ProHoster > ΠΠ»ΠΎΠ³ > Administrasi > Praktik paling apik lan praktik paling apik kanggo mbukak wadhah lan Kubernetes ing lingkungan produksi
Praktik paling apik lan praktik paling apik kanggo mbukak wadhah lan Kubernetes ing lingkungan produksi
Ekosistem teknologi kontainerisasi berkembang kanthi cepet lan owah-owahan, saengga ana kekurangan praktik kerja sing apik ing wilayah iki. Nanging, Kubernetes lan kontainer tambah akeh digunakake, kanggo modernisasi aplikasi warisan lan kanggo ngembangake aplikasi awan modern.
tim Kubernetes aaS saka Mail.ru ramalan diklumpukake, saran lan praktik paling apik kanggo pimpinan pasar saka Gartner, 451 Riset, StacxRoΡ lan liya-liyane. Dheweke bakal ngaktifake lan nyepetake panyebaran kontainer ing lingkungan produksi.
Cara Ngerti yen Perusahaan Sampeyan Siap Nyebarake Kontainer ing Lingkungan Produksi
Miturut Gartner, ing 2022, luwih saka 75% organisasi bakal nggunakake aplikasi containerized ing produksi. Iki luwih akeh tinimbang saiki, nalika kurang saka 30% perusahaan nggunakake aplikasi kasebut.
Miturut 451 PanalitenPasar sing diramalake kanggo aplikasi teknologi wadhah ing 2022 bakal dadi $ 4,3 milyar. Iki luwih saka kaping pindho jumlah sing digambarake ing 2019, kanthi tingkat pertumbuhan pasar 30%.
Π Survei Portworx lan Aqua Security 87% responden ujar manawa saiki nggunakake teknologi wadah. Kanggo mbandhingake, ing 2017 ana 55% saka responden kasebut.
Senadyan minat lan adopsi kontaner sing saya tambah akeh, entuk produksi mbutuhake kurva sinau amarga teknologi durung dewasa lan kurang ngerti. Organisasi kudu realistis babagan proses bisnis sing mbutuhake containerization aplikasi. Pimpinan IT kudu ngevaluasi apa dheweke duwe katrampilan kanggo maju kanthi kudu sinau kanthi cepet.
ahli Gartner Kita mikir pitakonan ing gambar ing ngisor iki bakal mbantu sampeyan nemtokake manawa sampeyan wis siyap nyebarake kontaner ing produksi:
Kesalahan sing paling umum nalika nggunakake kontaner ing produksi
Organisasi asring ngremehake upaya sing dibutuhake kanggo ngoperasikake kontainer ing produksi. Gartner ditemokake Sawetara kesalahan umum ing skenario pelanggan nalika nggunakake kontaner ing lingkungan produksi:
Carane supaya wadhah aman
Keamanan ora bisa ditangani "mengko". Iku kudu dibangun ing proses DevOps, mulane malah ana istilah khusus - DevSecOps. Organisasi kudu ngrancang nglindhungi lingkungan wadhah sampeyan ing saindhenging siklus urip pangembangan, sing kalebu proses mbangun lan pangembangan, panyebaran lan peluncuran aplikasi kasebut.
Integrasi proses mindhai gambar aplikasi kanggo kerentanan menyang integrasi terus-terusan / pangiriman terus-terusan (CI / CD) pipa. Aplikasi dipindai ing tahap mbangun lan miwiti piranti lunak. Nandheske perlu kanggo mindhai lan ngenali komponen open source, perpustakaan, lan frameworks. Pangembang nggunakake versi lawas sing rawan minangka salah sawijining panyebab utama kerentanan wadah.
Ngapikake konfigurasi sampeyan nganggo tes Center for Internet Security (CIS), sing kasedhiya kanggo Docker lan Kubernetes.
Priksa manawa kanggo ngetrapake kontrol akses, mesthekake pamisahan tugas, lan ngetrapake kabijakan manajemen rahasia. Informasi sensitif, kayata kunci Secure Sockets Layer (SSL) utawa kredensial basis data, dienkripsi dening orkestra utawa layanan manajemen pihak katelu lan katon nalika runtime
Ngindhari wadhah sing luwih dhuwur kanthi ngatur kabijakan keamanan kanggo nyuda risiko pelanggaran potensial.
Gunakake alat keamanan sing nyedhiyakake daftar putih, ngawasi prilaku, lan deteksi anomali kanggo nyegah kegiatan ala.
Manfaatake kemampuan Kubernetes sing dibangun. Setel akses kanggo pangguna nggunakake peran. Priksa manawa sampeyan ora menehi idin sing ora perlu kanggo entitas individu, sanajan butuh sawetara wektu kanggo mikir babagan ijin minimal sing dibutuhake. Bisa uga nggodho menehi hak istimewa administrator cluster amarga iki ngirit wektu ing wiwitan. Nanging, kompromi utawa kesalahan apa wae ing akun kasebut bisa nyebabake akibat sing ngrusak mengko.
Ngindhari ijin akses duplikat. Kadhangkala bisa migunani yen duwe peran sing beda-beda tumpang tindih, nanging iki bisa nyebabake masalah operasional lan uga nggawe titik wuta nalika mbusak ijin. Sampeyan uga penting kanggo mbusak peran sing ora digunakake lan ora aktif.
Setel kabijakan jaringan: isolasi modul kanggo mbatesi akses menyang; kanthi tegas ngidini akses Internet menyang modul sing mbutuhake nggunakake tag; Eksplisit ngidini komunikasi antarane modul sing kudu komunikasi karo saben liyane.
Carane ngatur ngawasi kontaner lan layanan ing
Keamanan lan Pemantauan - masalah utama perusahaan nalika masang kluster Kubernetes. Pangembang tansah luwih fokus ing fitur aplikasi sing dikembangake tinimbang aspek ngawasi aplikasi kasebut.
Ngawasi aplikasi kontaner kanggo kasedhiyan lan kinerja, migunani kanggo perencanaan kapasitas lan ngatasi masalah kinerja.
Ngotomatisasi alur kerja kanthi nyedhiyakake dhukungan manajemen lan skala kanggo kontaner lan lingkungan hosting.
Kontrol akses otomatis kanggo ngawasi basis pangguna, mateni akun lungse lan tamu, lan mbusak hak istimewa sing ora perlu.
Priksa manawa toolset sampeyan bisa ngawasi wadhah lan aplikasi kasebut ing pirang-pirang lingkungan (cloud, on-premise, utawa hibrida) kanggo nggambarake lan menehi pathokan kinerja ing antarane infrastruktur, jaringan, sistem, lan aplikasi.
Pilih solusi panyimpenan dibangun ing prinsip arsitektur microservice. Iku luwih apik kanggo fokus ing sing ketemu syarat panyimpenan data kanggo layanan wadhah, hardware sawijining, API mimpin, duwe arsitektur mbagekke, ndhukung penyebaran lokal lan penyebaran prajurit ing maya umum.
Ngindhari plugin lan antarmuka kepemilikan. Pilih vendor sing nyedhiyakake integrasi Kubernetes lan ndhukung antarmuka standar kayata CSI (Container Storage Interfaces).
Cara nggarap jaringan
Model jaringan perusahaan tradisional, ing ngendi tim IT nggawe pangembangan jaringan, pengujian, jaminan kualitas, lan lingkungan produksi kanggo saben proyek, ora mesthi pas karo alur kerja pangembangan sing terus-terusan. Kajaba iku, jaringan kontainer kalebu pirang-pirang lapisan.
Π blog Magalix diklumpukake aturan tingkat dhuwur sing implementasine saka solusi jaringan kluster kudu tundhuk karo:
Pod sing dijadwalake ing simpul sing padha kudu bisa komunikasi karo pod liyane tanpa nggunakake NAT (Terjemahan Alamat Jaringan).
Kabeh daemon sistem (proses latar mburi kayata kubelet) sing mlaku ing simpul tartamtu bisa komunikasi karo pod sing mlaku ing simpul sing padha.
Pods nggunakake jaringan host, kudu bisa komunikasi karo kabeh pod liyane ing kabeh simpul liyane tanpa nggunakake NAT. Elinga yen jaringan host mung didhukung ing host Linux.
Solusi jaringan kudu diintegrasi kanthi rapet karo primitif lan kabijakan Kubernetes. Pimpinan IT kudu ngupayakake otomatisasi jaringan sing dhuwur lan nyedhiyakake pangembang alat sing tepat lan keluwesan sing cukup.
Temokake yen CaaS (wadhah minangka layanan) utawa SDN (Software Defined Network) sampeyan ndhukung jaringan Kubernetes. Yen ora utawa dhukungan ora cukup, gunakake antarmuka jaringan CNI (Container Network Interface) kanggo wadhah sampeyan, sing ndhukung fungsi lan kabijakan sing dibutuhake.
Priksa manawa CaaS utawa PaaS sampeyan (platform minangka layanan) ndhukung nggawe pengontrol ingress lan/utawa load balancer sing nyebarake lalu lintas mlebu ing antarane node kluster. Yen iki dudu pilihan, jelajahi nggunakake proxy pihak katelu utawa jejaring layanan.
Latih insinyur jaringan sampeyan ing jaringan Linux lan alat otomatisasi jaringan kanggo nyuda kesenjangan katrampilan lan nambah ketangkasan.
Cara ngatur siklus urip aplikasi
Kanggo pangiriman aplikasi kanthi otomatis lan lancar, sampeyan kudu nglengkapi orkestrasi wadah karo alat otomatis liyane, kayata produk infrastruktur minangka kode (IaC). Iki kalebu Chef, Wayang, Ansible lan Terraform.
Setel standar kanggo gambar wadhah dhasar adhedhasar ukuran, lisensi, lan keluwesan kanggo pangembang kanggo nambah komponen.
Gunakake sistem manajemen konfigurasi kanggo ngatur siklus urip wadhah sing konfigurasi lapisan adhedhasar gambar dhasar sing ana ing repositori umum utawa pribadi.
Integrasi platform CaaS sampeyan karo alat otomatis kanggo ngotomatisasi kabeh alur kerja aplikasi sampeyan.
Carane ngatur wadhah karo orkestra
Fungsi inti kanggo nyebarake wadhah diwenehake ing lapisan orkestrasi lan perencanaan. Sajrone jadwal, kontaner diselehake ing host paling optimal ing kluster, kaya sing ditemtokake dening syarat lapisan orkestrasi.
Kubernetes wis dadi standar orkestrasi wadhah de facto kanthi komunitas aktif lan didhukung dening vendor komersial sing paling misuwur.
Netepake syarat dhasar kanggo kontrol keamanan, ngawasi, manajemen kebijakan, ketekunan data, jaringan lan manajemen siklus urip wadah.
Adhedhasar syarat kasebut, pilih alat sing paling cocog karo kabutuhan lan kasus panggunaan.
Gunakake riset Gartner (ndeleng "Cara milih model penyebaran Kubernetes") kanggo mangerteni pro lan kontra saka macem-macem model penyebaran Kubernetes lan milih sing paling apik kanggo aplikasi sampeyan.
Pilih panyedhiya sing bisa nyedhiyakake orkestrasi hibrida kanggo wadhah kerja ing pirang-pirang lingkungan kanthi integrasi backend sing ketat, rencana manajemen umum, lan model rega sing konsisten.
Cara nggunakake kapabilitas panyedhiya awan
Gartner pracayakapentingan kanggo nyebarke kontainer ing maya umum IaaS tambah akeh amarga kasedhiyan tawaran CaaS sing wis siap, uga integrasi sing ketat saka penawaran kasebut karo produk liyane sing ditawakake panyedhiya awan.
Awan IaaS nawakake konsumsi sumber daya on-demand, skalabilitas cepet lan manajemen layanan, sing bakal mbantu supaya ora mbutuhake kawruh sing jero babagan infrastruktur lan pangopènan. Umume panyedhiya awan nawakake layanan manajemen wadah, lan sawetara nawakake macem-macem opsi orkestrasi.
Panyedhiya layanan sing dikelola awan utama ditampilake ing tabel:
Panyedhiya awan Jinis layanan Produk / layanan
Alibaba
Layanan Cloud Native
Alibaba Cloud Container Service, Alibaba Cloud Container Service kanggo Kubernetes
Layanan Web Amazon (AWS)
Layanan Cloud Native
Amazon Elastic Container Services (ECS), Amazon ECS for Kubernetes (EKS), AWS Fargate
Google
Layanan Cloud Native
Google Container Engine (GKE)
IBM
Layanan Cloud Native
IBM Cloud Kubernetes Service
Microsoft
Layanan Cloud Native
Layanan Azure Kubernetes, Kain Layanan Azure
Oracle
Layanan Cloud Native
OCI Container Engine kanggo Kubernetes
Platform9
MSP
Ngatur Kubernetes
Red Hat
Layanan tuan rumah
OpenShift Khusus & Online
VMware
Layanan tuan rumah
Awan PKS (Beta)
Solusi Cloud Mail.ru*
Layanan Cloud Native
Wadhah Cloud Mail.ru
* Kita ora bakal ndhelikake, kita nambahake dhewe ing kene sajrone terjemahan :)
Panyedhiya awan umum uga nambah kapabilitas anyar lan ngeculake produk ing papan. Ing mangsa ngarep, panyedhiya awan bakal ngembangake dhukungan kanggo awan hibrida lan lingkungan multi-awan.
Evaluasi kanthi objektif kemampuan organisasi sampeyan kanggo nyebarake lan ngatur alat sing cocog, lan nimbang layanan manajemen wadhah awan alternatif.
Pilih piranti lunak kanthi ati-ati, gunakake sumber terbuka yen bisa.
Pilih panyedhiya kanthi model operasi umum ing lingkungan hibrida sing nawakake panel siji kaca manajemen kluster federasi, uga panyedhiya sing nggampangake dadi tuan rumah dhewe IaaS.
Iku worth looking for distribusi sing ndhukung kasedhiyan dhuwur metu saka kothak. Iki kalebu dhukungan kanggo macem-macem arsitektur utama, komponen etcd sing kasedhiya, lan serep lan pemulihan.
Kanggo mesthekake mobilitas ing lingkungan Kubernetes, luwih becik milih panyedhiya maya sing ndhukung macem-macem model penyebaran, saka ing papan nganti hibrida nganti multi-cloud.
Penawaran panyedhiya uga kudu dievaluasi adhedhasar gampang persiyapan, instalasi, lan nggawe kluster, uga nganyari, ngawasi, lan ngatasi masalah. Syarat dhasar yaiku ndhukung nganyari kluster kanthi otomatis kanthi nol downtime. Solusi sing sampeyan pilih uga ngidini sampeyan mbukak nganyari kanthi manual.
Manajemen identitas lan akses penting saka perspektif keamanan lan tata kelola. Priksa manawa distribusi Kubernetes sing sampeyan pilih ndhukung integrasi karo alat otentikasi lan wewenang sing sampeyan gunakake sacara internal. RBAC lan kontrol akses apik-grained uga set fitur penting.
Distribusi sing sampeyan pilih kudu duwe solusi jaringan sing ditemtokake piranti lunak asli sing nyakup macem-macem aplikasi utawa prasarana prasarana sing beda-beda, utawa ndhukung salah sawijining implementasi jaringan basis CNI sing populer, kalebu Flanel, Calico, kube-router, utawa OVN.
Introduksi kontaner menyang produksi dadi arah utama, minangka bukti saka asil survey sing ditindakake ing Sesi Gartner babagan infrastruktur, operasi lan strategi awan (IOCS) ing Desember 2018:
Kaya sing sampeyan ngerteni, 27% responden wis nggunakake wadhah ing karyane, lan 63% ngrancang nindakake.
Π Survei Portworx lan Aqua Security 24% responden nglapurake nandur modal luwih saka setengah yuta dolar saben taun ing teknologi wadhah, lan 17% responden ngentekake luwih saka siji yuta dolar saben taun.