AKS – Cluster Isolation

By | January 5, 2021

Bir den fazla cluster’ı yönetmek operatörler için farklı zorlukları beraberinde getirir. Yönetim maliyetlerinden kaçınmak ve cluster sayısını düşürmek için düşünülmesi gereken şey izolation’dır.

Bir organizasyon içerisinde fiziksel cluster sayısı azaltılmak istenirse aynı cluster’ı kullanacak farklı takımların ve bunlara bağlı olarak da uygulamaların izole edilmeleri gerekir. Bu amaçla iş yüklerini ve kaynakları aynı cluster üzerinde birbirlerinden izole edebilmek için namespace yapıları kullanılır.

Üzerinde birden çok uygulamayı barındıran cluster’lar aynı altyapıyı paylaştıkları için barındırdıkları iş yüklerinin güvenli olduğunu idda etmek yanlış olur. Bu sebeple güvenlik seviyesini daha yukarı çekebilmek için security policy ve RBAC mekanizmalarının kullanılması gerekir.

Eğer belirli iş yükleri için %100 bir izolasyon ihtiyacı varsa bun noktada önerilen bu iş yükleri için ayrı cluster’lar konumlandırmaktır.

Tabi ayrı cluster kullanmak bize güvenlik anlamında tamamen izolasyon sağlasa da maliyet ve yönetim anlamında ek yük getirecektir. Ayrıca böyle bir tercihte %100 utilize edilemeyen cluster kapasiteleri cloud kullanılan ortamlarda eksta maliyet oluşturmuş olacaktır.

Bu sebeplerden dolayı uygulamaların izolasyon ihtiyaçları iyi gözlemlenmeli eğer yeterli olacaksa namespace gibi mantıksal izolasyon ile bu ihtiyaçlar karşılanmalı ve security policy ve RBAC gibi mekanizmalar ile desteklenmelidir. Fakat çok daha sıkı izolasyon gereksinimi olan durumlarda ikinci cluster ihtiyacı düşünülmelidir.

Add second node pool on different subnet Add second node pool to aks aks AKS Cluster Security AKS free tier AKS node image upgrade Aks Node pool AKS OS Patch AKS OS Upgrade AKS SLA AKS SLO AKS spot nodepool AKS spot nodes aks ssd disk AKS Uptime SLA AKS Version Upgrade API Gateway API Gateway communication API Gateway Design API Gateway Design Pattern API Gateway pattern Api gateway tasarimi Aqueasec auditing in kubernetes audit logs in kubernetes Azure API Management Azure devops pipeline Azure DevOps Yaml pipeline azure kubernetes service container image scan firatyasar image scan kube-advisor kubeapi-server audit kubernetes Kubernetes audit kubernetes scan Kubernetes securitys scan kubesec kubesec.io pv pvc spot vm static manifest analyses trivy

Firat

Leave a Reply

Your email address will not be published. Required fields are marked *