aks-baseline-regulated

aks-baseline-regulated

AKS上构建符合监管要求的Kubernetes集群架构

本参考架构展示了一个满足监管合规要求的Azure Kubernetes Service (AKS)集群基线架构。它在AKS基线集群的基础上,增加了适用于受监管环境的实现细节。该方案涵盖网络拓扑、安全控制和监控等最佳实践,指导企业在AKS上部署受监管工作负载。通过关键组件部署演示和详细操作说明,为构建合规的AKS环境提供了可靠的参考。

AKSAzure Kubernetes Service合规安全基准架构Github开源项目

Azure Kubernetes Service (AKS) 受监管工作负载的基线集群

此参考实施演示了受监管合规要求(如PCI)的 AKS 集群推荐起点(基线)基础设施架构。该实施直接基于 AKS 基线集群参考实施,并在此基础上增加了在受监管环境中比典型的"公共云"消费模式更常见的额外实施点。

🎓 基础知识
如果您还不熟悉通用 AKS 基线集群 架构,应该先从那里开始,然后再继续本文。 本架构是在 AKS 基线的基础上构建的,后者是这项工作的基础。本参考实施避免重复阐述 AKS 基线集群中已经解决的问题。

合规性

:warning:这些工件尚未经过任何官方认证;监管合规是您和您的托管提供商之间的共同责任。此实施旨在帮助您实现合规性,但本身并不确保任何程度的合规性。要了解 Azure 合规性和共同责任模型,请访问 Microsoft 信任中心

Azure 和 AKS 能够为您提供必要的工具,并允许您建立流程,以帮助您实现合规的托管基础设施。实施细节可能很复杂,整个合规过程也是如此。我们以相当详细的方式介绍部署过程,以帮助您理解此架构的每个组成部分,向您讲解每一层,并为您提供将其应用于您独特的合规范围工作负载所需的知识。

即使您不在受监管环境中,这种基础设施也展示了一个比 AKS 基线中呈现的通用集群具有更高安全态势的 AKS 集群。您可能会发现从这里选择一些概念并将其应用于非受监管的工作负载很有用(但要权衡增加的复杂性和托管成本)。

Azure 架构中心指南

本项目有一系列配套文章,描述了设计用于托管落入 PCI-DSS 3.2.1 范围内的工作负载的 AKS 集群所面临的挑战、设计模式和最佳实践。您可以在 Azure 架构中心找到这篇文章:Azure Kubernetes Service (AKS) 用于 PCI-DSS 3.2.1 的受监管集群。如果您还没有阅读过,我们建议您阅读它;因为它将为本实施中应用的考虑因素提供额外的背景。本存储库主要关注部署问题,而合规问题主要在上面链接的文章系列中讨论。

架构

这个参考实施更侧重于基础设施,而不是工作负载。它集中处理 AKS 集群本身。这个实施会涉及工作负载问题,但不包含关于范围内工作负载架构、容器安全性或隔离的端到端指导。这里展示了一些良好实践并讨论了其他实践,但并不详尽。

这里呈现的实施是大多数落入合规范围的 AKS 集群的最小起点。这个实施与 Azure 服务集成,将提供可观察性,提供支持公共流量隔离的网络拓扑,并保持集群内流量的安全。这种架构应被视为托管受监管工作负载的集群在预生产和生产阶段的架构起点。

这里的材料相对密集。我们强烈建议您先阅读上面链接的 Azure 架构中心指南,然后至少花四个小时仔细阅读这些说明,带着学习的心态。您不会在这里找到任何"一键式"部署。然而,一旦您理解了涉及的组件,并确定了您的团队与更大的 IT 组织之间的共同责任,我们鼓励您围绕最终的基础设施建立可审核的部署流程。

最后,这个实施使用一个小型自定义应用程序作为示例工作负载。这个工作负载并不特别有趣,因为它仅用于帮助您体验基础设施并说明现有的网络和安全控制。工作负载及其部署并不代表受监管工作负载的任何"最佳实践"。

核心架构组件

Azure 平台

  • AKS v1.27
  • Azure 虚拟网络(中心辐射型)
    • Azure 防火墙管理的出口
    • 中心代理 DNS
    • 自带无公共 DNS 表示的 AKS 私有 DNS 区域
  • Azure 应用程序网关(WAF - OWASP 3.2)
  • AKS 管理的内部负载均衡器
  • 用于维护访问的 Azure Bastion
  • 启用 Private Link 的 Key Vault 和 Azure 容器注册表
  • 私有 Azure 容器注册表任务运行器

集群内开源软件组件

网络拓扑

描绘了一个中心辐射型网络,有两个对等 VNet。集群分支包含用于跳转盒、集群和其他相关服务的子网。

工作负载 HTTPS 请求流

网络流显示互联网流量通过 Azure 应用程序网关,然后进入入口控制器,再通过工作负载 pod。所有连接都是 TLS。

部署参考实施

AKS 托管工作负载的部署通常在身份和安全组管理、主机网络、集群基础设施以及最终工作负载本身等方面经历职责分离和生命周期管理。在此参考实施中,您将跨这些不同角色工作。受监管环境要求强有力的、有文档记录的关注点分离;但最终您将决定每个边界应该在哪里。

另外,请记住这项工作的主要目的是说明此集群中的拓扑和决策。一个引导式的"逐步"流程将帮助您了解解决方案的各个部分,并让您深入了解它们之间的关系。对基础设施、其供应链和"第二天"工作流程的深入理解对于合规性问题至关重要。如果您无法解释每个决策点和理由,审核对话可能很快变得不舒服。

最终,集群、其依赖项和工作负载的生命周期/SDLC 管理将取决于您的具体情况。您需要考虑团队角色、集中和分散的 IT 角色、组织标准、行业期望以及合规审核员的具体要求。

准备订阅部分开始这个学习之旅。 如果您一直跟随到最后,您将在自己的 Azure 订阅中安装我们推荐的受监管行业基线集群,并运行一个示例工作负载供您参考。

1. :rocket: 准备订阅

在开始部署集群之前,必须解决一些考虑因素。我在订阅和 Microsoft Entra 租户中是否有足够的权限来进行这么大规模的部署?这些工作有多少将由我的团队直接处理,又有多少将由另一个团队负责?

2. 构建区域网络中心

这个参考实现基于传统的中心辐射模型构建,通常存在于您组织的连接订阅中。中心将包含Azure防火墙、DNS转发器和Azure Bastion服务。

3. 规划Kubernetes API服务器访问

由于AKS服务器是一个"私有集群",控制平面不会暴露在互联网上。现在管理只能在与AKS暴露的私有端点有网络视线的情况下执行。在这种情况下,您将构建一个由Azure Bastion前端的跳板机。

4. 部署集群

这是本参考实现指导的核心;与先前的网络拓扑指导配套。在这里,您将为集群部署Azure资源以及相邻服务,如Azure应用程序网关WAF、Azure Monitor、Azure容器注册表和Azure Key Vault。这也是您将验证集群是否引导的地方。

5. 部署您的工作负载

一个由四个相互连接的服务组成的简单工作负载被手动部署在两个命名空间中,以说明诸如节点池放置、零信任网络策略以及应用的NSG和Azure防火墙规则提供的外部基础设施保护等概念。

6. :checkered_flag: 验证

现在集群和示例工作负载已部署;现在是时候看看集群如何运作了。

7. :broom: 清理资源

在前面步骤中部署的大多数Azure资源如果不删除将持续产生账单影响。

职责分离

所有处于合规范围内的工作负载通常需要一个文档化的职责/关注点分离实施计划。Kubernetes提出了一个有趣的挑战,因为它涉及IT组织中通常发现的大量角色。网络、身份、安全运营、治理、工作负载团队、集群运营、部署管道等等。如果您正在寻找如何考虑划分与AKS集群相邻的角色的起点,请考虑查看我们作为本参考实现一部分提供的Microsoft Entra角色指南

:notebook: 有关更多信息,请参阅Azure架构中心关于AKS中PCI-DSS 3.2.1要求7、8和9的指导

就这些吗,那...呢!?

是的,确实存在一些超出本实现合理演示范围的考虑因素。这个参考实现努力使大多数人都能够接受,而不对用于此演练的订阅施加不当负担。这意味着选择具有相对较大默认配额的SKU,不使用区域可用性非常有限的功能,不要求学习者被"自带加密密钥"等服务选项所困扰等。这一切都是为了希望更多人能够完成此演练,而不会中断或需要与订阅或管理组所有者过度协调。

对于您的实现,将此起点作为基础,并添加整个演练和Azure架构中心指南中讨论的但未直接实现的其他安全措施。例如,启用JIT和条件访问策略,如果适用于您的工作负载,请使用加密主机功能等。

有关您架构的其他考虑事项列表,请参阅我们的附加考虑事项文档。

成本

这个参考实现在前30天内空闲时每天大约需要95美元;随着时间的推移,您可以预期它会增加,因为一些Microsoft Defender for Cloud工具有免费试用期,日志也会继续累积。起始成本的最大贡献者是Azure防火墙、AKS节点池(虚拟机规模集)和Log Analytics。虽然一些成本通常是集群操作员成本,如节点池VMSS、Log Analytics、增量Microsoft Defender for Cloud成本;其他成本可能会在多个业务单位或应用程序之间分摊,如Azure防火墙。

一些客户会选择通过在其组织内托管多租户集群来分摊集群成本,通过工作负载多样性最大化密度。对于受监管的工作负载,不建议这样做。受监管的环境通常会优先考虑合规性和安全性(隔离)而不是成本(多样化密度)。

最后的想法

Kubernetes是一个非常灵活的平台,为基础设施和应用程序操作员提供了许多选择来实现其业务和技术目标。在您的旅程中的某些点上,您需要考虑何时依赖Azure平台功能、CNCF OSS解决方案、ISV解决方案、支持渠道,以及需要哪些操作流程。我们鼓励将此参考实现作为您在自己团队内开始架构对话的地方;根据您的具体要求进行调整,并最终提供一个让您的客户和审计员都满意的解决方案。

相关文档

贡献

请查看我们的贡献指南

本项目采用了Microsoft开源行为准则。有关更多信息,请参阅行为准则常见问题或联系opencode@microsoft.com获取任何其他问题或意见。

来自Microsoft模式与实践,Azure架构中心的 :heart:。

编辑推荐精选

AEE

AEE

AI Excel全自动制表工具

AEE 在线 AI 全自动 Excel 编辑器,提供智能录入、自动公式、数据整理、图表生成等功能,高效处理 Excel 任务,提升办公效率。支持自动高亮数据、批量计算、不规则数据录入,适用于企业、教育、金融等多场景。

UI-TARS-desktop

UI-TARS-desktop

基于 UI-TARS 视觉语言模型的桌面应用,可通过自然语言控制计算机进行多模态操作。

UI-TARS-desktop 是一款功能强大的桌面应用,基于 UI-TARS(视觉语言模型)构建。它具备自然语言控制、截图与视觉识别、精确的鼠标键盘控制等功能,支持跨平台使用(Windows/MacOS),能提供实时反馈和状态显示,且数据完全本地处理,保障隐私安全。该应用集成了多种大语言模型和搜索方式,还可进行文件系统操作。适用于需要智能交互和自动化任务的场景,如信息检索、文件管理等。其提供了详细的文档,包括快速启动、部署、贡献指南和 SDK 使用说明等,方便开发者使用和扩展。

Wan2.1

Wan2.1

开源且先进的大规模视频生成模型项目

Wan2.1 是一个开源且先进的大规模视频生成模型项目,支持文本到图像、文本到视频、图像到视频等多种生成任务。它具备丰富的配置选项,可调整分辨率、扩散步数等参数,还能对提示词进行增强。使用了多种先进技术和工具,在视频和图像生成领域具有广泛应用前景,适合研究人员和开发者使用。

爱图表

爱图表

全流程 AI 驱动的数据可视化工具,助力用户轻松创作高颜值图表

爱图表(aitubiao.com)就是AI图表,是由镝数科技推出的一款创新型智能数据可视化平台,专注于为用户提供便捷的图表生成、数据分析和报告撰写服务。爱图表是中国首个在图表场景接入DeepSeek的产品。通过接入前沿的DeepSeek系列AI模型,爱图表结合强大的数据处理能力与智能化功能,致力于帮助职场人士高效处理和表达数据,提升工作效率和报告质量。

Qwen2.5-VL

Qwen2.5-VL

一款强大的视觉语言模型,支持图像和视频输入

Qwen2.5-VL 是一款强大的视觉语言模型,支持图像和视频输入,可用于多种场景,如商品特点总结、图像文字识别等。项目提供了 OpenAI API 服务、Web UI 示例等部署方式,还包含了视觉处理工具,有助于开发者快速集成和使用,提升工作效率。

HunyuanVideo

HunyuanVideo

HunyuanVideo 是一个可基于文本生成高质量图像和视频的项目。

HunyuanVideo 是一个专注于文本到图像及视频生成的项目。它具备强大的视频生成能力,支持多种分辨率和视频长度选择,能根据用户输入的文本生成逼真的图像和视频。使用先进的技术架构和算法,可灵活调整生成参数,满足不同场景的需求,是文本生成图像视频领域的优质工具。

WebUI for Browser Use

WebUI for Browser Use

一个基于 Gradio 构建的 WebUI,支持与浏览器智能体进行便捷交互。

WebUI for Browser Use 是一个强大的项目,它集成了多种大型语言模型,支持自定义浏览器使用,具备持久化浏览器会话等功能。用户可以通过简洁友好的界面轻松控制浏览器智能体完成各类任务,无论是数据提取、网页导航还是表单填写等操作都能高效实现,有利于提高工作效率和获取信息的便捷性。该项目适合开发者、研究人员以及需要自动化浏览器操作的人群使用,在 SEO 优化方面,其关键词涵盖浏览器使用、WebUI、大型语言模型集成等,有助于提高网页在搜索引擎中的曝光度。

xiaozhi-esp32

xiaozhi-esp32

基于 ESP32 的小智 AI 开发项目,支持多种网络连接与协议,实现语音交互等功能。

xiaozhi-esp32 是一个极具创新性的基于 ESP32 的开发项目,专注于人工智能语音交互领域。项目涵盖了丰富的功能,如网络连接、OTA 升级、设备激活等,同时支持多种语言。无论是开发爱好者还是专业开发者,都能借助该项目快速搭建起高效的 AI 语音交互系统,为智能设备开发提供强大助力。

olmocr

olmocr

一个用于 OCR 的项目,支持多种模型和服务器进行 PDF 到 Markdown 的转换,并提供测试和报告功能。

olmocr 是一个专注于光学字符识别(OCR)的 Python 项目,由 Allen Institute for Artificial Intelligence 开发。它支持多种模型和服务器,如 vllm、sglang、OpenAI 等,可将 PDF 文件的页面转换为 Markdown 格式。项目还提供了测试框架和 HTML 报告生成功能,方便用户对 OCR 结果进行评估和分析。适用于科研、文档处理等领域,有助于提高工作效率和准确性。

飞书多维表格

飞书多维表格

飞书多维表格 ×DeepSeek R1 满血版

飞书多维表格联合 DeepSeek R1 模型,提供 AI 自动化解决方案,支持批量写作、数据分析、跨模态处理等功能,适用于电商、短视频、影视创作等场景,提升企业生产力与创作效率。关键词:飞书多维表格、DeepSeek R1、AI 自动化、批量处理、企业协同工具。

下拉加载更多