🥇Paraugprakse un vadlīnijas konteineru un Kubernetes darbināšanai ražošanas vidēs

Konteineru tehnoloģiju ekosistēma strauji attīstās un mainās, tāpēc šajā jomā trūkst labas darba prakses. Tomēr Kubernetes un konteineri tiek izmantoti arvien vairāk gan mantoto lietojumprogrammu modernizēšanai, gan modernu mākoņa lietojumprogrammu izstrādei.

Komanda Kubernetes aaS no Mail.ru apkopoja prognozes, padomus un labāko praksi tirgus līderiem no Gartner, 451 Research, StacxRoх un citiem. Tie ļaus un paātrinās konteineru izvietošanu ražošanas vidēs.

Kā uzzināt, vai jūsu uzņēmums ir gatavs izvietot konteinerus ražošanas vidē

Pēc Gartnera domām, 2022. gadā vairāk nekā 75% organizāciju ražošanā izmantos konteinerizētās lietojumprogrammas. Tas ir ievērojami vairāk nekā pašlaik, kad šādas aplikācijas izmanto mazāk nekā 30% uzņēmumu.

Saskaņā ar 451 ResearchParedzamais konteineru tehnoloģiju lietojumu tirgus 2022. gadā būs 4,3 miljardi ASV dolāru. Tas ir vairāk nekā divas reizes vairāk nekā 2019. gadā prognozētais, un tirgus pieauguma temps būs 30%.

В Portworx un Aqua Security aptauja 87% respondentu teica, ka pašlaik izmanto konteineru tehnoloģijas. Salīdzinājumam, 2017. gadā šādu respondentu bija 55%.

Neskatoties uz pieaugošo interesi un konteineru pieņemšanu, to ieviešanai ražošanā ir nepieciešama mācīšanās līkne tehnoloģiju nenobrieduma un zināšanu trūkuma dēļ. Organizācijām ir jābūt reālistiskām attiecībā uz biznesa procesiem, kuriem nepieciešama lietojumprogrammu konteinerizācija. IT vadītājiem ir jānovērtē, vai viņiem ir nepieciešamās prasmes, lai ātri mācītos.

Gartner eksperti Mēs domājam, ka tālāk esošajā attēlā redzamie jautājumi palīdzēs jums noteikt, vai esat gatavs izvietot konteinerus ražošanā.

Biežākās kļūdas, izmantojot konteinerus ražošanā

Organizācijas bieži vien nepietiekami novērtē pūles, kas nepieciešamas konteineru ekspluatācijai ražošanā. Gartner atklāja Dažas izplatītas kļūdas klientu scenārijos, izmantojot konteinerus ražošanas vidēs:

Kā glabāt konteinerus drošībā

Ar drošību nevar nodarboties “vēlāk”. Tam jābūt iebūvētam DevOps procesā, tāpēc ir pat īpašs termins - DevSecOps. Organizācijām ir jāplāno konteinera vides aizsardzība visā izstrādes dzīves ciklā, kas ietver lietojumprogrammas izveides un izstrādes procesu, izvietošanu un palaišanu.

Gartner ieteikumi:

Integrējiet lietojumprogrammu attēlu skenēšanas procesu ievainojamību noteikšanai savā nepārtrauktās integrācijas/nepārtrauktās piegādes (CI/CD) konveijerā. Lietojumprogrammas tiek skenētas programmatūras izveides un palaišanas stadijā. Uzsveriet nepieciešamību skenēt un identificēt atvērtā pirmkoda komponentus, bibliotēkas un ietvarus. Izstrādātāji, kuri izmanto vecas, neaizsargātas versijas, ir viens no galvenajiem konteineru ievainojamību cēloņiem.
Uzlabojiet savu konfigurāciju, izmantojot Center for Internet Security testus (NVS), kas ir pieejami gan Docker, gan Kubernetes.
Noteikti ieviesiet piekļuves kontroli, nodrošiniet pienākumu nodalīšanu un ieviesiet noslēpumu pārvaldības politiku. Sensitīvu informāciju, piemēram, drošligzdu slāņa (SSL) atslēgas vai datu bāzes akreditācijas datus, šifrē orķestrētājs vai trešās puses pārvaldības pakalpojumi, un tā tiek atklāta izpildlaikā.
Izvairieties no paaugstinātiem konteineriem, pārvaldot drošības politikas, lai samazinātu iespējamos pārkāpumu riskus.
Izmantojiet drošības rīkus, kas nodrošina iekļaušanu baltajā sarakstā, uzvedības uzraudzību un anomāliju noteikšanu, lai novērstu ļaunprātīgas darbības.

StacxRox ieteikumi:

Izmantojiet Kubernetes iebūvētās iespējas. Iestatiet piekļuvi lietotājiem, kuri izmanto lomas. Nepiešķiriet nevajadzīgas atļaujas atsevišķām entītijām, lai gan var būt nepieciešams zināms laiks, lai pārdomātu minimālās nepieciešamās atļaujas. Var būt vilinoši piešķirt klastera administratoram plašas privilēģijas, jo tas sākotnēji ietaupa laiku. Tomēr jebkurš kompromiss vai kļūdas kontā vēlāk var izraisīt postošas sekas.
Izvairieties no piekļuves atļauju dublikātiem. Dažkārt var būt noderīgi, ja dažādas lomas pārklājas, taču tas var radīt darbības problēmas un arī radīt aklās zonas, noņemot atļaujas. Ir svarīgi arī noņemt neizmantotās un neaktīvās lomas.
Iestatiet tīkla politikas: izolējiet moduļus, lai ierobežotu piekļuvi tiem; skaidri atļaut piekļuvi internetam tiem moduļiem, kuriem tas ir nepieciešams, izmantojot tagus; Skaidri atļaujiet saziņu starp tiem moduļiem, kuriem ir jāsazinās vienam ar otru.

Kā organizēt konteineru uzraudzību un tajos esošos pakalpojumus

Drošība un uzraudzība - uzņēmumu galvenās problēmas izvietojot Kubernetes klasterus. Izstrādātāji vienmēr vairāk koncentrējas uz izstrādāto lietojumprogrammu funkcijām, nevis aspektiem uzraudzīt šīs lietojumprogrammas.

Gartner ieteikumi:

Mēģiniet pārraudzīt tajos esošo konteineru vai pakalpojumu stāvokli kopā ar resursdatoru sistēmu pārraudzību.
Meklējiet piegādātājus un rīkus ar dziļu integrāciju konteineru orķestrēšanā, īpaši Kubernetes.
Izvēlieties rīkus, kas nodrošina detalizētu reģistrēšanu, automātisku pakalpojumu atrašanu un reāllaika ieteikumus, izmantojot analīzi un/vai mašīnmācīšanos.

SolarWinds emuārs iesaka:

Izmantojiet rīkus, lai automātiski atklātu un izsekotu konteineru metriku, korelējot veiktspējas metriku, piemēram, centrālo procesoru, atmiņu un darbspējas laiku.
Nodrošiniet optimālu jaudas plānošanu, prognozējot jaudas izsīkuma datumus, pamatojoties uz konteineru uzraudzības metriku.
Pārraugiet konteineru lietojumprogrammu pieejamību un veiktspēju, kas noder gan jaudas plānošanai, gan veiktspējas problēmu novēršanai.
Automatizējiet darbplūsmas, nodrošinot pārvaldības un mērogošanas atbalstu konteineriem un to mitināšanas vidēm.
Automatizējiet piekļuves kontroli, lai pārraudzītu savu lietotāju bāzi, atspējotu novecojušus un viesu kontus un noņemtu nevajadzīgas privilēģijas.
Nodrošiniet, lai jūsu rīku kopa varētu pārraudzīt šos konteinerus un lietojumprogrammas vairākās vidēs (mākonis, lokālā vai hibrīdā), lai vizualizētu un salīdzinātu veiktspēju visā infrastruktūrā, tīklā, sistēmās un lietojumprogrammās.

Kā uzglabāt datus un nodrošināt to drošību

Pieaugot statusu saturošu darbinieku konteineriem, klientiem ir jāņem vērā datu klātbūtne ārpus resursdatora un nepieciešamība aizsargāt šos datus.

Saskaņā ar Portworx un Aqua Security aptauja, datu drošība ieņem pirmo vietu drošības problēmu sarakstā, ko minēja lielākā daļa respondentu (61%).

Datu šifrēšana ir galvenā drošības stratēģija (64%), taču respondenti izmanto arī izpildlaika uzraudzību

(49%), reģistru skenēšana, lai noteiktu ievainojamības (49%), CI/CD konveijeru ievainojamību skenēšana (49%) un anomāliju bloķēšana, izmantojot izpildlaika aizsardzību (48%).

Gartner ieteikumi:

Izvēlieties uz principiem balstītus uzglabāšanas risinājumus mikropakalpojumu arhitektūra. Labāk ir koncentrēties uz tiem, kas atbilst konteinerpakalpojumu datu uzglabāšanas prasībām, ir neatkarīgi no aparatūras, ir API vadīti, tiem ir sadalīta arhitektūra, kas atbalsta vietējo izvietošanu un izvietošanu publiskajā mākonī.
Izvairieties no patentētiem spraudņiem un saskarnēm. Izvēlieties pārdevējus, kas nodrošina Kubernetes integrāciju un atbalsta standarta saskarnes, piemēram, CSI (konteineru glabāšanas interfeisus).

Kā strādāt ar tīkliem

Tradicionālais uzņēmuma tīkla modelis, kurā IT komandas katram projektam izveido tīkla izstrādes, testēšanas, kvalitātes nodrošināšanas un ražošanas vidi, ne vienmēr labi iederas nepārtrauktās izstrādes darbplūsmā. Turklāt konteineru tīkli aptver vairākus slāņus.

В emuārs Magalix savākts augsta līmeņa noteikumi, kuriem jāatbilst klasteru tīkla risinājuma ieviešanai:

Vienā mezglā ieplānotajiem apvidiem ir jāspēj sazināties ar citiem apvidiem, neizmantojot NAT (tīkla adrešu tulkošanu).
Visi sistēmas dēmoni (fona procesi, piemēram, kubelet), kas darbojas noteiktā mezglā, var sazināties ar podiem, kas darbojas tajā pašā mezglā.
Pākstis, izmantojot resursdatora tīkls, jāspēj sazināties ar visiem pārējiem podiem visos pārējos mezglos, neizmantojot NAT. Lūdzu, ņemiet vērā, ka resursdatora tīkls tiek atbalstīts tikai Linux resursdatoros.

Tīkla risinājumiem jābūt cieši integrētiem ar Kubernetes primitīvām un politikām. IT vadītājiem jātiecas uz augstu tīkla automatizācijas pakāpi un jānodrošina izstrādātāji ar pareiziem rīkiem un pietiekamu elastību.

Gartner ieteikumi:

Uzziniet, vai jūsu CaaS (konteiners kā pakalpojums) vai jūsu SDN (programmatūras noteiktais tīkls) tīkls atbalsta Kubernetes tīklus. Ja nē vai atbalsts ir nepietiekams, izmantojiet CNI (Container Network Interface) tīkla saskarni saviem konteineriem, kas atbalsta nepieciešamo funkcionalitāti un politikas.
Pārliecinieties, vai jūsu CaaS vai PaaS (platforma kā pakalpojums) atbalsta ieejas kontrolleru un/vai slodzes balansētāju izveidi, kas sadala ienākošo trafiku starp klasteru mezgliem. Ja tas nav iespējams, izpētiet, izmantojot trešās puses starpniekserverus vai pakalpojumu tīklus.
Apmāciet savus tīkla inženierus par Linux tīkliem un tīkla automatizācijas rīkiem, lai samazinātu prasmju trūkumu un palielinātu veiklību.

Kā pārvaldīt lietojumprogrammas dzīves ciklu

Lai nodrošinātu automatizētu un netraucētu lietojumprogrammu piegādi, konteineru orķestrēšana ir jāpapildina ar citiem automatizācijas rīkiem, piemēram, infrastruktūru kā koda (IaC) produktiem. Tie ietver Chef, Puppet, Ansible un Terraform.

Nepieciešami arī automatizācijas rīki lietojumprogrammu izveidei un ieviešanai (sk.Burvju kvadrants lietojumprogrammu izlaišanas orķestrēšanai"). Konteineri nodrošina arī paplašināšanas iespējas, kas ir līdzīgas tām, kas ir pieejamas, izvietojot virtuālās mašīnas (VM). Tāpēc IT vadītājiem ir jābūt konteineru dzīves cikla pārvaldības rīki.

Gartner ieteikumi:

Iestatiet standarta konteinera attēlu standartus, pamatojoties uz izmēru, licencēšanu un elastību, lai izstrādātāji varētu pievienot komponentus.
Izmantojiet konfigurācijas pārvaldības sistēmas, lai pārvaldītu konteineru dzīves ciklu, kas veido konfigurācijas slāni, pamatojoties uz bāzes attēliem, kas atrodas publiskās vai privātās krātuvēs.
Integrējiet savu CaaS platformu ar automatizācijas rīkiem, lai automatizētu visu lietojumprogrammu darbplūsmu.

Kā pārvaldīt konteinerus ar orķestrantiem

Galvenā funkcionalitāte konteineru izvietošanai tiek nodrošināta orķestrēšanas un plānošanas slāņos. Plānošanas laikā konteineri tiek novietoti klastera optimālākajos saimniekdatoros, kā to nosaka orķestrācijas slāņa prasības.

Kubernetes ir kļuvis par de facto konteineru orķestrēšanas standartu ar aktīvu kopienu, un to atbalsta lielākā daļa vadošo komerciālo pārdevēju.

Gartner ieteikumi:

Definējiet pamatprasības drošības kontrolei, uzraudzībai, politikas pārvaldībai, datu noturībai, tīkla izveidei un konteineru dzīves cikla pārvaldībai.
Pamatojoties uz šīm prasībām, izvēlieties rīku, kas vislabāk atbilst jūsu prasībām un lietošanas gadījumiem.
Izmantojiet Gartner pētījumu (sk.Kā izvēlēties Kubernetes izvietošanas modeli"), lai izprastu dažādu Kubernetes izvietošanas modeļu priekšrocības un mīnusus un izvēlētos savai lietojumprogrammai piemērotāko.
Atlasiet pakalpojumu sniedzēju, kas var nodrošināt hibrīda orķestrēšanu darba konteineriem vairākās vidēs ar ciešu aizmugursistēmas integrāciju, kopīgiem pārvaldības plāniem un konsekventiem cenu modeļiem.

Kā izmantot mākoņpakalpojumu sniedzēju iespējas

Gartners uzskataka interese par konteineru izvietošanu publiskajā mākoņa IaaS pieaug, pateicoties gatavu CaaS piedāvājumu pieejamībai, kā arī šo piedāvājumu ciešai integrācijai ar citiem mākoņpakalpojumu sniedzēju piedāvātajiem produktiem.

IaaS mākoņi piedāvā resursu patēriņu pēc pieprasījuma, ātru mērogojamību un pakalpojumu vadība, kas palīdzēs izvairīties no nepieciešamības pēc padziļinātām zināšanām par infrastruktūru un tās uzturēšanu. Lielākā daļa mākoņpakalpojumu sniedzēju piedāvā konteineru pārvaldības pakalpojumu, un daži piedāvā vairākas orķestrēšanas iespējas.

Galvenie mākoņa pārvaldīto pakalpojumu sniedzēji ir parādīti tabulā:

Mākoņu nodrošinātājs
Pakalpojuma veids
Produkts/pakalpojums

Alibaba
Vietējais mākoņpakalpojums
Alibaba Cloud Container Service, Alibaba Cloud Container Service Kubernetes

Amazon Web Services (AWS)
Vietējais mākoņpakalpojums
Amazon Elastic Container Services (ECS), Amazon ECS Kubernetes (EKS), AWS Fargate

Milzu bars
MSP
Milzu spieta pārvaldītā Kubernetes infrastruktūra

google
Vietējais mākoņpakalpojums
Google Container Engine (GKE)

IBM
Vietējais mākoņpakalpojums
IBM Cloud Kubernetes pakalpojums

microsoft
Vietējais mākoņpakalpojums
Azure Kubernetes pakalpojums, Azure Service Fabric

Orākuls
Vietējais mākoņpakalpojums
OCI konteineru dzinējs Kubernetes

Platform9
MSP
Pārvalda Kubernetes

Red Hat
Hosted Service
OpenShift Dedicated & Online

VMware
Hosted Service
Cloud PKS (beta)

Mail.ru Cloud Solutions*
Vietējais mākoņpakalpojums
Mail.ru Mākoņu konteineri

* Mēs to neslēpsim, mēs pievienojām sevi tulkošanas laikā :)

Publiskie mākoņdatošanas pakalpojumu sniedzēji arī pievieno jaunas iespējas un izlaiž lokālos produktus. Tuvākajā nākotnē mākoņpakalpojumu sniedzēji izstrādās atbalstu hibrīdmākoņiem un vairāku mākoņu vidēm.

Gartnera ieteikumi:

Objektīvi novērtējiet savas organizācijas spēju izvietot un pārvaldīt atbilstošus rīkus un apsveriet alternatīvus mākoņa konteineru pārvaldības pakalpojumus.
Rūpīgi izvēlieties programmatūru, ja iespējams, izmantojiet atvērto avotu.
Izvēlieties pakalpojumu sniedzējus ar izplatītiem darbības modeļiem hibrīda vidēs, kas piedāvā vienotu apvienoto klasteru stikla pārvaldību, kā arī pakalpojumu sniedzējus, kas atvieglo IaaS pašmitināšanu.

Daži padomi, kā izvēlēties Kubernetes aaS nodrošinātāju no Replex emuāra:

Ir vērts meklēt izplatījumus, kas atbalsta augstu pieejamību jau no kastes. Tas ietver atbalstu vairākām galvenajām arhitektūrām, ļoti pieejamus etcd komponentus, kā arī dublēšanu un atkopšanu.
Lai nodrošinātu mobilitāti savās Kubernetes vidēs, vislabāk ir izvēlēties mākoņpakalpojumu sniedzējus, kas atbalsta plašu izvietošanas modeļu klāstu — no lokālajiem līdz hibrīdiem un vairākiem mākoņiem.
Pakalpojumu sniedzēju piedāvājumi ir arī jānovērtē, pamatojoties uz iestatīšanas, instalēšanas un klasteru izveides vienkāršību, kā arī atjauninājumiem, uzraudzību un problēmu novēršanu. Pamatprasība ir atbalstīt pilnībā automatizētus klasteru atjauninājumus bez dīkstāves. Izvēlētajam risinājumam ir jāļauj arī manuāli palaist atjauninājumus.
Identitātes un piekļuves pārvaldība ir svarīga gan no drošības, gan pārvaldības viedokļa. Pārliecinieties, vai jūsu izvēlētais Kubernetes izplatījums atbalsta integrāciju ar iekšēji izmantotajiem autentifikācijas un autorizācijas rīkiem. RBAC un precīza piekļuves kontrole ir arī svarīgas funkciju kopas.
Izvēlētajam izplatīšanai ir jābūt vai nu vietējam programmatūras definētam tīkla risinājumam, kas aptver plašu dažādu lietojumprogrammu vai infrastruktūras prasību klāstu, vai arī jāatbalsta kāda no populārajām uz CNI balstītajām tīkla ieviešanām, tostarp Flannel, Calico, kube-router vai OVN.

Par galveno virzienu kļūst konteineru ieviešana ražošanā, par ko liecina gada veiktās aptaujas rezultāti Gartnera sesijas par infrastruktūru, darbībām un mākoņa stratēģijām (IOCS) 2018. gada decembrī:

Kā redzams, konteinerus savā darbā jau izmanto 27% aptaujāto un plāno to darīt 63%.

В Portworx un Aqua Security aptauja 24% respondentu ziņoja, ka konteineru tehnoloģijās iegulda vairāk nekā pusmiljonu dolāru gadā, un 17% respondentu tām iztērēja vairāk nekā miljonu dolāru gadā.

Rakstu sagatavojusi mākoņa platformas komanda Mail.ru mākoņa risinājumi.

Ko vēl lasīt par tēmu:

Avots: www.habr.com

Paraugprakse un labākā prakse konteineru un Kubernetes darbināšanai ražošanas vidēs

Kā uzzināt, vai jūsu uzņēmums ir gatavs izvietot konteinerus ražošanas vidē

Biežākās kļūdas, izmantojot konteinerus ražošanā

Kā glabāt konteinerus drošībā

Kā organizēt konteineru uzraudzību un tajos esošos pakalpojumus

Kā uzglabāt datus un nodrošināt to drošību

Kā strādāt ar tīkliem

Kā pārvaldīt lietojumprogrammas dzīves ciklu

Kā pārvaldīt konteinerus ar orķestrantiem

Kā izmantot mākoņpakalpojumu sniedzēju iespējas

Pievieno komentāru Atcelt atbildi