実稼働環境でコンテナーと Kubernetes を実行するためのベスト プラクティスとベスト プラクティス

コンテナ化テクノロジーのエコシステムは急速に進化し、変化しているため、この分野では適切な作業慣行が不足しています。 ただし、Kubernetes とコンテナは、レガシー アプリケーションの最新化と最新のクラウド アプリケーションの開発の両方で使用されることが増えています。 

チーム Mail.ru の Kubernetes aaS Gartner、451 Research、StacxRoх などから市場リーダー向けの予測、アドバイス、ベスト プラクティスを収集しました。 これらにより、実稼働環境でのコンテナのデプロイが可能になり、加速されます。

会社が実稼働環境にコンテナをデプロイする準備ができているかどうかを確認する方法

ガートナーによると, 2022 年には、75% 以上の組織がコンテナ化されたアプリケーションを運用環境で使用することになります。 これは、そのようなアプリケーションを使用している企業が 30% 未満である現在よりも大幅に増加しています。 

による 451研究2022 年のコンテナ技術アプリケーションの市場予測は 4,3 億ドルで、これは 2019 年の予測額の 30 倍以上であり、市場成長率は XNUMX% です。

В Portwx と Aqua Security の調査 回答者の 87% が現在コンテナ テクノロジーを使用していると回答しました。 ちなみに、2017 年にはそのような回答者が 55% でした。 

コンテナーへの関心と導入が高まっているにもかかわらず、テクノロジーが未熟でノウハウが不足しているため、コンテナーを運用環境に導入するには学習曲線が必要です。 組織は、アプリケーションのコンテナ化を必要とするビジネス プロセスについて現実的である必要があります。 IT リーダーは、迅速に学習する必要があるため、前進するためのスキルセットを持っているかどうかを評価する必要があります。 

ガートナーの専門家 以下の画像の質問は、実稼働環境にコンテナをデプロイする準備ができているかどうかを判断するのに役立つと思います。

実稼働環境でコンテナを使用するときによくある間違い

組織は、実稼働環境でコンテナを運用するために必要な労力を過小評価することがよくあります。 ガートナーが発見 実稼働環境でコンテナーを使用する際の顧客シナリオでよくある間違いは次のとおりです。

コンテナを安全に保つ方法

セキュリティは「後から」対処することはできません。 DevOps プロセスに組み込む必要があるため、DevSecOps という特別な用語さえ存在します。 組織は計画を立てる必要がある コンテナ環境を保護する 開発ライフサイクル全体 (ビルドと開発プロセス、アプリケーションの展開と起動を含む)。

ガートナーからの推奨事項: 

1. アプリケーション イメージの脆弱性をスキャンするプロセスを継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインに統合します。 アプリケーションは、ソフトウェアの構築および起動段階でスキャンされます。 オープンソースのコンポーネント、ライブラリ、フレームワークをスキャンして特定する必要性を強調します。 開発者が古い脆弱なバージョンを使用することは、コンテナーの脆弱性の主な原因の XNUMX つです。
2. Center for Internet Security テストを使用して構成を改善します (CIS)、Docker と Kubernetes の両方で使用できます。
3. アクセス制御を強制し、職務の分離を確保し、機密管理ポリシーを実装してください。 Secure Sockets Layer (SSL) キーやデータベース資格情報などの機密情報は、オーケストレーターまたはサードパーティの管理サービスによって暗号化され、実行時に公開されます。
4. 潜在的な侵害のリスクを軽減するためにセキュリティ ポリシーを管理し、コンテナーの昇格を回避します。
5. ホワイトリスト、動作監視、異常検出を提供するセキュリティ ツールを使用して、悪意のあるアクティビティを防止します。

StacxRox からの推奨事項:

1. Kubernetes の組み込み機能を活用します。 ロールを使用してユーザーのアクセスを設定します。 必要な最小限のアクセス許可を検討するのに時間がかかる場合でも、個々のエンティティに不必要なアクセス許可を付与しないようにしてください。 最初は時間を節約できるため、クラスター管理者に全体的な権限を与えたくなるかもしれません。 ただし、アカウントに妥協や間違いがあると、後で壊滅的な結果につながる可能性があります。 
2. 重複したアクセス許可を避けてください。 異なる役割を重複させると便利な場合もありますが、これにより運用上の問題が発生したり、権限を削除するときに盲点が生じたりする可能性があります。 未使用および非アクティブな役割を削除することも重要です。
3. ネットワーク ポリシーを設定します。モジュールを分離してモジュールへのアクセスを制限します。 タグを使用して、必要なモジュールへのインターネット アクセスを明示的に許可します。 相互に通信する必要があるモジュール間の通信を明示的に許可します。 

コンテナとコンテナ内のサービスの監視を組織化する方法

セキュリティと監視 - 企業の主な問題 Kubernetes クラスターをデプロイするとき。 開発者は常に、開発するアプリケーションの側面ではなく機能に重点を置いています。 これらのアプリケーションを監視する. 

ガートナーからの推奨事項:

1. ホスト システムの監視と組み合わせて、コンテナーまたはコンテナー内のサービスの状態を監視してみてください。
2. コンテナ オーケストレーション、特に Kubernetes に深く統合されているベンダーとツールを探してください。
3. 詳細なログ記録、自動サービス検出、分析や機械学習を使用したリアルタイムの推奨事項を提供するツールを選択してください。

SolarWinds ブログでは次のようにアドバイスしています。:

1. ツールを使用して、コンテナーのメトリックを自動的に検出して追跡し、CPU、メモリ、稼働時間などのパフォーマンス メトリックを関連付けます。
2. コンテナ監視メトリクスに基づいて容量が枯渇する日を予測することで、最適な容量計画を確保します。
3. コンテナ化されたアプリケーションの可用性とパフォーマンスを監視し、容量計画とパフォーマンスの問題のトラブルシューティングの両方に役立ちます。
4. コンテナとそのホスティング環境の管理とスケーリングのサポートを提供することで、ワークフローを自動化します。
5. アクセス制御を自動化してユーザーベースを監視し、古いアカウントやゲストアカウントを無効にし、不要な権限を削除します。
6. ツールセットが複数の環境 (クラウド、オンプレミス、またはハイブリッド) にわたってこれらのコンテナーとアプリケーションを監視して、インフラストラクチャ、ネットワーク、システム、アプリケーション全体のパフォーマンスを視覚化し、ベンチマークできることを確認します。

データを保存し、そのセキュリティを確保する方法

ステートフル ワーカー コンテナの台頭により、クライアントはホストの外部にデータが存在することと、そのデータを保護する必要性を考慮する必要があります。 

による Portwx と Aqua Security の調査、大多数の回答者 (61%) が挙げたセキュリティ上の懸念事項のリストのトップはデータ セキュリティです。 

データ暗号化が主要なセキュリティ戦略 (64%) ですが、回答者はランタイム監視も使用しています

(49%)、レジストリの脆弱性のスキャン (49%)、CI/CD パイプラインの脆弱性のスキャン (49%)、ランタイム保護による異常のブロック (48%)。

ガートナーからの推奨事項:

1. 原則に基づいて構築されたストレージ ソリューションを選択する マイクロサービスアーキテクチャ。 コンテナ サービスのデータ ストレージ要件を満たし、ハードウェアに依存せず、API 駆動型で、分散アーキテクチャを持ち、ローカル デプロイメントとパブリック クラウドでのデプロイメントをサポートするものに焦点を当てることをお勧めします。
2. 独自のプラグインやインターフェースは避けてください。 Kubernetes の統合を提供し、CSI (コンテナ ストレージ インターフェイス) などの標準インターフェイスをサポートするベンダーを選択してください。

ネットワークと連携する方法

IT チームがプロジェクトごとにネットワーク化された開発、テスト、品質保証、実稼働環境を作成する従来のエンタープライズ ネットワーク モデルは、継続的な開発ワークフローに必ずしも適合するとは限りません。 さらに、コンテナ ネットワークは複数の層にまたがります。

В Magalix のブログを集めました クラスターネットワークソリューションの実装が準拠する必要がある大まかなルール:

1. 同じノード上にスケジュールされたポッドは、NAT (ネットワーク アドレス変換) を使用せずに他のポッドと通信できる必要があります。
2. 特定のノードで実行されているすべてのシステム デーモン (kubelet などのバックグラウンド プロセス) は、同じノードで実行されているポッドと通信できます。
3. 使用するポッド ホストネットワーク、 NAT を使用せずに、他のすべてのノード上の他のすべてのポッドと通信できる必要があります。 ホスト ネットワーキングは Linux ホストでのみサポートされていることに注意してください。

ネットワーキング ソリューションは、Kubernetes のプリミティブおよびポリシーと緊密に統合される必要があります。 IT リーダーは高度なネットワーク自動化に努め、開発者に適切なツールと十分な柔軟性を提供する必要があります。

ガートナーからの推奨事項:

1. CaaS (サービスとしてのコンテナー) または SDN (ソフトウェア定義ネットワーク) が Kubernetes ネットワークをサポートしているかどうかを確認します。 そうでない場合、またはサポートが不十分な場合は、必要な機能とポリシーをサポートするコンテナーの CNI (Container Network Interface) ネットワーク インターフェイスを使用してください。
2. CaaS または PaaS (サービスとしてのプラットフォーム) が、受信トラフィックをクラスター ノード間で分散するイングレス コントローラーやロード バランサーの作成をサポートしていることを確認してください。 これが不可能な場合は、サードパーティのプロキシまたはサービス メッシュの使用を検討してください。
3. Linux ネットワークとネットワーク自動化ツールについてネットワーク エンジニアをトレーニングして、スキル ギャップを削減し、俊敏性を高めます。

アプリケーションのライフサイクルを管理する方法

自動化されたシームレスなアプリケーション配信を実現するには、Infrafraction as Code (IaC) 製品などの他の自動化ツールでコンテナ オーケストレーションを補完する必要があります。 これらには、Chef、Puppet、Ansible、Terraform が含まれます。 

アプリケーションの構築と展開のための自動化ツールも必要です (「」を参照)アプリケーションリリースオーケストレーションのためのマジッククアドラント")。 コンテナーは、仮想マシン (VM) を展開するときに利用できる拡張機能と同様の拡張機能も提供します。 したがって、IT リーダーは次のことを行う必要があります。 コンテナのライフサイクル管理ツール.

ガートナーからの推奨事項:

1. サイズ、ライセンス、開発者がコンポーネントを追加できる柔軟性に基づいて、ベース コンテナ イメージの標準を設定します。
2. 構成管理システムを使用して、パブリックまたはプライベート リポジトリにある基本イメージに基づいて構成を階層化するコンテナのライフサイクルを管理します。
3. CaaS プラットフォームを自動化ツールと統合して、アプリケーションのワークフロー全体を自動化します。

オーケストレーターを使用してコンテナーを管理する方法

コンテナをデプロイするためのコア機能は、オーケストレーション層と計画層で提供されます。 スケジューリング中、コンテナーは、オーケストレーション層の要件に従って、クラスター内の最適なホストに配置されます。 

Kubernetes は、活発なコミュニティを持つ事実上のコンテナ オーケストレーション標準となっており、ほとんどの主要な商用ベンダーによってサポートされています。 

ガートナーからの推奨事項:

1. セキュリティ制御、モニタリング、ポリシー管理、データ永続性、ネットワーキング、コンテナのライフサイクル管理の基本要件を定義します。
2. これらの要件に基づいて、要件とユースケースに最適なツールを選択してください。
3. Gartner の調査を使用します (「」を参照)Kubernetes デプロイメント モデルの選択方法") さまざまな Kubernetes デプロイメント モデルの長所と短所を理解し、アプリケーションに最適なモデルを選択します。
4. 緊密なバックエンド統合、共通の管理プラン、一貫した価格モデルを備えた、複数の環境にわたる作業コンテナーのハイブリッド オーケストレーションを提供できるプロバイダーを選択してください。

クラウドプロバイダーの機能を使用する方法

ガートナーは信じています既製の CaaS オファリングが利用可能になったこと、およびこれらのオファリングとクラウド プロバイダーが提供する他の製品との緊密な統合により、パブリック クラウド IaaS 上にコンテナをデプロイすることへの関心が高まっています。

IaaS クラウドは、オンデマンドのリソース消費、高速な拡張性、および サービス管理これにより、インフラストラクチャとそのメンテナンスに関する深い知識が不要になります。 ほとんどのクラウド プロバイダーはコンテナ管理サービスを提供しており、複数のオーケストレーション オプションを提供しているプロバイダーもあります。 

主要なクラウド マネージド サービス プロバイダーを表に示します。 

クラウドプロバイダー
サービスの種類
製品・サービス

アリババ
ネイティブクラウドサービス
Alibaba Cloud Container Service、Alibaba Cloud Container Service for Kubernetes

Amazon Webサービス（AWS）
ネイティブクラウドサービス
Amazon Elastic Container Services (ECS)、Amazon ECS for Kubernetes (EKS)、AWS Fargate

巨大な群れ
MSP
Giant Swarm が管理する Kubernetes インフラストラクチャ

でログイン
ネイティブクラウドサービス
Google コンテナ エンジン (GKE)

IBM
ネイティブクラウドサービス
IBMクラウドKubernetesサービス

Microsoft
ネイティブクラウドサービス
Azure Kubernetes Service、Azure Service Fabric

オラクル
ネイティブクラウドサービス
Kubernetes 用 OCI コンテナ エンジン

Platform9
MSP
マネージドKubernetes

レッドハット
ホステッドサービス
OpenShift 専用およびオンライン

ヴイエムウェア
ホステッドサービス
クラウド PKS (ベータ版)

Mail.ru クラウド ソリューション*
ネイティブクラウドサービス
Mail.ruクラウドコンテナ

* 隠すつもりはありません。翻訳中にここに自分自身を追加しました:)

パブリック クラウド プロバイダーも新しい機能を追加し、オンプレミス製品をリリースしています。 近い将来、クラウド プロバイダーはハイブリッド クラウドとマルチクラウド環境のサポートを開発するでしょう。 

ガートナーの推奨事項:

1. 適切なツールを導入して管理する組織の能力を客観的に評価し、代替のクラウド コンテナ管理サービスを検討します。
2. ソフトウェアは慎重に選択し、可能な場合はオープンソースを使用してください。
3. フェデレーテッド クラスターを一画面で管理できるハイブリッド環境で共通の運用モデルを備えたプロバイダーと、IaaS の自己ホストを容易にするプロバイダーを選択してください。

Replex ブログからの Kubernetes aaS プロバイダーを選択するためのヒント:

1. すぐに高可用性をサポートするディストリビューションを探す価値があります。 これには、複数の主要なアーキテクチャ、高可用性の etcd コンポーネント、バックアップとリカバリのサポートが含まれます。
2. Kubernetes 環境のモビリティを確保するには、オンプレミスからハイブリッド、マルチクラウドまで、幅広い展開モデルをサポートするクラウド プロバイダーを選択するのが最善です。 
3. プロバイダーの製品は、セットアップ、インストール、クラスター作成の容易さに加えて、更新、監視、トラブルシューティングにも基づいて評価する必要があります。 基本的な要件は、ダウンタイムなしで完全に自動化されたクラスター更新をサポートすることです。 選択したソリューションでは、更新を手動で実行できる必要もあります。 
4. ID とアクセスの管理は、セキュリティとガバナンスの両方の観点から重要です。 選択した Kubernetes ディストリビューションが、内部で使用する認証および認可ツールとの統合をサポートしていることを確認してください。 RBAC ときめ細かいアクセス制御も重要な機能セットです。
5. 選択するディストリビューションには、さまざまなアプリケーションやインフラストラクチャの要件を幅広くカバーするネイティブのソフトウェア定義ネットワーキング ソリューションが備わっているか、Flannel、Calico、kube-router、OVN などの一般的な CNI ベースのネットワーキング実装のいずれかをサポートしている必要があります。

に関する調査結果からも分かるように、生産現場へのコンテナ導入が主流になりつつあります。 ガートナーセッション 2018 年 XNUMX 月のインフラストラクチャ、運用、およびクラウド戦略 (IOCS) について:

ご覧のとおり、回答者の 27% がすでに仕事でコンテナーを使用しており、63% が使用する予定です。

В Portwx と Aqua Security の調査 回答者の 24% はコンテナ テクノロジに年間 17 万ドル以上を投資しており、回答者の XNUMX% は年間 XNUMX 万ドル以上をコンテナ テクノロジに投資していると回答しました。 

クラウドプラットフォームチームが作成した記事 Mail.ru クラウド ソリューション.

このトピックに関して他に何を読むべきか:

1. DevOps のベスト プラクティス: DORA レポート.
2. 著作権侵害の精神を備えた Kubernetes と実装用のテンプレート.
3. Kubernetes のデプロイと導入に役立つ 25 のツール.

出所： habr.com