AKS에 대한 리소스 조직 고려 사항(선택 사항)
리소스 구성 고려 사항은 대부분 플랫폼 기반에서 관리되지만, 플랫폼 기반이 AKS 랜딩 존 가속기에 영향을 줄 수 있는 몇 가지 방법은 다음과 같습니다.
일반적인 엔터프라이즈 규모 랜딩 존 권장 사항에 따라 결정되는 전체 구독 및 리소스 그룹 디자인은 AKS 리소스 조직을 관리하는 방법에 기본적인 역할을 합니다. 관리 그룹 및 구독 조직에 설명된 대로 관리 그룹 및 구독은 해당 아래에 있는 리소스에 정책을 할당하는 데 사용되며 구독은 리소스의 거버넌스 및 격리를 위한 관리 경계입니다.
예를 들어 퍼블릭 및 프라이빗 애플리케이션이 있는 경우 해당 애플리케이션을 서로 다른 구독, Corp
및 Online
구독으로 구분하고, 각 구독에 서로 다른 정책을 할당합니다. Corp
구독에는 공용 IP 주소 생성을 방지하는 정책이 있습니다. Online
구독은 인터넷 연결을 허용합니다. AKS 관련 정책을 포함하여 엔터프라이즈 규모 랜딩 존 디자인의 어느 수준에서 적용되는 정책에 대한 자세한 내용은 엔터프라이즈 규모 랜딩 존 참조 구현에 포함된 정책을 참조하세요.
디자인 고려 사항
컨테이너 호스트를 관리할 사용자를 결정합니다.
호스트가 중앙에서 관리되는 경우 랜딩 존 인스턴스 수를 줄이고 개발자가 호스트를 배포하고 워크로드 수준 작업에 공유 대시보드 및 경고를 사용하기 위해 정의된 프로세스를 따르도록 요구할 수 있습니다.
워크로드 팀이 호스트를 관리하는 경우 호스트 환경을 분할하고 워크로드 팀이 배포를 제어할 수 있도록 하기 위해 더 많은 랜딩 존 인스턴스가 필요합니다.
두 경우 모두 웹 애플리케이션 방화벽, 키 자격 증명 모음, 파이프라인 빌드 에이전트 및 잠재적으로 점프 상자와 같은 인접하고 관련된 리소스로 이 고려 사항을 확장합니다.
클러스터에 대한 테넌시 모델을 선택합니다.
워크로드 운영, 단일 테넌트: 단일 워크로드를 지원하는 단일 클러스터 호스트는 워크로드 팀 세분화 및 제어를 허용하기 위해 전용 랜딩 존이 필요할 수 있습니다.
중앙 운영, 다중 테넌트 호스트: 호스트가 중앙에서 관리되는 경우 운영 효율성은 공유 랜딩 존 환경에서 여러 호스트 및 여러 워크로드의 통합에서 비롯됩니다. 이렇게 통합하면 단일 클러스터 또는 워크로드를 지원하는 전용 랜딩 존 및 호스트 수가 줄어듭니다.
세그먼트를 지역, 사업부, 환경, 중요도 또는 기타 외부 제약 조건에 따라 구분해야 하는 경우 추가 랜딩 존이 필요할 수 있습니다.
여전히 중앙에서 운영되는 악의적인 또는 규제된 워크로드에 대한 중앙 운영, 단일 테넌트는 이러한 워크로드에 대한 전용 호스트가 있는 것이 일반적입니다. 지원 랜딩 존을 통합하여 운영 효율성을 경험할 수 있습니다.
전체 포트폴리오 요구 사항을 지원하는 데 필요한 환경 및 호스트의 일반적인 규모 및 정렬에 따라 관리 그룹 계층 구조를 선택합니다.
- 각 워크로드 팀에서 분산 작업을 실행하기 위해 전용 환경에서 다양한 전용 호스트를 지원하는 플랫 구조
- 중앙에서 관리되는 호스트에 대한 관리 그룹 및 분산된 작업을 위한 별도의 관리 그룹을 만들기 위한 분할된 구조
- 청구, 거버넌스 또는 운영 요구 사항을 반영하도록 환경을 추가로 분할하는 계층 구조
OCI 아티팩트 배포에 사용할 컨테이너 레지스트리 토폴로지를 결정합니다.
- 워크로드당 하나의 레지스트리
- 레지스트리에 여러 워크로드가 있는 클러스터당 하나의 레지스트리
- 동일한 레지스트리에 여러 워크로드 및 클러스터가 있는 랜딩 존의 모든 클러스터당 하나의 레지스트리
- 동일한 레지스트리에 여러 워크로드 및 클러스터가 있는 여러 랜딩 존의 모든 클러스터당 하나의 레지스트리
Azure Policy에서 컨테이너 레지스트리 정책의 범위를 결정합니다.
- 랜딩 존의 모든 호스트가 정의된 레지스트리를 사용하도록 요구하는 구독 수준에서 정책을 설정합니다.
- 리소스 그룹 수준에서 보다 세부적인 정책을 설정합니다.
- 관리 그룹 수준에서 더 광범위한 정책을 설정합니다.
디자인 권장 사항
- Azure에 배포된 모든 컨테이너 리소스에 적용할 명명 및 태그 지정 표준을 정의합니다. 최소한 다음을 포함해야 합니다.
- 워크로드 이름: 각 클러스터에서 지원하는 워크로드를 식별합니다.
- 클러스터 리소스: 이전 고려 사항에서 클러스터 리소스 정렬의 권한 상승을 식별합니다.
- 호스트 연산자: 호스트의 작업을 담당하는 팀을 식별합니다.
- 워크로드 이름: 각 클러스터에서 지원하는 워크로드를 식별합니다.
- 조직의 컨테이너 레지스트리 토폴로지 기반의 특정 OCI 아티팩트 레지스트리를 요구하는 정책을 구현합니다.