Най-добри практики и най-добри практики за изпълнение на контейнери и Kubernetes в производствени среди

Екосистемата на технологиите за контейнеризация бързо се развива и променя, така че липсват добри работни практики в тази област. Kubernetes и контейнерите обаче се използват все повече, както за модернизиране на наследени приложения, така и за разработване на модерни облачни приложения. 

Отбор Kubernetes aaS от Mail.ru събра прогнози, съвети и добри практики за пазарни лидери от Gartner, 451 Research, StacxRoх и др. Те ще позволят и ще ускорят внедряването на контейнери в производствени среди.

Как да разберете дали вашата компания е готова да разположи контейнери в производствена среда

Според Gartner, през 2022 г. повече от 75% от организациите ще използват контейнеризирани приложения в производството. Това е значително повече от сега, когато по-малко от 30% от компаниите използват подобни приложения. 

Според 451 ResearchПрогнозираният пазар за приложения на контейнерни технологии през 2022 г. ще бъде $4,3 млрд. Това е повече от два пъти повече от прогнозираната сума през 2019 г., с темп на растеж на пазара от 30%.

В Проучване на Portworx и Aqua Security 87% от анкетираните казват, че в момента използват контейнерни технологии. За сравнение, през 2017 г. такива анкетирани са били 55%. 

Въпреки нарастващия интерес и възприемането на контейнерите, пускането им в производство изисква крива на обучение поради технологична незрялост и липса на ноу-хау. Организациите трябва да бъдат реалисти по отношение на бизнес процесите, които изискват контейнеризиране на приложения. ИТ лидерите трябва да преценят дали притежават необходимите умения да продължат напред с необходимостта да се учат бързо. 

Експерти на Gartner Смятаме, че въпросите в изображението по-долу ще ви помогнат да определите дали сте готови да разположите контейнери в производство:

Най-честите грешки при използване на контейнери в производството

Организациите често подценяват усилията, необходими за работа с контейнери в производството. Gartner откри Някои често срещани грешки в клиентските сценарии при използване на контейнери в производствени среди:

Как да запазите контейнерите сигурни

Със сигурността не може да се работи „по-късно“. Той трябва да бъде вграден в процеса DevOps, поради което дори има специален термин – DevSecOps. Организациите трябва да планират защита на вашата контейнерна среда през целия жизнен цикъл на разработка, който включва процеса на изграждане и разработка, внедряване и стартиране на приложението.

Препоръки от Gartner: 

1. Интегрирайте процеса на сканиране на изображения на приложения за уязвимости във вашия конвейер за непрекъсната интеграция/непрекъснато доставяне (CI/CD). Приложенията се сканират на етапите на изграждане и стартиране на софтуера. Подчертайте необходимостта от сканиране и идентифициране на компоненти, библиотеки и рамки с отворен код. Разработчиците, които използват стари, уязвими версии, са една от основните причини за уязвимости на контейнери.
2. Подобрете конфигурацията си с Центъра за тестове за интернет сигурност (ОНД), които са налични както за Docker, така и за Kubernetes.
3. Не забравяйте да наложите контрол на достъпа, да осигурите разделение на задълженията и да приложите политика за управление на тайни. Чувствителната информация, като ключове за Secure Sockets Layer (SSL) или идентификационни данни за база данни, се шифрова от оркестратора или услуги за управление на трети страни и се разкрива по време на изпълнение
4. Избягвайте повишени контейнери, като управлявате политики за сигурност, за да намалите потенциалните рискове от пробив.
5. Използвайте инструменти за сигурност, които предоставят бели списъци, наблюдение на поведението и откриване на аномалии, за да предотвратите злонамерена дейност.

Препоръки от StacxRox:

1. Възползвайте се от вградените възможности на Kubernetes. Настройте достъп за потребители, използващи роли. Уверете се, че не предоставяте ненужни разрешения на отделни обекти, въпреки че може да отнеме известно време, за да обмислите минималните необходими разрешения. Може да е изкушаващо да се дадат широки привилегии на администратора на клъстера, тъй като това първоначално спестява време. Всеки компромис или грешки в акаунта обаче могат да доведат до пагубни последици по-късно. 
2. Избягвайте дублиращи се разрешения за достъп. Понякога може да е полезно различните роли да се припокриват, но това може да доведе до оперативни проблеми и също да създаде слепи петна при премахване на разрешения. Също така е важно да премахнете неизползваните и неактивни роли.
3. Задайте мрежови политики: изолирайте модулите, за да ограничите достъпа до тях; изрично разрешаване на интернет достъп до тези модули, които се нуждаят от него, с помощта на тагове; Изрично разрешаване на комуникация между тези модули, които трябва да комуникират помежду си. 

Как да организираме мониторинг на контейнерите и услугите в тях

Сигурност и наблюдение - основните проблеми на фирмите при внедряване на клъстери на Kubernetes. Разработчиците винаги са по-фокусирани върху характеристиките на приложенията, които разработват, отколкото върху аспектите наблюдение на тези приложения. 

Препоръки от Gartner:

1. Опитайте се да наблюдавате състоянието на контейнерите или услугите в тях във връзка с наблюдаващите хост системи.
2. Потърсете доставчици и инструменти с дълбока интеграция в оркестрацията на контейнери, особено Kubernetes.
3. Изберете инструменти, които предоставят подробно регистриране, автоматично откриване на услуги и препоръки в реално време, използвайки анализи и/или машинно обучение.

Блогът SolarWinds съветва:

1. Използвайте инструменти за автоматично откриване и проследяване на показателите на контейнера, като съпоставяте показатели за производителност като процесор, памет и време за работа.
2. Осигурете оптимално планиране на капацитета, като прогнозирате датите на изчерпване на капацитета въз основа на показатели за наблюдение на контейнери.
3. Наблюдавайте контейнеризирани приложения за наличност и производителност, полезни както за планиране на капацитет, така и за отстраняване на проблеми с производителността.
4. Автоматизирайте работните потоци, като предоставяте поддръжка за управление и мащабиране на контейнери и техните хостинг среди.
5. Автоматизирайте контрола на достъпа, за да наблюдавате потребителската си база, да деактивирате остарелите акаунти и акаунти за гости и да премахнете ненужните привилегии.
6. Уверете се, че вашият набор от инструменти може да наблюдава тези контейнери и приложения в множество среди (облак, локална или хибридна), за да визуализирате и сравните производителността в инфраструктура, мрежа, системи и приложения.

Как да съхраняваме данни и да гарантираме тяхната сигурност

С нарастването на работните контейнери за състояние, клиентите трябва да вземат предвид наличието на данни извън хоста и необходимостта от защита на тези данни. 

Според Проучване на Portworx и Aqua Security, сигурността на данните оглавява списъка с опасения за сигурността, посочени от мнозинството от анкетираните (61%). 

Криптирането на данни е основната стратегия за сигурност (64%), но респондентите използват и мониторинг по време на изпълнение

(49%), сканиране на регистри за уязвимости (49%), сканиране за уязвимости в CI/CD тръбопроводи (49%) и блокиране на аномалии чрез защита по време на изпълнение (48%).

Препоръки от Gartner:

1. Изберете решения за съхранение, изградени на принципи микросервизна архитектура. По-добре е да се съсредоточите върху тези, които отговарят на изискванията за съхранение на данни за контейнерни услуги, независими са от хардуер, управляват се от API, имат разпределена архитектура, поддържат локално внедряване и внедряване в публичния облак.
2. Избягвайте патентовани добавки и интерфейси. Изберете доставчици, които предоставят Kubernetes интеграция и поддържат стандартни интерфейси като CSI (Container Storage Interfaces).

Как се работи с мрежи

Традиционният мрежов модел на предприятието, при който ИТ екипите създават мрежови среди за разработка, тестване, осигуряване на качеството и производствени среди за всеки проект, не винаги се вписва добре в непрекъснатия работен процес на разработка. В допълнение, контейнерните мрежи обхващат множество слоеве.

В блог Magalix събра правила на високо ниво, на които трябва да отговаря внедряването на решение за клъстерна мрежа:

1. Подовете, планирани на същия възел, трябва да могат да комуникират с други подове, без да използват NAT (транслация на мрежови адреси).
2. Всички системни демони (фонови процеси като kubelet), работещи на конкретен възел, могат да комуникират с подове, работещи на същия възел.
3. Използване на шушулки хост мрежа, трябва да може да комуникира с всички други подове на всички други възли, без да използва NAT. Моля, обърнете внимание, че работата в мрежа на хост се поддържа само на хостове на Linux.

Мрежовите решения трябва да бъдат тясно интегрирани с примитивите и политиките на Kubernetes. ИТ лидерите трябва да се стремят към висока степен на мрежова автоматизация и да предоставят на разработчиците правилните инструменти и достатъчна гъвкавост.

Препоръки от Gartner:

1. Разберете дали вашият CaaS (контейнер като услуга) или вашият SDN (софтуерно дефинирана мрежа) поддържат мрежи Kubernetes. Ако не или поддръжката е недостатъчна, използвайте мрежовия интерфейс CNI (Container Network Interface) за вашите контейнери, който поддържа необходимата функционалност и правила.
2. Уверете се, че вашият CaaS или PaaS (платформа като услуга) поддържа създаването на входни контролери и/или балансьори на натоварването, които разпределят входящия трафик между възлите на клъстера. Ако това не е опция, проучете използването на прокси сървъри или сервизни мрежи на трети страни.
3. Обучете вашите мрежови инженери на Linux мрежи и инструменти за мрежова автоматизация, за да намалите разликата в уменията и да увеличите гъвкавостта.

Как да управлявате жизнения цикъл на приложението

За автоматизирано и безпроблемно доставяне на приложения трябва да допълните оркестрацията на контейнери с други инструменти за автоматизация, като продукти за инфраструктура като код (IaC). Те включват Chef, Puppet, Ansible и Terraform. 

Необходими са също инструменти за автоматизация за изграждане и внедряване на приложения (вижте „Магически квадрант за оркестрация на пускане на приложение"). Контейнерите също предоставят възможности за разширяване, подобни на тези, налични при внедряване на виртуални машини (VM). Следователно ИТ лидерите трябва да имат инструменти за управление на жизнения цикъл на контейнера.

Препоръки от Gartner:

1. Задайте стандарти за базови изображения на контейнери въз основа на размера, лицензирането и гъвкавостта за разработчиците да добавят компоненти.
2. Използвайте системи за управление на конфигурацията, за да управлявате жизнения цикъл на контейнери, които наслояват конфигурацията въз основа на базови изображения, разположени в публични или частни хранилища.
3. Интегрирайте вашата CaaS платформа с инструменти за автоматизация, за да автоматизирате целия работен процес на вашето приложение.

Как да управлявате контейнери с оркестратори

Основната функционалност за разполагане на контейнери се предоставя на слоевете за оркестрация и планиране. По време на планирането контейнерите се поставят на най-оптималните хостове в клъстера, както е продиктувано от изискванията на слоя за оркестрация. 

Kubernetes се превърна в де факто стандарт за оркестриране на контейнери с активна общност и се поддържа от повечето водещи търговски доставчици. 

Препоръки от Gartner:

1. Дефинирайте основни изисквания за контрол на сигурността, наблюдение, управление на политики, устойчивост на данни, работа в мрежа и управление на жизнения цикъл на контейнера.
2. Въз основа на тези изисквания изберете инструмента, който най-добре отговаря на вашите изисквания и случаи на употреба.
3. Използвайте изследвания на Gartner (вижте "Как да изберем модел за внедряване на Kubernetes"), за да разберете плюсовете и минусите на различните модели на внедряване на Kubernetes и да изберете най-добрия за вашето приложение.
4. Изберете доставчик, който може да осигури хибридна оркестрация за работни контейнери в множество среди с тясна бекенд интеграция, общи планове за управление и последователни модели на ценообразуване.

Как да използваме възможностите на облачните доставчици

Gartner вярваче интересът към внедряване на контейнери в публичен облак IaaS нараства поради наличието на готови CaaS предложения, както и тясната интеграция на тези предложения с други продукти, предлагани от облачни доставчици.

IaaS облаците предлагат потребление на ресурси при поискване, бърза мащабируемост и управление на услугата, което ще помогне да се избегне необходимостта от задълбочени познания за инфраструктурата и нейната поддръжка. Повечето облачни доставчици предлагат услуга за управление на контейнери, а някои предлагат множество опции за оркестрация. 

Ключовите доставчици на услуги, управлявани от облак, са представени в таблицата: 

Облачен доставчик
Тип услуга
Продукт/услуга

Alibaba
Родна облачна услуга
Alibaba Cloud Container Service, Alibaba Cloud Container Service за Kubernetes

Amazon Web Services (AWS)
Родна облачна услуга
Amazon Elastic Container Services (ECS), Amazon ECS за Kubernetes (EKS), AWS Fargate

Гигантски рояк
MSP
Инфраструктура Kubernetes, управлявана от Giant Swarm

Google
Родна облачна услуга
Google Container Engine (GKE)

IBM
Родна облачна услуга
Услуга IBM Cloud Kubernetes

Microsoft
Родна облачна услуга
Azure Kubernetes услуга, Azure Service Fabric

Оракул
Родна облачна услуга
OCI Container Engine за Kubernetes

Platform9
MSP
Управляван Kubernetes

Кардинал
Хоствана услуга
Специализиран и онлайн OpenShift

VMware
Хоствана услуга
Cloud PKS (бета)

Облачни решения на Mail.ru*
Родна облачна услуга
Облачни контейнери на Mail.ru

* Няма да го крием, ние се добавихме тук по време на превода :)

Доставчиците на публичен облак също добавят нови възможности и пускат локални продукти. В близко бъдеще облачните доставчици ще разработят поддръжка за хибридни облаци и мулти-облачни среди. 

Препоръки на Gartner:

1. Обективно оценете способността на вашата организация да внедри и управлява подходящи инструменти и обмислете алтернативни услуги за управление на облачни контейнери.
2. Изберете софтуер внимателно, използвайте отворен код, когато е възможно.
3. Изберете доставчици с общи операционни модели в хибридни среди, които предлагат управление на обединени клъстери от един панел, както и доставчици, които улесняват самостоятелното хостване на IaaS.

Няколко съвета за избор на доставчик на Kubernetes aaS от блога на Replex:

1. Струва си да потърсите дистрибуции, които поддържат висока наличност веднага. Това включва поддръжка за множество основни архитектури, високодостъпни etcd компоненти и архивиране и възстановяване.
2. За да осигурите мобилност във вашите Kubernetes среди, най-добре е да изберете облачни доставчици, които поддържат широка гама от модели на внедряване, от локални до хибридни до мулти-облак. 
3. Предложенията на доставчика също трябва да бъдат оценени въз основа на лекотата на настройка, инсталиране и създаване на клъстер, както и актуализации, наблюдение и отстраняване на неизправности. Основното изискване е да се поддържат напълно автоматизирани актуализации на клъстери с нулев престой. Решението, което изберете, също трябва да ви позволява да изпълнявате актуализации ръчно. 
4. Управлението на самоличността и достъпа е важно както от гледна точка на сигурността, така и от гледна точка на управлението. Уверете се, че избраната от вас дистрибуция на Kubernetes поддържа интеграция с инструментите за удостоверяване и оторизация, които използвате вътрешно. RBAC и фин контрол на достъпа също са важни набори от функции.
5. Избраната от вас дистрибуция трябва или да има собствено софтуерно дефинирано мрежово решение, което покрива широк спектър от различни приложения или инфраструктурни изисквания, или да поддържа едно от популярните CNI-базирани мрежови реализации, включително Flannel, Calico, kube-router или OVN.

Въвеждането на контейнери в производството се превръща в основна посока, както се вижда от резултатите от проучване, проведено на Сесии на Gartner относно инфраструктурата, операциите и облачните стратегии (IOCS) през декември 2018 г.:

Както можете да видите, 27% от анкетираните вече използват контейнери в работата си, а 63% планират да го направят.

В Проучване на Portworx и Aqua Security 24% от респондентите съобщават, че инвестират повече от половин милион долара годишно в контейнерни технологии, а 17% от респондентите харчат повече от милион долара годишно за тях. 

Статията е подготвена от екипа на облачната платформа Облачни решения на Mail.ru.

Какво още да прочетете по темата:

1. Най-добри практики на DevOps: Доклад на DORA.
2. Kubernetes в духа на пиратството с шаблон за внедряване.
3. 25 полезни инструмента за внедряване и приемане на Kubernetes.

Източник: www.habr.com