Kubernetesメモ
takekawa tomoki参考になった記事
takekawa tomokiネットワークのパラメータ調査
-
プライベートアクセス
プライベート クラスターを有効にしてワーカー ノードから API へのアクセスを制限し、Kubernetes ワークロードのセキュリティと分離を強化します。 -
パブリックアクセス
APIサーバーへのアクセスするIPの範囲を制限することもできる
プライベートアクセスと併用可能
-
ネットワーク構成
-
独自のAzure仮想ネットワークを持ち込む
AKSを作成すると自動的にVNETが作成される。これをオンにすると、事前に構築したVNETを指定できる。 -
DNS名のプレフィックス
-
Ciium データプレーンとネットワーク ポリシーを有効にする
eBPF を活用して、サービス ルーティングの改善、ネットワーク ポリシーの適用の合理化、クラスター トラフィックの監視の強化、大規模なクラスターのサポートを提供する
- ネットワーク ポリシー
なし、Calico、Azureの3つがある
↓ベストプラクティス
https://learn.microsoft.com/en-us/azure/aks/use-network-policies
takekawa tomokiベストプラクティスを読んで
-
スケジューラー
Kubernetes スケジューラを使用すると、コンピューティング リソースの配分を制御したり、メンテナンス イベントの影響を制限したりできます。 -
ネットワーク
defaultでは、AKSクラスター内のすべてのポッドは、制限なくトラフィックを送受信できる
→トラフィックのフローの制御ルールをdefする
- 認証と承認に関するベスト プラクティス
-
ロールベースのアクセス制御 (Kubernetes RBAC) を使用する
クラスター レベルまたは特定の名前空間に対してアクセス許可を定義します。管理できるリソースと、そのアクセス許可を決定します。
https://learn.microsoft.com/en-us/azure/aks/operator-best-practices-identity -
Azure RBAC
AKS クラスターを完全に操作するには、次の 2 つのアクセス レベルが必要です。
①Azure サブスクリプションの AKS リソースにアクセスします。
②Kubernetes API へのアクセス。