ProHoster > Blog > administrasie > Beste praktyke en beste praktyke vir die bestuur van houers en Kubernetes in produksie-omgewings
Beste praktyke en beste praktyke vir die bestuur van houers en Kubernetes in produksie-omgewings
Die ekosisteem van houerstegnologie ontwikkel en verander vinnig, so daar is 'n gebrek aan goeie werkpraktyke op hierdie gebied. Kubernetes en houers word egter toenemend gebruik, beide vir die modernisering van verouderde toepassings en vir die ontwikkeling van moderne wolktoepassings.
Span Kubernetes aaS van Mail.ru voorspellings, advies en beste praktyke vir markleiers van Gartner, 451 Research, StacxRoх en ander ingesamel. Hulle sal die ontplooiing van houers in produksie-omgewings moontlik maak en versnel.
Hoe om te weet of u onderneming gereed is om houers in 'n produksie-omgewing te ontplooi
Volgens Gartner, in 2022 sal meer as 75% van organisasies houertoepassings in produksie gebruik. Dit is aansienlik meer as tans, wanneer minder as 30% van maatskappye sulke toepassings gebruik.
Volgens 451 NavorsingDie geprojekteerde mark vir houertegnologietoepassings in 2022 sal $4,3 miljard wees. Dit is meer as dubbel die bedrag wat in 2019 geprojekteer is, met 'n markgroeikoers van 30%.
В Portworx en Aqua Security opname 87% van die respondente het gesê hulle gebruik tans houertegnologie. Ter vergelyking, in 2017 was daar 55% van sulke respondente.
Ten spyte van die groeiende belangstelling en aanvaarding van houers, verg dit 'n leerkurwe om dit in produksie te kry as gevolg van tegnologiese onvolwassenheid en 'n gebrek aan kundigheid. Organisasies moet realisties wees oor besigheidsprosesse wat aansoekhouerisering vereis. IT-leiers moet evalueer of hulle die vaardighede het om vorentoe te beweeg met die behoefte om vinnig te leer.
Gartner kenners Ons dink die vrae in die prent hieronder sal jou help om te bepaal of jy gereed is om houers in produksie te ontplooi:
Die mees algemene foute wanneer houers in produksie gebruik word
Organisasies onderskat dikwels die moeite wat nodig is om houers in produksie te bedryf. Gartner ontdek Enkele algemene foute in kliëntscenario's wanneer houers in produksieomgewings gebruik word:
Hoe om houers veilig te hou
Sekuriteit kan nie “later” hanteer word nie. Dit moet in die DevOps-proses ingebou word, en daarom is daar selfs 'n spesiale term - DevSecOps. Organisasies moet beplan die beskerming van jou houer omgewing regdeur die ontwikkelingslewensiklus, wat die bou- en ontwikkelingsproses, ontplooiing en bekendstelling van die toepassing insluit.
Integreer die proses van skandering van toepassingsbeelde vir kwesbaarhede in jou deurlopende integrasie/deurlopende aflewering (CI/CD) pyplyn. Toepassings word geskandeer tydens die sagtewarebou- en bekendstellingstadium. Beklemtoon die behoefte om oopbronkomponente, biblioteke en raamwerke te skandeer en te identifiseer. Ontwikkelaars wat ou, kwesbare weergawes gebruik, is een van die hoofoorsake van houerkwesbaarhede.
Verbeter jou konfigurasie met Sentrum vir Internetsekuriteitstoetse (CIS), wat beskikbaar is vir beide Docker en Kubernetes.
Maak seker dat u toegangskontroles afdwing, skeiding van pligte verseker en 'n geheimebestuurbeleid implementeer. Sensitiewe inligting, soos Secure Sockets Layer (SSL) sleutels of databasis geloofsbriewe, word geënkripteer deur die orkestreerder of derdeparty bestuursdienste en tydens looptyd blootgestel
Vermy hoë houers deur sekuriteitsbeleide te bestuur om potensiële oortredingsrisiko's te verminder.
Gebruik sekuriteitnutsgoed wat witlys, gedragsmonitering en anomalie-opsporing verskaf om kwaadwillige aktiwiteite te voorkom.
Gebruik die ingeboude vermoëns van Kubernetes. Stel toegang op vir gebruikers wat rolle gebruik. Maak seker dat jy nie onnodige toestemmings aan individuele vakke gee nie, al kan dit 'n rukkie neem om deur die minimum toestemmings te dink wat vereis word. Dit kan aanloklik wees om die groepadministrateur wye voorregte te gee, aangesien dit aanvanklik tyd bespaar. Enige kompromie of foute in die rekening kan egter later tot verwoestende gevolge lei.
Vermy duplikaattoegangtoestemmings. Dit kan soms nuttig wees om verskillende rolle te laat oorvleuel, maar dit kan lei tot bedryfskwessies en ook blindekolle skep wanneer toestemmings verwyder word. Dit is ook belangrik om ongebruikte en onaktiewe rolle te verwyder.
Stel netwerkbeleide in: isoleer modules om toegang daartoe te beperk; Internettoegang tot daardie modules wat dit benodig, eksplisiet toelaat deur gebruik te maak van etikette; Laat kommunikasie uitdruklik toe tussen daardie modules wat met mekaar moet kommunikeer.
Hoe om monitering van houers en dienste daarin te organiseer
Sekuriteit en monitering - hoofprobleme van maatskappye wanneer Kubernetes-klusters ontplooi word. Ontwikkelaars is altyd meer gefokus op die kenmerke van die toepassings wat hulle ontwikkel eerder as die aspekte monitering van hierdie toepassings.
Gebruik gereedskap om houerstatistieke outomaties te ontdek en na te spoor, wat prestasiemaatstawwe soos SVE, geheue en uptyd korreleer.
Verseker optimale kapasiteitsbeplanning deur kapasiteitsuitputtingsdatums te voorspel gebaseer op houermoniteringmetrieke.
Monitor houertoepassings vir beskikbaarheid en werkverrigting, nuttig vir beide kapasiteitsbeplanning en die oplos van prestasiekwessies.
Outomatiseer werkvloeie deur bestuur- en skaalondersteuning vir houers en hul gasheeromgewings te verskaf.
Outomatiseer toegangsbeheer om jou gebruikersbasis te monitor, verouderde en gasrekeninge te deaktiveer en onnodige voorregte te verwyder.
Maak seker dat jou gereedskapstel hierdie houers en toepassings oor verskeie omgewings (wolk, op die perseel of hibriede) kan monitor om prestasie oor infrastruktuur, netwerk, stelsels en toepassings te visualiseer en te meet.
Hoe om data te stoor en die veiligheid daarvan te verseker
Met die opkoms van statige werkerhouers, moet kliënte die teenwoordigheid van data buite die gasheer oorweeg en die behoefte om daardie data te beskerm.
Volgens Portworx en Aqua Security opname, datasekuriteit boaan die lys van sekuriteitsbekommernisse wat deur die meerderheid respondente (61%) aangehaal word.
Data-enkripsie is die hoofsekuriteitstrategie (64%), maar respondente gebruik ook runtime-monitering
(49%), skandering van registers vir kwesbaarhede (49%), skandering vir kwesbaarhede in CI/CD pyplyne (49%), en blokkering van onreëlmatighede deur looptydbeskerming (48%).
Kies bergingsoplossings wat op beginsels gebou is mikrodiens argitektuur. Dit is beter om te fokus op diegene wat aan die databergingsvereistes vir houerdienste voldoen, hardeware-onafhanklik is, API-gedrewe is, 'n verspreide argitektuur het, plaaslike ontplooiing en ontplooiing in die publieke wolk ondersteun.
Vermy eie inproppe en koppelvlakke. Kies verskaffers wat Kubernetes-integrasie verskaf en standaardkoppelvlakke soos CSI (Container Storage Interfaces) ondersteun.
Hoe om met netwerke te werk
Die tradisionele ondernemingsnetwerkmodel, waar IT-spanne genetwerkte ontwikkeling, toetsing, gehalteversekering en produksieomgewings vir elke projek skep, pas nie altyd goed by die deurlopende ontwikkelingswerkvloei nie. Boonop strek houernetwerke oor verskeie lae.
В blog Magalix versamel hoëvlakreëls waaraan die implementering van 'n klusternetwerkoplossing moet voldoen:
Peule wat op dieselfde nodus geskeduleer is, moet met ander peule kan kommunikeer sonder om NAT (Network Address Translation) te gebruik.
Alle stelseldemone (agtergrondprosesse soos kubelet) wat op 'n spesifieke nodus loop, kan kommunikeer met peule wat op dieselfde nodus loop.
Peule gebruik gasheer netwerk, moet in staat wees om met alle ander peule op alle ander nodusse te kommunikeer sonder om NAT te gebruik. Neem asseblief kennis dat gasheernetwerk slegs op Linux-gashere ondersteun word.
Netwerkoplossings moet stewig geïntegreer word met Kubernetes-primitiewe en -beleide. IT-leiers moet streef na 'n hoë mate van netwerkoutomatisering en ontwikkelaars van die regte gereedskap en voldoende buigsaamheid voorsien.
Vind uit of jou CaaS (houer as 'n diens) of jou SDN (Software Defined Network) Kubernetes-netwerke ondersteun. Indien nie of die ondersteuning onvoldoende is, gebruik die CNI (Container Network Interface) netwerkkoppelvlak vir jou houers, wat die nodige funksionaliteit en beleide ondersteun.
Maak seker dat jou CaaS of PaaS (platform as 'n diens) die skepping van ingangsbeheerders en/of lasbalanseerders ondersteun wat inkomende verkeer tussen groepnodusse versprei. As dit nie 'n opsie is nie, verken die gebruik van derdeparty-gevolmagtigdes of diensmaskers.
Lei u netwerkingenieurs op Linux-netwerke en netwerkoutomatiseringsinstrumente op om die vaardigheidsgaping te verminder en behendigheid te verhoog.
Hoe om die toepassing lewensiklus te bestuur
Vir outomatiese en naatlose toepassingslewering moet jy houerorkestrasie aanvul met ander outomatiseringsinstrumente, soos infrastruktuur as kode (IaC) produkte. Dit sluit in Chef, Puppet, Ansible en Terraform.
Stel standaarde vir basishouerprente gebaseer op grootte, lisensiëring en buigsaamheid vir ontwikkelaars om komponente by te voeg.
Gebruik konfigurasiebestuurstelsels om die lewensiklus van houers wat laagkonfigurasie te bestuur gebaseer op basisbeelde wat in publieke of private bewaarplekke geleë is.
Integreer jou CaaS-platform met outomatiseringsinstrumente om jou hele toepassingswerkvloei te outomatiseer.
Hoe om houers met orkestreerders te bestuur
Die kernfunksies vir die ontplooiing van houers word by die orkestrasie- en beplanningslae verskaf. Tydens skedulering word houers op die mees optimale gashere in die groep geplaas, soos bepaal deur die orkestrasielaagvereistes.
Kubernetes het die de facto-houerorkestrasiestandaard geword met 'n aktiewe gemeenskap en word ondersteun deur die meeste vooraanstaande kommersiële verskaffers.
Definieer basiese vereistes vir sekuriteitskontroles, monitering, beleidbestuur, data-volharding, netwerk- en houerlewensiklusbestuur.
Op grond van hierdie vereistes, kies die instrument wat die beste by jou vereistes en gebruiksgevalle pas.
Gebruik Gartner-navorsing (sien "Hoe om 'n Kubernetes-ontplooiingsmodel te kies") om die voor- en nadele van verskillende Kubernetes-ontplooiingsmodelle te verstaan en die beste een vir jou toepassing te kies.
Kies 'n verskaffer wat hibriede orkestrasie vir werkhouers oor veelvuldige omgewings kan verskaf met noukeurige backend-integrasie, algemene bestuursplanne en konsekwente prysmodelle.
Hoe om die vermoëns van wolkverskaffers te gebruik
Gartner glodat belangstelling in die ontplooiing van houers op publieke wolk IaaS groei as gevolg van die beskikbaarheid van klaargemaakte CaaS-aanbiedinge, sowel as die noue integrasie van hierdie aanbiedinge met ander produkte wat deur wolkverskaffers aangebied word.
IaaS-wolke bied hulpbronverbruik op aanvraag, vinnige skaalbaarheid en diensbestuur, wat sal help om die behoefte aan diepgaande kennis van die infrastruktuur en die instandhouding daarvan te vermy. Die meeste wolkverskaffers bied 'n houerbestuurdiens, en sommige bied verskeie orkestrasie-opsies.
Sleutel-wolkbestuurde diensverskaffers word in die tabel aangebied:
Wolk verskaffer Diens tipe Produk/diens
Alibaba
Inheemse wolkdiens
Alibaba Wolkhouerdiens, Alibaba Wolkhouerdiens vir Kubernetes
Amazon Web Services (AWS)
Inheemse wolkdiens
Amazon Elastic Container Services (ECS), Amazon ECS for Kubernetes (EKS), AWS Fargate
* Ons sal dit nie wegsteek nie, ons het onsself hier bygevoeg tydens die vertaling :)
Publieke wolkverskaffers voeg ook nuwe vermoëns by en stel produkte op die perseel vry. In die nabye toekoms sal wolkverskaffers ondersteuning vir hibriede wolke en multi-wolk-omgewings ontwikkel.
Evalueer objektief jou organisasie se vermoë om toepaslike gereedskap te ontplooi en te bestuur, en oorweeg alternatiewe wolkhouerbestuursdienste.
Kies sagteware versigtig, gebruik oopbron waar moontlik.
Kies verskaffers met algemene bedryfsmodelle in hibriede omgewings wat enkelruitbestuur van gefedereerde groepe bied, sowel as verskaffers wat dit maklik maak om IaaS self te huisves.
Dit is die moeite werd om te soek na verspreidings wat hoë beskikbaarheid uit die boks ondersteun. Dit sluit ondersteuning in vir verskeie groot argitekture, hoogs beskikbare ens-komponente, en rugsteun en herstel.
Om mobiliteit in jou Kubernetes-omgewings te verseker, is dit die beste om wolkverskaffers te kies wat 'n wye reeks ontplooiingsmodelle ondersteun, van op die perseel tot hibriede tot multi-wolk.
Verskafferaanbiedinge moet ook geëvalueer word op grond van die gemak van opstelling, installering en groepskepping, sowel as opdaterings, monitering en probleemoplossing. Die basiese vereiste is om ten volle outomatiese groepopdaterings te ondersteun met geen stilstand nie. Die oplossing wat u kies, behoort u ook in staat te stel om opdaterings handmatig uit te voer.
Identiteits- en toegangsbestuur is belangrik vanuit beide 'n sekuriteit- en bestuursperspektief. Maak seker dat die Kubernetes-verspreiding wat jy kies, integrasie ondersteun met die verifikasie- en magtigingsnutsgoed wat jy intern gebruik. RBAC en fynkorrelige toegangsbeheer is ook belangrike kenmerke.
Die verspreiding wat jy kies moet óf 'n inheemse sagteware-gedefinieerde netwerkoplossing hê wat 'n wye reeks verskillende toepassings- of infrastruktuurvereistes dek, óf een van die gewilde CNI-gebaseerde netwerkimplementerings ondersteun, insluitend Flannel, Calico, kube-router of OVN.
Die bekendstelling van houers in produksie is besig om die hoofrigting te word, soos blyk uit die resultate van 'n opname wat op Gartner sessies oor infrastruktuur, bedrywighede en wolkstrategieë (IOCS) in Desember 2018:
Soos jy kan sien, gebruik 27% van die respondente reeds houers in hul werk, en 63% beplan om dit te doen.
В Portworx en Aqua Security opname 24% van die respondente het gerapporteer dat hulle meer as 'n halfmiljoen dollar per jaar op houertegnologieë belê, en 17% van die respondente het meer as 'n miljoen dollar per jaar daaraan bestee.