AZ-305

Deep Dive

D4 · Infraestructura

Diseño de Contenedores y AKS

Para el AZ-305 no necesitas operar Kubernetes — necesitas diseñar: cuándo AKS y cuándo algo más simple, cómo se escala y asegura el cluster, y cómo encaja ACR en el pipeline.

Icon-compute-23

AKS — arquitectura y responsabilidades

Microsoft gestiona

  • • Control plane (API server, etcd, scheduler) — gratis o con SLA de pago (Standard tier: 99.95% con zonas)
  • • Upgrades del control plane y parches de imagen de nodo (auto-upgrade channels)

Tú gestionas

  • • Node pools (VMs): tamaño, escala, zonas
  • • Workloads, RBAC del cluster, redes, policies
  • • Versiones de Kubernetes (ventana de soporte N-2)
  • • AKS Automatic reduce esta lista (opinión preconfigurada)
Icon-compute-23

Node pools, escalado y redes

Diseño de node pools

  • • System pool (componentes del cluster) + user pools (workloads)
  • • Pools especializados: GPU, memoria, Windows, Spot (batch barato evictable)
  • • Repartir nodos entre availability zones
  • • Taints/tolerations y node selectors dirigen pods al pool correcto

Escalado — 3 niveles

  • HPA: más pods según CPU/métricas
  • Cluster Autoscaler: más NODOS cuando los pods no caben (o Node Autoprovisioning/Karpenter)
  • KEDA: pods según eventos (colas, Kafka) — incluso a cero
  • Virtual nodes (ACI): burst instantáneo sin crear VMs

Redes de AKS — lo que cae

  • Kubenet (legacy) vs Azure CNI: CNI da IP de VNet a cada pod (integración directa, consume IPs); CNI Overlay ahorra IPs manteniendo compatibilidad — el default moderno
  • Private cluster: API server con private endpoint — kubectl solo desde la red
  • • Ingress: App Gateway for Containers / NGINX (application routing addon); Front Door delante para global
  • • Network policies para microsegmentar tráfico pod-a-pod
Icon-compute-23

Seguridad e identidad en AKS

NecesidadSolución
Autenticar usuarios al clusterEntra ID integration + Kubernetes RBAC (o Azure RBAC for K8s)
Pods acceden a Key Vault/Storage sin secretosMicrosoft Entra Workload ID (federación OIDC con service accounts)
Secretos de Key Vault montados en podsSecrets Store CSI Driver
Forzar estándares (sin contenedores privilegiados, solo registries aprobados)Azure Policy for AKS (Gatekeeper/OPA)
Escaneo de vulnerabilidades de imágenes y runtimeMicrosoft Defender for Containers
Cifrado de discos del cluster con CMKDisk Encryption Set en los node pools

Azure Container Registry

Tiers y features

  • • Basic / Standard / Premium
  • • Solo Premium: geo-replication (pulls locales multi-región, un solo registro), private endpoints, content trust
  • • ACR Tasks: builds en la nube, auto-rebuild al cambiar base image
  • • AKS se integra sin contraseñas (attach: rol AcrPull a la identidad del kubelet)

Señales de examen

  • • "Clusters en 3 regiones deben hacer pull con baja latencia desde un único registro" → ACR Premium geo-replicado
  • • "El registro solo accesible desde la VNet" → Premium + private endpoint
  • • "AKS hace pull sin credenciales" → managed identity + AcrPull

AKS vs Container Apps vs ACI — repaso de decisión

📦Árbol de decisión — Contenedores en Azure

AKS · Container Apps · ACI

Interactivo

Pregunta 1

¿Necesitas acceso completo a la API de Kubernetes (kubectl, operators, CRDs, control total del cluster)?

💡 AKS da Kubernetes real — todos los comandos kubectl, operators del ecosistema K8s, CRDs personalizados. Si solo necesitas ejecutar contenedores sin gestionar Kubernetes, hay opciones más simples.

CriterioAKSContainer AppsACI
API de KubernetesSí — completaNo (K8s oculto)No
OperaciónTú gestionas el clusterServerlessServerless
Scale to zeroCon KEDA manualNativoN/A (por contenedor)
Caso idealPlataformas complejas, operators, multi-team, portabilidadMicroservicios y jobs event-drivenContenedores puntuales, burst de AKS

Tabla de decisión

RequisitoDiseño
SLA del API server + resiliencia zonalAKS Standard tier + nodos en zonas
kubectl solo desde la red corporativaPrivate cluster
Procesar cola con pods que escalan desde ceroKEDA
Burst inmediato sin esperar VMs nuevasVirtual nodes (ACI)
Batch tolerante a evicción al menor costoNode pool de Spot VMs
Pods leen Key Vault sin secretos almacenadosWorkload Identity + Secrets Store CSI
Prohibir imágenes fuera del registro corporativoAzure Policy for AKS
Pulls rápidos desde clusters en 3 regionesACR Premium geo-replicado
DR multi-región de AKSCluster por región + GitOps/IaC + ACR geo-replicado + Front Door

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una plataforma corre en AKS en West Europe y se expandirá a East US y Southeast Asia. Requisitos: los 3 clusters deben hacer pull de imágenes desde un único registro lógico con baja latencia local, y el registro no debe ser accesible desde internet. ¿Qué diseñas?

Inicia sesión para llevar tu progreso.