Piezīme. tulk.: oriģinālā raksta autors ir Théo Chamley, Google Cloud Solutions arhitekts. Šajā Google Cloud emuāra ziņojumā viņš sniedz kopsavilkumu par sava uzņēmuma detalizētāku rokasgrāmatu ar nosaukumu "" Tajā Google eksperti apkopoja konteineru darbības paraugpraksi saistībā ar Google Kubernetes Engine un daudz ko citu, pieskaroties plašam tēmu lokam: no drošības līdz uzraudzībai un reģistrēšanai. Tātad, kāda ir vissvarīgākā konteineru prakse saskaņā ar Google?
(Uz Kubernetes balstīts pakalpojums konteinerizētu lietojumprogrammu palaišanai pakalpojumā Google Cloud — apm. tulkojums) ir viens no labākajiem veidiem, kā izpildīt darba slodzes, kurām nepieciešams mērogot. nodrošinās nevainojamu lielāko daļu lietojumprogrammu darbību, ja tās ir konteineros. Bet, ja vēlaties, lai jūsu lietojumprogramma būtu viegli pārvaldāma un vēlaties pilnībā izmantot Kubernetes sniegtās priekšrocības, jums ir jāievēro paraugprakse. Tie vienkāršos lietojumprogrammas darbību, tās uzraudzību un atkļūdošanu, kā arī palielinās drošību.
Šajā rakstā mēs apskatīsim sarakstu ar lietām, kas jums jāzina un jādara, lai Kubernetes efektīvi palaistu konteinerus. Tiem, kas vēlas iedziļināties detaļās, vajadzētu izlasīt materiālu , kā arī pievērsiet uzmanību mūsu par konteineru komplektēšanu.
1. Izmantojiet vietējos konteineru reģistrēšanas mehānismus
Ja lietojumprogramma darbojas Kubernetes klasterī, žurnāliem nav nepieciešams daudz. Iespējams, ka jūsu izmantotajā klasterī jau ir iebūvēta centralizēta reģistrēšanas sistēma. Kubernetes Engine lietošanas gadījumā tas ir atbildīgs . (Piezīme. tulk.: Un, ja izmantojat savu Kubernetes instalāciju, iesakām tuvāk apskatīt mūsu atvērtā pirmkoda risinājumu - .) Saglabājiet savu dzīvi vienkāršu un izmantojiet vietējos konteineru reģistrēšanas mehānismus. Ierakstiet žurnālus stdout un stderr — tie tiks automātiski saņemti, saglabāti un indeksēti.
Ja vēlaties, varat arī rakstīt žurnālus . Šī pieeja atvieglos metadatu pievienošanu tiem. Un ar tiem Stackdriver Logging varēs meklēt žurnālos, izmantojot šos metadatus.
2. Pārliecinieties, vai konteineri ir bezvalsts un nemainīgi
Lai konteineri Kubernetes klasterī darbotos pareizi, tiem jābūt bezvalstniekiem un nemainīgiem. Kad šie nosacījumi ir izpildīti, Kubernetes var veikt savu darbu, izveidojot un iznīcinot lietojumprogrammu entītijas, kad un kur tas ir nepieciešams.
Bezvalstnieks nozīmē, ka jebkurš stāvoklis (jebkura veida pastāvīgi dati) tiek glabāts ārpus konteinera. Šim nolūkam atkarībā no vajadzībām var izmantot dažāda veida ārējo atmiņu: , , , vai citas pārvaldītas datu bāzes. (Piezīme. tulk.: Lasiet vairāk par to mūsu rakstā "".)
Nemainīgs nozīmē, ka konteiners tā dzīves laikā netiks pārveidots: nav atjauninājumu, ielāpu, konfigurācijas izmaiņu. Ja nepieciešams atjaunināt lietojumprogrammas kodu vai lietot ielāpu, izveidojiet jaunu attēlu un izvietojiet to. Ieteicams konteinera konfigurāciju (klausīšanās ports, izpildlaika vides opcijas utt.) pārvietot ārēji - uz и . Tos var atjaunināt, neveidojot jaunu konteinera attēlu. Lai viegli izveidotu cauruļvadus ar attēla montāžu, varat izmantot . (Piezīme. tulk.: šiem nolūkiem mēs izmantojam atvērtā pirmkoda rīku .)
Piemērs izvietošanas konfigurācijas atjaunināšanai Kubernetes, izmantojot ConfigMap, kas uzstādīts podiņos kā konfigurāciju
3. Izvairieties no priviliģētiem konteineriem
Jūs savos serveros nepalaižat lietojumprogrammas kā root, vai ne? Ja uzbrucējs nokļūst lietojumprogrammā, viņš iegūs root piekļuvi. Tie paši apsvērumi attiecas uz priviliģēto konteineru nedarbināšanu. Ja jums ir jāmaina saimniekdatora iestatījumi, varat norādīt konkrētu konteineru iespējas izmantojot opciju Kubernetes pilsētā. Ja jums ir nepieciešams mainīt sysctls, Kubernetes ir priekš šī. Kopumā mēģiniet maksimāli izmantot un blakusvāģu konteineri, lai veiktu līdzīgas priviliģētas darbības. Tiem nav jābūt pieejamiem ne iekšējai, ne ārējai satiksmei.
Ja administrējat kopu, varat izmantot par priviliģēto konteineru lietošanas ierobežojumiem.
4. Izvairieties darboties kā root
Priviliģētie konteineri jau ir apspriesti, taču būs vēl labāk, ja papildus tam jūs nepalaižat lietojumprogrammas konteinerā kā root. Ja uzbrucējs lietojumprogrammā ar saknes tiesībām atrod attālu ievainojamību, kas ļauj izpildīt kodu, pēc kuras viņš var atstāt konteineru, izmantojot vēl nezināmu ievainojamību, viņš iegūs resursdatora saknes tiesības.
Labākais veids, kā no tā izvairīties, ir vispirms neko nedarbināt kā root. Lai to izdarītu, varat izmantot direktīvu USER в Dockerfile vai runAsUser in Kubernetes. Klastera administrators var arī konfigurēt izpildes darbību, izmantojot .
5. Padariet lietojumprogrammu viegli pārskatāmu
Tāpat kā reģistrēšana, arī uzraudzība ir lietojumprogrammu pārvaldības neatņemama sastāvdaļa. Populārs uzraudzības risinājums Kubernetes kopienā ir - sistēma, kas automātiski nosaka podi un pakalpojumus, kuriem nepieciešama uzraudzība. (Piezīme. tulk.: Skatiet arī mūsu par monitoringu, izmantojot Prometheus un Kubernetes.) spēj uzraudzīt Kubernetes klasterus un ietver savu Prometheus versiju lietojumprogrammu uzraudzībai.
Kubernetes informācijas panelis vietnē Stackdriver
Prometheus sagaida, ka lietojumprogramma pārsūtīs metriku uz HTTP galapunktu. Pieejams šim nolūkam . To pašu formātu izmanto citi rīki, piemēram и .
6. Padariet pieejamu lietotnes veselības stāvokli
Lietojumprogrammu pārvaldību ražošanā palīdz tās spēja paziņot par savu stāvokli visai sistēmai. Vai lietojumprogramma darbojas? Vai tas ir labi? Vai esat gatavs saņemt trafiku? Kā viņš uzvedas? Visizplatītākais veids, kā atrisināt šo problēmu, ir veikt veselības pārbaudes (veselības pārbaudes). Kubernetes ir divu veidu: .
Par dzīvīguma zondi (vitalitātes pārbaudes) lietojumprogrammai ir jābūt HTTP galapunktam, kas atgriež atbildi "200 OK", ja tā ir funkcionāla un tās pamata atkarības ir izpildītas. Gatavības zondei (servisa gatavības pārbaudes) lietojumprogrammai ir jābūt citam HTTP galapunktam, kas atgriež atbildi "200 OK", ja lietojumprogramma ir labā stāvoklī, inicializācijas darbības ir pabeigtas un neviens derīgs pieprasījums neizraisa kļūdu. Kubernetes novirzīs trafiku uz konteineru tikai tad, ja lietojumprogramma ir gatava saskaņā ar šīm pārbaudēm. Divus galapunktus var apvienot, ja nav atšķirības starp dzīvīguma un gatavības stāvokļiem.
Vairāk par to varat izlasīt saistītajā rakstā no Sandeep Dinesh, Google izstrādātāja advokāta: “'.
7. Rūpīgi izvēlieties attēla versiju
Lielākajai daļai publisko un privāto attēlu tiek izmantota atzīmēšanas sistēma, kas ir līdzīga tai, kas aprakstīta rakstā . Ja attēlā tiek izmantota sistēma, kas ir tuvu , ir jāņem vērā iezīmēšanas specifika. Piemēram, tag latest var bieži pārvietoties no attēla uz citu — uz to nevar paļauties, ja jums ir nepieciešamas paredzamas un atkārtojamas konstrukcijas un instalācijas.
Varat izmantot tagu X.Y.Z (tie gandrīz vienmēr ir nemainīgi), taču šajā gadījumā sekojiet līdzi visiem attēla ielāpiem un atjauninājumiem. Ja jūsu izmantotajam attēlam ir atzīme X.Y, tas ir labs risinājums zelta vidusceļam. Izvēloties to, jūs automātiski saņemat ielāpus un vienlaikus paļaujaties uz stabilo aplikācijas versiju.
PS no tulka
Lasi arī mūsu emuārā:
- «";
- «";
- «";
- «» (pārskats un video reportāža);
- «» (pārskats un video reportāža);
- «» (pārskats un video reportāža);
- «» (pārskats un video reportāža);
- «'.
Avots: www.habr.com