叢集操作員和開發人員在 Azure Kubernetes Service (AKS) 上建置和管理應用程式的最佳做法
若要在 Azure Kubernetes Service (AKS) 中成功建置和執行應用程式,需要了解並實作一些重要概念,包括:
- 多租用戶和排程器功能。
- 叢集和 Pod 安全性。
- 商務持續性和災害復原。
AKS 產品群組、工程團隊及專業團隊 (包括全球黑帶大師 (GBB)) 撰寫了下列最佳做法和概念性文章、加以分組並對其做出貢獻。 其目的是協助叢集操作員和開發人員進一步了解上述概念,並實作適當功能。
叢集操作員最佳做法
如果您是叢集操作員,請與應用程式擁有者和開發人員合作,以了解其需求。 您接著可以使用下列最佳做法來設定 AKS 叢集,以滿足您的需求。
在應用程式開發和部署程序中應包含的重要做法是記得遵循常用的部署和測試模式。 在部署之前測試應用程式是確保其品質、功能和目標環境相容性的重要步驟。 這可協助您識別並修正可能會影響應用程式或基礎結構效能、安全性或可用性的任何錯誤、Bug 或問題。
多組織用戶管理
- 叢集隔離的最佳做法
- 包括多租用戶核心元件,以及利用命名空間進行邏輯隔離。
- 基本排程器功能的最佳做法
- 包括使用資源配額與 Pod 中斷預算。
- 進階排程器功能的最佳做法
- 包括使用污點與容忍、節點選取器與親和性,以及Inter-pod 親和性和反親和性。
- 驗證和授權的最佳做法
- 包括與 Microsoft Entra ID 的整合、使用 Kubernetes 角色型存取控制 (Kubernetes RBAC)、使用 Azure RBAC,以及 Pod 身分識別。
安全性
- 叢集安全性與升級的最佳做法
- 包括保護 API 伺服器的存取權、限制容器存取,以及管理升級和節點重新開機。
- 容器映像管理與安全性的最佳做法
- 包括保護映像與執行階段,以及以基底映像更新為基礎進行自動化建置。
- Pod 安全性的最佳做法
- 包括保護資源存取權、限制認證公開程度,以及使用 Pod 身分識別與數位金鑰保存庫。
網路和儲存體
- 網路連線的最佳做法
- 包括不同網路模型、使用輸入與 Web 應用程式防火牆 (WAF),以及保護節點 SSH 存取。
- 儲存體與備份的最佳做法
- 包括選擇適當的儲存體類型與節點大小,以動態方式佈建磁碟區與資料備份。
執行符合企業需求的工作負載
- 商務持續性和災害復原的最佳做法
- 包括搭配 Azure 流量管理員使用區域組、多個叢集,以及異地複寫的容器映像。
開發人員最佳做法
如果您是開發人員或應用程式擁有者,您可以簡化開發經驗,並定義必要的應用程式效能功能。
- 應用程式開發人員管理資源的最佳做法
- 包括定義 Pod 資源要求與限制、設定開發工具,以及檢查應用程式問題。
- Pod 安全性的最佳做法
- 包括保護資源存取權、限制認證公開程度,以及使用 Pod 身分識別與數位金鑰保存庫。
- 部署和叢集可靠性的最佳做法
- 包括部署、叢集和節點集區層級最佳做法。
Kubernetes 和 AKS 概念
下列概念性文章說明 AKS 中叢集的一些基本功能和元件:
下一步
如需設計 AKS 企業級實作的指導,請參閱規劃 AKS 設計。
