你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
AKS 资源组织注意事项(可选)
资源组织考虑主要由平台基础管理,但以下是平台基础可能影响 AKS 着陆区加速器的一些方式。
由通用企业规模登陆区域建议确定的整体订阅和资源组设计将在 AKS 资源组织的管理方式中起基础作用。 如管理组和订阅组织中所述,管理组和订阅用于将策略分配给其下的资源,而订阅是资源治理和隔离的管理边界。
例如,如果你有公共和专用应用程序,请将它们分为不同的订阅(称为 Corp 和 Online)并为每个订阅分配不同的策略。 Corp 订阅具有阻止创建公共 IP 地址的策略。 Online 订阅允许 Internet 连接。 有关在企业规模登陆区域设计中的哪个级别应用了哪些策略(包括 AKS 特定策略),请参阅企业规模登陆区域参考实现中包含的策略。
设计注意事项
确定谁将管理容器主机:
如果主机集中管理,可以减少登陆区域实例的数量,并要求开发人员遵循定义的过程来部署主机和使用共享仪表板与警报执行工作负载级操作。
如果工作负载团队管理主机,则需要更多的登陆区域实例来将主机环境分段,并允许工作负载团队控制其部署。
在这两种情况下,请将此注意事项扩展到相邻和相关资源,例如 Web 应用程序防火墙、密钥保管库、管道生成代理以及可能的跳转盒。
为群集选择租户模型:
工作负载运行的单租户:支持单个工作负载的单群集主机可能需要专用登陆区域,以便进行工作负载团队分段和控制。
集中运行的多租户主机:当主机集中管理时,运行效率来自在共享登陆区域环境中合并多个主机和多个工作负载。 这种合并减少了专用于支持单个群集或工作负载的登陆区域和主机的数量。
如果需要根据区域、业务部门、环境、关键性或其他外部约束进行分段,可能需要其他登陆区域。
集中运行的单租户,用于仍在集中运行的恶意或受控制的工作负载,这些工作负载通常有专用主机。 通过合并支持登陆区域,你仍可能会遇到运营效率问题。
根据支持总体项目组合要求所需的环境和主机的一般规模和一致性,选择管理组层次结构:
- 平面结构可支持专用环境中许多专用主机用于每个工作负载团队进行的分散运营。
- 分段结构可为集中管理的主机创建管理组,为分散运营创建单独的管理组。
- 层次结构可进一步细分环境,以反映计费、治理或运营要求。
确定用于 OCI 工件分发的容器注册表拓扑:
- 每个工作负载一个注册表。
- 每个群集一个注册表,注册表中有多个工作负载。
- 登陆区域中的所有群集一个注册表,并且同一注册表中有多个工作负荷和群集。
- 多个登陆区域中的所有群集一个注册表,并且同一注册表中有多个工作负荷和群集。
确定 Azure Policy 中容器注册表策略的范围:
- 在订阅级别设置策略,要求登陆区域的所有主机都使用定义的注册表。
- 在资源组级别设置更精细的策略。
- 在管理组级别设置更广泛的策略。
设计建议
- 定义要应用于部署到 Azure 的所有容器资源的命名和标记标准。 至少应包括:
- 工作负荷名称:确定每个群集支持的工作负荷。
- 群集资源:前面的注意事项确定群集资源一致性的提升。
- 主机操作员:确定哪个团队负责操作主机。
- 工作负荷名称:确定每个群集支持的工作负荷。
- 实施策略,根据组织的容器注册表拓扑要求使用特定的 OCI 项目注册表。