Produkzio-inguruneetan edukiontziak eta Kubernetes exekutatzeko jardunbide egokiak eta jardunbide egokiak

Edukiontzien teknologiaren ekosistema azkar eboluzionatzen eta aldatzen ari da, beraz, lan praktika onak falta dira arlo honetan. Hala ere, Kubernetes eta edukiontziak gero eta gehiago erabiltzen dira, bai ondarezko aplikazioak modernizatzeko, bai hodeiko aplikazio modernoak garatzeko. 

Team Kubernetes aaS Mail.ru-tik Gartner, 451 Research, StacxRoх eta beste batzuen iragarpenak, aholkuak eta praktika onak bildu ditu merkatuko liderrentzat. Produkzio inguruneetan edukiontziak hedatzea ahalbidetuko eta bizkortuko dute.

Nola jakin zure enpresa Ekoizpen-ingurunean edukiontziak hedatzeko prest dagoen

Gartnerren arabera, 2022an, erakundeen % 75ek baino gehiagok edukiontzidun aplikazioak erabiliko ditu produkzioan. Hori gaur egun baino nabarmen handiagoa da, enpresen % 30 baino gutxiagok horrelako aplikazioak erabiltzen dituenean. 

Arabera 451 Ikerketa2022an edukiontzien teknologia aplikazioetarako aurreikusitako merkatua 4,3 milioi dolar izango da. Hau 2019an aurreikusitako zenbatekoaren bikoitza baino gehiago da, merkatuaren %30eko hazkunde-tasa izanik.

В Portworx eta Aqua Security inkesta Inkestatuen %87k esan dute gaur egun edukiontzien teknologiak erabiltzen dituztela. Konparazio baterako, 2017an inkestatu horien %55 zeuden. 

Edukiontzien interesa eta harrera gero eta handiagoa izan arren, produkzioan sartzeko, ikasketa-kurba bat behar da heldutasun teknologiko eta ezagutza faltagatik. Erakundeek errealistak izan behar dute aplikazioen edukiontzia behar duten negozio prozesuei buruz. Informatikako arduradunek ebaluatu behar dute ikaskuntza azkarraren beharrarekin aurrera egiteko trebetasunik ote duten. 

Gartnerreko adituak Beheko irudian agertzen diren galderek ekoizpenean edukiontziak zabaltzeko prest zauden zehazten lagunduko dizutela uste dugu:

Produkzioan ontziak erabiltzean akats ohikoenak

Erakundeek askotan gutxiesten dute produkzioan edukiontziak ustiatzeko behar den esfortzua. Gartnerrek aurkitu zuen Bezeroen eszenatokietan ohiko akats batzuk produkzio-inguruneetan edukiontziak erabiltzean:

Nola gorde ontziak seguru

Segurtasunari ezin zaio "geroago" aurre egin. DevOps prozesuan sartu behar da, eta horregatik dago termino berezi bat ere: DevSecOps. Erakundeek planifikatu behar dute zure edukiontzien ingurunea babestea garapenaren bizi-ziklo osoan, aplikazioaren eraikuntza eta garapen prozesua, inplementazioa eta abiaraztea barne hartzen dituena.

Gartnerren gomendioak: 

1. Integratu aplikazioen irudiak eskaneatzeko prozesua zure integrazio/etengabeko entrega (CI/CD) kanalizazioan. Aplikazioak softwarea eraikitzeko eta abiarazteko faseetan eskaneatzen dira. Azpimarratu kode irekiko osagaiak, liburutegiak eta esparruak eskaneatu eta identifikatzeko beharra. Bertsio zahar eta zaurgarriak erabiltzen dituzten garatzaileek edukiontzien ahultasunen arrazoi nagusietako bat da.
2. Hobetu zure konfigurazioa Center for Internet Security testekin (CIS), Docker zein Kubernetesentzat eskuragarri daudenak.
3. Ziurtatu sarbide-kontrolak betearazten dituzula, eginkizunen banaketa bermatu eta sekretuak kudeatzeko politika inplementatzen duzula. Informazio sentikorra, esate baterako, Secure Sockets Layer (SSL) gakoak edo datu-basearen kredentzialak, orkestratzaileak edo hirugarrenen kudeaketa-zerbitzuek enkriptatzen dute eta exekuzio garaian azaltzen dute.
4. Saihestu altxatutako edukiontziak segurtasun-politikak kudeatuz, urratze-arriskuak murrizteko.
5. Erabili zerrenda zuriak, jokabidearen jarraipena eta anomaliak detektatzeko aukera ematen duten segurtasun-tresnak jarduera gaiztoak saihesteko.

StacxRox-en gomendioak:

1. Aprobetxatu Kubernetesen barneko gaitasunak. Konfiguratu rolak erabiltzen dituzten erabiltzaileentzako sarbidea. Ziurtatu ez diezula irakasgaiei alferrikako baimenik ematen, behar diren gutxieneko baimenak pentsatzeko denbora pixka bat behar izan arren. Tentagarria izan daiteke klusterreko administratzaileari pribilegio zabalak ematea, hasieran denbora aurrezten baitu. Hala ere, kontuko edozein konpromiso edo akatsek ondorio latzak ekar ditzake gero. 
2. Saihestu bikoiztutako sarbide-baimenak. Batzuetan erabilgarria izan daiteke rol desberdinak gainjartzea, baina horrek funtzionamendu-arazoak sor ditzake eta baimenak kentzean puntu itsuak ere sor ditzake. Erabiltzen ez diren eta aktibo ez diren rolak kentzea ere garrantzitsua da.
3. Ezarri sare-politikak: isolatu moduluak haietara sarbidea mugatzeko; berariaz baimendu Interneterako sarbidea behar duten moduluetarako etiketak erabiliz; Esplizituki baimendu elkarren artean komunikatu behar duten modulu horien arteko komunikazioa. 

Nola antolatu edukiontzien eta zerbitzuen jarraipena haietan

Segurtasuna eta jarraipena - enpresen arazo nagusiak Kubernetes klusterrak zabaltzean. Garatzaileak beti gehiago bideratzen dira garatzen dituzten aplikazioen ezaugarrietan, alderdietan baino aplikazio hauen jarraipena egitea. 

Gartnerren gomendioak:

1. Saiatu edukiontzien edo zerbitzuen egoera kontrolatzen ostalari-sistemen jarraipenarekin batera.
2. Bilatu edukiontzien orkestrazioan integrazio sakona duten saltzaileak eta tresnak, batez ere Kubernetes.
3. Aukeratu erregistro zehatza, zerbitzuen aurkikuntza automatikoa eta denbora errealeko gomendioak eskaintzen dituzten tresnak, analitika edo/edo ikasketa automatikoa erabiliz.

SolarWinds blogak aholkatzen du:

1. Erabili tresnak edukiontzien neurketak automatikoki ezagutzeko eta jarraitzeko, errendimendu-neurriak erlazionatuz, hala nola CPU, memoria eta funtzionamendu-denbora.
2. Bermatu ahalmenaren planifikazio optimoa edukiontzien monitorizazio-neurrietan oinarrituta edukiontzien monitorizazio-neurrietan oinarrituta edukiontzien agortze-datak aurreikusiz.
3. Kontrolatu edukiontzidun aplikazioak erabilgarritasuna eta errendimendua, erabilgarriak bai edukiera planifikatzeko bai errendimendu-arazoak konpontzeko.
4. Automatizatu lan-fluxuak edukiontziak eta haien ostalaritza-inguruneak kudeatzeko eta eskalatzeko laguntza eskainiz.
5. Automatizatu sarbide-kontrola zure erabiltzaile-basea kontrolatzeko, zaharkitutako eta gonbidatutako kontuak desgaitzeko eta beharrezkoak ez diren pribilegioak kentzeko.
6. Ziurtatu zure tresna multzoak edukiontzi eta aplikazio hauek hainbat ingurunetan (hodeian, lokalean edo hibridoetan) kontrola ditzakeela azpiegitura, sare, sistema eta aplikazioen errendimendua ikusteko eta erreferentzitzeko.

Nola gorde datuak eta haien segurtasuna bermatu

Langileen edukiontzien hazkundearekin, bezeroek kontuan hartu behar dute ostalaritik kanpo dauden datuak eta datu horiek babestu beharra. 

Arabera Portworx eta Aqua Security inkesta, datuen segurtasuna da inkestatu gehienek (% 61) aipatzen duten segurtasun kezken zerrendan. 

Datuen enkriptatzea da segurtasun-estrategia nagusia (%64), baina inkestatuek exekuzio denboraren jarraipena ere erabiltzen dute

(%49), ahultasunen erregistroak eskaneatzea (%49), CI/CD kanalizazioetako ahultasunak eskaneatzea (%49) eta exekuzio-denboraren babesaren bidez anomaliak blokeatzea (%48).

Gartnerren gomendioak:

1. Aukeratu printzipioetan eraikitako biltegiratze-soluzioak mikrozerbitzuen arkitektura. Hobe da edukiontzi-zerbitzuetarako datuak biltegiratzeko eskakizunak betetzen dituztenetan zentratzea, hardware independenteak direnak, API-ak gidatuta, arkitektura banatua dutenak, tokiko inplementazioa eta hodei publikoan hedatzea onartzen dutenak.
2. Saihestu jabedun pluginak eta interfazeak. Aukeratu Kubernetes integrazioa eskaintzen duten eta CSI (Container Storage Interfaces) bezalako interfaze estandarrak onartzen dituzten saltzaileak.

Nola lan egin sareekin

Enpresa-sare-eredu tradizionala, non IT taldeek proiektu bakoitzerako sareko garapen, proba, kalitate-berme eta ekoizpen-inguruneak sortzen dituztenak, ez du beti ondo egokitzen etengabeko garapen-fluxuarekin. Gainera, edukiontzi-sareek hainbat geruza hartzen dituzte.

В blog Magalix bildu Kluster-sareko irtenbide baten ezarpenak bete behar dituen goi-mailako arauak:

1. Nodo berean programatutako podek beste podekin komunikatzeko gai izan behar dute NAT (Network Address Translation) erabili gabe.
2. Nodo jakin batean exekutatzen diren sistemako deabru guztiak (atzeko planoko prozesuak, esaterako, kubelet) nodo berean exekutatzen diren podekin komunika daitezke.
3. Lekak erabiliz ostalari sarea, NAT erabili gabe beste nodo guztietan dauden beste pod guztiekin komunikatzeko gai izan behar du. Kontuan izan ostalariaren sareak Linux ostalarietan soilik onartzen direla.

Sare-konponbideak oso ondo integratu behar dira Kubernetesen primitibo eta politikekin. Informatikako arduradunek sarearen automatizazio maila altua lortzeko ahalegina egin behar dute eta garatzaileei tresna egokiak eta malgutasun nahikoa eskaini behar diete.

Gartnerren gomendioak:

1. Jakin zure CaaS (edukiontzi gisa zerbitzu gisa) edo zure SDN (Software Defined Network) Kubernetes sareak onartzen dituzten. Ez bada edo euskarria nahikoa ez bada, erabili CNI (Container Network Interface) sare-interfazea zure edukiontzietarako, beharrezko funtzionalitate eta politikak onartzen dituena.
2. Ziurtatu zure CaaS edo PaaS (plataforma zerbitzu gisa) sarrerako kontrolagailuak eta/edo karga-orekatzaileak sortzea onartzen duela kluster-nodoen artean sarrerako trafikoa banatzen dutenak. Hau ez bada aukera bat, arakatu hirugarrenen proxyak edo zerbitzu-sareak erabiliz.
3. Prestatu zure sareko ingeniariak Linux sareetan eta sareko automatizazio tresnetan gaitasunen hutsunea murrizteko eta arintasuna areagotzeko.

Nola kudeatu aplikazioaren bizi-zikloa

Aplikazio automatizatu eta bateratu gabe bidaltzeko, edukiontzien orkestrazioa beste automatizazio tresnekin osatu behar duzu, esate baterako, kodearen azpiegitura (IaC) produktuekin. Horien artean, Chef, Puppet, Ansible eta Terraform daude. 

Aplikazioak eraikitzeko eta zabaltzeko automatizazio tresnak ere beharrezkoak dira (ikus "Aplikazioen kaleratzea orkestratzeko koadrante magikoa"). Edukiontziek makina birtualak (VM) zabaltzean eskuragarri daudenen antzeko hedagarritasun gaitasunak eskaintzen dituzte. Hori dela eta, IT arduradunek izan behar dute edukiontzien bizi-zikloa kudeatzeko tresnak.

Gartnerren gomendioak:

1. Ezarri oinarrizko edukiontzien irudien estandarrak tamainaren, lizentziaren eta malgutasunaren arabera garatzaileek osagaiak gehi ditzaten.
2. Erabili konfigurazioa kudeatzeko sistemak biltegi publiko edo pribatuetan kokatutako oinarrizko irudietan oinarritutako konfigurazioa geruzatzen duten edukiontzien bizi-zikloa kudeatzeko.
3. Integratu zure CaaS plataforma automatizazio tresnekin zure aplikazioen lan-fluxu osoa automatizatzeko.

Orkestratzaileekin edukiontziak nola kudeatu

Ontziak hedatzeko oinarrizko funtzionaltasuna orkestrazio eta planifikazio geruzetan ematen da. Programazioan, edukiontziak klusterreko ostalaririk hoberenetan jartzen dira, orkestrazio-geruzaren eskakizunek agintzen duten moduan. 

Kubernetes de facto edukiontzien orkestrazio estandarra bihurtu da komunitate aktibo batekin eta saltzaile komertzial nagusi gehienek onartzen dute. 

Gartnerren gomendioak:

1. Definitu segurtasun-kontrolak, jarraipena, politika-kudeaketa, datuen iraunkortasuna, sareak eta edukiontzien bizi-zikloa kudeatzeko oinarrizko baldintzak.
2. Baldintza horien arabera, hautatu zure beharretara eta erabilera kasuak hobekien egokitzen den tresna.
3. Erabili Gartner ikerketa (ikus "Nola aukeratu Kubernetes inplementazio eredua") Kubernetes inplementazio-eredu desberdinen alde onak eta txarrak ulertzeko eta zure aplikaziorako onena aukeratzeko.
4. Hautatu lan-edukiontzietarako orkestrazio hibridoa eskain dezakeen hornitzaile bat hainbat ingurunetan backend integrazio estuarekin, kudeaketa-plan komunak eta prezio-eredu koherenteekin.

Nola erabili hodeiko hornitzaileen gaitasunak

Gartnerrek uste duhodei publikoko IaaS edukiontziak hedatzeko interesa hazten ari da prest egindako CaaS eskaintzak eskuragarri daudelako, baita eskaintza horiek hodeiko hornitzaileek eskaintzen dituzten beste produktu batzuekin integrazio estuagatik ere.

IaaS hodeiek eskariaren araberako baliabideen kontsumoa, eskalagarritasun azkarra eta zerbitzuen kudeaketa, eta horrek azpiegituraren eta haren mantentze-lanen inguruko ezagutza sakona saihesten lagunduko du. Hodeiko hornitzaile gehienek edukiontziak kudeatzeko zerbitzua eskaintzen dute eta batzuek orkestrazio aukera anitz eskaintzen dituzte. 

Hodeian kudeatutako zerbitzu-hornitzaile nagusiak taulan aurkezten dira: 

Hodeiko hornitzailea
Zerbitzu mota
Produktua/zerbitzua

Alibés
Native Cloud Service
Alibaba Cloud Container Zerbitzua, Alibaba Cloud Container Zerbitzua Kubernetesentzat

Amazon Web Services (AWS)
Native Cloud Service
Amazon Elastic Container Services (ECS), Amazon ECS Kubernetes-erako (EKS), AWS Fargate

Erraldoi Erraldoia
MSP
Giant Swarm kudeatutako Kubernetes azpiegitura

Google
Native Cloud Service
Google Container Engine (GKE)

IBM
Native Cloud Service
IBM Cloud Kubernetes Zerbitzua

Microsoft
Native Cloud Service
Azure Kubernetes Zerbitzua, Azure Service Fabric

Oracle
Native Cloud Service
Kubernetesentzako OCI Container Engine

Platform9
MSP
Kubernetes kudeatzen du

Red Hat
Ostatatutako Zerbitzua
OpenShift Dedikatua eta Online

VMware
Ostatatutako Zerbitzua
Cloud PKS (Beta)

Mail.ru Cloud Solutions*
Native Cloud Service
Mail.ru hodeiko edukiontziak

* Ez dugu ezkutatuko, geure burua gehitu dugu itzulpenean zehar :)

Hodei publikoko hornitzaileak gaitasun berriak gehitzen ari dira eta produktu lokalak kaleratzen ari dira. Etorkizun hurbilean, hodei hornitzaileek hodei hibridoetarako eta hodei anitzeko inguruneetarako laguntza garatuko dute. 

Gartner-en gomendioak:

1. Objektiboki ebaluatu zure erakundeak tresna egokiak zabaltzeko eta kudeatzeko duen gaitasuna, eta kontuan hartu hodeiko edukiontzien kudeaketa zerbitzu alternatiboak.
2. Aukeratu kontu handiz softwarea, erabili kode irekia ahal den neurrian.
3. Aukeratu kluster federatuen kristal-panel bakarraren kudeaketa eskaintzen duten ingurune hibridoetan funtzionamendu-eredu komunak dituzten hornitzaileak, baita autozerbitzua IaaS errazten duten hornitzaileak ere.

Replex blogeko Kubernetes aaS hornitzaile bat aukeratzeko aholku batzuk:

1. Merezi du erabilgarritasun handia onartzen duten banaketak bilatzea. Honek arkitektura nagusi anitzentzako laguntza, oso erabilgarri dauden etcd osagaiak eta babeskopia eta berreskurapena ditu.
2. Zure Kubernetes inguruneetan mugikortasuna bermatzeko, hobe da inplementazio-eredu ugari onartzen dituzten hodeiko hornitzaileak hautatzea, lokaletatik hasi eta hibridoetaraino hodei anitzekoetaraino. 
3. Hornitzaileen eskaintzak konfiguratzeko, instalatzeko eta klusterrak sortzeko erraztasunaren arabera ebaluatu behar dira, baita eguneratzeak, jarraipenak eta arazoak konpontzeko ere. Oinarrizko eskakizuna kluster eguneratze guztiz automatizatuak onartzea da. Aukeratzen duzun irtenbideak eguneraketak eskuz exekutatzeko ere baimendu beharko luke. 
4. Nortasunaren eta sarbideen kudeaketa garrantzitsua da segurtasunaren eta gobernantzaren ikuspegitik. Ziurtatu aukeratzen duzun Kubernetes banaketak barnean erabiltzen dituzun autentifikazio- eta baimen-tresnekin integratzea onartzen duela. RBAC eta sarbide-kontrol zehatza ere ezaugarri multzo garrantzitsuak dira.
5. Aukeratzen duzun banaketak aplikazio edo azpiegitura eskakizun ugari estaltzen dituen jatorrizko softwarean definitutako sareko soluzio bat izan behar du, edo CNIn oinarritutako sareko inplementazio ezagunetako bat onartu behar du, Flannel, Calico, kube-router edo OVN barne.

Ontziak ekoizpenean sartzea norabide nagusia bilakatzen ari da, eta horren erakusgarri da. Gartner saioak 2018ko abenduan, azpiegitura, eragiketa eta hodeiko estrategiei buruz (IOCS):

Ikusten denez, inkestatuen %27k dagoeneko ontziak erabiltzen ditu bere lanean, eta %63k egiteko asmoa du.

В Portworx eta Aqua Security inkesta Inkestatuen % 24k urtean milioi erdi dolar baino gehiago inbertitzen dituela esan zuen edukiontzien teknologietan, eta inkestatuen % 17k urtean milioi bat dolar baino gehiago gastatzen zuela horietan. 

Hodeiko plataformako taldeak prestatutako artikulua Mail.ru Cloud Solutions.

Zer gehiago irakurri gaiari buruz:

1. DevOps praktika onak: DORA txostena.
2. Kubernetes pirateria izpirituan inplementatzeko txantiloi batekin.
3. 25 Kubernetes inplementatzeko eta hartzeko tresna erabilgarriak.

Iturria: www.habr.com