7 optima exercitia pro vasis utendo secundum Google

Nota. transl.: Auctor primi articuli est Théo Chamley, Google Cloud Solutionum Architectus. In hoc poste pro blog Google Cloud, summarium praebet ductor accuratior societatis suae, nomine "Best Practices for Operating Containers" In ea, periti Google peritis optimas exercitationes collegerunt ad vasis operandi in contextu utendi Engine Kubernetes et plura, attingentes in amplis locis: ab securitate ad vigilantiam et logging. Quae sunt ergo exercitia principalia continens secundum Google?

Kubernetes Engine - proxime. translation) unus ex primis modis in laboribus currit ut conscendat necesse est. Kubernetes maxime lenis operabitur applicationes si contineantur. Sed si vis applicationem tuam facilem ad regendum et ad Kubernetes plene utere ac velle, optimas consuetudines sequi debes. Operationem applicationis, vigilantiam et debugging simpliciorem reddent, ac securitatem etiam augebunt.

In hoc articulo, per Indicem rerum, quas scias et facias, ut vascula in Kubernetes efficaciter curramus. Qui altius in singula ire volentes materialia legere debent Best Practices for Operating Containersac etiam operam nostram ante post de congregatione continentia.

1. usus patria continens logging machinationes

Si applicatio currit in botrum Kubernetes, non multum opus est lignis. Systema colligationis centralised verisimile est iam in botro constructo uteris. In casu Engine utendi Kubernetes, hoc est author Stackdriver Logging. (Nota. transl.: Et si institutionem tuam Kubernetes uteris, commendamus ut propius inspicias solutionem fontis nostri Openis - loghouse.) Serva vitam tuam simplicem et utere vase indigena machinationes colligationes. Tabellas scribe ut stdout et stderr - automatice recipientur, servatae sunt et index.

Si placet, etiam acta scribere potes JSON format. Accessus hic facile metadata illis adde. Et cum eis, Stackdriver Logging facultatem habebit per ligna quaerendi hac metadata utendi.

2. Fac vasa stata et immutabilia

Vasa enim ad bene operandum in botro Kubernetes, debent esse stata et immutabilia. His conditionibus occurrentibus, Kubernetes suum officium facere possunt, applicationes rerum quando et ubi opus creant et destruunt.

stateless significat statum cuiuslibet generis (pertinax notitia) extra continens repositum. Ad hoc, secundum necessitates, variae rationes repositionis externae adhiberi possunt; nubes repono, Pertinax Orbis, redis, nubes SQL vel alius databases managed. (Nota. transl.: Plura de hoc in nostro articulo lege.Operatores pro Kubernetes: quomodo ad applicationes status currunt?".)

incommutabilem: significat continens in vita sua mutari non posse: nullae updates, resarcitae, configurationis mutationes. Si opus est ut tuum applicationis codicem renovare vel commissuram adhibere, novam imaginem crea et eam explica. Commendatur ut figurationem continentis moveat (auscultatio portus, ambitus optionum runtimerum, etc.) extrinsecus - to . occulta и ConfigMaps. Possunt renovari sine novo vase imaginem aedificare. Ad pipelines facillime creare cum coetu imaginis, uti potes Nubes aedificate. (Nota. transl.: Instrumentum apertum Source utimur ad haec proposita Dapp.)

Exemplum adaequationis instruere configurationem in Kubernetes utendo ConfigMap inclusi siliquis quasi config

3. vitare privilegiata continentia

Applicationes non curris ut radix in servientibus tuis, vox? Percussor si applicationes intromiserit, radix accessum habebit. Eadem ratio est de non vasis privilegiatis accurrentibus. Si opus est occasus mutare in exercitum, dare potes continentem specificam capabilities per optionem securityContext in Kubernetes. Si debes mutare sysctls, Kubernetes has separatum abstractum quia haec. Fere maxime conantur in illud- et vasa sidecara ad similes operationes privilegiatas faciendas. Non indigent accessu negotiationis vel internae vel externae.

Si botrum ministras, uti potes Vasculum Securitatis pro restrictionibus in usu vasis privilegiatis.

4. devita currit ut radix

Vasa privilegiata iam discussa sunt, sed melius erit si applicationes intra continentem ut radicem adiecero non curris. Si percussor longinquam vulnerabilitatem in applicatione cum iuribus radicibus reperit quae in codice executioni permittit, postquam vas per ignotam vulnerabilitatem excedere potest, radicem in hospitio acquiret.

Optime hoc cavendum est, ne quid in prima radice curramus. Hoc facere potes, directiva uti USER в Dockerfile aut runAsUser in Kubernetes. Botrus administrator configurare potest etiam mores exactos utendi Vasculum Securitatis.

5. Fac applicationem facilem ad monitor

Sicut logging, vigilantia est pars integralis applicationis procuratio. Popularis magna solutio in Kubernetarum communitate est Prometheum - systema quae sponte siliquae detegit et officia quae vigilantia requirunt. (Nota. transl.: Vide etiam nostri detailed fama in thema vigilantia utendi Promethei et Kubernetes.) Stackdriver magna Kubernetes botri capax est et versionem suam Promethei includit ad applicationem vigilantiam.

Kubernetes Dashboard on Stackdriver

Prometheus expectat applicationem metri ad HTTP endpoint deinceps. Praesto pro hoc Prometheus client libraria. Eadem forma ab aliis instrumentis adhibetur OpenCensus и Istio.

6. Fac in app salutem status praesto

Procuratio in productione applicationis adiuvatur facultas communicandi statum suum cum tota ratione. Estne application cursus? Estne bene? Esne paratus ad recipiendum commercium? Quomodo se gerit? Frequentissima via ad solvendum hoc problema est ad effectum deducendi salutis compescit (Salutem checks). Kubernetes duo genera habet: vita et alacritas rimatur.

Ad vitam probe (Vivitas checks) applicatio debet habere terminum HTTP quod "200 OK" redit, si munus est eiusque dependentiae fundamentales satisfaciunt. Nam promptum est probe (Servitium promptum checks) applicatio aliam HTTP habere debet terminum qui responsio "200 OK" redit, si applicatio in statu sano est, gradibus initializationibus perfectis et quaevis petitio valida non sequitur errorem. Kubernetes mercaturam modo continenti iter faciet, si applicatio parata est ad has compescendas. Duae partes iungi possunt si nulla differentia est inter status vitae et promptitudinis.

Plura de hoc legere potes in relato articulo a Sandeep Dinesh, Developer Advocato ex Google: "Kubernetes optimas consuetudines: Sanitatem constituens cohibet alacritate et vita rimatur".

7. Elige diligenter versionem imaginem tuam

Plurimae imagines publicas et privatas systematis tagging rationi simili utuntur cum ea quae in eo descriptus est Best Practices pro Aedificium Containers. Si imago utitur systema prope semantic versioningoportet considerare particularia tagging. For example, tag latest Frequenter ab imagine ad imaginem se movere potest - fidendum esse non potest, si praedictio et iterabili structurae et institutionibus opus est.

Vos can utor tag X.Y.Z (semper immutata sunt), sed hoc in casu vestigia omnium inaequalitatum et carminum imaginum custodiunt. Si imago quam utens habet tag X.YHaec est optio medii aurei. Id eligendo statim resarcio accipitis et simul versioni applicationis stabili innititur.

PS ab translator

Lege etiam in nostro diario:

• «Nova CNCF statistica in vasculis, nube indigena et Kubernetes";
• «VII Principia ad Designing Continens-Substructio Applications";
• «11 Mores (Not) Fieri Victimae Kubernetes Hack";
• «Nostra experientia apud Kubernetes in parvis inceptis» (Recensionem et famam video);
• «Cras et Kubernetes» (Recensionem et famam video);
• «Imagines aedificamus Docker pro CI/CD cito et commode cum dapp» (Recensionem et famam video);
• «Continua Delivery Practices cum Docker» (Recensionem et famam video);
• «Mors microservice insania in MMXVIII".

Source: www.habr.com