🥇 ספר "Kubernetes for DevOps"

שלום תושבי חברו! Kubernetes הוא אחד המרכיבים המרכזיים של מערכת האקולוגית המודרנית של הענן. טכנולוגיה זו מספקת אמינות, מדרגיות וגמישות לווירטואליזציה של מיכל. ג'ון ארנדל וג'סטין דומינגוס מדברים על המערכת האקולוגית של Kubernetes ומציגים פתרונות מוכחים לבעיות יומיומיות. צעד אחר צעד, תבנה אפליקציה מקורית בענן משלך ותיצור את התשתית שתתמוך בה, תגדיר סביבת פיתוח וצינור פריסה מתמשך שיעזור לך במהלך העבודה על היישומים הבאים שלך.

• התחל עם קונטיינרים ו-Kubernetes מהיסודות: אין צורך בניסיון מיוחד כדי ללמוד את הנושא. • הפעל אשכולות משלך או בחר שירות Kubernetes מנוהל מאמזון, גוגל וכו'. • השתמש ב-Kubernetes לניהול מחזור החיים של מיכל וצריכת משאבים. • בצע אופטימיזציה של אשכולות על סמך עלות, ביצועים, גמישות, כוח ומדרגיות. • למד את הכלים הטובים ביותר לפיתוח, בדיקה ופריסה של היישומים שלך. • למנף את שיטות התעשייה הנוכחיות כדי להבטיח אבטחה ובקרה. • הטמעת עקרונות DevOps בכל החברה שלך כך שצוותי הפיתוח יוכלו לפעול בצורה גמישה, מהירה ויעילה יותר.

למי מיועד הספר?

הספר רלוונטי ביותר לעובדי מחלקות אדמיניסטרציה האחראיות על שרתים, אפליקציות ושירותים, כמו גם למפתחים המעורבים בבניית שירותי ענן חדשים או בהעברת אפליקציות קיימות ל-Kubernetes והענן. אל דאגה, אינך צריך לדעת איך לעבוד עם Kubernetes או קונטיינרים - אנחנו נלמד אותך הכל.

משתמשי Kubernetes מנוסים ימצאו גם ערך רב, עם סיקור מעמיק של נושאים כגון RBAC, פריסה רציפה, ניהול נתונים רגישים וצפייה. אנו מקווים שדפי הספר בהחלט יכילו משהו מעניין עבורך, ללא קשר לכישוריך ולניסיון שלך.

על אילו שאלות עונה הספר?

תוך כדי תכנון וכתיבת הספר, דנו בטכנולוגיית הענן וב-Kubernetes עם מאות אנשים, שוחחנו עם מובילי תעשייה ומומחים כמו גם עם טירונים. להלן שאלות נבחרות שהם היו רוצים לקבל מענה בפרסום זה.

"אני מתעניין מדוע כדאי להשקיע זמן בטכנולוגיה הזו. אילו בעיות זה יעזור לי ולצוות שלי לפתור?"
"Kubernetes נראה מעניין, אבל יש לו מחסום כניסה גבוה למדי. הכנת דוגמה פשוטה אינה קשה, אך ניהול וניפוי נוסף מרתיע. אנחנו רוצים לקבל עצות מהימנות לגבי האופן שבו אנשים מנהלים אשכולות Kubernetes בעולם האמיתי ובאילו בעיות אנחנו צפויים להיתקל".
"ייעוץ סובייקטיבי יעזור. המערכת האקולוגית של Kubernetes מעניקה לצוותים חדשים יותר מדי אפשרויות לבחירה. כשיש כמה דרכים לעשות את אותו הדבר, איך יודעים איזו מהן הכי טובה? איך לעשות בחירה?

ואולי החשובה מכל השאלות:

"כיצד אוכל להשתמש ב-Kubernetes מבלי להפריע לחברה שלי?"

קטע. תצורה ואובייקטים סודיים

היכולת להפריד את ההיגיון של יישום Kubernetes מהתצורה שלו (כלומר, מכל ערכים או הגדרות שעשויים להשתנות עם הזמן) שימושית מאוד. ערכי תצורה כוללים בדרך כלל הגדרות ספציפיות לסביבה, כתובות DNS של שירות צד שלישי ואישורי אימות.

כמובן שניתן להכניס את כל זה ישירות לקוד, אך גישה זו אינה גמישה מספיק. לדוגמה, שינוי ערך תצורה יחייב אותך לבנות ולפרוס שוב את הקוד שלך. פתרון הרבה יותר טוב יהיה להפריד את התצורה מהקוד ולקרוא אותה מקובץ או משתני סביבה.

Kubernetes מספקת מספר דרכים שונות לניהול תצורה. ראשית, אתה יכול להעביר ערכים ליישום דרך משתני סביבה שצוינו במפרט עטיפת הפוד (ראה "משתני סביבה" בעמוד 192). שנית, ניתן לאחסן נתוני תצורה ישירות ב-Kubernetes באמצעות ConfigMap ואובייקטים סודיים.

בפרק זה, אנו חוקרים את האובייקטים הללו בפירוט ובוחנים כמה גישות מעשיות לניהול תצורה ונתונים רגישים באמצעות יישום הדגמה.

עדכון קליפות פוד כאשר התצורה משתנה

תאר לעצמך שיש לך פריסה באשכול שלך ואתה רוצה לשנות כמה ערכים ב-ConfigMap שלו. אם אתה משתמש בתרשים ההגה (ראה "הגה: מנהל החבילות עבור Kubernetes" בעמוד 102), תוכל לזהות באופן אוטומטי שינוי תצורה ולטעון מחדש את קונכיות הפוד שלך בטריק אחד מסודר. הוסף את ההערה הבאה למפרט הפריסה שלך:

checksum/config: {{ include (print $.Template.BasePath "/configmap.yaml") .
       | sha256sum }}

תבנית הפריסה מכילה כעת סכום בדיקה של פרמטרי תצורה: אם הפרמטרים ישתנו, הסכום יעודכן. אם תפעיל שדרוג ההגה, Helm יזהה שמפרט הפריסה השתנה ויפעיל מחדש את כל מעטפות הפוד.

נתונים רגישים ב-Kubernetes

אנחנו כבר יודעים שאובייקט ConfigMap מספק מנגנון גמיש לאחסון וגישה לנתוני תצורה באשכול. עם זאת, לרוב היישומים יש מידע רגיש ורגיש, כגון סיסמאות או מפתחות API. ניתן לאחסן אותו גם ב-ConfigMap, אך פתרון זה אינו אידיאלי.

במקום זאת, Kubernetes מציעה סוג מיוחד של אובייקט שנועד לאחסן נתונים רגישים: סוד. לאחר מכן, בואו נסתכל על דוגמה כיצד ניתן להשתמש באובייקט זה באפליקציית ההדגמה שלנו.

כדי להתחיל, עיין במניפסט Kubernetes עבור האובייקט הסודי (ראה hello-secret-env/k8s/secret.yaml):

apiVersion: v1
kind: Secret
metadata:
    name: demo-secret
stringData:
    magicWord: xyzzy

בדוגמה זו, המפתח הפרטי של magicWord הוא xyzzy (en.wikipedia.org/wiki/Xyzzy_(computing)). המילה xyzzy היא בדרך כלל שימושית מאוד בעולם המחשבים. בדומה ל-ConfigMap, אתה יכול לאחסן מספר מפתחות וערכים באובייקט סודי. כאן, למען הפשטות, אנו משתמשים רק בזוג מפתח-ערך אחד.

שימוש באובייקטים סודיים כמשתני סביבה

כמו ConfigMap, ניתן להפוך את האובייקט Secret לזמין במיכל כמשתני סביבה או כקובץ בדיסק שלו. בדוגמה הבאה, נקצה משתנה סביבה לערך מתוך Secret:

spec:
   containers:
       - name: demo
          image: cloudnatived/demo:hello-secret-env
          ports:
             - containerPort: 8888
          env:
             - name: GREETING
               valueFrom:
               secretKeyRef:
                  name: demo-secret
                  key: magicWord

הפעל את הפקודה הבאה במאגר ההדגמה כדי להחיל את המניפסטים:

kubectl apply -f hello-secret-env/k8s/
deployment.extensions "demo" configured
secret "demo-secret" created

כמו קודם, העבר את היציאה המקומית לפריסה כדי לראות את התוצאה בדפדפן שלך:

kubectl port-forward deploy/demo 9999:8888
Forwarding from 127.0.0.1:9999 -> 8888
Forwarding from [::1]:9999 -> 8888

כשפותחים כתובת localhost:9999/ אתה אמור לראות את הדברים הבאים:

The magic word is "xyzzy"

כתיבת אובייקטים סודיים לקבצים

בדוגמה זו, נצרף את האובייקט Secret ל-container כקובץ. הקוד ממוקם בתיקיית hello-secret-file של מאגר ההדגמה.

כדי לחבר את סוד כקובץ, נשתמש בפריסה הבאה:

spec:
   containers:
       - name: demo
          image: cloudnatived/demo:hello-secret-file
          ports:
              - containerPort: 8888
          volumeMounts:
              - name: demo-secret-volume
                mountPath: "/secrets/"
                readOnly: true
   volumes:
      - name: demo-secret-volume
        secret:
           secretName: demo-secret

כמו בסעיף המשנה "יצירת קובצי תצורה מאובייקטי ConfigMap" בעמוד. 240, אנו יוצרים נפח (במקרה זה demo-secret-volume) ומרכיבים אותו למיכל בקטע volumeMounts של המפרט. השדה mountPath הוא /secrets, אז Kubernetes תיצור קובץ אחד בתיקייה זו עבור כל זוג מפתח/ערך המוגדר באובייקט הסודי.

בדוגמה שלנו, הגדרנו רק זוג מפתח-ערך אחד בשם magicWord, כך שהמניפסט יצור קובץ קריאה בלבד /secrets/magicWord עם נתונים רגישים במיכל.

אם תחיל את המניפסט הזה באותו אופן כמו הדוגמה הקודמת, אתה אמור לקבל את אותה תוצאה:

The magic word is "xyzzy"

קריאת חפצים סודיים

בסעיף הקודם, השתמשנו בפקודה kubectl describe כדי להציג את התוכן של ConfigMap. האם ניתן לעשות את אותו הדבר עם Secret?

kubectl describe secret/demo-secret
Name:          demo-secret

Namespace:      default
Labels:             <none>
Annotations:
Type:               Opaque

Data
====
magicWord: 5   bytes

שימו לב שהנתונים עצמם אינם מוצגים. אובייקטים סודיים ב-Kubernetes הם מסוג אטום, כלומר תוכנם אינו מוצג ב-kubectl מתאר פלט, כניסות יומן או הטרמינל, מה שהופך את זה לבלתי אפשרי לחשוף בטעות מידע רגיש.

כדי להציג גרסת YAML מקודדת של נתונים רגישים, השתמש בפקודה kubectl get:

kubectl get secret/demo-secret -o yaml
apiVersion: v1
data:
   magicWord: eHl6enk=
kind: Secret
metadata:
...
type: Opaque

base64

מהו eHl6enk=, שונה לחלוטין מהערך המקורי שלנו? זהו למעשה אובייקט סודי, המיוצג בקידוד base64. Base64 היא סכימה לקידוד נתונים בינאריים שרירותיים כמחרוזת של תווים.

מכיוון שמידע רגיש עשוי להיות בינארי ולא פלט (כפי שקורה עם מפתח הצפנה TLS), אובייקטים סודיים מאוחסנים תמיד בפורמט base64.

הטקסט beHl6enk= הוא הגרסה המקודדת base64 של המילה הסודית שלנו xyzzy. אתה יכול לאמת זאת על ידי הפעלת הפקודה base64 —decode בטרמינל:

echo "eHl6enk=" | base64 --decode
xyzzy

לכן, בעוד ש-Kubernetes מגן עליך מפני הפלט בטעות של נתונים רגישים במסוף או בקבצי היומן, אם יש לך הרשאות קריאה על אובייקטים סודיים במרחב שמות ספציפי, ניתן לבסס את הנתונים הללו ולפענח אותם.

אם אתה צריך לקודד טקסט ב-base64 (לדוגמה, לשים אותו בסוד), השתמש בפקודה base64 ללא ארגומנטים:

echo xyzzy | base64
eHl6enkK

גישה לחפצים סודיים

מי יכול לקרוא ולערוך אובייקטים סודיים? זה נקבע על ידי RBAC, מנגנון בקרת גישה (נדון בו בפירוט בתת-סעיף "מבוא לבקרת גישה מבוססת תפקידים" בעמוד 258). אם אתה מפעיל אשכול שאין לו RBAC או שאינו מופעל, כל האובייקטים הסודיים שלך זמינים לכל משתמש ומכולה (נסביר בהמשך שלא אמור להיות לך אשכולות ייצור ללא RBAC).

הצפנת נתונים פסיבית

מה עם אלה שיש להם גישה למסד הנתונים etcd שבו Kubernetes מאחסן את כל המידע שלו? האם הם יכולים לקרוא נתונים רגישים מבלי לקבל הרשאה לקרוא אובייקטים סודיים דרך ה-API?

מאז גרסה 1.7, Kubernetes תומך בהצפנת נתונים פסיבית. המשמעות היא שמידע רגיש בתוך etcd מאוחסן מוצפן בדיסק ולא ניתן לקרוא אותו אפילו על ידי בעלי גישה ישירה למסד הנתונים. כדי לפענח אותו, אתה צריך מפתח שיש רק לשרת ה-API של Kubernetes. באשכול שהוגדר כהלכה, יש להפעיל הצפנה פסיבית.

אתה יכול לבדוק אם הצפנה פסיבית פועלת באשכול שלך בדרך זו:

kubectl describe pod -n kube-system -l component=kube-apiserver |grep encryption
        --experimental-encryption-provider-config=...

אם אינך רואה את הדגל experimental-encryption-provider-config, הצפנה פסיבית אינה מופעלת. בעת שימוש ב-Google Kubernetes Engine או שירותי ניהול אחרים של Kubernetes, הנתונים שלך מוצפנים באמצעות מנגנון אחר, כך שהדגל לא יהיה קיים. בדוק עם ספק Kubernetes שלך כדי לראות אם תוכן etcd מוצפן.

אחסון נתונים חסויים

ישנם כמה משאבי Kubernetes שאסור להסיר מהאשכול, כגון אובייקטים סודיים רגישים ביותר. אתה יכול להגן על משאב מפני מחיקה באמצעות הערה שסופק על ידי מנהל Helm:

kind: Secret
metadata:
    annotations:
        "helm.sh/resource-policy": keep

אסטרטגיות ניהול אובייקטים סודיים

בדוגמה מהסעיף הקודם, נתונים רגישים היו מוגנים מפני גישה לא מורשית מיד לאחר שמירתם באשכול. אבל בקובצי מניפסט הם אוחסנו כטקסט רגיל.

לעולם אל תציב מידע סודי בקבצים שנמצאים בבקרת גרסאות. כיצד תוכל לנהל ולאחסן מידע זה בצורה מאובטחת לפני החלתו על אשכול Kubernetes שלך?

אתה יכול לבחור כלים או אסטרטגיות לטיפול בנתונים רגישים ביישומים שלך, אך עדיין תצטרך לענות לפחות על השאלות הבאות.

היכן יש לאחסן נתונים רגישים כך שיהיה נגיש ביותר?
כיצד להנגיש נתונים רגישים ליישומים הפעילים שלך?
מה צריך לקרות ליישומים שלך כשאתה מחליף או עורך נתונים רגישים?

על המחברים

ג'ון ארנדל הוא יועץ בעל ניסיון של 30 שנה בתעשיית המחשבים. הוא כתב מספר ספרים ועובד עם חברות רבות ממדינות שונות, ומייעץ להן על תשתיות ענן ו-Kubernetes. בזמנו הפנוי הוא נהנה לגלוש, יורה באקדחים טוב ומנגן בפסנתר כחובבן. גר בקוטג' מהאגדות בקורנוול, אנגליה.

ג'סטין דומינגוס - מהנדס ניהול מערכות שעובד בסביבת DevOps עם Kubernetes וטכנולוגיות ענן. הוא נהנה לבלות בחוץ, לשתות קפה, לחטט ולשבת ליד המחשב. גר בסיאטל, וושינגטון, עם חתול נפלא ואישה וחברה הכי טובה עוד יותר, אדריאן.

» פרטים נוספים על הספר ניתן למצוא בכתובת אתר האינטרנט של ההוצאה לאור
» תוכן העניינים
» קטע

עבור Khabrozhiteley 25% הנחה באמצעות קופון - קוברנט

בתשלום גרסת הנייר של הספר ישלח ספר אלקטרוני במייל.

מקור: www.habr.com

ספר "Kubernetes for DevOps"