Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för: ✔️ AKS Automatic ✔️ AKS Standard
När du hanterar kluster i Azure Kubernetes Service (AKS) måste du ofta isolera team och arbetsbelastningar. Med logisk isolering kan du använda ett enda AKS-kluster för flera arbetsbelastningar, team eller miljöer. Kubernetes-namnområden utgör den logiska isoleringsgränsen för arbetsbelastningar och resurser. Att utföra logisk isolering innebär att implementera skript och processer för att skapa namnområden, ange resursgränser, tillämpa nätverksprinciper och bevilja teamåtkomst via rollbaserad åtkomstkontroll. Lär dig hur du använder hanterade namnområden i Azure Kubernetes Service (AKS) för att förenkla hantering av namnområden, kluster för flera innehavare och resursisolering.
Logisk separation av kluster ger vanligtvis en högre podddensitet än fysiskt isolerade kluster, med mindre överskott av beräkningskapacitet som ligger inaktiv i klustret. När du kombinerar med autoskalning av kluster eller automatisk nodetablering kan du skala upp eller ned antalet noder för att uppfylla kraven. Den här bästa metoden minimerar kostnaderna genom att bara köra det antal noder som krävs.
Viktigt!
AKS-förhandsversionsfunktioner är tillgängliga via självbetjäning och frivillig registrering. Förhandsversioner tillhandahålls "i befintligt skick" och "i mån av tillgång," och de är undantagna från servicenivåavtal och begränsad garanti. AKS-förhandsversioner stöds delvis av kundsupport efter bästa förmåga. Dessa funktioner är därmed inte avsedda för produktionsanvändning. Mer information finns i följande supportartiklar:
Nätverksprinciper
Nätverksprinciper är Kubernetes-resurser som används för att styra trafikflödet mellan poddar, namnområden och externa slutpunkter. Med nätverksprinciper kan du definiera regler för inkommande (inkommande) och utgående (utgående) trafik, vilket säkerställer att endast auktoriserad kommunikation tillåts. Genom att tillämpa nätverksprinciper kan du förbättra säkerheten och isoleringen av arbetsbelastningar i klustret.
Anmärkning
Standardregeln för ingressnätverksprinciper för Tillåt samma namnområde väljer en säker som standardinställning. Om du behöver att dina Kubernetes-tjänster, ingresser eller gatewayer ska vara tillgängliga utanför namnområdet där de distribueras, till exempel från en ingresskontrollant som distribueras i ett separat namnområde, måste du välja Tillåt alla. Du kan sedan använda din egen nätverksprincip för att begränsa ingress till att endast komma från det namnområdet.
Hanterade namnområden levereras med en uppsättning inbyggda principer.
- Tillåt alla: Tillåter all nätverkstrafik.
- Tillåt samma namnområde: Tillåter all nätverkstrafik inom samma namnområde.
- Neka alla: Nekar all nätverkstrafik.
Du kan tillämpa någon av de inbyggda principerna på både ingress - och utgående regler och de har följande standardvärden.
| Riktlinje | Standardvärde |
|---|---|
| Inledning | Tillåt samma namnområde |
| Utgång | Tillåt alla |
Resurskvoter
Resurskvoter är Kubernetes-resurser som används för att hantera och begränsa resursförbrukningen för namnområden i ett kluster. De gör det möjligt för administratörer att definiera begränsningar för mängden processor, minne, lagring eller andra resurser som ska användas av arbetsbelastningar i ett namnområde. Genom att tillämpa resurskvoter kan du säkerställa rättvis resursdistribution, förhindra resursöveranvändning och upprätthålla klusterstabilitet.
Hanterade namnområden kan skapas med följande resurskvoter:
- CPU-begäranden och -gränser: Definiera den minsta och högsta mängd cpu-resurser som arbetsbelastningar i namnområdet kan begära eller använda. Kvoten säkerställer att arbetsbelastningarna har tillräckligt med CPU-resurser för att fungera samtidigt som överanvändning förhindras som kan påverka andra namnområden. Kvoten definieras i milliCPU-formuläret,
-
Minnesbegäranden och gränser: Ange den minsta och högsta mängden minnesresurser som arbetsbelastningar i namnområdet kan begära eller använda. Kvoten hjälper till att upprätthålla stabiliteten genom att undvika minnesövertagande och säkerställa rättvis resursallokering mellan namnområden. Kvoten definieras i power-of-two-ekvivalenter, till exempel
Ei,Pi,Ti,Gi,Mi,Ki.
Etiketter och anteckningar
Kubernetes-etiketter och anteckningar är metadata som är kopplade till Kubernetes-objekt, till exempel namnområden, för att ge ytterligare information. Etiketter är nyckel/värde-par som används för att organisera och välja resurser, vilket möjliggör effektiv gruppering och frågor. Anteckningar används å andra sidan för att lagra ickeidentifierande metadata, till exempel konfigurationsinformation eller driftsinstruktioner, som används av verktyg eller system.
Du kan också ange kubernetes-etiketter och anteckningar som ska tillämpas på namnområdet.
Implementeringsprincip
Implementeringsprincipen avgör hur ett befintligt namnområde i Kubernetes hanteras när ett hanterat namnområde skapas.
Varning
Vid ombordstigning av ett befintligt namnområde som ska hanteras kan det orsaka störningar. Om resurskvoten som tillämpas är mindre än vad som redan begärs av poddar nekas nya distributioner och poddar som överskrider kvoten. Befintliga distributioner påverkas inte, men skalning nekas. Att tillämpa nätverksprinciper på ett befintligt namnområde kan påverka befintlig trafik. Se till att principerna testas och verifieras för att undvika oavsiktliga avbrott i kommunikationen mellan poddar eller externa slutpunkter.
Följande alternativ är tillgängliga:
- Aldrig: Om namnområdet redan finns i klustret, misslyckas försöken att skapa namnområdet som ett hanterat namnområde.
- IfIdentical: Ta över det befintliga namnområdet som ska hanteras, förutsatt att det inte finns några skillnader mellan det befintliga namnområdet och den önskade konfigurationen.
- Alltid: Ta alltid över det befintliga namnområdet som ska hanteras, även om vissa fält i namnområdet kan skrivas över.
Ta bort princip
Borttagningsprincipen anger hur Kubernetes-namnområdet hanteras när den hanterade namnområdesresursen tas bort.
Varning
Om du tar bort ett hanterat namnområde med principen Ta bort tas alla resurser i namnområdet bort, till exempel Distributioner, tjänster, ingresser och andra Kubernetes-objekt. Se till att du säkerhetskopierar eller migrerar kritiska resurser innan du fortsätter.
Följande alternativ är tillgängliga:
-
Behåll: Ta bara bort resursen för det hanterade namnområdet samtidigt som Kubernetes-namnområdet hålls intakt. Dessutom
ManagedByARMtas etiketten bort från namnområdet. - Ta bort: Ta bort både den hanterade namnområdesresursen och Kubernetes-namnområdet tillsammans.
Inbyggda roller för hanterade namnområden
Hanterade namnområden använder följande inbyggda roller för kontrollplanet.
| Befattning | Beskrivning |
|---|---|
| Azure Kubernetes-tjänstnamnområdesdeltagare | Ger åtkomst till att skapa, uppdatera och ta bort hanterade namnområden i ett kluster. |
| Azure Kubernetes-tjänstnamnområdesanvändare | Tillåter skrivskyddad åtkomst till ett hanterat namnområde i ett kluster. Tillåter åtkomst till listautentiseringsuppgifter i namnområdet. |
Hanterade namnområden använder följande inbyggda roller för dataplanet.
| Befattning | Beskrivning |
|---|---|
| RBAC-läsare för Azure Kubernetes Service | Tillåter läsåtkomst för att se de flesta objekt i en namnrymd. Det tillåter inte visning av roller eller rollbindningar. Den här rollen tillåter inte visning av hemligheter eftersom läsning av innehållet i Hemligheter ger åtkomst till ServiceAccount-autentiseringsuppgifter i namnområdet, vilket skulle tillåta API-åtkomst som alla ServiceAccount i namnområdet (en form av eskalering av privilegier). |
| Azure Kubernetes Service RBAC Writer | Tillåter läs-/skrivåtkomst till de flesta objekt i ett namnområde. Den här rollen tillåter inte visning eller ändring av roller eller rollbindningar. Den här rollen tillåter dock åtkomst till Secrets och att köra Pods som vilket ServiceAccount som helst i namnområdet, så den kan användas för att få API-åtkomstnivåer för alla ServiceAccounts i namnområdet. |
| RBAC-administratör för Azure Kubernetes Service | Tillåter läs-/skrivåtkomst till de flesta resurser i ett namnområde, inklusive möjligheten att skapa roller och rollbindningar i namnområdet. Den här rollen tillåter inte skrivåtkomst till resurskvoten eller till själva namnområdet. |
Nästa steg
Lär dig hur du skapar och använder hanterade namnområden i Azure Kubernetes Service (AKS).
Samarbeta med oss på GitHub
Källan för det här innehållet finns på GitHub, där du även kan skapa och granska ärenden och pull-begäranden. Se vår deltagarguide för mer information.
Azure Kubernetes Service