『DevOps のための Kubernetes』を書籍化する

ハブロ住民の皆さん、こんにちは！ Kubernetes は、最新のクラウド エコシステムの重要な要素の XNUMX つです。 このテクノロジーは、コンテナ仮想化に信頼性、拡張性、復元力を提供します。 John Arundel と Justin Domingus が Kubernetes エコシステムについて語り、日常の問題に対する実証済みのソリューションを紹介します。 段階的に、独自のクラウド ネイティブ アプリケーションを構築し、それをサポートするインフラストラクチャを作成し、次のアプリケーションの作業に役立つ開発環境と継続的なデプロイメント パイプラインをセットアップします。

• コンテナーと Kubernetes を基礎から始めましょう。このトピックを学ぶのに特別な経験は必要ありません。 • 独自のクラスターを実行するか、Amazon、Google などのマネージド Kubernetes サービスを選択します。 • Kubernetes を使用して、コンテナーのライフサイクルとリソース消費を管理します。 • コスト、パフォーマンス、回復力、電力、およびスケーラビリティに基づいてクラスターを最適化します。 • アプリケーションの開発、テスト、展開に最適なツールを学びます。 • 現在の業界慣行を活用して、セキュリティと制御を確保します。 • 開発チームがより柔軟、迅速、効率的に行動できるように、DevOps 原則を社内全体に導入します。

その本は誰に向けたものですか？

この本は、サーバー、アプリケーション、サービスを担当する管理部門の従業員だけでなく、新しいクラウド サービスの構築や既存のアプリケーションの Kubernetes やクラウドへの移行に携わる開発者にも最も関連性があります。 心配しないでください。Kubernetes やコンテナーの操作方法を知る必要はありません。私たちがすべて教えます。

経験豊富な Kubernetes ユーザーにとっても、RBAC、継続的デプロイメント、機密データ管理、可観測性などのトピックを詳細にカバーしているため、多くの価値があることがわかります。 あなたのスキルや経験に関係なく、この本のページに必ず興味深い内容が含まれていることを願っています。

この本はどんな疑問に答えますか?

この本の計画と執筆中に、私たちは何百人もの人々とクラウド テクノロジーと Kubernetes について話し合い、業界のリーダーや専門家だけでなくまったくの初心者とも話をしました。 以下は、この出版物で回答してもらいたい質問のうち、厳選されたものです。

• 「なぜこのテクノロジーに時間を費やす必要があるのか​​に興味があります。 それは私と私のチームのどのような問題の解決に役立ちますか?」
• 「Kubernetes は面白そうですが、参入障壁がかなり高いです。 簡単な例を準備するのは難しくありませんが、それ以上の管理とデバッグは気が遠くなります。 私たちは、現実世界で人々がどのように Kubernetes クラスターを管理しているのか、またどのような問題が発生する可能性があるのか​​について、信頼できるアドバイスが得たいと考えています。」
• 「主観的なアドバイスが役に立ちます。 Kubernetes エコシステムは、新しいチームに多すぎる選択肢を提供します。 同じことを行うのに複数の方法がある場合、どれが最適であるかをどのように判断すればよいでしょうか? どのように選択すればよいでしょうか?

そしておそらくすべての質問の中で最も重要なことは次のとおりです。

• 「会社を混乱させずに Kubernetes を使用するにはどうすればよいでしょうか?」

抜粋。 構成とシークレットオブジェクト

Kubernetes アプリケーションのロジックをその構成 (つまり、時間の経過とともに変化する可能性のある値や設定) から分離できる機能は、非常に便利です。 構成値には通常、環境固有の設定、サードパーティ サービスの DNS アドレス、認証資格情報が含まれます。

もちろん、これらすべてをコードに直接組み込むこともできますが、このアプローチは十分な柔軟性がありません。 たとえば、構成値を変更すると、コードを再度ビルドしてデプロイする必要があります。 より良い解決策は、設定をコードから分離し、ファイルまたは環境変数から読み取ることです。

Kubernetes には、構成を管理するためのさまざまな方法が用意されています。 まず、ポッド ラッパー仕様で指定された環境変数を介してアプリケーションに値を渡すことができます (192 ページの「環境変数」を参照)。 XNUMX 番目に、ConfigMap オブジェクトと Secret オブジェクトを使用して、構成データを Kubernetes に直接保存できます。

この章では、これらのオブジェクトを詳細に調査し、デモ アプリケーションを使用して構成と機密データを管理するための実践的なアプローチをいくつか見ていきます。

構成変更時のポッドシェルの更新

クラスター内にデプロイメントがあり、その ConfigMap 内のいくつかの値を変更したいと想像してください。 Helm チャート (102 ページの「Helm: Kubernetes 用パッケージ マネージャー」を参照) を使用すると、構成の変更を自動的に検出し、XNUMX つの巧妙なトリックでポッド シェルをリロードできます。 次のアノテーションをデプロイメント仕様に追加します。

checksum/config: {{ include (print $.Template.BasePath "/configmap.yaml") .
       | sha256sum }}

導入テンプレートには構成パラメータのチェックサムが含まれるようになりました。パラメータが変更されると、合計が更新されます。 Helm アップグレードを実行すると、Helm はデプロイメント仕様が変更されたことを検出し、すべてのポッド シェルを再起動します。

Kubernetes の機密データ

ConfigMap オブジェクトが、クラスター内の構成データの保存とアクセスのための柔軟なメカニズムを提供することはすでにわかっています。 ただし、ほとんどのアプリケーションには、パスワードや API キーなどの機密性の高い情報が含まれています。 ConfigMap に保存することもできますが、このソリューションは理想的ではありません。

代わりに、Kubernetes は機密データを保存するために設計された特別なタイプのオブジェクト、Secret を提供します。 次に、このオブジェクトがデモ アプリケーションでどのように使用されるかの例を見てみましょう。

まず、Secret オブジェクトの Kubernetes マニフェストを確認します (hello-secret-env/k8s/secret.yaml を参照)。

apiVersion: v1
kind: Secret
metadata:
    name: demo-secret
stringData:
    magicWord: xyzzy

この例では、magicWord 秘密キーは xyzzy (en.wikipedia.org/wiki/Xyzzy_(computing)) です。 xyzzy という単語は、一般にコンピューターの世界では非常に役立ちます。 ConfigMap と同様に、Secret オブジェクトに複数のキーと値を保存できます。 ここでは、簡単にするために、キーと値のペアを XNUMX つだけ使用します。

シークレットオブジェクトを環境変数として使用する

ConfigMap と同様に、Secret オブジェクトはコンテナー内で環境変数として、またはディスク上のファイルとして使用可能になります。 次の例では、環境変数を Secret の値に割り当てます。

spec:
   containers:
       - name: demo
          image: cloudnatived/demo:hello-secret-env
          ports:
             - containerPort: 8888
          env:
             - name: GREETING
               valueFrom:
               secretKeyRef:
                  name: demo-secret
                  key: magicWord

デモ リポジトリで次のコマンドを実行して、マニフェストを適用します。

kubectl apply -f hello-secret-env/k8s/
deployment.extensions "demo" configured
secret "demo-secret" created

前と同様に、ローカル ポートをデプロイメントに転送して、ブラウザーで結果を確認します。

kubectl port-forward deploy/demo 9999:8888
Forwarding from 127.0.0.1:9999 -> 8888
Forwarding from [::1]:9999 -> 8888

住所開設時 ローカルホスト:9999/ 次のように表示されるはずです。

The magic word is "xyzzy"

シークレットオブジェクトをファイルに書き込む

この例では、Secret オブジェクトをファイルとしてコンテナーに添付します。 コードは、デモ リポジトリの hello-secret-file フォルダーにあります。

Secret をファイルとして接続するには、次のデプロイメントを使用します。

spec:
   containers:
       - name: demo
          image: cloudnatived/demo:hello-secret-file
          ports:
              - containerPort: 8888
          volumeMounts:
              - name: demo-secret-volume
                mountPath: "/secrets/"
                readOnly: true
   volumes:
      - name: demo-secret-volume
        secret:
           secretName: demo-secret

サブセクション「ConfigMap オブジェクトからの構成ファイルの作成」 (ページ) と同様です。 240 では、ボリューム (この場合は、demo-secret-volume) を作成し、それを仕様の volumeMounts セクションのコンテナーにマウントします。 mountPath フィールドは /secrets であるため、Kubernetes は Secret オブジェクトで定義されたキーと値のペアごとにこのフォルダーに XNUMX つのファイルを作成します。

この例では、magicWord というキーと値のペアを XNUMX つだけ定義したため、マニフェストはコンテナー内に機密データを含む単一の読み取り専用ファイル /secrets/magicWord を作成します。

このマニフェストを前の例と同じ方法で適用すると、同じ結果が得られるはずです。

The magic word is "xyzzy"

秘密オブジェクトの読み取り

前のセクションでは、kubectl description コマンドを使用して ConfigMap の内容を表示しました。 Secretでも同じことができますか？

kubectl describe secret/demo-secret
Name:          demo-secret

Namespace:      default
Labels:             <none>
Annotations:
Type:               Opaque

Data
====
magicWord: 5   bytes

データそのものは表示されませんのでご注意ください。 Kubernetes のシークレット オブジェクトは Opaque タイプです。つまり、その内容は kubectl 記述出力、ログ エントリ、またはターミナルに表示されないため、機密情報が誤って公開されることはありません。

機密データのエンコードされた YAML バージョンを表示するには、kubectl get コマンドを使用します。

kubectl get secret/demo-secret -o yaml
apiVersion: v1
data:
   magicWord: eHl6enk=
kind: Secret
metadata:
...
type: Opaque

base64

元の値とまったく異なる eHl6enk= とは何ですか? これは実際には、base64 エンコーディングで表される Secret オブジェクトです。 Base64 は、任意のバイナリ データを文字列としてエンコードするためのスキームです。

機密情報はバイナリで出力されない可能性があるため (TLS 暗号化キーの場合と同様)、Secret オブジェクトは常に Base64 形式で保存されます。

テキスト beHl6enk= は、秘密の単語 xyzzy を Base64 でエンコードしたバージョンです。 これを確認するには、ターミナルでbase64 —decode コマンドを実行します。

echo "eHl6enk=" | base64 --decode
xyzzy

そのため、Kubernetes は機密データを誤ってターミナル ファイルやログ ファイルに出力しないように保護しますが、特定の名前空間の Secret オブジェクトに対する読み取り権限を持っている場合、そのデータは Base64 処理され、その後デコードされる可能性があります。

一部のテキストを Base64 エンコードする必要がある場合 (たとえば、Secret に入れるため)、引数なしで Base64 コマンドを使用します。

echo xyzzy | base64
eHl6enkK

秘密オブジェクトへのアクセス

Secret オブジェクトを読み取り、編集できるのは誰ですか? これは、アクセス制御メカニズムである RBAC によって決定されます (これについては、258 ページの「ロールベースのアクセス制御の概要」サブセクションで詳しく説明します)。 RBAC を持たないクラスター、または有効になっていないクラスターを実行している場合、すべての Secret オブジェクトをすべてのユーザーおよびコンテナーが使用できます (RBAC のない運用クラスターを使用すべきではないことについては後で説明します)。

パッシブデータ暗号化

Kubernetes のすべての情報が保存されている etcd データベースにアクセスできる人はどうなるでしょうか? API 経由で Secret オブジェクトを読み取る権限がなくても、機密データを読み取ることができますか?

バージョン 1.7 以降、Kubernetes はパッシブ データ暗号化をサポートしています。 これは、etcd 内の機密情報がディスク上に暗号化されて保存され、データベースに直接アクセスできるユーザーでも読み取ることができないことを意味します。 復号化するには、Kubernetes API サーバーのみが持つキーが必要です。 適切に構成されたクラスターでは、パッシブ暗号化が有効になっている必要があります。

次の方法で、クラスター内でパッシブ暗号化が機能するかどうかを確認できます。

kubectl describe pod -n kube-system -l component=kube-apiserver |grep encryption
        --experimental-encryption-provider-config=...

Experimental-encryption-provider-config フラグが表示されない場合は、パッシブ暗号化が有効になっていません。 Google Kubernetes Engine または他の Kubernetes 管理サービスを使用する場合、データは別のメカニズムを使用して暗号化されるため、フラグは存在しません。 etcd コンテンツが暗号化されているかどうかを Kubernetes ベンダーに確認してください。

機密データの保管

機密性の高い Secret オブジェクトなど、クラスターから決して削除すべきではない Kubernetes リソースがいくつかあります。 Helm マネージャーによって提供されるアノテーションを使用して、リソースが削除されないように保護できます。

kind: Secret
metadata:
    annotations:
        "helm.sh/resource-policy": keep

秘密オブジェクトの管理戦略

前のセクションの例では、機密データはクラスターに保存された直後に不正アクセスから保護されました。 しかし、マニフェスト ファイルではプレーン テキストとして保存されていました。

バージョン管理されているファイルには機密情報を決して置かないでください。 Kubernetes クラスターに適用する前に、この情報を安全に管理および保存するにはどうすればよいでしょうか?

アプリケーションで機密データを処理するためのツールや戦略を選択できますが、少なくとも次の質問に答える必要があります。

• 機密データはどこに保存すればアクセスしやすくなりますか?
• アクティブなアプリケーションから機密データにアクセスできるようにするにはどうすればよいでしょうか?
• 機密データを置き換えたり編集したりすると、アプリケーションはどうなるでしょうか?

著者について

ジョン・アランデル コンピュータ業界で 30 年の経験を持つコンサルタントです。 彼は数冊の本を執筆しており、さまざまな国の多くの企業と協力して、クラウドネイティブ インフラストラクチャと Kubernetes についてアドバイスを行っています。 余暇には、サーフィンを楽しんだり、ピストル射撃が得意で、アマチュアとしてピアノを弾くこともできます。 イギリス、コーンウォールのおとぎ話のような別荘に住んでいます。

ジャスティン・ドミンガス — Kubernetes とクラウド テクノロジーを使用した DevOps 環境で働くシステム管理エンジニア。 彼は屋外で時間を過ごしたり、コーヒーを飲んだり、カニを食べたり、コンピューターに座ったりすることを楽しんでいます。 素晴らしい猫と、さらに素晴らしい妻で親友のエイドリアンと一緒に、ワシントン州シアトルに住んでいます。

» この本の詳細については、こちらをご覧ください。 出版社のウェブサイト
» 目次
» 抜粋

Khabrozhiteley の場合、クーポン使用で 25% 割引 - Kubernetes

紙版の書籍をお支払いいただくと、電子書籍が電子メールで送信されます。

出所： habr.com