli jest to możliwe do wykonania. Przedstawić zalecenia dotyczące technologii, takich jak Helm, siatka usług, kontrolery ruchu przychodzącego, operatory GitOps, woluminy trwałe itd. W tym miejscu można również zarządzać użyciem tożsamości zarządzanej zasobnika i określaniem źródła wpisów tajnych z usługi Key Vault.

Zwiększ duże oczekiwania dotyczące dostępu do danych telemetrycznych, aby zapewnić właścicielom obciążeń odpowiedni dostęp do metryk i danych, których potrzebują, aby ulepszyć swój produkt, a jednocześnie zapewnić operatorom klastra dostęp do telemetrycznej systemu w celu ulepszenia oferty usług. Dane często muszą być skorelowane krzyżowo między nimi. Upewnij się, że zasady ładu są spełnione, aby zapewnić odpowiedni dostęp w razie potrzeby.

Usługa Azure Policy dla usługi AKS zastosowana na poziomie klastra może pomóc w ich dostarczaniu, ale nie wszystkich.

Role operatorów klastra (DevOps, SRE)

Trzeci to ład wokół ról operatorów klastra. Jak zespoły SRE współdziałają z klastrami? Jaka jest relacja między tym zespołem a zespołem obciążeń. Czy są one takie same? Operatorzy klastrów powinni mieć jasno zdefiniowany podręcznik dla działań klasyfikacji klastra, takich jak sposób uzyskiwania dostępu do klastrów, z miejsca, w którym uzyskują dostęp do klastrów, oraz uprawnienia, które mają w klastrach, oraz kiedy są przypisane te uprawnienia. Upewnij się, że wszelkie różnice są wprowadzane w dokumentacji ładu, zasadach i materiałach szkoleniowych dotyczących operatora obciążenia a operatora klastra w tym kontekście. W zależności od organizacji mogą one być takie same.

Klaster na obciążenie lub wiele obciążeń na klaster

Czwartym jest nadzór nad wielodostępnością. Oznacza to, że klastry powinny zawierać "takie jak grupowanie" aplikacji należących do tego samego zespołu obciążeń i reprezentować jeden zestaw powiązanych składników obciążenia. Lub jeśli klastry mają charakter wielodostępny z wieloma różnymi obciążeniami i właścicielami obciążeń; uruchamianie i zarządzanie jak oferta usługi zarządzanej w organizacji. Strategia zapewniania ładu jest szczególnie inna dla każdego z nich i w związku z tym należy zarządzać wymuszaną wybraną strategią. Jeśli musisz obsługiwać oba modele, upewnij się, że plan zapewniania ładu jest jasno zdefiniowany dla tego, dla których typów klastrów mają zastosowanie zasady.

Ten wybór powinien zostać dokonany w fazie strategii, ponieważ ma znaczący wpływ na zatrudnienie, budżetowanie i innowacje.

Bądź na bieżąco

Piąta dotyczy operacji, takich jak świeżość obrazu węzła (stosowanie poprawek) i przechowywanie wersji platformy Kubernetes. KtoTo odpowiada za uaktualnienia obrazów węzłów, śledzenie zastosowanych poprawek, śledzenie i łączenie planów korygowania dla platform Kubernetes i AKS typowych luk w zabezpieczeniach i ekspozycji? Zespoły ds. obciążeń muszą być zaangażowane w weryfikowanie swojego rozwiązania w przypadku uaktualnień klastrów, a jeśli klastry nie są aktualne, nie zostaną one wycofane z pomocy technicznej platformy Azure. Posiadanie silnego ładu w zakresie "utrzymania bieżących" wysiłków ma kluczowe znaczenie w usłudze AKS, więc większość innych platform na platformie Azure. Będzie to wymagało bardzo ścisłej relacji roboczej z zespołami aplikacji i poświęcania im czasu, co najmniej co miesiąc, w celu weryfikacji obciążenia, aby zapewnić, że klastry pozostaną na bieżąco. Upewnij się, że wszystkie zespoły zależne od platformy Kubernetes rozumieją wymagania i koszty tego ciągłego wysiłku, które będą trwać tak długo, jak długo znajdują się na platformie.

Punkt odniesienia zabezpieczeń

Do punktu odniesienia zabezpieczeń można dodać następujące najlepsze rozwiązania, aby uwzględnić zabezpieczenia klastrów usługi AKS:

Tożsamość

Istnieje wiele najlepszych rozwiązań, które można zastosować do punktu odniesienia tożsamości, aby zapewnić spójne zarządzanie tożsamościami i dostępem w klastrach Kubernetes:

Następny krok: Zarządzanie nowoczesnymi rozwiązaniami platformy aplikacji

W poniższych artykułach znajdziesz wskazówki dotyczące konkretnych punktów podróży wdrażania chmury, aby pomóc Ci w pomyślnym scenariuszu wdrażania chmury.