Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : ✔️ AKS Automatic ✔️ AKS Standard
La création et l’exécution d’applications avec succès dans Azure Kubernetes Service (AKS) requièrent la compréhension et l’implémentation de certains concepts clés, notamment :
- Fonctionnalités d’architecture mutualisée et de planificateur.
- Sécurité des clusters et des pods.
- La continuité d’activité et la reprise après sinistre.
Le groupe de produits AKS, les équipes d’ingénieurs et les équipes sur le terrain (notamment les global black belts (GBB)) ont contribué, rédigé et regroupé les meilleures pratiques et les articles conceptuels suivants. Leur but est d’aider les opérateurs et les développeurs de cluster à mieux comprendre les concepts ci-dessus et à implémenter les fonctionnalités appropriées.
Choisissez d’abord votre mode AKS
AKS prend en charge deux modes de cluster : AKS Automatic et AKS Standard. Choisissez AKS Automatic lorsque vous souhaitez une base prête pour la production avec moins de gestion de plateforme post-déploiement. Choisissez AKS Standard quand vous avez besoin d’un contrôle plus approfondi sur l’infrastructure et la configuration du cluster.
Les meilleures pratiques de cet article s’appliquent aux deux modes. Toutefois, la responsabilité de l’implémentation diffère par mode : AKS Automatic fournit des valeurs par défaut plus préconfigurées, tandis que AKS Standard nécessite généralement une configuration d’opérateur plus explicite.
| Domaine | AKS Automatic | AKS Standard |
|---|---|---|
| Configuration du cluster de référence | Autres valeurs par défaut préconfigurées | Choix de configuration plus explicites |
| Pools de nœuds système | Modèle géré par le service | Modèle géré par l’opérateur |
| Contrôles de base de référence de sécurité | Plusieurs contrôles sont préconfigurés dans les scénarios courants | Les contrôles sont couramment activés et gérés par les opérateurs |
| Base de référence de mise en réseau | Valeurs par défaut avisées pour les modèles courants | Flexibilité plus large de la configuration |
| Mises à niveau et opérations | Comportement opérationnel plus managé | Comportement plus dirigé par l’opérateur |
| Focus sur les meilleures pratiques | Valider, régir et régler les valeurs par défaut | Concevoir et configurer des contrôles de plateforme |
Meilleures pratiques pour l’opérateur de cluster
Si vous êtes un opérateur de cluster, travaillez avec les propriétaires d’applications et les développeurs afin de comprendre leurs besoins. Ensuite, vous pouvez utiliser les meilleures pratiques suivantes pour configurer vos clusters AKS en fonction de vos besoins.
Une pratique importante à inclure dans votre processus de développement et de déploiement d’application est de vous rappeler de suivre les modèles de déploiement et de test couramment utilisés. Le test de votre application avant le déploiement est une étape importante visant à garantir sa qualité, sa fonctionnalité et sa compatibilité avec l’environnement cible. Il peut vous aider à identifier et à corriger des erreurs, des bogues ou des problèmes susceptibles d’affecter le niveau de performance, la sécurité ou la facilité d’utilisation de l’application ou de l’infrastructure sous-jacente.
Dans AKS Standard, les opérateurs implémentent généralement plus de contrôles de plateforme directement. Dans AKS Automatic, les opérateurs se concentrent généralement davantage sur la validation des valeurs par défaut gérées par le service, la définition de garde-fous et le réglage des limites de stratégie et de charge de travail.
Mutualisation
Les recommandations relatives à l’architecture mutualisée s’appliquent aux deux modes. Dans AKS Automatic, les valeurs par défaut du cluster de référence peuvent réduire le travail d’installation initial. Dans AKS Standard, les équipes de plateforme configurent généralement plus de contrôles de location et de planification explicitement.
- Bonnes pratiques pour l’isolation du cluster : inclut les composants principaux multilocataires et l’isolation logique avec les espaces de noms.
- Meilleures pratiques pour les fonctionnalités de base du planificateur : Cela inclut l’utilisation de quotas de ressources et de budgets de perturbation des pods.
- Bonnes pratiques pour les fonctionnalités avancées du planificateur : comprend l’utilisation des taints et des tolérations, des sélecteurs de nœuds et de l’affinité de nœud, ainsi que de l’affinité et de l’anti-affinité inter-pods.
- Concepts d’authentification du cluster : comprend l’intégration avec Microsoft Entra ID, l’utilisation du contrôle d’accès basé sur les rôles Kubernetes (Kubernetes RBAC) et l’utilisation d’Azure RBAC.
- Concepts d'autorisation de clusters : inclut l’intégration avec Microsoft Entra ID, à l’aide du contrôle d’accès en fonction du rôle Kubernetes (Kubernetes RBAC), d’Azure RBAC et des identités de pod.
Sécurité
Les conseils de sécurité s’appliquent aux deux modes. AKS Automatic inclut des valeurs par défaut de sécurité préconfigurées pour de nombreux scénarios courants, tandis que AKS Standard nécessite généralement une activation explicite et la propriété du cycle de vie d’un plus grand nombre de contrôles.
- Meilleures pratiques pour la sécurité et les mises à niveau du cluster : inclut la sécurisation de l’accès au serveur d’API, la limitation de l’accès au conteneur et la gestion des mises à niveau et des redémarrages de nœuds.
- Meilleures pratiques pour la gestion et la sécurité des images de conteneur : comprend la sécurisation de l’image et des environnements d’exécution, ainsi que la génération automatisée lors des mises à jour des images de base.
- Bonnes pratiques pour sécuriser les pods : cela comprend la sécurisation de l’accès aux ressources, la limitation de l’exposition des identifiants et l’utilisation d’identités de pods et de coffres de clés numériques.
Base de référence de sécurité automatique AKS
AKS Automatic est conçu avec une ligne de base renforcée et des contrôles préconfigurés pour de nombreux scénarios de production. Utilisez les articles sur les meilleures pratiques de sécurité pour valider la posture, gérer les exceptions et s’aligner sur les exigences de stratégie d’entreprise.
Pour connaître le comportement et l’étendue des fonctionnalités actuels, consultez Présentation d’AKS Automatic.
Réseau et stockage
Les bonnes pratiques relatives au réseau et au stockage s’appliquent aux deux modes. AKS Automatic fournit des valeurs par défaut plus avisées pour les modèles courants, tandis que AKS Standard offre une flexibilité de configuration et un contrôle d’opérateur plus larges.
- Bonnes pratiques pour la connectivité réseau : inclut différents modèles réseau, à l’aide d’entrées et de pare-feu d’applications web (WAF) et de sécurisation de l’accès SSH du nœud.
- Meilleures pratiques pour le stockage et les sauvegardes : inclut le choix du type de stockage et de la taille de nœud appropriés, de l’approvisionnement dynamique des volumes et des sauvegardes de données.
Exécution de charges de travail prêtes à l’emploi en entreprise
Les pratiques de fiabilité et de récupération s’appliquent aux deux modes. AKS Automatic peut simplifier les opérations de base, tandis qu’AKS Standard offre un meilleur contrôle au moment du design pour les architectures spécialisées.
- Bonnes pratiques pour la continuité d’activité et la reprise d’activité après sinistre : comprend l’utilisation de paires de régions, de plusieurs clusters avec Azure Traffic Manager et de la géoréplication d’images de conteneur.
Meilleures pratiques de développement
Si vous êtes développeur ou propriétaire d’application, vous pouvez simplifier votre expérience de développement et définir les fonctionnalités requises des performances de l’application.
Les conseils du développeur s’appliquent aux deux modes. Dans AKS Automatic, les équipes peuvent généralement se déplacer plus rapidement avec des bases de cluster préconfigurées. Dans AKS Standard, les développeurs doivent aligner les hypothèses sur les choix de configuration de cluster d’équipe de plateforme.
- Meilleures pratiques pour les développeurs d’applications à gérer les ressources : inclut la définition des demandes et limites des ressources de pod, la configuration des outils de développement et la vérification des problèmes d’application.
- Bonnes pratiques pour sécuriser les pods : cela comprend la sécurisation de l’accès aux ressources, la limitation de l’exposition des identifiants et l’utilisation d’identités de pods et de coffres de clés numériques.
- Meilleures pratiques pour le déploiement et la fiabilité du cluster : inclut les meilleures pratiques au niveau du déploiement, du cluster et du pool de nœuds.
Concepts Kubernetes et AKS
Les articles conceptuels suivants couvrent certaines des fonctionnalités et composants fondamentaux des clusters dans AKS :
- Concepts de base de Kubernetes
- Accès et identité
- Concepts de sécurité
- Concepts de réseau
- Options de stockage
- Options de scaling
Contenu connexe
Pour obtenir des conseils sur la conception d’une implémentation d’AKS à l’échelle de l’entreprise, consultez Planifier votre conception AKS.
Pour choisir le mode de cluster approprié pour votre charge de travail et votre modèle d’exploitation, consultez la comparaison des fonctionnalités AKS Automatic et AKS Standard.
Pour plus d’informations sur AKS, consultez la documentation suivante :