Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: ✔️ Servizio Azure Kubernetes Standard automatico ✔️ Servizio Azure Kubernetes standard
La compilazione e l'esecuzione in modo corretto di applicazioni nel servizio Azure Kubernetes richiedono la comprensione e l'implementazione di alcuni concetti chiave, tra cui:
- Funzionalità multi-tenancy e funzionalità di pianificazione.
- Sicurezza di cluster e pod.
- Continuità aziendale e ripristino di emergenza.
Il team del prodotto AKS, i team di ingegneria e i team sul campo, inclusi i Global Black Belt (GBB), hanno contribuito a, scritto e raggruppato le seguenti best practice e articoli concettuali. Il loro scopo è aiutare gli operatori del cluster e gli sviluppatori a comprendere meglio i concetti precedenti e implementare le funzionalità appropriate.
Scegli per prima la modalità AKS
AKS supporta due modalità del cluster: AKS Automatic e AKS Standard. Scegliere AKS Automatic quando si vuole una configurazione di base pronta per la produzione con meno attività di gestione della piattaforma successive alla distribuzione. Scegliere AKS Standard quando è necessario un controllo più approfondito sull'infrastruttura e la configurazione del cluster.
Le procedure consigliate in questo articolo si applicano a entrambe le modalità. Tuttavia, la responsabilità dell'implementazione varia in base alla modalità: Il servizio Azure Kubernetes Automatico fornisce impostazioni predefinite più preconfigurate, mentre lo standard del servizio Azure Kubernetes richiede in genere una configurazione dell'operatore più esplicita.
| Area | AKS Automatico | Servizio Azure Kubernetes Standard |
|---|---|---|
| Configurazione del cluster di base | Più impostazioni predefinite | Opzioni di configurazione più esplicite |
| Pool di nodi di sistema | Modello gestito dal servizio | Modello gestito dall'operatore |
| Controlli di sicurezza di base | Diversi controlli sono preconfigurati in scenari comuni | I controlli sono comunemente abilitati e gestiti dagli operatori |
| Baseline di rete | Impostazioni predefinite con opinioni per i modelli comuni | Flessibilità di configurazione più ampia |
| Aggiornamenti e operazioni | Comportamento operativo più gestito | Altro comportamento indirizzato all'operatore |
| Focus sulle procedure consigliate | Convalidare, gestire e ottimizzare le impostazioni predefinite | Progettare e configurare i controlli della piattaforma |
Procedure consigliate per gli operatori di cluster
Si consiglia agli operatori di cluster di collaborare con i proprietari di applicazioni e gli sviluppatori per comprendere le proprie esigenze. Quindi, è possibile usare le procedure consigliate seguenti per configurare i cluster del servizio Azure Kubernetes (AKS) per soddisfare le proprie esigenze.
Una procedura importante da includere nel processo di sviluppo e distribuzione di applicazioni è ricordare di seguire i modelli di distribuzione e test di uso comune. Il test dell'applicazione prima della distribuzione è un passaggio importante per garantire la qualità, la funzionalità e la compatibilità con l'ambiente di destinazione. Consente di identificare e correggere eventuali errori, bug o problemi che potrebbero influire sulle prestazioni, sulla sicurezza o sull'usabilità dell'applicazione o dell'infrastruttura sottostante.
In AKS Standard gli operatori in genere implementano più controlli della piattaforma direttamente. In AKS Automatic gli operatori in genere si concentrano maggiormente sulla convalida delle impostazioni predefinite gestite dal servizio, sulla definizione delle protezioni e sull'ottimizzazione dei criteri e dei limiti del carico di lavoro.
Multi-tenancy
Le linee guida in materia di multi-tenancy si applicano a entrambe le modalità. In AKS Automatic, le impostazioni predefinite di base del cluster possono ridurre il lavoro di configurazione iniziale. In AKS Standard, i team della piattaforma in genere configurano più controlli di tenancy e pianificazione in modo esplicito.
- Procedure consigliate per l'isolamento del cluster: include componenti principali multi-tenancy e isolamento logico con spazi dei nomi.
- Procedure consigliate per le funzionalità di base dell'utilità di pianificazione: includono l'uso di quote di risorse e Pod Disruption Budget.
- Procedure consigliate per le funzionalità avanzate dello scheduler: includono l'uso di taint e toleration, selettori di nodo e affinità del nodo, nonché affinità e anti-affinità tra pod.
- Concetti di autenticazione del cluster: include l'integrazione con Microsoft Entra ID, l'uso del controllo degli accessi in base al ruolo di Kubernetes (Kubernetes RBAC) e l'uso di Azure RBAC.
- Concetti di autorizzazione del cluster: includono l'integrazione con Microsoft Entra ID, l'uso del controllo degli accessi in base al ruolo di Kubernetes (Kubernetes RBAC), l'uso di Azure RBAC e le identità dei pod.
Sicurezza
Le indicazioni sulla sicurezza si applicano a entrambe le modalità. AKS Automatic include impostazioni di sicurezza predefinite per molti scenari comuni, mentre AKS Standard richiede in genere l'abilitazione esplicita e la gestione del ciclo di vita di un numero maggiore di controlli.
- Procedure consigliate per la sicurezza e gli aggiornamenti del cluster: include la protezione dell'accesso al server API, la limitazione dell'accesso ai contenitori e la gestione degli aggiornamenti e dei riavvii dei nodi.
- Procedure consigliate per la gestione e la sicurezza delle immagini dei contenitori: include la protezione dell'immagine e dei runtime e le compilazioni automatizzate sugli aggiornamenti delle immagini di base.
- Procedure consigliate per la sicurezza dei pod: includono protezione dell'accesso alle risorse, limitazione dell'esposizione delle credenziali e uso delle identità dei pod e degli archivi delle chiavi digitali.
Baseline di sicurezza automatica di AKS
AKS Automatic è progettato con una configurazione di base rafforzata e controlli preconfigurati per molti scenari di produzione. Usare gli articoli sulle procedure consigliate per la sicurezza per convalidare il comportamento, gestire le eccezioni e allinearsi ai requisiti dei criteri aziendali.
Per il comportamento attuale e l’ambito delle funzionalità, vedi Introduzione ad AKS Automatic.
Rete e archiviazione
Le procedure consigliate per la rete e l'archiviazione si applicano a entrambe le modalità. AKS Automatic fornisce impostazioni predefinite più prescrittive per gli scenari comuni, mentre AKS Standard offre una maggiore flessibilità di configurazione e un maggiore controllo da parte degli operatori.
- Procedure consigliate per la connettività di rete: include modelli di rete diversi, uso di web application firewall (WAF) e protezione dell'accesso SSH ai nodi.
- Procedure consigliate per l'archiviazione e i backup: include la scelta del tipo di archiviazione e delle dimensioni del nodo appropriate, del provisioning dinamico dei volumi e dei backup dei dati.
Esecuzione di carichi di lavoro pronti per le esigenze aziendali
Le procedure di affidabilità e ripristino si applicano a entrambe le modalità. AKS Automatic può semplificare le operazioni di base, mentre AKS Standard offre un controllo maggiore in fase di progettazione per architetture specializzate.
- Procedure consigliate per la continuità aziendale e il ripristino di emergenza: includono l'uso di coppie di aree, più cluster con Gestione traffico di Azure e la geo-replica delle immagini del contenitore.
Procedure consigliate per lo sviluppatore
Gli sviluppatori o i proprietari di applicazioni possono semplificare l'esperienza di sviluppo e definire le funzionalità delle prestazioni delle applicazioni necessarie.
Le indicazioni per gli sviluppatori si applicano a entrambe le modalità. In AKS Automatic, i team possono in genere procedere più rapidamente grazie a configurazioni di base del cluster predefinite. In AKS Standard gli sviluppatori devono allineare i presupposti alle scelte di configurazione del cluster del team della piattaforma.
- Procedure consigliate per gli sviluppatori di applicazioni per gestire le risorse: include la definizione di richieste e limiti delle risorse dei pod, la configurazione degli strumenti di sviluppo e la verifica dei problemi dell'applicazione.
- Procedure consigliate per la sicurezza dei pod: includono protezione dell'accesso alle risorse, limitazione dell'esposizione delle credenziali e uso delle identità dei pod e degli archivi delle chiavi digitali.
- Procedure consigliate per la distribuzione e l'affidabilità del cluster: include procedure consigliate a livello di distribuzione, cluster e pool di nodi.
Concetti di Kubernetes e AKS
Gli articoli concettuali seguenti illustrano alcune delle funzionalità e dei componenti fondamentali per i cluster nel servizio Azure Kubernetes:
- Concetti principali di Kubernetes
- Accesso e identità
- Concetti relativi alla sicurezza
- Concetti di rete
- Opzioni di archiviazione
- Opzioni di scalabilità
Contenuti correlati
Per indicazioni sulla progettazione di un'implementazione su scala aziendale del servizio Azure Kubernetes, vedere Pianificare la progettazione del servizio Azure Kubernetes.
Per scegliere la modalità cluster appropriata per il carico di lavoro e il modello operativo, vedere Confronto tra funzionalità del servizio Azure Kubernetes Automatico e Standard del servizio Azure Kubernetes.
Per altre informazioni su AKS, consulta la documentazione seguente: