Workload security gaat over het beveiligen van je workloads:
- Workload identity staat aan (voor authenticatie richting Azure resources via Microsoft Entra ID).
- Deployment safeguards helpen bij het afdwingen van best practices, zodat alleen vertrouwde containers en veilige images worden gebruikt.
- Azure Key Vault provider is geactiveerd om secrets veilig te koppelen aan je workloads.
- Azure Policy add-on staat aan.
Networking
Bij networking kijk je naar hoe pods met elkaar communiceren binnen het Virtual Network (VNet), en hoe verkeer naar en van het cluster gaat.
Networking in AKS Automatic omvat:
- Pod networking via Azure CNI overlay met Cilium als dataplane.
- Ingress via AKS App Routing (een managed NGINX Ingress Controller), die integreert met Azure DNS en Azure Key Vault voor end-to-end toegang tot je app.
- Egress via AKS NAT Gateway voor schaalbare outbound connecties.
Scaling
AKS Automatic gebruikt verschillende scaling-opties. Je kunt ze opdelen in cluster autoscaling en workload autoscaling:
Voor Cluster Autoscaling schakelt AKS Automatic automatisch dit in:
- Node Autoprovisioning (NAP): Gebaseerd op het open-source project Karpenter. Dit schaalt nodes op of af afhankelijk van de workload. De Cluster Autoscaler checkt onderbenutte nodes en verplaatst workloads slim (binpacking) om efficiëntie te verhogen en kosten te besparen.
Voor Workload Autoscaling gebruikt AKS Automatic:
- KEDA: Kubernetes Event-Driven Autoscaler. Hiermee schaal je workloads op basis van events of metrics.
- Vertical Pod Autoscaler (VPA): Deze add-on past automatisch de resource requests van je workloads aan.
Observability
Vanaf het begin krijg je observability direct in je systeem:
- Azure Managed Prometheus voor metrics
- Container Insights voor logs
- Azure Managed Grafana voor dashboards
De managed Grafana-instantie bevat standaard dashboards voor Kubernetes en Azure. Je kunt dus meteen de status van je cluster bekijken in het Azure portal.
Beperkingen van AKS Automatic
AKS Automatic maakt het instellen van AKS simpeler, omdat je veel niet meer zelf hoeft te configureren.
Daar staat tegenover dat je minder flexibiliteit hebt. De standaardinstellingen passen niet bij elke situatie. De huidige beperkingen zijn onder andere:
- Beperkte controle over network plugins of custom CNI settings
- Geen ondersteuning voor custom node pools (deze zijn vooraf gedefinieerd)
- Niet alle add-ons worden ondersteund
- Scaling werkt zoals Microsoft het bedoeld heeft: KEDA en VPA staan standaard aan
- Vooraf ingestelde features kun je niet uitschakelen of aanpassen
Conclusie
AKS Automatic is dus meer geautomatiseerd en opinionated. Je kunt nog wel wat tweaks doen op het gebied van security, maar minder dan bij AKS Standard. En je hebt nog steeds kennis nodig, bijvoorbeeld van hoe een cluster zich gedraagt.
Als je controle overdraagt aan Azure, kan dat een probleem zijn voor teams met strikte compliance- of security-eisen. Je verliest namelijk zicht en verfijnde configuratie.
Denk dus goed na of dit past bij jouw organisatie.
Terug naar de vraag: is AKS Automatic het waard? Dat hangt ervan af.
- AKS Automatic is geschikt als je snel een werkend, standaard geconfigureerd cluster nodig hebt.
- AKS Standard past beter als je volledige controle wilt, flexibiliteit nodig hebt of met afwijkende workloads werkt.
Past AKS Automatic niet bij je organisatie? Dat betekent niet dat je dan maar alles zelf moet regelen in AKS.
Intercept biedt een volledig beheerde oplossing: AKS Control.