Konteinerite ja Kubernetese käitamise parimad tavad ja tavad tootmiskeskkondades

Konteinerite tehnoloogia ökosüsteem areneb ja muutub kiiresti, mistõttu puuduvad selles valdkonnas head töötavad. Kubernetes ja konteinereid kasutatakse aga üha enam nii pärandrakenduste moderniseerimiseks kui ka kaasaegsete pilverakenduste arendamiseks. 

Meeskond Kubernetes aaS saidilt Mail.ru kogus Gartneri, 451 Researchi, StacxRoх jt prognoose, nõuandeid ja parimaid praktikaid turuliidritele. Need võimaldavad ja kiirendavad konteinerite kasutuselevõttu tootmiskeskkondades.

Kuidas teada saada, kas teie ettevõte on valmis tootmiskeskkonnas konteinereid juurutama

Gartneri sõnul2022. aastal kasutab enam kui 75% organisatsioonidest tootmises konteinerrakendusi. Seda on oluliselt rohkem kui praegu, mil selliseid rakendusi kasutab alla 30% ettevõtetest. 

Vastavalt 451 ResearchKonteinertehnoloogia rakenduste prognoositav turg on 2022. aastal 4,3 miljardit dollarit. See on enam kui kaks korda suurem kui 2019. aastal prognoositud summa, turu kasvutempo on 30%.

В Portworxi ja Aqua Security uuring 87% vastanutest ütles, et kasutavad praegu konteinertehnoloogiaid. Võrdluseks, 2017. aastal oli selliseid vastajaid 55%. 

Vaatamata kasvavale huvile ja konteinerite kasutuselevõtule nõuab nende tootmisse jõudmine tehnoloogilise ebaküpsuse ja oskusteabe puudumise tõttu õppimiskõverat. Organisatsioonid peavad olema realistlikud äriprotsesside suhtes, mis nõuavad rakenduste konteinerisse paigutamist. IT-juhid peaksid hindama, kas neil on oskused kiiresti õppida. 

Gartneri eksperdid Usume, et alloleval pildil olevad küsimused aitavad teil kindlaks teha, kas olete valmis konteinereid tootmises juurutama.

Levinumad vead konteinerite kasutamisel tootmises

Organisatsioonid alahindavad sageli pingutusi, mis on vajalikud konteinerite tootmises kasutamiseks. Gartner avastas Mõned levinumad vead klientide stsenaariumides konteinerite kasutamisel tootmiskeskkondades:

Kuidas konteinereid turvaliselt hoida

Turvalisusega ei saa tegelda "hiljem". See peab olema DevOpsi protsessi sisse ehitatud, mistõttu on olemas isegi spetsiaalne termin – DevSecOps. Organisatsioonid peavad planeerima teie konteineri keskkonna kaitsmine kogu arendustegevuse elutsükli jooksul, mis hõlmab ehitus- ja arendusprotsessi, rakenduse juurutamist ja käivitamist.

Gartneri soovitused: 

1. Integreerige rakenduse piltide haavatavuste otsimise protsess oma pideva integreerimise/pideva edastamise (CI/CD) torujuhtmesse. Rakendusi skannitakse tarkvara koostamise ja käivitamisetapis. Rõhutage vajadust skannida ja tuvastada avatud lähtekoodiga komponente, teeke ja raamistikke. Vanu haavatavaid versioone kasutavad arendajad on üks konteineri haavatavuste peamisi põhjuseid.
2. Parandage oma konfiguratsiooni Center for Internet Security testidega (SRÜ), mis on saadaval nii Dockeri kui ka Kubernetese jaoks.
3. Kindlasti jõustage juurdepääsu kontroll, tagage ülesannete lahusus ja rakendage saladuste haldamise poliitikat. Tundliku teabe, nagu Secure Sockets Layer (SSL) võtmed või andmebaasi mandaadid, krüpteerib orkestraator või kolmanda osapoole haldusteenused ja see avalikustatakse käitusajal.
4. Vältige kõrgendatud konteinereid, haldades turvapoliitikaid, et vähendada võimalikke rikkumisriske.
5. Kasutage pahatahtliku tegevuse vältimiseks turvatööriistu, mis pakuvad valgesse nimekirja, käitumise jälgimist ja anomaaliate tuvastamist.

StacxRoxi soovitused:

1. Kasutage Kubernetese sisseehitatud võimalusi. Seadistage rolle kasutavatele kasutajatele juurdepääs. Veenduge, et te ei anna üksikutele olemitele tarbetuid õigusi, kuigi nõutavate minimaalsete lubade läbimõtlemine võib võtta veidi aega. Võib olla ahvatlev anda klastri administraatorile laialdased õigused, kuna see säästab esialgu aega. Igasugune kompromiss või vead kontol võivad aga hiljem kaasa tuua laastavad tagajärjed. 
2. Vältige juurdepääsulubade dubleerimist. Mõnikord võib olla kasulik, kui erinevad rollid kattuvad, kuid see võib põhjustada tööprobleeme ja luua lubade eemaldamisel pimeala. Samuti on oluline eemaldada kasutamata ja passiivsed rollid.
3. Määrake võrgupoliitikad: eraldage moodulid, et piirata neile juurdepääsu; lubage selgesõnaliselt Interneti-juurdepääs nendele moodulitele, mis seda vajavad, kasutades silte; Luba selgesõnaliselt suhtlus nende moodulite vahel, mis peavad omavahel suhtlema. 

Kuidas korraldada konteinerite ja neis olevate teenuste jälgimist

Turvalisus ja seire – ettevõtete peamised probleemid Kubernetese klastrite juurutamisel. Arendajad on alati rohkem keskendunud arendatavate rakenduste funktsioonidele, mitte aspektidele nende rakenduste jälgimine. 

Gartneri soovitused:

1. Proovige jälgida nendes olevate konteinerite või teenuste olekut koos hostsüsteemide jälgimisega.
2. Otsige tarnijaid ja tööriistu, mis on sügavalt integreeritud konteinerite orkestreerimisse, eriti Kubernetes.
3. Valige tööriistad, mis pakuvad üksikasjalikku logimist, automaatset teenusetuvastust ja reaalajas soovitusi, kasutades analüüsi ja/või masinõpet.

SolarWindsi ajaveeb annab nõu:

1. Kasutage tööriistu konteinerite mõõdikute automaatseks avastamiseks ja jälgimiseks, korreleerides jõudlusmõõdikuid, nagu protsessor, mälu ja tööaeg.
2. Tagage optimaalne võimsuse planeerimine, prognoosides mahutite jälgimise mõõdikute põhjal võimsuse ammendumise kuupäevi.
3. Konteinerrakenduste saadavuse ja jõudluse jälgimine, mis on kasulik nii võimsuse planeerimisel kui ka jõudlusprobleemide tõrkeotsingul.
4. Automatiseerige töövooge, pakkudes konteinerite ja nende hostimiskeskkondade haldus- ja skaleerimistuge.
5. Automatiseerige juurdepääsukontroll, et jälgida oma kasutajabaasi, keelata aegunud ja külaliste kontod ning eemaldada mittevajalikud õigused.
6. Veenduge, et teie tööriistakomplekt saaks jälgida neid konteinereid ja rakendusi mitmes keskkonnas (pilv, kohapealne või hübriidkeskkond), et visualiseerida ja võrrelda toimivust infrastruktuuri, võrgu, süsteemide ja rakenduste lõikes.

Kuidas andmeid säilitada ja nende turvalisust tagada

Seoses olekupõhiste töötajate konteinerite levikuga peavad kliendid arvestama andmete olemasoluga väljaspool hosti ja vajadust neid andmeid kaitsta. 

Vastavalt Portworxi ja Aqua Security uuring, on enamiku vastajate (61%) mainitud turvaprobleemide edetabeli tipus andmeturve. 

Andmete krüpteerimine on peamine turvastrateegia (64%), kuid vastajad kasutavad ka käitusaja jälgimist

(49%), registrite skannimine haavatavuste tuvastamiseks (49%), CI/CD torujuhtmete haavatavuste otsimine (49%) ja anomaaliate blokeerimine käitusaja kaitse abil (48%).

Gartneri soovitused:

1. Valige põhimõtetel üles ehitatud ladustamislahendused mikroteenuste arhitektuur. Parem on keskenduda neile, mis vastavad konteinerteenuste andmesalvestusnõuetele, on riistvarast sõltumatud, API-põhised, hajutatud arhitektuuriga, toetavad kohalikku juurutamist ja juurutamist avalikus pilves.
2. Vältige patenteeritud pistikprogramme ja liideseid. Valige müüjad, kes pakuvad Kubernetesi integratsiooni ja toetavad standardseid liideseid, nagu CSI (konteineri salvestusliidesed).

Kuidas võrkudega töötada

Traditsiooniline ettevõtte võrgumudel, kus IT-meeskonnad loovad iga projekti jaoks võrgustatud arendus-, testimis-, kvaliteedi tagamise ja tootmiskeskkonnad, ei sobi alati hästi pideva arenduse töövooga. Lisaks hõlmavad konteinervõrgud mitut kihti.

В ajaveebi Magalix kogus kõrgetasemelised reeglid, millele klastrivõrgu lahenduse rakendamine peab vastama:

1. Samas sõlmes ajastatud kaustad peavad suutma suhelda teiste taskutega ilma NAT-i (võrguaadressi tõlge) kasutamata.
2. Kõik konkreetses sõlmes töötavad süsteemideemonid (taustaprotsessid, näiteks kubelet) saavad suhelda samas sõlmes töötavate kaustadega.
3. Kaunad kasutavad hostvõrk, peab suutma suhelda kõigi teiste sõlmedega ilma NAT-i kasutamata. Pange tähele, et hostivõrku toetavad ainult Linuxi hostid.

Võrgulahendused peavad olema tihedalt integreeritud Kubernetese primitiivide ja poliitikatega. IT-juhid peaksid püüdlema võrgu kõrge automatiseerituse poole ning pakkuma arendajatele õigeid tööriistu ja piisavat paindlikkust.

Gartneri soovitused:

1. Saate teada, kas teie CaaS (konteiner teenusena) või teie SDN (tarkvaraga määratud võrk) toetab Kubernetese võrke. Kui mitte või tugi on ebapiisav, kasutage oma konteinerite jaoks CNI (Container Network Interface) võrguliidest, mis toetab vajalikke funktsioone ja eeskirju.
2. Veenduge, et teie CaaS või PaaS (platvorm kui teenus) toetaks sisendkontrollerite ja/või koormuse tasakaalustajate loomist, mis jaotavad sissetuleva liikluse klastri sõlmede vahel. Kui see pole võimalik, uurige kolmandate osapoolte puhverservereid või teenindusvõrke.
3. Koolitage oma võrguinsenere Linuxi võrkude ja võrgu automatiseerimise tööriistade osas, et vähendada oskuste puudujääki ja suurendada paindlikkust.

Kuidas hallata rakenduse elutsüklit

Rakenduste automaatseks ja sujuvaks edastamiseks peate konteinerite orkestreerimist täiendama muude automatiseerimistööriistadega, näiteks infrastruktuuri kui koodi (IaC) toodetega. Nende hulka kuuluvad Chef, Puppet, Ansible ja Terraform. 

Rakenduste loomiseks ja juurutamiseks on vaja ka automatiseerimistööriistu (vtMagic Quadrant rakenduse väljalaske orkestreerimiseks"). Konteinerid pakuvad ka laiendamisvõimalusi, mis on sarnased virtuaalmasinate (VM-ide) juurutamisel saadaolevatele võimalustele. Seetõttu peavad IT-juhtidel olema konteineri elutsükli haldamise tööriistad.

Gartneri soovitused:

1. Määrake põhikonteineri kujutiste standardid suuruse, litsentsi ja paindlikkuse alusel, et arendajad saaksid komponente lisada.
2. Kasutage konfiguratsioonihaldussüsteeme, et hallata konteinerite elutsüklit, mis kihistavad konfiguratsiooni avalikes või privaatsetes hoidlates asuvate baaskujutiste alusel.
3. Integreerige oma CaaS-i platvorm automatiseerimistööriistadega, et automatiseerida kogu rakenduse töövoogu.

Kuidas orkestritega konteinereid hallata

Konteinerite juurutamise põhifunktsioonid on esitatud orkestreerimis- ja planeerimiskihtides. Ajastamise ajal paigutatakse konteinerid klastri kõige optimaalsematele hostidele, nagu on ette nähtud orkestreerimiskihi nõuetega. 

Kubernetesest on saanud aktiivse kogukonnaga de facto konteinerite orkestreerimise standard ja seda toetab enamik juhtivaid kommertsmüüjaid. 

Gartneri soovitused:

1. Määrake põhinõuded turvakontrolli, jälgimise, poliitikahalduse, andmete püsivuse, võrgu loomise ja konteineri elutsükli haldamise jaoks.
2. Nende nõuete põhjal valige tööriist, mis sobib teie vajadustele ja kasutusjuhtudele kõige paremini.
3. Kasutage Gartneri uuringut (vt "Kuidas valida Kubernetese juurutusmudel"), et mõista erinevate Kubernetese juurutusmudelite plusse ja miinuseid ning valida oma rakenduse jaoks parim.
4. Valige teenusepakkuja, kes suudab pakkuda töökonteinerite hübriidorkestreerimist mitmes keskkonnas koos tiheda taustaintegratsiooni, ühiste haldusplaanide ja ühtsete hinnamudelitega.

Kuidas kasutada pilveteenuse pakkujate võimalusi

Gartner usubet huvi konteinerite juurutamise vastu avalikus pilves IaaS kasvab tänu valmis CaaS-i pakkumiste kättesaadavusele ning nende pakkumiste tihedale integreerimisele pilveteenuse pakkujate pakutavate muude toodetega.

IaaS-i pilved pakuvad nõudmisel ressursitarbimist, kiiret skaleeritavust ja teenuse juhtimine, mis aitab vältida vajadust põhjalike teadmiste järele infrastruktuuri ja selle hoolduse kohta. Enamik pilveteenuse pakkujaid pakub konteinerihaldusteenust ja mõned pakuvad mitut orkestreerimisvalikut. 

Peamised pilvehaldatud teenusepakkujad on toodud tabelis: 

Pilveteenuse pakkuja
Teenuse tüüp
Toode/teenus

Alibaba
Native Cloud Service
Alibaba pilvkonteinerite teenus, Alibaba pilvkonteinerite teenus Kubernetesile

Amazon Web Services (AWS)
Native Cloud Service
Amazon Elastic Container Services (ECS), Amazon ECS Kubernetesile (EKS), AWS Fargate

Hiiglaslik sülem
MSP
Hiiglasliku sülemi hallatav Kubernetese infrastruktuur

Google
Native Cloud Service
Google'i konteinermootor (GKE)

IBM
Native Cloud Service
IBM Cloud Kubernetes Service

Microsoft
Native Cloud Service
Azure Kubernetes Service, Azure Service Fabric

Oraakel
Native Cloud Service
OCI konteinerimootor Kubernetese jaoks

Platform9
MSP
Haldab Kubernetes

Red Hat
Hostitud teenus
OpenShift pühendatud ja võrgus

VMware
Hostitud teenus
Cloud PKS (beeta)

Mail.ru pilvelahendused*
Native Cloud Service
Mail.ru Pilvekonteinerid

* Me ei varja seda, lisasime end siia tõlkimise käigus :)

Avaliku pilveteenuse pakkujad lisavad ka uusi võimalusi ja annavad välja kohapealseid tooteid. Lähiajal arendavad pilvepakkujad hübriidpilvede ja mitme pilve keskkondade tuge. 

Gartneri soovitused:

1. Hinnake objektiivselt oma organisatsiooni võimet juurutada ja hallata sobivaid tööriistu ning kaaluge alternatiivseid pilvekonteinerite haldusteenuseid.
2. Valige tarkvara hoolikalt, kasutage võimaluse korral avatud lähtekoodi.
3. Valige hübriidkeskkondades levinumate töömudelitega pakkujad, mis pakuvad liitklastrite ühtset klaashaldust, samuti pakkujaid, mis muudavad IaaS-i isehostimise lihtsaks.

Mõned näpunäited Kubernetes aaS-i pakkuja valimiseks Replexi ajaveebis:

1. Tasub otsida karbist väljas kõrget saadavust toetavaid distributsioone. See hõlmab mitme peamise arhitektuuri, väga kättesaadavate jne komponentide ning varundamise ja taastamise tuge.
2. Kubernetese keskkondades mobiilsuse tagamiseks on kõige parem valida pilveteenuse pakkujad, mis toetavad laia valikut juurutusmudeleid, alates kohapealsetest kuni hübriidseadmeteni ja lõpetades mitme pilvega. 
3. Pakkujate pakkumisi tuleks hinnata ka seadistamise, installimise ja klastri loomise lihtsuse, samuti värskenduste, jälgimise ja tõrkeotsingu põhjal. Põhinõue on toetada täielikult automatiseeritud klastri värskendusi ilma seisakuta. Valitud lahendus peaks võimaldama värskendusi ka käsitsi käivitada. 
4. Identiteedi- ja juurdepääsuhaldus on oluline nii turvalisuse kui ka juhtimise seisukohast. Veenduge, et teie valitud Kubernetese distributsioon toetaks integreerimist sisemiselt kasutatavate autentimis- ja autoriseerimistööriistadega. RBAC ja peeneteraline juurdepääsukontroll on samuti olulised funktsioonikomplektid.
5. Teie valitud distributsioonil peab olema kas natiivne tarkvaraga määratletud võrgulahendus, mis katab laias valikus erinevaid rakendus- või infrastruktuurinõudeid, või peab toetama mõnda populaarset CNI-põhist võrgurakendust, sealhulgas Flannel, Calico, kube-ruuter või OVN.

Peamiseks suunaks on saamas konteinerite kasutuselevõtt tootmisse, millest annavad tunnistust aastal läbi viidud uuringu tulemused Gartneri seansid infrastruktuuri, operatsioonide ja pilvestrateegiate (IOCS) kohta 2018. aasta detsembris:

Nagu näha, kasutab konteinereid oma töös juba 27% vastajatest ja 63% kavatseb seda teha.

В Portworxi ja Aqua Security uuring 24% vastanutest teatas, et investeerivad konteinertehnoloogiatesse rohkem kui pool miljonit dollarit aastas ja 17% vastajatest kulutas neile rohkem kui miljon dollarit aastas. 

Artikli koostas pilveplatvormi meeskond Mail.ru pilvelahendused.

Mida muud selle teema kohta lugeda:

1. DevOpsi parimad tavad: DORA aruanne.
2. Kubernetes piraatluse vaimus koos rakenduse malliga.
3. 25 kasulikku tööriista Kubernetese juurutamiseks ja kasutuselevõtuks.

Allikas: www.habr.com