
Konttiympäristö kehittyy ja muuttuu nopeasti, joten tällä alueella on pulaa hyvistä käytännöistä. Kubernetesia ja kontteja käytetään kuitenkin yhä enemmän – sekä vanhojen sovellusten modernisointiin että nykyaikaisten pilvinatiivien sovellusten kehittämiseen.
Joukkue Olemme koonneet ennusteita, neuvoja ja parhaita käytäntöjä markkinajohtajille Gartnerilta, 451 Researchilta, StacxRoх:lta ja muilta. Nämä auttavat varmistamaan ja nopeuttamaan konttien käyttöönottoa tuotantoympäristöissä.
Kuinka tietää, onko yrityksesi valmis ottamaan käyttöön kontteja tuotannossa
Vuoteen 2022 mennessä yli 75 % organisaatioista käyttää konttisovelluksia tuotannossa. Tämä on huomattavasti enemmän kuin nykyinen luku, jossa alle 30 % yrityksistä käyttää tällaisia sovelluksia.
Mukaan Konttiteknologiasovellusten ennustettu markkina vuonna 2022 on 4,3 miljardia dollaria, mikä on yli kaksinkertainen vuonna 2019 ennustettuun määrään verrattuna, ja se vastaa 30 prosentin markkinakasvua.
В 87 % vastaajista sanoi käyttävänsä tällä hetkellä konttiteknologioita, kun vastaava luku vuonna 2017 oli 55 %.
Vaikka kiinnostus kontteja kohtaan kasvaa ja ne omaksuvat niitä, niiden käyttöönotto tuotannossa vaatii oppimiskäyrää teknologisen kypsymättömyyden ja osaamisen puutteen vuoksi. Organisaatioiden on realistisesti arvioitava liiketoimintaprosessit, jotka vaativat sovellusten konttisointia. IT-johtajien tulisi arvioida, onko heillä tarvittavat taidot eteenpäin siirtymiseen, ottaen huomioon nopean oppimisen tarpeen.
Uskon, että alla olevan kuvan kysymykset auttavat sinua ymmärtämään, oletko valmis ottamaan kontteja käyttöön tuotannossa:

Yleisimmät virheet konttien käytössä tuotannossa
Organisaatiot aliarvioivat usein konttien käyttöön tuotannossa tarvittavan vaivan. Tässä on joitakin yleisiä virheitä, joita asiakkaat tekevät käyttäessään säilöjä tuotantoympäristöissä:

Kuinka varmistaa kontin turvallisuus
Tietoturvaa ei voida sivuuttaa. Se on rakennettava osaksi DevOps-prosessia, mikä on johtanut erityistermin DevSecOps syntymiseen. Organisaatioiden on suunniteltava koko kehityssyklin ajan, joka sisältää sovelluksen rakennus- ja kehitysprosessin, käyttöönoton ja julkaisun.
:
- Integroi sovelluskuvien haavoittuvuusskannaus jatkuvan integraation/jatkuvan toimituksen (CI/CD) prosessiisi. Sovellukset skannataan rakennus- ja suoritusvaiheissa. Korosta avoimen lähdekoodin komponenttien, kirjastojen ja kehysten skannauksen ja tunnistamisen tarvetta. Vanhojen, haavoittuvien versioiden käyttö kehittäjille on yksi tärkeimmistä säilöhaavoittuvuuksien syistä.
- Paranna kokoonpanoasi Center for Internet Securityn testeillä (), jotka ovat saatavilla sekä Dockerille että Kubernetesille.
- Varmista, että käyttöoikeuksien hallinta on käytössä, että tehtävät on erotettu toisistaan ja että käytössä on salaisuuksien hallintakäytäntö. Arkaluontoiset tiedot, kuten Secure Sockets Layer (SSL) -avaimet tai tietokannan tunnistetiedot, salataan orkestroijan tai kolmannen osapuolen hallintapalveluiden toimesta ja ne paljastetaan suorituksen aikana.
- Korotettujen oikeuksien omaavien säilöjen välttäminen tietoturvakäytäntöjen hallinnan kautta vähentää mahdollisia hakkerointiriskejä.
- Käytä suojaustyökaluja, jotka tarjoavat sallittujen toimintojen listaamisen, toiminnan seurannan ja poikkeavuuksien tunnistuksen, haitallisen toiminnan estämiseksi.
:
- Hyödynnä Kubernetesin sisäänrakennettuja ominaisuuksia. Määritä käyttäjien käyttöoikeudet roolien avulla. Varmista, ettet myönnä tarpeettomia käyttöoikeuksia yksittäisille yksiköille, vaikka vähimmäisvaatimusten harkitseminen saattaisi viedä jonkin aikaa. Laajojen käyttöoikeuksien myöntäminen klusterin järjestelmänvalvojalle voi olla houkuttelevaa, koska se säästää aluksi aikaa. Kaikilla tietomurroilla tai tilivirheillä voi kuitenkin olla tuhoisia seurauksia myöhemmin.
- Vältä päällekkäisten käyttöoikeuksien käyttöä. Vaikka päällekkäiset roolit voivat olla hyödyllisiä, se voi johtaa toiminnallisiin ongelmiin ja luoda "katvealueita" käyttöoikeuksia poistettaessa. On myös tärkeää poistaa käyttämättömät ja passiiviset roolit.
- Aseta verkkokäytäntöjä: eristä moduulit rajoittaaksesi niiden käyttöä; salli internet-yhteys eksplisiittisesti niille moduuleille, jotka sitä tarvitsevat, käyttämällä tunnisteita; salli eksplisiittisesti kommunikointi niiden moduulien välillä, joiden on kommunikoitava keskenään.
Kuinka järjestää konttien ja niissä olevien palveluiden valvonta
Turvallisuus ja valvonta - Kubernetes-klustereita käyttöönotettaessa. Kehittäjät keskittyvät aina enemmän kehittämiensä sovellusten ominaisuuksiin kuin niiden näkökohtiin. .
:
- Yritä valvoa niissä olevien konttien tai palveluiden tilaa isäntäjärjestelmien valvonnan ohella.
- Suosi toimittajia ja työkaluja, joilla on syvä integraatio konttiorkestrointiin, erityisesti Kubernetesiin.
- Valitse työkaluja, jotka tarjoavat yksityiskohtaisen lokikirjauksen, automaattisen palveluiden etsinnän ja reaaliaikaisia suosituksia analytiikan ja/tai koneoppimisen avulla.
:
- Käytä työkaluja säilön mittareiden automaattiseen löytämiseen ja seuraamiseen, korreloiden suorituskykymittareita, kuten suorittimen tehoa, muistia ja käyttöaikaa.
- Varmista optimaalinen kapasiteettisuunnittelu ennustamalla kapasiteetin loppumisajat konttien valvontamittareiden perusteella.
- Valvo konttisovellusten saatavuutta ja suorituskykyä, mikä on hyödyllistä sekä kapasiteetin suunnittelussa että suorituskykyongelmien vianmäärityksessä.
- Automatisoi työnkulkuja tarjoamalla hallinta- ja skaalaustukea säilöille ja niiden hosting-ympäristöille.
- Automatisoi käyttöoikeuksien hallinta käyttäjäkuntasi valvomiseksi, poista vanhentuneet ja vieraskäyttäjätilit käytöstä ja tarpeettomat oikeudet.
- Varmista, että työkalupakkisi pystyy valvomaan näitä säilöjä ja sovelluksia eri ympäristöissä (pilvi, paikalliset laitteet tai hybridi) visualisoidakseen ja korreloidakseen suorituskyvyn infrastruktuurin, verkon, järjestelmien ja sovellusten välillä.
Kuinka tallentaa tietoja ja varmistaa niiden turvallisuus
Tilatietojen säilytysratkaisujen määrän kasvaessa asiakkaiden on pohdittava, missä tiedot sijaitsevat isännän ulkopuolella ja miten niitä suojataan.
Mukaan , tietoturva on ensimmäisenä listalla tietoturvahuolistalla, jonka enemmistö vastaajista (61 %) mainitsee.
Tietojen salaus on ensisijainen tietoturvastrategia (64 %), mutta vastaajat käyttävät myös ajonaikaista valvontaa
(49 %), rekistereiden haavoittuvuuksien skannaus (49 %), CI/CD-prosessien haavoittuvuuksien skannaus (49 %) ja poikkeamien esto ajonaikaisen suojauksen avulla (48 %).
:
- Valitse periaatteille rakennettuja säilytysratkaisuja On parasta valita sellaiset, jotka täyttävät konttipalveluiden tiedontallennusvaatimukset, ovat laitteistoriippumattomia, API-pohjaisia, omaavat hajautetun arkkitehtuurin ja tukevat sekä paikallista että julkista pilveä.
- Vältä suljetun lähdekoodin lisäosia ja rajapintoja. Valitse toimittajia, jotka integroituvat Kubernetesin kanssa ja tukevat standardirajapintoja, kuten CSI:tä (Container Storage Interfaces).
Kuinka työskennellä verkostojen kanssa
Perinteinen yritysverkkomalli, jossa IT-asiantuntijat luovat verkkoympäristöjä kunkin projektin kehitystä, testausta, laadunvarmistusta ja tuotantoa varten, ei aina sovi hyvin yhteen jatkuvan kehitystyönkulun kanssa. Lisäksi konttiverkot ulottuvat useille tasoille.
В korkean tason säännöt, joita klusteriverkkoratkaisun toteutuksen on noudatettava:
- Samaan solmuun ajoitettujen podien on kyettävä kommunikoimaan muiden podien kanssa ilman NAT:ia (Network Address Translation).
- Kaikki tietyllä solmulla suoritettavat järjestelmädaemonit (taustaprosessit, kuten kubelet) voivat kommunikoida samalla solmulla suoritettavien podien kanssa.
- Podit käyttävät pitäisi pystyä kommunikoimaan kaikkien muiden podien kanssa kaikilla muilla solmuilla ilman NAT:ia. Huomaa, että isäntäverkkoa tuetaan vain isännillä. Linux.
Verkkoratkaisujen on oltava tiiviisti integroituja Kubernetes-primitiiveihin ja -käytäntöihin. IT-päälliköiden on pyrittävä korkeaan verkon automaatioasteeseen, tarjottava kehittäjille asianmukaiset työkalut ja riittävä joustavuus.
:
- Selvitä, tukeeko CaaS- (container as a service) tai SDN- (software defined network) Kubernetes-verkkoja. Jos ei, tai jos tuki on riittämätöntä, käytä konteille Container Network Interface (CNI) -rajapintaa, joka tukee vaadittuja toimintoja ja käytäntöjä.
- Varmista, että CaaS- tai PaaS-palvelusi (alusta palveluna) tukee sisääntulon ohjainten ja/tai kuormituksen tasaajien luomista saapuvan liikenteen jakamiseksi klusterisolmujen välillä. Jos tämä ei ole mahdollista, harkitse kolmannen osapuolen välityspalvelimien tai palveluverkkomekanismien käyttöä.
- Kouluta verkkoinsinöörisi verkostoitumiseen Linux ja verkon automaatiotyökaluja osaamisvajeen pienentämiseksi ja ketteryyden lisäämiseksi.
Sovelluksen elinkaaren hallinta
Sovellusten automaattisen ja saumattoman toimituksen varmistamiseksi konttiorkestrointia on täydennettävä muilla automaatiotyökaluilla, kuten infrastruktuuri-koodina (IaC) -tuotteilla. Näitä ovat Chef, Puppet, Ansible ja Terraform.
Tarvitaan myös automatisoituja työkaluja sovellusten rakentamiseen ja käyttöönottoon (katso ""). Kontit tarjoavat myös laajennettavuusominaisuuksia, jotka ovat samanlaisia kuin virtuaalikoneiden (VM) käyttöönotoissa. Siksi IT-päälliköiden tulisi olla .
:
- Luo perussäiliökuville standardit, jotka koskevat kokoa, lisensointia ja kehittäjien joustavuutta komponenttien lisäämisessä.
- Käytä konfiguraationhallintajärjestelmiä säilön elinkaaren hallintaan, jotka kerrostavat konfiguraation julkisissa tai yksityisissä tietovarastoissa tallennettujen peruskuvien perusteella.
- Integroi CaaS-alustasi automaatiotyökaluihin automatisoidaksesi koko sovellustyönkulun.
Konttien hallinta orkestraattoreiden avulla
Konttien käyttöönoton ydintoiminnot tarjotaan orkestrointi- ja aikataulutuskerroksilla. Aikataulutuksen aikana kontit sijoitetaan klusterin optimaalisimpiin isäntiin orkestrointikerroksen vaatimusten mukaisesti.
Kubernetesista on tullut tosiasiallinen konttiorkestrointistandardi, jolla on aktiivinen yhteisö ja jota useimmat johtavat kaupalliset toimittajat tukevat.
:
- Tunnista tietoturvakontrollien, valvonnan, käytäntöjen hallinnan, tietojen säilytyksen, verkottumisen ja säilön elinkaaren hallinnan perustason vaatimukset.
- Valitse näiden vaatimusten perusteella työkalu, joka parhaiten sopii tarpeisiisi ja käyttötapauksiisi.
- Käytä Gartnerin tutkimusta (katso "") ymmärtääksesi eri Kubernetes-käyttöönottomallien edut ja haitat ja valitaksesi tarpeisiisi parhaiten sopivan.
- Valitse toimittaja, joka voi tarjota hybridiorkestrointia tuotantokonteille useissa eri ympäristöissä tiiviisti integroiduilla taustajärjestelmillä, yhteisillä hallintasuunnitelmilla ja yhdenmukaisilla hinnoittelumalleilla.
Kuinka hyödyntää pilvipalveluntarjoajien ominaisuuksia
, että kiinnostus konttien käyttöönottoon julkisessa pilvessä (IaaS) kasvaa valmiiden CaaS-tarjousten saatavuuden sekä näiden tarjousten tiiviin integroinnin muiden pilvipalveluntarjoajien tuotteiden kanssa ansiosta.
IaaS-pilvipalvelut tarjoavat resurssien kulutusta tarpeen mukaan, nopeaa skaalautuvuutta ja , mikä auttaa poistamaan infrastruktuurin ja sen ylläpidon perusteellisen tuntemuksen tarpeen. Useimmat pilvipalveluntarjoajat tarjoavat konttien hallintapalveluita, ja jotkut tarjoavat useita orkestrointivaihtoehtoja.
Keskeiset pilvipalveluiden tarjoajat on esitetty taulukossa:
Pilvipalveluntarjoaja
Palvelutyyppi
Tuote/palvelu
Alibaba
Natiivi pilvipalvelu
Alibaba Cloud Container Service, Alibaba Cloud Container Service Kubernetesille
Amazon Web Services (AWS)
Natiivi pilvipalvelu
Amazon Elastic Container Services (ECS), Amazon ECS Kubernetesille (EKS), AWS Fargate
Jättiläisparvi
MSP
Giant Swarmin hallinnoima Kubernetes-infrastruktuuri
Google
Natiivi pilvipalvelu
Google Container Engine (GKE)
IBM
Natiivi pilvipalvelu
IBM Cloud Kubernetes -palvelu
Microsoft
Natiivi pilvipalvelu
Azure Kubernetes -palvelu, Azure Service Fabric
oraakkeli
Natiivi pilvipalvelu
OCI-konttimoottori Kubernetesille
Platform9
MSP
Hallittu Kubernetes
Red Hat
Isännöity palvelu
OpenShift Dedikoitu ja verkossa
VMware
Isännöity palvelu
Pilvi-PKS (beta)
Mail.ru-pilviratkaisut*
Natiivi pilvipalvelu
Mail.ru Pilvisäilöt
* Emme peittele sitä, lisäsimme itsemme tänne käännöksen aikana 🙂
Myös julkisten pilvipalveluiden tarjoajat lisäävät uusia ominaisuuksia ja julkaisevat paikallisia tuotteita. Lähitulevaisuudessa pilvipalveluntarjoajat laajentavat tukeaan hybridipilville ja monipilviympäristöille.
:
- Arvioi objektiivisesti organisaatiosi valmiuksia ottaa käyttöön ja hallita asiaankuuluvia työkaluja ja harkitse vaihtoehtoisia pilvikonttien hallintapalveluita.
- Valitse ohjelmistosi huolellisesti ja käytä avoimen lähdekoodin ohjelmistoja aina kun mahdollista.
- Valitse palveluntarjoajia, joilla on yhtenäiset toimintamallit hybridi-ympäristöissä, jotka tarjoavat yhdistettyjen klustereiden hallinnan yhdestä paikasta, sekä palveluntarjoajia, jotka tekevät itsepalveluperiaatteella toimivasta IaaS:stä helppoa.
:
- Kannattaa etsiä jakeluita, jotka tukevat korkeaa käytettävyyttä suoraan paketista. Tämä sisältää tuen useille tärkeimmille arkkitehtuureille, erittäin käytettäville etcd-komponenteille sekä varmuuskopiointi- ja palautusominaisuuksille.
- Kubernetes-ympäristöjen liikkuvuuden varmistamiseksi on parasta valita pilvipalveluntarjoajia, jotka tukevat laajaa valikoimaa käyttöönottomalleja: paikallisista järjestelmistä hybridi- ja monipilviympäristöihin.
- Palveluntarjoajien tarjontaa tulisi arvioida myös asennuksen, klusterin luomisen helppouden sekä päivitysten, valvonnan ja vianmäärityksen perusteella. Perusvaatimuksena on tuki täysin automatisoiduille klusteripäivityksille ilman käyttökatkoksia. Valitun ratkaisun tulisi myös mahdollistaa manuaaliset päivitykset.
- Identiteetin ja pääsynhallinta ovat tärkeitä sekä turvallisuuden että hallinnon näkökulmasta. Varmista, että valitsemasi Kubernetes-jakelu tukee integrointia yrityksesi todennus- ja valtuutustyökalujen kanssa. RBAC ja tarkka pääsynhallinta ovat myös tärkeitä ominaisuuksia.
- Valitulla jakelulla tulisi joko olla oma ohjelmistopohjainen verkkoratkaisu, joka kattaa laajan kirjon eri sovellusten tai infrastruktuurin asettamia vaatimuksia, tai sen tulisi tukea jotakin suosituista CNI-pohjaisista verkkototeutuksista, kuten Flannel, Calico, Kube-Router tai OVN.
Konttien käyttöönotto tuotannossa on tulossa valtavirtaiseksi trendiksi, kuten käy ilmi tehdyn kyselyn tuloksista. Infrastruktuuri-, operatiivinen ja pilvistrategia (IOCS) joulukuussa 2018:

Kuten näemme, 27 % vastaajista käyttää jo kontteja työssään ja 63 % aikoo tehdä niin.
В 24 % vastaajista ilmoitti investoivansa yli puoli miljoonaa dollaria vuodessa konttiteknologioihin, ja 17 % vastaajista käyttää niihin yli miljoona dollaria vuodessa.
Tämän artikkelin on laatinut pilvialustatiimi. .
Mitä muuta luettavaa aiheesta:
- .
- .
- .
Lähde: will.com
