Azure Kubernetes 服務(wù) (AKS),kubernetes微服務(wù)架構(gòu)-ESG跨境

Azure Kubernetes 服務(wù) (AKS),kubernetes微服務(wù)架構(gòu)

Azure Kubernetes 服務(wù) (AKS)

可以使用Azure Kubernetes服務(wù)(AKS)在Azure中輕松地部署托管的Kubernetes群集。AKS通過(guò)將大量管理工作量卸載到Azure，來(lái)降低管理Kubernetes所產(chǎn)生的復(fù)雜性和操作開銷。作為一個(gè)托管Kubernetes服務(wù)，Azure可以自動(dòng)處理運(yùn)行狀況監(jiān)視和維護(hù)等關(guān)鍵任務(wù)。Kubernetes主節(jié)點(diǎn)由Azure管理。用戶僅管理和維護(hù)代理節(jié)點(diǎn)。作為托管型Kubernetes服務(wù)，AKS是免費(fèi)的你只需支付群集中的代理節(jié)點(diǎn)費(fèi)，不需支付主節(jié)點(diǎn)的費(fèi)用。

可以在Azure門戶中使用Azure CLI或模板驅(qū)動(dòng)型部署選項(xiàng)（例如資源管理器模板和Terraform）來(lái)創(chuàng)建AKS群集。當(dāng)你部署AKS群集時(shí)，系統(tǒng)會(huì)為你部署和配置Kubernetes主節(jié)點(diǎn)和所有節(jié)點(diǎn)。另外，也可在部署過(guò)程中配置其他功能，例如高級(jí)網(wǎng)絡(luò)、Azure Active Directory集成、監(jiān)視。AKS支持Windows Server容器。

有關(guān)Kubernetes基礎(chǔ)知識(shí)的詳細(xì)信息，請(qǐng)參閱AKS的Kubernetes核心概念。

若要開始，請(qǐng)通過(guò)Azure門戶或者通過(guò)Azure CLI完成AKS快速入門。

備注

此服務(wù)支持Azure Lighthouse；通過(guò)它，服務(wù)提供商可登錄自己的租戶來(lái)管理客戶委托的訂閱和資源組。

訪問(wèn)權(quán)限、安全性和監(jiān)視

為了增強(qiáng)安全性和管理，AKS允許你集成Azure Active Directory并使用Kubernetes基于角色的訪問(wèn)控制(RBAC)。也可監(jiān)視群集和資源的運(yùn)行狀況。

標(biāo)識(shí)和安全管理

為了限制對(duì)群集資源的訪問(wèn)，AKS支持Kubernetes基于角色的訪問(wèn)控制(RBAC)。RBAC允許你控制用戶訪問(wèn)Kubernetes資源和命名空間，并控制在這些資源上設(shè)置的具體權(quán)限。還可將AKS群集配置為與Azure Active Directory(AD)集成。使用Azure AD集成時(shí)，可以將Kubernetes訪問(wèn)權(quán)限配置為基于現(xiàn)有標(biāo)識(shí)和組成員身份?？梢詾楝F(xiàn)有的Azure AD用戶和組提供對(duì)AKS資源的訪問(wèn)權(quán)限，以及提供集成式登錄體驗(yàn)。

有關(guān)標(biāo)識(shí)的詳細(xì)信息，請(qǐng)參閱AKS的訪問(wèn)權(quán)限和標(biāo)識(shí)選項(xiàng)。

若要確保AKS群集的安全性，請(qǐng)參閱將Azure Active Directory與AKS集成。

集成式日志記錄和監(jiān)視

為了了解AKS群集和部署的應(yīng)用程序的性能，負(fù)責(zé)監(jiān)視容器運(yùn)行狀況的Azure Monitor會(huì)從容器、節(jié)點(diǎn)和控制器收集內(nèi)存和處理器指標(biāo)。可以查看容器日志，也可查看Kubernetes主節(jié)點(diǎn)日志。此監(jiān)視數(shù)據(jù)存儲(chǔ)在Azure Log Analytics工作區(qū)中，可以通過(guò)Azure門戶、Azure CLI或REST終結(jié)點(diǎn)獲取。

有關(guān)詳細(xì)信息，請(qǐng)參閱監(jiān)視Azure Kubernetes服務(wù)容器運(yùn)行狀況。

群集和節(jié)點(diǎn)

AKS節(jié)點(diǎn)在Azure虛擬機(jī)上運(yùn)行?？梢詫⒋鎯?chǔ)連接到節(jié)點(diǎn)和Pod、升級(jí)群集配置以及使用GPU。AKS支持運(yùn)行多個(gè)節(jié)點(diǎn)池的Kubernetes群集，以支持混合操作系統(tǒng)和Windows Server容器。Linux節(jié)點(diǎn)運(yùn)行自定義的Ubuntu OS映像，Windows Server節(jié)點(diǎn)運(yùn)行自定義的Windows Server 2019 OS映像。

群集節(jié)點(diǎn)和Pod縮放

如果對(duì)資源的需求發(fā)生變化，用于運(yùn)行服務(wù)的群集節(jié)點(diǎn)或Pod的數(shù)目就會(huì)自動(dòng)增大或減小?？梢允褂盟降腜od自動(dòng)縮放程序或群集自動(dòng)縮放程序。這種縮放方法可以讓AKS群集自動(dòng)針對(duì)需求進(jìn)行調(diào)整，只運(yùn)行所需的資源。

有關(guān)詳細(xì)信息，請(qǐng)參閱縮放Azure Kubernetes服務(wù)(AKS)群集。

群集節(jié)點(diǎn)升級(jí)

Azure Kubernetes服務(wù)提供多個(gè)Kubernetes版本。新版本在AKS中可用以后，即可使用Azure門戶或Azure CLI升級(jí)群集。在升級(jí)過(guò)程中，節(jié)點(diǎn)會(huì)被仔細(xì)封鎖和排除以盡量減少對(duì)正在運(yùn)行的應(yīng)用程序造成中斷。

若要詳細(xì)了解生命周期版本，請(qǐng)參閱AKS中支持的Kubernetes版本。有關(guān)升級(jí)步驟，請(qǐng)參閱升級(jí)Azure Kubernetes服務(wù)(AKS)群集。

啟用GPU的節(jié)點(diǎn)

AKS支持創(chuàng)建啟用了GPU的節(jié)點(diǎn)池。Azure目前提供單個(gè)或多個(gè)啟用了GPU的VM。啟用了GPU的VM是針對(duì)計(jì)算密集型、圖形密集型和可視化工作負(fù)荷設(shè)計(jì)的。

有關(guān)詳細(xì)信息，請(qǐng)參閱使用AKS上的GPU。

機(jī)密計(jì)算節(jié)點(diǎn)（公共預(yù)覽版）

AKS支持創(chuàng)建基于Intel SGX的機(jī)密計(jì)算節(jié)點(diǎn)池(DCSv2 VM)。機(jī)密計(jì)算節(jié)點(diǎn)允許容器在基于硬件的受信任隔離執(zhí)行環(huán)境(enclave)中運(yùn)行。通過(guò)證明合并代碼完整性的容器之間的隔離可提供深層防御容器安全策略方面的幫助。機(jī)密計(jì)算節(jié)點(diǎn)支持機(jī)密容器（現(xiàn)有docker應(yīng)用）和enclave感知容器。

有關(guān)詳細(xì)信息，請(qǐng)參閱AKS上的機(jī)密計(jì)算節(jié)點(diǎn)

存儲(chǔ)卷支持

若要支持應(yīng)用程序工作負(fù)荷，可以為持久保存的數(shù)據(jù)裝載存儲(chǔ)卷。靜態(tài)和動(dòng)態(tài)卷都可以使用。根據(jù)要共享存儲(chǔ)的已連接Pod的數(shù)目，可以使用Azure磁盤支持的存儲(chǔ)進(jìn)行單個(gè)Pod的訪問(wèn)，也可以使用Azure文件支持的存儲(chǔ)進(jìn)行多個(gè)并發(fā)Pod的訪問(wèn)。

有關(guān)詳細(xì)信息，請(qǐng)參閱AKS中應(yīng)用程序的存儲(chǔ)選項(xiàng)。

使用Azure磁盤或Azure文件存儲(chǔ)完成動(dòng)態(tài)永久性卷的入門。

虛擬網(wǎng)絡(luò)和入口

AKS群集可以部署到現(xiàn)有的虛擬網(wǎng)絡(luò)中。在此配置中，群集中的每個(gè)Pod在虛擬網(wǎng)絡(luò)中分配有一個(gè)IP地址，并可直接與群集中的其他Pod以及虛擬網(wǎng)絡(luò)中的其他節(jié)點(diǎn)通信。Pod也可通過(guò)ExpressRoute或站點(diǎn)到站點(diǎn)(S2S)VPN連接與對(duì)等互連虛擬網(wǎng)絡(luò)中的其他服務(wù)和本地網(wǎng)絡(luò)建立連接。

有關(guān)詳細(xì)信息，請(qǐng)參閱AKS中應(yīng)用程序的網(wǎng)絡(luò)概念。

有關(guān)入口流量的入門，請(qǐng)參閱HTTP應(yīng)用程序路由。

使用HTTP應(yīng)用程序路由的入口

可以通過(guò)HTTP應(yīng)用程序路由加載項(xiàng)輕松地訪問(wèn)部署到AKS群集的應(yīng)用程序。啟用后，HTTP應(yīng)用程序路由解決方案可以在AKS群集中配置入口控制器。部署應(yīng)用程序后，會(huì)自動(dòng)配置可以公開訪問(wèn)的DNS名稱。HTTP應(yīng)用程序路由會(huì)配置一個(gè)DNS區(qū)域并將其與AKS群集集成。然后，你可以照常部署Kubernetes入口資源。

有關(guān)入口流量的入門，請(qǐng)參閱HTTP應(yīng)用程序路由。

開發(fā)工具集成

Kubernetes有豐富的生態(tài)系統(tǒng)，其中包含各種開發(fā)和管理工具，例如Helm和適用于Visual Studio Code的Kubernetes擴(kuò)展。這些工具可以與AKS無(wú)縫地配合使用。

另外，Azure Dev Spaces為團(tuán)隊(duì)提供快速、迭代的Kubernetes開發(fā)體驗(yàn)。只需最少的配置，即可直接在AKS中運(yùn)行和調(diào)試容器。若要開始使用，請(qǐng)參閱Azure Dev Spaces。

Azure DevOps項(xiàng)目允許通過(guò)簡(jiǎn)單的解決方案將現(xiàn)有的代碼和Git存儲(chǔ)庫(kù)帶到Azure中。DevOps項(xiàng)目自動(dòng)創(chuàng)建Azure資源（例如AKS，Azure DevOps Services中的一種發(fā)布管道，其中包括用于CI的生成管道），為CD設(shè)置發(fā)布管道，然后創(chuàng)建適用于監(jiān)視的Azure Application Insights資源。

有關(guān)詳細(xì)信息，請(qǐng)參閱Azure DevOps項(xiàng)目。

Docker映像支持和專用容器注冊(cè)表

AKS支持Docker映像格式。若要對(duì)Docker映像進(jìn)行專用存儲(chǔ)，可以將AKS與Azure容器注冊(cè)表(ACR)集成。

若要?jiǎng)?chuàng)建專用映像存儲(chǔ)，請(qǐng)參閱Azure容器注冊(cè)表。

Kubernetes認(rèn)證

Azure Kubernetes服務(wù)(AKS)已被CNCF認(rèn)證為符合Kubernetes規(guī)范。

法規(guī)符合性

Azure Kubernetes服務(wù)(AKS)符合SOC、ISO、PCI DSS和HIPAA規(guī)范。有關(guān)詳細(xì)信息，請(qǐng)參閱Microsoft Azure合規(guī)性概述。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。