Praktik paling apik lan praktik paling apik kanggo mbukak wadhah lan Kubernetes ing lingkungan produksi

Ekosistem teknologi kontainerisasi berkembang kanthi cepet lan owah-owahan, saengga ana kekurangan praktik kerja sing apik ing wilayah iki. Nanging, Kubernetes lan kontainer tambah akeh digunakake, kanggo modernisasi aplikasi warisan lan kanggo ngembangake aplikasi awan modern. 

tim Kubernetes aaS saka Mail.ru ramalan diklumpukake, saran lan praktik paling apik kanggo pimpinan pasar saka Gartner, 451 Riset, StacxRoх lan liya-liyane. Dheweke bakal ngaktifake lan nyepetake panyebaran kontainer ing lingkungan produksi.

Cara Ngerti yen Perusahaan Sampeyan Siap Nyebarake Kontainer ing Lingkungan Produksi

Miturut Gartner, ing 2022, luwih saka 75% organisasi bakal nggunakake aplikasi containerized ing produksi. Iki luwih akeh tinimbang saiki, nalika kurang saka 30% perusahaan nggunakake aplikasi kasebut. 

Miturut 451 PanalitenPasar sing diramalake kanggo aplikasi teknologi wadhah ing 2022 bakal dadi $ 4,3 milyar. Iki luwih saka kaping pindho jumlah sing digambarake ing 2019, kanthi tingkat pertumbuhan pasar 30%.

В Survei Portworx lan Aqua Security 87% responden ujar manawa saiki nggunakake teknologi wadah. Kanggo mbandhingake, ing 2017 ana 55% saka responden kasebut. 

Senadyan minat lan adopsi kontaner sing saya tambah akeh, entuk produksi mbutuhake kurva sinau amarga teknologi durung dewasa lan kurang ngerti. Organisasi kudu realistis babagan proses bisnis sing mbutuhake containerization aplikasi. Pimpinan IT kudu ngevaluasi apa dheweke duwe katrampilan kanggo maju kanthi kudu sinau kanthi cepet. 

ahli Gartner Kita mikir pitakonan ing gambar ing ngisor iki bakal mbantu sampeyan nemtokake manawa sampeyan wis siyap nyebarake kontaner ing produksi:

Kesalahan sing paling umum nalika nggunakake kontaner ing produksi

Organisasi asring ngremehake upaya sing dibutuhake kanggo ngoperasikake kontainer ing produksi. Gartner ditemokake Sawetara kesalahan umum ing skenario pelanggan nalika nggunakake kontaner ing lingkungan produksi:

Carane supaya wadhah aman

Keamanan ora bisa ditangani "mengko". Iku kudu dibangun ing proses DevOps, mulane malah ana istilah khusus - DevSecOps. Organisasi kudu ngrancang nglindhungi lingkungan wadhah sampeyan ing saindhenging siklus urip pangembangan, sing kalebu proses mbangun lan pangembangan, panyebaran lan peluncuran aplikasi kasebut.

Rekomendasi saka Gartner: 

1. Integrasi proses mindhai gambar aplikasi kanggo kerentanan menyang integrasi terus-terusan / pangiriman terus-terusan (CI / CD) pipa. Aplikasi dipindai ing tahap mbangun lan miwiti piranti lunak. Nandheske perlu kanggo mindhai lan ngenali komponen open source, perpustakaan, lan frameworks. Pangembang nggunakake versi lawas sing rawan minangka salah sawijining panyebab utama kerentanan wadah.
2. Ngapikake konfigurasi sampeyan nganggo tes Center for Internet Security (CIS), sing kasedhiya kanggo Docker lan Kubernetes.
3. Priksa manawa kanggo ngetrapake kontrol akses, mesthekake pamisahan tugas, lan ngetrapake kabijakan manajemen rahasia. Informasi sensitif, kayata kunci Secure Sockets Layer (SSL) utawa kredensial basis data, dienkripsi dening orkestra utawa layanan manajemen pihak katelu lan katon nalika runtime
4. Ngindhari wadhah sing luwih dhuwur kanthi ngatur kabijakan keamanan kanggo nyuda risiko pelanggaran potensial.
5. Gunakake alat keamanan sing nyedhiyakake daftar putih, ngawasi prilaku, lan deteksi anomali kanggo nyegah kegiatan ala.

Rekomendasi saka StacxRox:

1. Manfaatake kemampuan Kubernetes sing dibangun. Setel akses kanggo pangguna nggunakake peran. Priksa manawa sampeyan ora menehi idin sing ora perlu kanggo entitas individu, sanajan butuh sawetara wektu kanggo mikir babagan ijin minimal sing dibutuhake. Bisa uga nggodho menehi hak istimewa administrator cluster amarga iki ngirit wektu ing wiwitan. Nanging, kompromi utawa kesalahan apa wae ing akun kasebut bisa nyebabake akibat sing ngrusak mengko. 
2. Ngindhari ijin akses duplikat. Kadhangkala bisa migunani yen duwe peran sing beda-beda tumpang tindih, nanging iki bisa nyebabake masalah operasional lan uga nggawe titik wuta nalika mbusak ijin. Sampeyan uga penting kanggo mbusak peran sing ora digunakake lan ora aktif.
3. Setel kabijakan jaringan: isolasi modul kanggo mbatesi akses menyang; kanthi tegas ngidini akses Internet menyang modul sing mbutuhake nggunakake tag; Eksplisit ngidini komunikasi antarane modul sing kudu komunikasi karo saben liyane. 

Carane ngatur ngawasi kontaner lan layanan ing

Keamanan lan Pemantauan - masalah utama perusahaan nalika masang kluster Kubernetes. Pangembang tansah luwih fokus ing fitur aplikasi sing dikembangake tinimbang aspek ngawasi aplikasi kasebut. 

Rekomendasi saka Gartner:

1. Coba ngawasi kahanan kontaner utawa layanan kasebut bebarengan karo ngawasi sistem host.
2. Goleki vendor lan alat kanthi integrasi jero menyang orkestrasi wadah, utamane Kubernetes.
3. Pilih alat sing nyedhiyakake logging rinci, panemuan layanan otomatis, lan rekomendasi wektu nyata nggunakake analytics lan/utawa machine learning.

Blog SolarWinds menehi saran:

1. Gunakake alat kanggo nemokake lan nglacak metrik wadhah kanthi otomatis, ngubungake metrik kinerja kayata CPU, memori, lan wektu aktif.
2. Mesthekake perencanaan kapasitas optimal kanthi prédhiksi tanggal penipisan kapasitas adhedhasar metrik ngawasi wadhah.
3. Ngawasi aplikasi kontaner kanggo kasedhiyan lan kinerja, migunani kanggo perencanaan kapasitas lan ngatasi masalah kinerja.
4. Ngotomatisasi alur kerja kanthi nyedhiyakake dhukungan manajemen lan skala kanggo kontaner lan lingkungan hosting.
5. Kontrol akses otomatis kanggo ngawasi basis pangguna, mateni akun lungse lan tamu, lan mbusak hak istimewa sing ora perlu.
6. Priksa manawa toolset sampeyan bisa ngawasi wadhah lan aplikasi kasebut ing pirang-pirang lingkungan (cloud, on-premise, utawa hibrida) kanggo nggambarake lan menehi pathokan kinerja ing antarane infrastruktur, jaringan, sistem, lan aplikasi.

Cara nyimpen data lan njamin keamanane

Kanthi mundhake wadhah pekerja stateful, klien kudu nimbang anané data ing njaba host lan kudu nglindhungi data kasebut. 

Miturut Survei Portworx lan Aqua Security, keamanan data paling ndhuwur dhaftar uneg-uneg keamanan dikutip dening mayoritas responden (61%). 

Enkripsi data minangka strategi keamanan utama (64%), nanging responden uga nggunakake pemantauan runtime

(49%), mindhai registri kanggo kerentanan (49%), mindhai kerentanan ing CI/CD pipelines (49%), lan mblokir anomali liwat proteksi runtime (48%).

Rekomendasi saka Gartner:

1. Pilih solusi panyimpenan dibangun ing prinsip arsitektur microservice. Iku luwih apik kanggo fokus ing sing ketemu syarat panyimpenan data kanggo layanan wadhah, hardware sawijining, API mimpin, duwe arsitektur mbagekke, ndhukung penyebaran lokal lan penyebaran prajurit ing maya umum.
2. Ngindhari plugin lan antarmuka kepemilikan. Pilih vendor sing nyedhiyakake integrasi Kubernetes lan ndhukung antarmuka standar kayata CSI (Container Storage Interfaces).

Cara nggarap jaringan

Model jaringan perusahaan tradisional, ing ngendi tim IT nggawe pangembangan jaringan, pengujian, jaminan kualitas, lan lingkungan produksi kanggo saben proyek, ora mesthi pas karo alur kerja pangembangan sing terus-terusan. Kajaba iku, jaringan kontainer kalebu pirang-pirang lapisan.

В blog Magalix diklumpukake aturan tingkat dhuwur sing implementasine saka solusi jaringan kluster kudu tundhuk karo:

1. Pod sing dijadwalake ing simpul sing padha kudu bisa komunikasi karo pod liyane tanpa nggunakake NAT (Terjemahan Alamat Jaringan).
2. Kabeh daemon sistem (proses latar mburi kayata kubelet) sing mlaku ing simpul tartamtu bisa komunikasi karo pod sing mlaku ing simpul sing padha.
3. Pods nggunakake jaringan host, kudu bisa komunikasi karo kabeh pod liyane ing kabeh simpul liyane tanpa nggunakake NAT. Elinga yen jaringan host mung didhukung ing host Linux.

Solusi jaringan kudu diintegrasi kanthi rapet karo primitif lan kabijakan Kubernetes. Pimpinan IT kudu ngupayakake otomatisasi jaringan sing dhuwur lan nyedhiyakake pangembang alat sing tepat lan keluwesan sing cukup.

Rekomendasi saka Gartner:

1. Temokake yen CaaS (wadhah minangka layanan) utawa SDN (Software Defined Network) sampeyan ndhukung jaringan Kubernetes. Yen ora utawa dhukungan ora cukup, gunakake antarmuka jaringan CNI (Container Network Interface) kanggo wadhah sampeyan, sing ndhukung fungsi lan kabijakan sing dibutuhake.
2. Priksa manawa CaaS utawa PaaS sampeyan (platform minangka layanan) ndhukung nggawe pengontrol ingress lan/utawa load balancer sing nyebarake lalu lintas mlebu ing antarane node kluster. Yen iki dudu pilihan, jelajahi nggunakake proxy pihak katelu utawa jejaring layanan.
3. Latih insinyur jaringan sampeyan ing jaringan Linux lan alat otomatisasi jaringan kanggo nyuda kesenjangan katrampilan lan nambah ketangkasan.

Cara ngatur siklus urip aplikasi

Kanggo pangiriman aplikasi kanthi otomatis lan lancar, sampeyan kudu nglengkapi orkestrasi wadah karo alat otomatis liyane, kayata produk infrastruktur minangka kode (IaC). Iki kalebu Chef, Wayang, Ansible lan Terraform. 

Alat otomatisasi kanggo mbangun lan nggulung aplikasi uga dibutuhake (pirsani "Magic Quadrant kanggo Orkestrasi Rilis Aplikasi"). Wadah uga nyedhiyakake kemampuan ekstensibilitas sing padha karo sing kasedhiya nalika nggunakake mesin virtual (VM). Mulane, pimpinan IT kudu duwe alat manajemen siklus urip wadhah.

Rekomendasi saka Gartner:

1. Setel standar kanggo gambar wadhah dhasar adhedhasar ukuran, lisensi, lan keluwesan kanggo pangembang kanggo nambah komponen.
2. Gunakake sistem manajemen konfigurasi kanggo ngatur siklus urip wadhah sing konfigurasi lapisan adhedhasar gambar dhasar sing ana ing repositori umum utawa pribadi.
3. Integrasi platform CaaS sampeyan karo alat otomatis kanggo ngotomatisasi kabeh alur kerja aplikasi sampeyan.

Carane ngatur wadhah karo orkestra

Fungsi inti kanggo nyebarake wadhah diwenehake ing lapisan orkestrasi lan perencanaan. Sajrone jadwal, kontaner diselehake ing host paling optimal ing kluster, kaya sing ditemtokake dening syarat lapisan orkestrasi. 

Kubernetes wis dadi standar orkestrasi wadhah de facto kanthi komunitas aktif lan didhukung dening vendor komersial sing paling misuwur. 

Rekomendasi saka Gartner:

1. Netepake syarat dhasar kanggo kontrol keamanan, ngawasi, manajemen kebijakan, ketekunan data, jaringan lan manajemen siklus urip wadah.
2. Adhedhasar syarat kasebut, pilih alat sing paling cocog karo kabutuhan lan kasus panggunaan.
3. Gunakake riset Gartner (ndeleng "Cara milih model penyebaran Kubernetes") kanggo mangerteni pro lan kontra saka macem-macem model penyebaran Kubernetes lan milih sing paling apik kanggo aplikasi sampeyan.
4. Pilih panyedhiya sing bisa nyedhiyakake orkestrasi hibrida kanggo wadhah kerja ing pirang-pirang lingkungan kanthi integrasi backend sing ketat, rencana manajemen umum, lan model rega sing konsisten.

Cara nggunakake kapabilitas panyedhiya awan

Gartner pracayakapentingan kanggo nyebarke kontainer ing maya umum IaaS tambah akeh amarga kasedhiyan tawaran CaaS sing wis siap, uga integrasi sing ketat saka penawaran kasebut karo produk liyane sing ditawakake panyedhiya awan.

Awan IaaS nawakake konsumsi sumber daya on-demand, skalabilitas cepet lan manajemen layanan, sing bakal mbantu supaya ora mbutuhake kawruh sing jero babagan infrastruktur lan pangopènan. Umume panyedhiya awan nawakake layanan manajemen wadah, lan sawetara nawakake macem-macem opsi orkestrasi. 

Panyedhiya layanan sing dikelola awan utama ditampilake ing tabel: 

Panyedhiya awan
Jinis layanan
Produk / layanan

Alibaba
Layanan Cloud Native
Alibaba Cloud Container Service, Alibaba Cloud Container Service kanggo Kubernetes

Layanan Web Amazon (AWS)
Layanan Cloud Native
Amazon Elastic Container Services (ECS), Amazon ECS for Kubernetes (EKS), AWS Fargate

Giant Swarm
MSP
Giant Swarm Ngatur Infrastruktur Kubernetes

Google
Layanan Cloud Native
Google Container Engine (GKE)

IBM
Layanan Cloud Native
IBM Cloud Kubernetes Service

Microsoft
Layanan Cloud Native
Layanan Azure Kubernetes, Kain Layanan Azure

Oracle
Layanan Cloud Native
OCI Container Engine kanggo Kubernetes

Platform9
MSP
Ngatur Kubernetes

Red Hat
Layanan tuan rumah
OpenShift Khusus & Online

VMware
Layanan tuan rumah
Awan PKS (Beta)

Solusi Cloud Mail.ru*
Layanan Cloud Native
Wadhah Cloud Mail.ru

* Kita ora bakal ndhelikake, kita nambahake dhewe ing kene sajrone terjemahan :)

Panyedhiya awan umum uga nambah kapabilitas anyar lan ngeculake produk ing papan. Ing mangsa ngarep, panyedhiya awan bakal ngembangake dhukungan kanggo awan hibrida lan lingkungan multi-awan. 

Rekomendasi Gartner:

1. Evaluasi kanthi objektif kemampuan organisasi sampeyan kanggo nyebarake lan ngatur alat sing cocog, lan nimbang layanan manajemen wadhah awan alternatif.
2. Pilih piranti lunak kanthi ati-ati, gunakake sumber terbuka yen bisa.
3. Pilih panyedhiya kanthi model operasi umum ing lingkungan hibrida sing nawakake panel siji kaca manajemen kluster federasi, uga panyedhiya sing nggampangake dadi tuan rumah dhewe IaaS.

Sawetara tips kanggo milih panyedhiya aaS Kubernetes saka blog Replex:

1. Iku worth looking for distribusi sing ndhukung kasedhiyan dhuwur metu saka kothak. Iki kalebu dhukungan kanggo macem-macem arsitektur utama, komponen etcd sing kasedhiya, lan serep lan pemulihan.
2. Kanggo mesthekake mobilitas ing lingkungan Kubernetes, luwih becik milih panyedhiya maya sing ndhukung macem-macem model penyebaran, saka ing papan nganti hibrida nganti multi-cloud. 
3. Penawaran panyedhiya uga kudu dievaluasi adhedhasar gampang persiyapan, instalasi, lan nggawe kluster, uga nganyari, ngawasi, lan ngatasi masalah. Syarat dhasar yaiku ndhukung nganyari kluster kanthi otomatis kanthi nol downtime. Solusi sing sampeyan pilih uga ngidini sampeyan mbukak nganyari kanthi manual. 
4. Manajemen identitas lan akses penting saka perspektif keamanan lan tata kelola. Priksa manawa distribusi Kubernetes sing sampeyan pilih ndhukung integrasi karo alat otentikasi lan wewenang sing sampeyan gunakake sacara internal. RBAC lan kontrol akses apik-grained uga set fitur penting.
5. Distribusi sing sampeyan pilih kudu duwe solusi jaringan sing ditemtokake piranti lunak asli sing nyakup macem-macem aplikasi utawa prasarana prasarana sing beda-beda, utawa ndhukung salah sawijining implementasi jaringan basis CNI sing populer, kalebu Flanel, Calico, kube-router, utawa OVN.

Introduksi kontaner menyang produksi dadi arah utama, minangka bukti saka asil survey sing ditindakake ing Sesi Gartner babagan infrastruktur, operasi lan strategi awan (IOCS) ing Desember 2018:

Kaya sing sampeyan ngerteni, 27% responden wis nggunakake wadhah ing karyane, lan 63% ngrancang nindakake.

В Survei Portworx lan Aqua Security 24% responden nglapurake nandur modal luwih saka setengah yuta dolar saben taun ing teknologi wadhah, lan 17% responden ngentekake luwih saka siji yuta dolar saben taun. 

Artikel disiapake dening tim platform awan Solusi Cloud Mail.ru.

Apa maneh kanggo maca babagan topik kasebut:

1. DevOps Best Practices: DORA Report.
2. Kubernetes ing semangat pembajakan karo cithakan kanggo implementasine.
3. 25 Piranti Migunani kanggo Panyebaran lan Adopsi Kubernetes.

Source: www.habr.com