ProHoster > Blogi > Haldamine > Konteinerite ja Kubernetese käitamise parimad tavad ja tavad tootmiskeskkondades
Konteinerite ja Kubernetese käitamise parimad tavad ja tavad tootmiskeskkondades
Konteinerite tehnoloogia ökosüsteem areneb ja muutub kiiresti, mistõttu puuduvad selles valdkonnas head töötavad. Kubernetes ja konteinereid kasutatakse aga üha enam nii pärandrakenduste moderniseerimiseks kui ka kaasaegsete pilverakenduste arendamiseks.
Meeskond Kubernetes aaS saidilt Mail.ru kogus Gartneri, 451 Researchi, StacxRoх jt prognoose, nõuandeid ja parimaid praktikaid turuliidritele. Need võimaldavad ja kiirendavad konteinerite kasutuselevõttu tootmiskeskkondades.
Kuidas teada saada, kas teie ettevõte on valmis tootmiskeskkonnas konteinereid juurutama
Gartneri sõnul2022. aastal kasutab enam kui 75% organisatsioonidest tootmises konteinerrakendusi. Seda on oluliselt rohkem kui praegu, mil selliseid rakendusi kasutab alla 30% ettevõtetest.
Vastavalt 451 ResearchKonteinertehnoloogia rakenduste prognoositav turg on 2022. aastal 4,3 miljardit dollarit. See on enam kui kaks korda suurem kui 2019. aastal prognoositud summa, turu kasvutempo on 30%.
В Portworxi ja Aqua Security uuring 87% vastanutest ütles, et kasutavad praegu konteinertehnoloogiaid. Võrdluseks, 2017. aastal oli selliseid vastajaid 55%.
Vaatamata kasvavale huvile ja konteinerite kasutuselevõtule nõuab nende tootmisse jõudmine tehnoloogilise ebaküpsuse ja oskusteabe puudumise tõttu õppimiskõverat. Organisatsioonid peavad olema realistlikud äriprotsesside suhtes, mis nõuavad rakenduste konteinerisse paigutamist. IT-juhid peaksid hindama, kas neil on oskused kiiresti õppida.
Gartneri eksperdid Usume, et alloleval pildil olevad küsimused aitavad teil kindlaks teha, kas olete valmis konteinereid tootmises juurutama.
Levinumad vead konteinerite kasutamisel tootmises
Organisatsioonid alahindavad sageli pingutusi, mis on vajalikud konteinerite tootmises kasutamiseks. Gartner avastas Mõned levinumad vead klientide stsenaariumides konteinerite kasutamisel tootmiskeskkondades:
Kuidas konteinereid turvaliselt hoida
Turvalisusega ei saa tegelda "hiljem". See peab olema DevOpsi protsessi sisse ehitatud, mistõttu on olemas isegi spetsiaalne termin – DevSecOps. Organisatsioonid peavad planeerima teie konteineri keskkonna kaitsmine kogu arendustegevuse elutsükli jooksul, mis hõlmab ehitus- ja arendusprotsessi, rakenduse juurutamist ja käivitamist.
Integreerige rakenduse piltide haavatavuste otsimise protsess oma pideva integreerimise/pideva edastamise (CI/CD) torujuhtmesse. Rakendusi skannitakse tarkvara koostamise ja käivitamisetapis. Rõhutage vajadust skannida ja tuvastada avatud lähtekoodiga komponente, teeke ja raamistikke. Vanu haavatavaid versioone kasutavad arendajad on üks konteineri haavatavuste peamisi põhjuseid.
Parandage oma konfiguratsiooni Center for Internet Security testidega (SRÜ), mis on saadaval nii Dockeri kui ka Kubernetese jaoks.
Kindlasti jõustage juurdepääsu kontroll, tagage ülesannete lahusus ja rakendage saladuste haldamise poliitikat. Tundliku teabe, nagu Secure Sockets Layer (SSL) võtmed või andmebaasi mandaadid, krüpteerib orkestraator või kolmanda osapoole haldusteenused ja see avalikustatakse käitusajal.
Vältige kõrgendatud konteinereid, haldades turvapoliitikaid, et vähendada võimalikke rikkumisriske.
Kasutage pahatahtliku tegevuse vältimiseks turvatööriistu, mis pakuvad valgesse nimekirja, käitumise jälgimist ja anomaaliate tuvastamist.
Kasutage Kubernetese sisseehitatud võimalusi. Seadistage rolle kasutavatele kasutajatele juurdepääs. Veenduge, et te ei anna üksikutele olemitele tarbetuid õigusi, kuigi nõutavate minimaalsete lubade läbimõtlemine võib võtta veidi aega. Võib olla ahvatlev anda klastri administraatorile laialdased õigused, kuna see säästab esialgu aega. Igasugune kompromiss või vead kontol võivad aga hiljem kaasa tuua laastavad tagajärjed.
Vältige juurdepääsulubade dubleerimist. Mõnikord võib olla kasulik, kui erinevad rollid kattuvad, kuid see võib põhjustada tööprobleeme ja luua lubade eemaldamisel pimeala. Samuti on oluline eemaldada kasutamata ja passiivsed rollid.
Määrake võrgupoliitikad: eraldage moodulid, et piirata neile juurdepääsu; lubage selgesõnaliselt Interneti-juurdepääs nendele moodulitele, mis seda vajavad, kasutades silte; Luba selgesõnaliselt suhtlus nende moodulite vahel, mis peavad omavahel suhtlema.
Kuidas korraldada konteinerite ja neis olevate teenuste jälgimist
Konteinerrakenduste saadavuse ja jõudluse jälgimine, mis on kasulik nii võimsuse planeerimisel kui ka jõudlusprobleemide tõrkeotsingul.
Automatiseerige töövooge, pakkudes konteinerite ja nende hostimiskeskkondade haldus- ja skaleerimistuge.
Automatiseerige juurdepääsukontroll, et jälgida oma kasutajabaasi, keelata aegunud ja külaliste kontod ning eemaldada mittevajalikud õigused.
Veenduge, et teie tööriistakomplekt saaks jälgida neid konteinereid ja rakendusi mitmes keskkonnas (pilv, kohapealne või hübriidkeskkond), et visualiseerida ja võrrelda toimivust infrastruktuuri, võrgu, süsteemide ja rakenduste lõikes.
Kuidas andmeid säilitada ja nende turvalisust tagada
Seoses olekupõhiste töötajate konteinerite levikuga peavad kliendid arvestama andmete olemasoluga väljaspool hosti ja vajadust neid andmeid kaitsta.
Valige põhimõtetel üles ehitatud ladustamislahendused mikroteenuste arhitektuur. Parem on keskenduda neile, mis vastavad konteinerteenuste andmesalvestusnõuetele, on riistvarast sõltumatud, API-põhised, hajutatud arhitektuuriga, toetavad kohalikku juurutamist ja juurutamist avalikus pilves.
Vältige patenteeritud pistikprogramme ja liideseid. Valige müüjad, kes pakuvad Kubernetesi integratsiooni ja toetavad standardseid liideseid, nagu CSI (konteineri salvestusliidesed).
Kuidas võrkudega töötada
Traditsiooniline ettevõtte võrgumudel, kus IT-meeskonnad loovad iga projekti jaoks võrgustatud arendus-, testimis-, kvaliteedi tagamise ja tootmiskeskkonnad, ei sobi alati hästi pideva arenduse töövooga. Lisaks hõlmavad konteinervõrgud mitut kihti.
В ajaveebi Magalix kogus kõrgetasemelised reeglid, millele klastrivõrgu lahenduse rakendamine peab vastama:
Samas sõlmes ajastatud kaustad peavad suutma suhelda teiste taskutega ilma NAT-i (võrguaadressi tõlge) kasutamata.
Kõik konkreetses sõlmes töötavad süsteemideemonid (taustaprotsessid, näiteks kubelet) saavad suhelda samas sõlmes töötavate kaustadega.
Kaunad kasutavad hostvõrk, peab suutma suhelda kõigi teiste sõlmedega ilma NAT-i kasutamata. Pange tähele, et hostivõrku toetavad ainult Linuxi hostid.
Võrgulahendused peavad olema tihedalt integreeritud Kubernetese primitiivide ja poliitikatega. IT-juhid peaksid püüdlema võrgu kõrge automatiseerituse poole ning pakkuma arendajatele õigeid tööriistu ja piisavat paindlikkust.
Saate teada, kas teie CaaS (konteiner teenusena) või teie SDN (tarkvaraga määratud võrk) toetab Kubernetese võrke. Kui mitte või tugi on ebapiisav, kasutage oma konteinerite jaoks CNI (Container Network Interface) võrguliidest, mis toetab vajalikke funktsioone ja eeskirju.
Veenduge, et teie CaaS või PaaS (platvorm kui teenus) toetaks sisendkontrollerite ja/või koormuse tasakaalustajate loomist, mis jaotavad sissetuleva liikluse klastri sõlmede vahel. Kui see pole võimalik, uurige kolmandate osapoolte puhverservereid või teenindusvõrke.
Koolitage oma võrguinsenere Linuxi võrkude ja võrgu automatiseerimise tööriistade osas, et vähendada oskuste puudujääki ja suurendada paindlikkust.
Kuidas hallata rakenduse elutsüklit
Rakenduste automaatseks ja sujuvaks edastamiseks peate konteinerite orkestreerimist täiendama muude automatiseerimistööriistadega, näiteks infrastruktuuri kui koodi (IaC) toodetega. Nende hulka kuuluvad Chef, Puppet, Ansible ja Terraform.
Määrake põhikonteineri kujutiste standardid suuruse, litsentsi ja paindlikkuse alusel, et arendajad saaksid komponente lisada.
Kasutage konfiguratsioonihaldussüsteeme, et hallata konteinerite elutsüklit, mis kihistavad konfiguratsiooni avalikes või privaatsetes hoidlates asuvate baaskujutiste alusel.
Integreerige oma CaaS-i platvorm automatiseerimistööriistadega, et automatiseerida kogu rakenduse töövoogu.
Kuidas orkestritega konteinereid hallata
Konteinerite juurutamise põhifunktsioonid on esitatud orkestreerimis- ja planeerimiskihtides. Ajastamise ajal paigutatakse konteinerid klastri kõige optimaalsematele hostidele, nagu on ette nähtud orkestreerimiskihi nõuetega.
Kubernetesest on saanud aktiivse kogukonnaga de facto konteinerite orkestreerimise standard ja seda toetab enamik juhtivaid kommertsmüüjaid.
Määrake põhinõuded turvakontrolli, jälgimise, poliitikahalduse, andmete püsivuse, võrgu loomise ja konteineri elutsükli haldamise jaoks.
Nende nõuete põhjal valige tööriist, mis sobib teie vajadustele ja kasutusjuhtudele kõige paremini.
Kasutage Gartneri uuringut (vt "Kuidas valida Kubernetese juurutusmudel"), et mõista erinevate Kubernetese juurutusmudelite plusse ja miinuseid ning valida oma rakenduse jaoks parim.
Valige teenusepakkuja, kes suudab pakkuda töökonteinerite hübriidorkestreerimist mitmes keskkonnas koos tiheda taustaintegratsiooni, ühiste haldusplaanide ja ühtsete hinnamudelitega.
Kuidas kasutada pilveteenuse pakkujate võimalusi
Gartner usubet huvi konteinerite juurutamise vastu avalikus pilves IaaS kasvab tänu valmis CaaS-i pakkumiste kättesaadavusele ning nende pakkumiste tihedale integreerimisele pilveteenuse pakkujate pakutavate muude toodetega.
IaaS-i pilved pakuvad nõudmisel ressursitarbimist, kiiret skaleeritavust ja teenuse juhtimine, mis aitab vältida vajadust põhjalike teadmiste järele infrastruktuuri ja selle hoolduse kohta. Enamik pilveteenuse pakkujaid pakub konteinerihaldusteenust ja mõned pakuvad mitut orkestreerimisvalikut.
Peamised pilvehaldatud teenusepakkujad on toodud tabelis:
Google
Native Cloud Service
Google'i konteinermootor (GKE)
IBM
Native Cloud Service
IBM Cloud Kubernetes Service
Microsoft
Native Cloud Service
Azure Kubernetes Service, Azure Service Fabric
Oraakel
Native Cloud Service
OCI konteinerimootor Kubernetese jaoks
Platform9
MSP
Haldab Kubernetes
Red Hat
Hostitud teenus
OpenShift pühendatud ja võrgus
VMware
Hostitud teenus
Cloud PKS (beeta)
Mail.ru pilvelahendused*
Native Cloud Service
Mail.ru Pilvekonteinerid
* Me ei varja seda, lisasime end siia tõlkimise käigus :)
Avaliku pilveteenuse pakkujad lisavad ka uusi võimalusi ja annavad välja kohapealseid tooteid. Lähiajal arendavad pilvepakkujad hübriidpilvede ja mitme pilve keskkondade tuge.
Hinnake objektiivselt oma organisatsiooni võimet juurutada ja hallata sobivaid tööriistu ning kaaluge alternatiivseid pilvekonteinerite haldusteenuseid.
Valige tarkvara hoolikalt, kasutage võimaluse korral avatud lähtekoodi.
Valige hübriidkeskkondades levinumate töömudelitega pakkujad, mis pakuvad liitklastrite ühtset klaashaldust, samuti pakkujaid, mis muudavad IaaS-i isehostimise lihtsaks.
Tasub otsida karbist väljas kõrget saadavust toetavaid distributsioone. See hõlmab mitme peamise arhitektuuri, väga kättesaadavate jne komponentide ning varundamise ja taastamise tuge.
Kubernetese keskkondades mobiilsuse tagamiseks on kõige parem valida pilveteenuse pakkujad, mis toetavad laia valikut juurutusmudeleid, alates kohapealsetest kuni hübriidseadmeteni ja lõpetades mitme pilvega.
Pakkujate pakkumisi tuleks hinnata ka seadistamise, installimise ja klastri loomise lihtsuse, samuti värskenduste, jälgimise ja tõrkeotsingu põhjal. Põhinõue on toetada täielikult automatiseeritud klastri värskendusi ilma seisakuta. Valitud lahendus peaks võimaldama värskendusi ka käsitsi käivitada.
Identiteedi- ja juurdepääsuhaldus on oluline nii turvalisuse kui ka juhtimise seisukohast. Veenduge, et teie valitud Kubernetese distributsioon toetaks integreerimist sisemiselt kasutatavate autentimis- ja autoriseerimistööriistadega. RBAC ja peeneteraline juurdepääsukontroll on samuti olulised funktsioonikomplektid.
Teie valitud distributsioonil peab olema kas natiivne tarkvaraga määratletud võrgulahendus, mis katab laias valikus erinevaid rakendus- või infrastruktuurinõudeid, või peab toetama mõnda populaarset CNI-põhist võrgurakendust, sealhulgas Flannel, Calico, kube-ruuter või OVN.
Peamiseks suunaks on saamas konteinerite kasutuselevõtt tootmisse, millest annavad tunnistust aastal läbi viidud uuringu tulemused Gartneri seansid infrastruktuuri, operatsioonide ja pilvestrateegiate (IOCS) kohta 2018. aasta detsembris:
Nagu näha, kasutab konteinereid oma töös juba 27% vastajatest ja 63% kavatseb seda teha.
В Portworxi ja Aqua Security uuring 24% vastanutest teatas, et investeerivad konteinertehnoloogiatesse rohkem kui pool miljonit dollarit aastas ja 17% vastajatest kulutas neile rohkem kui miljon dollarit aastas.