Azure Kubernetes 服務 (AKS),基于kubernetes的微服務

Azure Kubernetes 服務 (AKS)

可以使用Azure Kubernetes服務(AKS)在Azure中輕松地部署托管的Kubernetes群集。AKS通過將大量管理工作量卸載到Azure，來降低管理Kubernetes所產生的復雜性和操作開銷。作為一個托管Kubernetes服務，Azure可以自動處理運行狀況監視和維護等關鍵任務。Kubernetes主節點由Azure管理。用戶僅管理和維護代理節點。作為托管型Kubernetes服務，AKS是免費的你只需支付群集中的代理節點費，不需支付主節點的費用。

可以在Azure門戶中使用Azure CLI或模板驅動型部署選項（例如資源管理器模板和Terraform）來創建AKS群集。當你部署AKS群集時，系統會為你部署和配置Kubernetes主節點和所有節點。另外，也可在部署過程中配置其他功能，例如高級網絡、Azure Active Directory集成、監視。AKS支持Windows Server容器。

有關Kubernetes基礎知識的詳細信息，請參閱AKS的Kubernetes核心概念。

若要開始，請通過Azure門戶或者通過Azure CLI完成AKS快速入門。

備注

此服務支持Azure Lighthouse；通過它，服務提供商可登錄自己的租戶來管理客戶委托的訂閱和資源組。

訪問權限、安全性和監視

為了增強安全性和管理，AKS允許你集成Azure Active Directory并使用Kubernetes基于角色的訪問控制(RBAC)。也可監視群集和資源的運行狀況。

標識和安全管理

為了限制對群集資源的訪問，AKS支持Kubernetes基于角色的訪問控制(RBAC)。RBAC允許你控制用戶訪問Kubernetes資源和命名空間，并控制在這些資源上設置的具體權限。還可將AKS群集配置為與Azure Active Directory(AD)集成。使用Azure AD集成時，可以將Kubernetes訪問權限配置為基于現有標識和組成員身份。可以為現有的Azure AD用戶和組提供對AKS資源的訪問權限，以及提供集成式登錄體驗。

有關標識的詳細信息，請參閱AKS的訪問權限和標識選項。

若要確保AKS群集的安全性，請參閱將Azure Active Directory與AKS集成。

集成式日志記錄和監視

為了了解AKS群集和部署的應用程序的性能，負責監視容器運行狀況的Azure Monitor會從容器、節點和控制器收集內存和處理器指標。可以查看容器日志，也可查看Kubernetes主節點日志。此監視數據存儲在Azure Log Analytics工作區中，可以通過Azure門戶、Azure CLI或REST終結點獲取。

有關詳細信息，請參閱監視Azure Kubernetes服務容器運行狀況。

群集和節點

AKS節點在Azure虛擬機上運行。可以將存儲連接到節點和Pod、升級群集配置以及使用GPU。AKS支持運行多個節點池的Kubernetes群集，以支持混合操作系統和Windows Server容器。Linux節點運行自定義的Ubuntu OS映像，Windows Server節點運行自定義的Windows Server 2019 OS映像。

群集節點和Pod縮放

如果對資源的需求發生變化，用于運行服務的群集節點或Pod的數目就會自動增大或減小。可以使用水平的Pod自動縮放程序或群集自動縮放程序。這種縮放方法可以讓AKS群集自動針對需求進行調整，只運行所需的資源。

有關詳細信息，請參閱縮放Azure Kubernetes服務(AKS)群集。

群集節點升級

Azure Kubernetes服務提供多個Kubernetes版本。新版本在AKS中可用以后，即可使用Azure門戶或Azure CLI升級群集。在升級過程中，節點會被仔細封鎖和排除以盡量減少對正在運行的應用程序造成中斷。

若要詳細了解生命周期版本，請參閱AKS中支持的Kubernetes版本。有關升級步驟，請參閱升級Azure Kubernetes服務(AKS)群集。

啟用GPU的節點

AKS支持創建啟用了GPU的節點池。Azure目前提供單個或多個啟用了GPU的VM。啟用了GPU的VM是針對計算密集型、圖形密集型和可視化工作負荷設計的。

有關詳細信息，請參閱使用AKS上的GPU。

機密計算節點（公共預覽版）

AKS支持創建基于Intel SGX的機密計算節點池(DCSv2 VM)。機密計算節點允許容器在基于硬件的受信任隔離執行環境(enclave)中運行。通過證明合并代碼完整性的容器之間的隔離可提供深層防御容器安全策略方面的幫助。機密計算節點支持機密容器（現有docker應用）和enclave感知容器。

有關詳細信息，請參閱AKS上的機密計算節點

存儲卷支持

若要支持應用程序工作負荷，可以為持久保存的數據裝載存儲卷。靜態和動態卷都可以使用。根據要共享存儲的已連接Pod的數目，可以使用Azure磁盤支持的存儲進行單個Pod的訪問，也可以使用Azure文件支持的存儲進行多個并發Pod的訪問。

有關詳細信息，請參閱AKS中應用程序的存儲選項。

使用Azure磁盤或Azure文件存儲完成動態永久性卷的入門。

虛擬網絡和入口

AKS群集可以部署到現有的虛擬網絡中。在此配置中，群集中的每個Pod在虛擬網絡中分配有一個IP地址，并可直接與群集中的其他Pod以及虛擬網絡中的其他節點通信。Pod也可通過ExpressRoute或站點到站點(S2S)VPN連接與對等互連虛擬網絡中的其他服務和本地網絡建立連接。

有關詳細信息，請參閱AKS中應用程序的網絡概念。

有關入口流量的入門，請參閱HTTP應用程序路由。

使用HTTP應用程序路由的入口

可以通過HTTP應用程序路由加載項輕松地訪問部署到AKS群集的應用程序。啟用后，HTTP應用程序路由解決方案可以在AKS群集中配置入口控制器。部署應用程序后，會自動配置可以公開訪問的DNS名稱。HTTP應用程序路由會配置一個DNS區域并將其與AKS群集集成。然后，你可以照常部署Kubernetes入口資源。

有關入口流量的入門，請參閱HTTP應用程序路由。

開發工具集成

Kubernetes有豐富的生態系統，其中包含各種開發和管理工具，例如Helm和適用于Visual Studio Code的Kubernetes擴展。這些工具可以與AKS無縫地配合使用。

另外，Azure Dev Spaces為團隊提供快速、迭代的Kubernetes開發體驗。只需最少的配置，即可直接在AKS中運行和調試容器。若要開始使用，請參閱Azure Dev Spaces。

Azure DevOps項目允許通過簡單的解決方案將現有的代碼和Git存儲庫帶到Azure中。DevOps項目自動創建Azure資源（例如AKS，Azure DevOps Services中的一種發布管道，其中包括用于CI的生成管道），為CD設置發布管道，然后創建適用于監視的Azure Application Insights資源。

有關詳細信息，請參閱Azure DevOps項目。

Docker映像支持和專用容器注冊表

AKS支持Docker映像格式。若要對Docker映像進行專用存儲，可以將AKS與Azure容器注冊表(ACR)集成。

若要創建專用映像存儲，請參閱Azure容器注冊表。

Kubernetes認證

Azure Kubernetes服務(AKS)已被CNCF認證為符合Kubernetes規范。

法規符合性

Azure Kubernetes服務(AKS)符合SOC、ISO、PCI DSS和HIPAA規范。有關詳細信息，請參閱Microsoft Azure合規性概述。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。