Azure Kubernetes 服务 (AKS),kubernetes微服务架构-ESG跨境

Azure Kubernetes 服务 (AKS),kubernetes微服务架构

Azure Kubernetes 服务 (AKS)

可以使用Azure Kubernetes服务(AKS)在Azure中轻松地部署托管的Kubernetes群集。AKS通过将大量管理工作量卸载到Azure，来降低管理Kubernetes所产生的复杂性和操作开销。作为一个托管Kubernetes服务，Azure可以自动处理运行状况监视和维护等关键任务。Kubernetes主节点由Azure管理。用户仅管理和维护代理节点。作为托管型Kubernetes服务，AKS是免费的你只需支付群集中的代理节点费，不需支付主节点的费用。

可以在Azure门户中使用Azure CLI或模板驱动型部署选项（例如资源管理器模板和Terraform）来创建AKS群集。当你部署AKS群集时，系统会为你部署和配置Kubernetes主节点和所有节点。另外，也可在部署过程中配置其他功能，例如高级网络、Azure Active Directory集成、监视。AKS支持Windows Server容器。

有关Kubernetes基础知识的详细信息，请参阅AKS的Kubernetes核心概念。

若要开始，请通过Azure门户或者通过Azure CLI完成AKS快速入门。

备注

此服务支持Azure Lighthouse；通过它，服务提供商可登录自己的租户来管理客户委托的订阅和资源组。

访问权限、安全性和监视

为了增强安全性和管理，AKS允许你集成Azure Active Directory并使用Kubernetes基于角色的访问控制(RBAC)。也可监视群集和资源的运行状况。

标识和安全管理

为了限制对群集资源的访问，AKS支持Kubernetes基于角色的访问控制(RBAC)。RBAC允许你控制用户访问Kubernetes资源和命名空间，并控制在这些资源上设置的具体权限。还可将AKS群集配置为与Azure Active Directory(AD)集成。使用Azure AD集成时，可以将Kubernetes访问权限配置为基于现有标识和组成员身份。可以为现有的Azure AD用户和组提供对AKS资源的访问权限，以及提供集成式登录体验。

有关标识的详细信息，请参阅AKS的访问权限和标识选项。

若要确保AKS群集的安全性，请参阅将Azure Active Directory与AKS集成。

集成式日志记录和监视

为了了解AKS群集和部署的应用程序的性能，负责监视容器运行状况的Azure Monitor会从容器、节点和控制器收集内存和处理器指标。可以查看容器日志，也可查看Kubernetes主节点日志。此监视数据存储在Azure Log Analytics工作区中，可以通过Azure门户、Azure CLI或REST终结点获取。

有关详细信息，请参阅监视Azure Kubernetes服务容器运行状况。

群集和节点

AKS节点在Azure虚拟机上运行。可以将存储连接到节点和Pod、升级群集配置以及使用GPU。AKS支持运行多个节点池的Kubernetes群集，以支持混合操作系统和Windows Server容器。Linux节点运行自定义的Ubuntu OS映像，Windows Server节点运行自定义的Windows Server 2019 OS映像。

群集节点和Pod缩放

如果对资源的需求发生变化，用于运行服务的群集节点或Pod的数目就会自动增大或减小。可以使用水平的Pod自动缩放程序或群集自动缩放程序。这种缩放方法可以让AKS群集自动针对需求进行调整，只运行所需的资源。

有关详细信息，请参阅缩放Azure Kubernetes服务(AKS)群集。

群集节点升级

Azure Kubernetes服务提供多个Kubernetes版本。新版本在AKS中可用以后，即可使用Azure门户或Azure CLI升级群集。在升级过程中，节点会被仔细封锁和排除以尽量减少对正在运行的应用程序造成中断。

若要详细了解生命周期版本，请参阅AKS中支持的Kubernetes版本。有关升级步骤，请参阅升级Azure Kubernetes服务(AKS)群集。

启用GPU的节点

AKS支持创建启用了GPU的节点池。Azure目前提供单个或多个启用了GPU的VM。启用了GPU的VM是针对计算密集型、图形密集型和可视化工作负荷设计的。

有关详细信息，请参阅使用AKS上的GPU。

机密计算节点（公共预览版）

AKS支持创建基于Intel SGX的机密计算节点池(DCSv2 VM)。机密计算节点允许容器在基于硬件的受信任隔离执行环境(enclave)中运行。通过证明合并代码完整性的容器之间的隔离可提供深层防御容器安全策略方面的帮助。机密计算节点支持机密容器（现有docker应用）和enclave感知容器。

有关详细信息，请参阅AKS上的机密计算节点

存储卷支持

若要支持应用程序工作负荷，可以为持久保存的数据装载存储卷。静态和动态卷都可以使用。根据要共享存储的已连接Pod的数目，可以使用Azure磁盘支持的存储进行单个Pod的访问，也可以使用Azure文件支持的存储进行多个并发Pod的访问。

有关详细信息，请参阅AKS中应用程序的存储选项。

使用Azure磁盘或Azure文件存储完成动态永久性卷的入门。

虚拟网络和入口

AKS群集可以部署到现有的虚拟网络中。在此配置中，群集中的每个Pod在虚拟网络中分配有一个IP地址，并可直接与群集中的其他Pod以及虚拟网络中的其他节点通信。Pod也可通过ExpressRoute或站点到站点(S2S)VPN连接与对等互连虚拟网络中的其他服务和本地网络建立连接。

有关详细信息，请参阅AKS中应用程序的网络概念。

有关入口流量的入门，请参阅HTTP应用程序路由。

使用HTTP应用程序路由的入口

可以通过HTTP应用程序路由加载项轻松地访问部署到AKS群集的应用程序。启用后，HTTP应用程序路由解决方案可以在AKS群集中配置入口控制器。部署应用程序后，会自动配置可以公开访问的DNS名称。HTTP应用程序路由会配置一个DNS区域并将其与AKS群集集成。然后，你可以照常部署Kubernetes入口资源。

有关入口流量的入门，请参阅HTTP应用程序路由。

开发工具集成

Kubernetes有丰富的生态系统，其中包含各种开发和管理工具，例如Helm和适用于Visual Studio Code的Kubernetes扩展。这些工具可以与AKS无缝地配合使用。

另外，Azure Dev Spaces为团队提供快速、迭代的Kubernetes开发体验。只需最少的配置，即可直接在AKS中运行和调试容器。若要开始使用，请参阅Azure Dev Spaces。

Azure DevOps项目允许通过简单的解决方案将现有的代码和Git存储库带到Azure中。DevOps项目自动创建Azure资源（例如AKS，Azure DevOps Services中的一种发布管道，其中包括用于CI的生成管道），为CD设置发布管道，然后创建适用于监视的Azure Application Insights资源。

有关详细信息，请参阅Azure DevOps项目。

Docker映像支持和专用容器注册表

AKS支持Docker映像格式。若要对Docker映像进行专用存储，可以将AKS与Azure容器注册表(ACR)集成。

若要创建专用映像存储，请参阅Azure容器注册表。

Kubernetes认证

Azure Kubernetes服务(AKS)已被CNCF认证为符合Kubernetes规范。

法规符合性

Azure Kubernetes服务(AKS)符合SOC、ISO、PCI DSS和HIPAA规范。有关详细信息，请参阅Microsoft Azure合规性概述。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。