Best Practices and Best Practices for Running Containers and Kubernetes in Production Environments

De Containeriséierungstechnologie-Ökosystem entwéckelt sech séier a verännert sech, sou datt et e Mangel u gudden Aarbechtspraktiken an dësem Beräich ass. Wéi och ëmmer, Kubernetes a Container ginn ëmmer méi benotzt, souwuel fir d'Moderniséierung vun Legacy Uwendungen wéi och fir modern Cloud Uwendungen z'entwéckelen. 

Equipe Kubernetes aaS vun Mail.ru gesammelt Prognosen, Rotschléi a bescht Praktiken fir Maart Cheffen aus Gartner, 451 Fuerschung, StacxRoх an anerer. Si erméiglechen a beschleunegen den Ofbau vu Container a Produktiounsëmfeld.

Wéi wësst Dir ob Är Firma prett ass Container an engem Produktiounsëmfeld z'installéieren

Laut Gartner, am Joer 2022, méi wéi 75% vun Organisatiounen wäerte Containeriséiert Uwendungen an der Produktioun benotzen. Dëst ass däitlech méi wéi de Moment, wa manner wéi 30% vun de Firmen esou Applikatiounen benotzen. 

Nëmmen 451 FuerschungDe projizéierte Maart fir Containertechnologie Uwendungen am Joer 2022 wäert $ 4,3 Milliarde sinn.

В Portworx an Aqua Sécherheet Ëmfro 87% vun de Befroten soten datt se de Moment Containertechnologien benotzen. Zum Verglach, am Joer 2017 waren et 55% vun esou Befroten. 

Trotz dem wuessenden Interesse an der Adoptioun vu Container, erfuerdert se an d'Produktioun eng Léierkurve wéinst der technologescher Immaturitéit a Mangel u Know-how. Organisatiounen musse realistesch sinn iwwer Geschäftsprozesser déi Applikatioun Containeriséierung erfuerderen. IT Leadere sollen evaluéieren ob se d'Fäegkeet hunn fir no vir ze goen mat der Bedierfnes fir séier ze léieren. 

Gartner Experten Mir denken, datt d'Froen am Bild hei ënnen Iech hëllefen ze bestëmmen ob Dir prett sidd fir Container an der Produktioun z'installéieren:

Déi heefegste Feeler beim Gebrauch vu Container an der Produktioun

Organisatiounen ënnerschätzen dacks den Effort, deen néideg ass fir Container an der Produktioun ze bedreiwen. Gartner entdeckt E puer allgemeng Feeler a Clientszenarien wann Dir Container a Produktiounsëmfeld benotzt:

Wéi Container sécher ze halen

Sécherheet kann net "spéider" behandelt ginn. Et muss an den DevOps Prozess agebaut ginn, dofir gëtt et souguer e spezielle Begrëff - DevSecOps. Organisatiounen mussen plangen Äre Containerëmfeld schützt am ganzen Entwécklungsliewenszyklus, deen de Bau- an Entwécklungsprozess, Deployment a Start vun der Applikatioun enthält.

Recommandatiounen vum Gartner: 

1. Integréiert de Prozess fir Applikatiounsbilder fir Schwachstelle ze scannen an Är kontinuéierlech Integratioun / kontinuéierlech Liwwerung (CI / CD) Pipeline. D'Applikatioune ginn an de Softwarebau- a Startstadien gescannt. Betount d'Noutwendegkeet fir Open Source Komponenten, Bibliothéiken a Kaderen ze scannen an z'identifizéieren. Entwéckler déi al, vulnérabel Versiounen benotzen ass eng vun den Haaptursaachen vu Containerschwieregkeeten.
2. Verbessert Är Konfiguratioun mat Center for Internet Security Tests (Direktiven ugeet), déi fir Docker a Kubernetes verfügbar sinn.
3. Gitt sécher Zougangskontrollen ëmzesetzen, Trennung vu Flichten ze garantéieren an eng Geheimnismanagement Politik ëmzesetzen. Sensibel Informatioun, wéi Secure Sockets Layer (SSL) Schlësselen oder Datebank Umeldungsinformatiounen, gëtt vum Orchester oder Drëtt Partei Management Servicer verschlësselt a während der Runtime ausgesat
4. Vermeit erhiewte Container andeems Dir Sécherheetspolitike verwalten fir potenziell Verstoussrisiken ze reduzéieren.
5. Benotzt Sécherheetsinstrumenter déi Whitelisting, Verhalensiwwerwaachung an Anomalie Detektioun ubidden fir béiswëlleg Aktivitéit ze vermeiden.

Recommandatiounen aus StacxRox:

1. Benutzen déi agebaute Fäegkeete vu Kubernetes. Astelle Zougang fir Benotzer mat Rollen. Vergewëssert Iech datt Dir net onnéideg Permissiounen un eenzel Entitéite gëtt, och wann et e bëssen Zäit dauert fir duerch déi néideg Permissiounen ze denken. Et kann verlockend sinn dem Cluster Administrateur breet Privilegien ze ginn, well dëst am Ufank Zäit spuert. Wéi och ëmmer, all Kompromëss oder Feeler am Kont kënnen spéider zu zerstéierende Konsequenze féieren. 
2. Vermeiden duplizéiert Zougang Permissiounen. Et kann heiansdo nëtzlech sinn fir verschidde Rollen ze iwwerlappen, awer dëst kann zu operationelle Probleemer féieren an och blann Flecken erstellen wann Dir Permissiounen ewechhuelt. Et ass och wichteg onbenotzt an inaktiv Rollen ze läschen.
3. Netzpolitik setzen: Moduler isoléieren fir den Zougang zu hinnen ze limitéieren; Erlaabt explizit den Internetzougang zu deene Moduler déi et brauchen mat Tags; Erlaabt explizit d'Kommunikatioun tëscht deene Moduler déi matenee musse kommunizéieren. 

Wéi organiséieren d'Iwwerwaachung vu Container a Servicer an hinnen

Sécherheet an Iwwerwaachung - Haaptproblemer vun Entreprisen wann Dir Kubernetes Cluster ofsetzt. Entwéckler sinn ëmmer méi fokusséiert op d'Features vun den Uwendungen déi se entwéckelen anstatt d'Aspekter Iwwerwaachung vun dësen Uwendungen. 

Recommandatiounen vum Gartner:

1. Probéiert den Zoustand vu Container oder Servicer an hinnen a Verbindung mat Iwwerwaachungshostsystemer ze iwwerwaachen.
2. Sich no Ubidder an Tools mat déif Integratioun an Container Orchestratioun, besonnesch Kubernetes.
3. Wielt Tools déi detailléiert Logbicher ubidden, automatesch Serviceentdeckung an Echtzäit Empfehlungen mat Analysen an / oder Maschinnléieren.

De SolarWinds Blog beréit:

1. Benotzt Tools fir automatesch Containermetriken z'entdecken an ze verfolgen, d'Performancemetriken wéi CPU, Erënnerung an Uptime korreléieren.
2. Garantéiert eng optimal Kapazitéitsplanung andeems Dir Kapazitéitsaustauschdatum virausgesot baséiert op Container Iwwerwachungsmetriken.
3. Monitor containerized Uwendungen fir Disponibilitéit a Leeschtung, nëtzlech fir souwuel Kapazitéit Planung an troubleshooting Leeschtung Problemer.
4. Automatiséiert Workflows andeems Dir Gestiouns- a Skaléierungssupport fir Container an hir Hostingëmfeld ubitt.
5. Automatiséiert Zougangskontrolle fir Är Benotzerbasis ze iwwerwaachen, verouderte Konten a Gaaschtkonten auszeschalten an onnéideg Privilegien ewechzehuelen.
6. Vergewëssert Iech datt Ären Toolset dës Container an Uwendungen iwwer verschidde Ëmfeld iwwerwaache kann (Cloud, on-premises oder Hybrid) fir d'Performance iwwer Infrastruktur, Netzwierk, Systemer an Uwendungen ze visualiséieren an ze benchmarken.

Wéi späicheren d'Donnéeën a garantéieren hir Sécherheet

Mat dem Opstig vu staatlechen Aarbechterbehälter mussen d'Clienten d'Präsenz vun Daten ausserhalb vum Host berücksichtegen an d'Noutwendegkeet fir dës Donnéeën ze schützen. 

Nëmmen Portworx an Aqua Sécherheet Ëmfro, Datesécherheet ass uewen op der Lëscht vun de Sécherheetsbedenken, déi vun der Majoritéit vun de Befroten (61%) zitéiert sinn. 

Dateverschlësselung ass d'Haaptsécherheetsstrategie (64%), awer d'Befroten benotzen och Runtime Iwwerwaachung

(49%), Registréierunge fir Schwachstelle scannen (49%), Scannen op Schwachstelle bei CI/CD Pipelines (49%), an Anomalien duerch Runtime Schutz blockéieren (48%).

Recommandatiounen vum Gartner:

1. Wielt Stockage Léisungen op Prinzipien gebaut microservice Architektur. Et ass besser op déi ze konzentréieren déi den Datelagerungsfuerderunge fir Containerservicer entspriechen, Hardware onofhängeg sinn, API ugedriwwen, eng verdeelt Architektur hunn, lokal Deployment an Deployment an der ëffentlecher Cloud ënnerstëtzen.
2. Vermeiden propriétaire Plugins an Interfaces. Wielt Ubidder déi Kubernetes Integratioun ubidden an ënnerstëtzen Standard Interfaces wéi CSI (Container Storage Interfaces).

Wéi mat Netzwierker ze schaffen

Den traditionellen Entreprisennetzmodell, wou IT Teams vernetzt Entwécklung, Testen, Qualitéitssécherung a Produktiounsëmfeld fir all Projet kreéieren, passt net ëmmer gutt mam kontinuéierlechen Entwécklungsworkflow. Zousätzlech spanen Container Netzwierker verschidde Schichten.

В Blog Magalix gesammelt Héichniveau Reegelen, déi d'Ëmsetzung vun enger Cluster-Netzwierk-Léisung erfëllen muss:

1. Pods, déi um selwechten Node geplangt sinn, mussen fäeg sinn mat anere Pods ze kommunizéieren ouni NAT (Network Address Translation) ze benotzen.
2. All Systemdemonen (Hannergrondprozesser wéi Kubelet) déi op engem bestëmmten Node lafen, kënne mat Pods kommunizéieren, déi um selwechten Node lafen.
3. Pods benotzt Host Netzwierk, muss fäeg sinn mat all anere Pods op all aner Wirbelen ze kommunizéieren ouni NAT ze benotzen. Notéiert w.e.g. datt Hostnetzwierk nëmmen op Linux Hosten ënnerstëtzt gëtt.

Networking Léisunge mussen enk mat Kubernetes Primitiv a Politik integréiert ginn. IT Leadere solle sech no engem héije Grad vun der Netzwierkautomatiséierung ustriewen an Entwéckler déi richteg Tools a genuch Flexibilitéit ubidden.

Recommandatiounen vum Gartner:

1. Fannt eraus ob Äre CaaS (Container als Service) oder Ären SDN (Software Defined Network) Kubernetes Netzwierker ënnerstëtzt. Wann net oder d'Ënnerstëtzung net genuch ass, benotzt d'CNI (Container Network Interface) Netzwierk Interface fir Är Container, déi déi néideg Funktionalitéit a Politik ënnerstëtzt.
2. Vergewëssert Iech datt Äre CaaS oder PaaS (Plattform als Service) d'Schafung vun Ingress Controller an / oder Lastbalancer ënnerstëtzt déi den erakommende Traffic tëscht Clusternoden verdeelen. Wann dëst keng Optioun ass, entdeckt d'Benotzung vun Drëtt Partei Proxyen oder Service Meshes.
3. Trainéiert Är Netzwierkingenieuren op Linux Netzwierker an Netzwierkautomatiséierungsinstrumenter fir d'Fäegkeete Spalt ze reduzéieren an d'Agilitéit ze erhéijen.

Wéi de Applikatioun Liewenszyklus ze managen

Fir automatiséiert an nahtlos Applikatioun Liwwerung, musst Dir Container Orchestratioun mat aneren Automatisatiounsinstrumenter ergänzen, sou wéi Infrastruktur wéi Code (IaC) Produkter. Dozou gehéiert Chef, Puppet, Ansible an Terraform. 

Automatisatiounsinstrumenter fir Uwendungen ze bauen an auszerollen sinn och erfuerderlech (kuckt "Magic Quadrant fir Applikatioun Release Orchestratioun"). Container bidden och Extensibilitéitsfäegkeeten ähnlech wéi déi verfügbar wann Dir virtuell Maschinnen (VMs) ofsetzt. Dofir mussen IT Cheffen hunn Container Lifecycle Management Tools.

Recommandatiounen vum Gartner:

1. Set Standards fir Basis Container Biller baséiert op Gréisst, Lizenz, a Flexibilitéit fir Entwéckler Komponente derbäi.
2. Benotzt Konfiguratiounsmanagementsystemer fir de Liewenszyklus vu Container ze managen déi Layerkonfiguratioun baséiert op Basisbiller an ëffentlechen oder private Repositories.
3. Integréiert Är CaaS Plattform mat Automatisatiounsinstrumenter fir Äre ganzen Applikatioun Workflow ze automatiséieren.

Wéi Dir Container mat Orchestrateuren verwalten

D'Kärfunktioun fir Container z'installéieren gëtt an den Orchester- a Planungsschichten geliwwert. Wärend dem Fuerplang ginn d'Container op déi optimal Hosten am Stärekoup plazéiert, wéi diktéiert vun den Ufuerderunge vun der Orchestratiounsschicht. 

Kubernetes ass den de facto Container Orchestratiounsstandard mat enger aktiver Gemeinschaft ginn a gëtt vun de meescht féierende kommerziellen Ubidder ënnerstëtzt. 

Recommandatiounen vum Gartner:

1. Definéieren Basis Ufuerderunge fir Sécherheet Kontrollen, Iwwerwachung, Politik Gestioun, Daten Persistenz, Netzwierker an Container Liewenszyklus Gestioun.
2. Baséierend op dësen Ufuerderungen, wielt dat Tool dat am Beschten Är Ufuerderungen entsprécht a benotzt Fäll.
3. Benotzt Gartner Fuerschung (kuckt "Wéi wielen ech e Kubernetes Deployment Modell") fir d'Virdeeler an Nodeeler vu verschiddene Kubernetes Deployment Modeller ze verstoen an déi bescht fir Är Uwendung ze wielen.
4. Wielt e Provider deen Hybrid Orchestratioun fir Aarbechtsbehälter iwwer verschidde Ëmfeld mat enger enker Backend Integratioun, gemeinsame Gestiounspläng a konsequent Präismodeller ubidden kann.

Wéi benotzen ech d'Fäegkeete vu Cloud Provider

Gartner mengtdatt d'Interesse fir Container op der ëffentlecher Cloud IaaS z'installéieren wiisst wéinst der Disponibilitéit vu fäerdege CaaS Offeren, wéi och déi enk Integratioun vun dësen Affer mat anere Produkter, déi vu Cloud Ubidder ugebuede ginn.

IaaS Wolleke bidden On-Demande Ressourceverbrauch, séier Skalierbarkeet a Service Gestioun, déi hëlleft de Besoin fir am-Déift Wëssen vun der Infrastruktur an hir Ënnerhalt ze vermeiden. Déi meescht Cloud Ubidder bidden e Containermanagement Service, an e puer bidden verschidde Orchestratiounsoptiounen. 

Schlëssel Cloud geréiert Déngschtleeschter ginn an der Tabell presentéiert: 

Cloud Provider
Service Typ
Produit / Service

Alibaba
Native Cloud Service
Alibaba Cloud Container Service, Alibaba Cloud Container Service fir Kubernetes

Amazon Web Services (AWS)
Native Cloud Service
Amazon Elastic Container Services (ECS), Amazon ECS fir Kubernetes (EKS), AWS Fargate

Giant Schwarm
MSP
Giant Swarm Managed Kubernetes Infrastruktur

Google
Native Cloud Service
Google Container Engine (GKE)

IBM
Native Cloud Service
IBM Cloud Kubernetes Service

Microsoft
Native Cloud Service
Azure Kubernetes Service, Azure Service Fabric

entscheet
Native Cloud Service
OCI Container Engine fir Kubernetes

Platform9
MSP
Gestioun Kubernetes

Red Droe
Hosted Service
OpenShift Dedicated & Online

Dialekter
Hosted Service
Cloud PKS (Beta)

Mail.ru Cloud Solutions*
Native Cloud Service
Mail.ru Cloud Container

* Mir wäerten et net verstoppen, mir hunn eis hei während der Iwwersetzung bäigefüügt :)

Ëffentlech Cloud Ubidder addéieren och nei Fäegkeeten a verëffentlechen on-premises Produkter. An der nächster Zukunft wäerte Cloud Provider Ënnerstëtzung fir Hybridwolleken a Multi-Cloud Ëmfeld entwéckelen. 

Gartner Recommandatiounen:

1. Objektiv evaluéiert Är Organisatioun hir Fäegkeet fir entspriechend Tools z'installéieren an ze verwalten, a berücksichtegt alternativ Cloud Container Management Servicer.
2. Wielt Software virsiichteg, benotzt Open Source wou méiglech.
3. Wielt Ubidder mat gemeinsame Betribsmodeller an Hybridëmfeld, déi eenzel Glasverwaltung vu federéierte Stärekéip ubidden, souwéi Ubidder déi et einfach maachen IaaS selwer ze hosten.

E puer Tipps fir e Kubernetes aaS Provider aus dem Replex Blog ze wielen:

1. Et ass derwäert no Verdeelungen ze sichen déi héich Disponibilitéit aus der Këscht ënnerstëtzen. Dëst beinhalt Ënnerstëtzung fir verschidde grouss Architekturen, héich verfügbar etcd Komponenten, a Backup an Erhuelung.
2. Fir Mobilitéit an Äre Kubernetes Ëmfeld ze garantéieren, ass et am beschten Cloud Ubidder ze wielen déi eng breet Palette vun Deploymentmodeller ënnerstëtzen, vun on-premises bis Hybrid bis Multi-Cloud. 
3. Provider Offere sollen och evaluéiert ginn op Basis vun der Einfachheet vun der Installatioun, der Installatioun a Clusterkreatioun, souwéi Updates, Iwwerwaachung an Troubleshooting. D'Basisfuerderung ass fir voll automatiséiert Clusterupdates mat Null Downtime z'ënnerstëtzen. D'Léisung déi Dir wielt sollt Iech och erlaben Updates manuell auszeféieren. 
4. Identitéit an Zougang Gestioun ass wichteg souwuel aus Sécherheet a Gouvernance Perspektiv. Vergewëssert Iech datt d'Kubernetes Verdeelung déi Dir gewielt hutt Integratioun mat den Authentifikatiouns- an Autorisatiounsinstrumenter ënnerstëtzt déi Dir intern benotzt. RBAC a feinkorrekt Zougangskontroll sinn och wichteg Featuresets.
5. D'Verdeelung déi Dir wielt muss entweder eng gebierteg Software-definéiert Netzwierkléisung hunn déi eng breet Palette vun Ufuerderunge vu verschiddenen Uwendungen oder Infrastrukturen ofdeckt, oder eng vun de populäre CNI-baséiert Netzwierkimplementatiounen ënnerstëtzen, dorënner Flannel, Calico, Kube-Router oder OVN .

D'Aféierung vu Container an d'Produktioun gëtt d'Haaptrichtung, wéi beweist d'Resultater vun enger Ëmfro op Gartner Sessiounen iwwer Infrastruktur, Operatiounen a Cloud Strategien (IOCS) am Dezember 2018:

Wéi Dir gesitt, benotzen 27% vun de Befroten schonn Container an hirer Aarbecht, an 63% plangen dat ze maachen.

В Portworx an Aqua Sécherheet Ëmfro 24% vun de Befroten hunn gemellt méi wéi eng hallef Millioun Dollar pro Joer op Containertechnologien ze investéieren, a 17% vun de Befroten hunn méi wéi eng Millioun Dollar pro Joer op hinnen ausginn. 

Artikel virbereet vum Cloud Plattform Team Mail.ru Cloud Léisunge.

Wat soss iwwer dëst Thema ze liesen:

1. DevOps Best Practices: DORA Bericht.
2. Kubernetes am Geescht vu Piraterie mat enger Schabloun fir Ëmsetzung.
3. 25 Nëtzlech Tools fir Kubernetes Deployment an Adoptioun.

Source: will.com