Kubernetes labākā prakse. Mazo konteineru veidošana

Pirmais solis izvietošanai pakalpojumā Kubernetes ir lietojumprogrammas ievietošana konteinerā. Šajā sērijā mēs apskatīsim, kā varat izveidot mazu, drošu konteinera attēlu.
Pateicoties Docker, konteinera attēlu izveide nekad nav bijusi tik vienkārša. Norādiet pamata attēlu, pievienojiet izmaiņas un izveidojiet konteineru.

Lai gan šī metode ir lieliska darba sākšanai, noklusējuma bāzes attēlu izmantošana var izraisīt nedrošu darbu ar lieliem attēliem, kas ir pilni ar ievainojamībām.

Turklāt lielākajā daļā Docker attēlu bāzes attēlam tiek izmantots Debian vai Ubuntu, un, lai gan tas nodrošina izcilu saderību un vieglu pielāgošanu (Docker fails aizņem tikai divas koda rindiņas), pamata attēli var pievienot simtiem megabaitu papildu slodzi jūsu konteineram. Piemēram, vienkāršais fails node.js lietojumprogrammai Go "hello-world" ir aptuveni 700 megabaiti, savukārt jūsu faktiskā lietojumprogramma ir tikai dažus megabaitus liels.

Tātad visa šī papildu darba slodze ir digitālās telpas izniekošana un lieliska drošības ievainojamību un kļūdu slēptuve. Tāpēc apskatīsim divus veidus, kā samazināt konteinera attēla izmēru.

Pirmais ir mazu bāzes attēlu izmantošana, otrais ir Builder Pattern izmantošana. Mazāku bāzes attēlu izmantošana, iespējams, ir vienkāršākais veids, kā samazināt konteinera izmēru. Visticamāk, jūsu izmantotā valoda vai steks nodrošina oriģinālo lietojumprogrammas attēlu, kas ir daudz mazāks par noklusējuma attēlu. Apskatīsim mūsu konteineru node.js.

Pēc noklusējuma programmā Docker node:8 bāzes attēla izmērs ir 670 MB, bet node: 8-alpine attēla izmērs ir tikai 65 MB, tas ir, 10 reizes mazāks. Izmantojot mazāko Alpu bāzes attēlu, jūs ievērojami samazināsiet konteinera izmēru. Alpine ir maza un viegla Linux izplatīšana, kas ir ļoti populāra Docker lietotāju vidū, jo tā ir saderīga ar daudzām lietojumprogrammām, vienlaikus saglabājot mazus konteinerus. Atšķirībā no standarta Docker “node” attēla, “node:alpine” noņem daudz pakalpojumu failu un programmu, atstājot tikai tos, kas ir pietiekami, lai palaistu lietojumprogrammu.

Lai pārietu uz mazāku pamata attēlu, vienkārši atjauniniet Dockerfile, lai sāktu darbu ar jauno pamata attēlu:

Tagad atšķirībā no vecā onbuild attēla jums ir jākopē savs kods konteinerā un jāinstalē visas atkarības. Jaunā Dockerfile konteiners sākas ar node:alpine attēlu, pēc tam izveido koda direktoriju, instalē atkarības, izmantojot NPM pakotņu pārvaldnieku, un visbeidzot palaiž server.js.

Šī jauninājuma rezultātā tiek izveidots 10 reizes mazāks konteiners. Ja jūsu programmēšanas valodai vai kaudzītei nav pamata attēla samazināšanas funkcionalitātes, izmantojiet Alpine Linux. Tas arī nodrošinās iespēju pilnībā pārvaldīt konteinera saturu. Mazu bāzes attēlu izmantošana ir lielisks veids, kā ātri izveidot mazus konteinerus. Bet vēl lielāku samazinājumu var panākt, izmantojot Builder Pattern.

Interpretētajās valodās pirmkods vispirms tiek nodots tulkam un pēc tam tiek tieši izpildīts. Kompilētajās valodās avota kods vispirms tiek pārveidots par kompilētu kodu. Tomēr kompilācijā bieži tiek izmantoti rīki, kas faktiski nav nepieciešami koda palaišanai. Tas nozīmē, ka jūs varat pilnībā izņemt šos rīkus no gala konteinera. Šim nolūkam varat izmantot Builder Pattern.

Kods tiek izveidots pirmajā konteinerā un apkopots. Pēc tam apkopotais kods tiek iesaiņots galīgajā konteinerā bez kompilatoriem un rīkiem, kas nepieciešami šī koda apkopošanai. Palaidīsim lietojumprogrammu Go, izmantojot šo procesu. Pirmkārt, mēs pāriesim no onbuild attēla uz Alpine Linux.

Jaunajā Dockerfile konteiners sākas ar attēlu golang:alpine. Pēc tam tas izveido koda direktoriju, kopē to avota kodā, izveido šo avota kodu un palaiž lietojumprogrammu. Šis konteiners ir daudz mazāks nekā onbuild konteiners, taču tajā joprojām ir iekļauts kompilators un citi Go rīki, kas mums īsti nav vajadzīgi. Tātad vienkārši izvilksim kompilēto programmu un ievietosim to savā konteinerā.

Šajā Docker failā varat pamanīt kaut ko dīvainu: tajā ir divas rindiņas FROM. Pirmā 4 rindiņu sadaļa izskatās tieši tāda pati kā iepriekšējā Dockerfile, izņemot to, ka tā izmanto AS atslēgvārdu, lai nosauktu šo posmu. Nākamajā sadaļā ir jauna rindiņa FROM, lai sāktu jaunu attēlu, kur golang:alpine attēla vietā kā bāzes attēlu izmantosim Raw alpine.

Raw Alpine Linux nav instalēts neviens SSL sertifikāts, tādēļ lielākā daļa API zvanu, izmantojot HTTPS, neizdosies, tāpēc instalēsim dažus saknes CA sertifikātus.

Tagad nāk jautrā daļa: lai kopētu apkopoto kodu no pirmā konteinera uz otro, varat vienkārši izmantot komandu COPY, kas atrodas otrās sadaļas 5. rindā. Tas kopēs tikai vienu lietojumprogrammas failu un neietekmēs Go utilīta rīkus. Jaunajā daudzpakāpju Docker failā būs konteinera attēls, kura izmērs ir tikai 12 megabaiti, salīdzinot ar sākotnējo konteinera attēlu, kas bija 700 megabaiti, kas ir liela atšķirība!
Tāpēc mazu bāzes attēlu un Builder Pattern izmantošana ir lielisks veids, kā bez liela darba izveidot daudz mazākus konteinerus.
Iespējams, ka atkarībā no lietojumprogrammu kopas ir papildu veidi, kā samazināt attēla un konteinera izmēru, taču vai maziem konteineriem patiešām ir izmērāms ieguvums? Apskatīsim divas jomas, kurās mazie konteineri ir ārkārtīgi efektīvi – veiktspēju un drošību.

Lai novērtētu veiktspējas pieaugumu, apsveriet konteinera izveides procesa ilgumu, ievietošanu reģistrā (push) un pēc tam izguvi no turienes (izvilkšana). Jūs varat redzēt, ka mazākam konteineram ir izteiktas priekšrocības salīdzinājumā ar lielāku konteineru.

Docker saglabās slāņus kešatmiņā, tāpēc turpmākās būves būs ļoti ātras. Tomēr daudzas CI sistēmas, ko izmanto konteineru veidošanai un testēšanai, neglabā slāņus kešatmiņā, tāpēc tiek ietaupīts ievērojams laiks. Kā redzat, laiks liela konteinera izveidošanai atkarībā no jūsu mašīnas jaudas ir no 34 līdz 54 sekundēm, un, izmantojot konteineru, tas tiek samazināts, izmantojot Builder Pattern - no 23 līdz 28 sekundēm. Šāda veida operācijām produktivitātes pieaugums būs 40-50%. Tāpēc padomājiet par to, cik reižu veidojat un pārbaudāt savu kodu.

Kad konteiners ir izveidots, tā attēls (push konteinera attēls) ir jāievieto konteinera reģistrā, lai pēc tam varētu to izmantot savā Kubernetes klasterī. Es iesaku izmantot Google konteineru reģistru.

Izmantojot Google konteineru reģistru (GCR), jūs maksājat tikai par neapstrādātu krātuvi un tīkla izveidi, un nav jāmaksā papildu konteineru pārvaldības maksa. Tas ir privāts, drošs un ļoti ātrs. GCR izmanto daudzus trikus, lai paātrinātu vilkšanas darbību. Kā redzat, Docker Container Image konteinera ievietošana, izmantojot go:onbuild, aizņems no 15 līdz 48 sekundēm atkarībā no datora veiktspējas, un tā pati darbība ar mazāku konteineru aizņems no 14 līdz 16 sekundēm un mazāk produktīvām iekārtām. darbības ātruma priekšrocība palielinās 3 reizes. Lielākiem datoriem laiks ir aptuveni vienāds, jo GCR koplietojamai attēlu datubāzei izmanto globālo kešatmiņu, kas nozīmē, ka jums tie vispār nav jāielādē. Mazjaudas datorā centrālais procesors ir sašaurinājums, tāpēc mazu konteineru izmantošanas priekšrocības šeit ir daudz lielākas.

Ja izmantojat GCR, es ļoti iesaku izmantot Google konteineru veidotāju (GCB) kā daļu no jūsu veidošanas sistēmas.

Kā redzat, tā izmantošana ļauj sasniegt daudz labākus rezultātus Build+Push darbības ilguma samazināšanā nekā pat produktīva mašīna - šajā gadījumā konteineru veidošanas un nosūtīšanas process resursdatoram tiek paātrināts gandrīz 2 reizes. . Turklāt jūs katru dienu saņemat 120 bezmaksas būvniecības minūtes, kas vairumā gadījumu sedz jūsu konteineru veidošanas vajadzības.

Tālāk seko vissvarīgākā veiktspējas metrika — Pull konteineru izguves vai lejupielādes ātrums. Un, ja jūs neinteresē laiks, kas pavadīts push darbībai, tad vilkšanas procesa ilgums nopietni ietekmē kopējo sistēmas veiktspēju. Pieņemsim, ka jums ir trīs mezglu kopa, un viens no tiem neizdodas. Ja izmantojat pārvaldības sistēmu, piemēram, Google Kubernetes Engine, tā automātiski aizstās mirušo mezglu ar jaunu. Tomēr šis jaunais mezgls būs pilnīgi tukšs, un jums būs jāievelk visi konteineri, lai tas sāktu darboties. Ja vilkšanas darbība aizņem pietiekami ilgu laiku, jūsu kopa visu laiku darbosies ar zemāku veiktspēju.

Tas var notikt daudzos gadījumos: jauna mezgla pievienošana klasterim, mezglu jaunināšana vai pat pāreja uz jaunu konteineru izvietošanai. Tādējādi par galveno faktoru kļūst vilkšanas ekstrakcijas laika samazināšana. Nav noliedzams, ka mazs konteiners tiek lejupielādēts daudz ātrāk nekā liels. Ja Kubernetes klasterī izmantojat vairākus konteinerus, laika ietaupījums var būt ievērojams.

Apskatiet šo salīdzinājumu: mazo konteineru vilkšana aizņem 4–9 reizes mazāk laika, atkarībā no iekārtas jaudas, nekā tāda pati darbība, izmantojot go:onbuild. Izmantojot koplietotus, mazu konteineru bāzes attēlus, ievērojami paātrina jaunu Kubernetes mezglu izvietošanas un tiešsaistes savienošanas laiku un ātrumu.

Apskatīsim drošības jautājumu. Mazāki konteineri tiek uzskatīti par daudz drošākiem nekā lielāki, jo tiem ir mazāka uzbrukuma virsma. Vai tiešām? Viena no noderīgākajām Google konteineru reģistra funkcijām ir iespēja automātiski skenēt jūsu konteinerus, lai noteiktu ievainojamības. Pirms dažiem mēnešiem es izveidoju gan onbuild, gan daudzpakāpju konteinerus, tāpēc paskatīsimies, vai tur nav ievainojamības.

Rezultāts ir pārsteidzošs: nelielā konteinerā tika atklātas tikai 3 vidējas ievainojamības, bet lielā konteinerā tika atrastas 16 kritiskas un 376 citas ievainojamības. Ja paskatāmies uz liela konteinera saturu, redzams, ka lielākajai daļai drošības problēmu nav nekāda sakara ar mūsu lietojumprogrammu, bet gan tās ir saistītas ar programmām, kuras mēs pat neizmantojam. Tātad, kad cilvēki runā par lielu uzbrukuma virsmu, tas ir tas, ko viņi domā.

Ņemiet vērā, ka ir skaidrs: izveidojiet mazus konteinerus, jo tie nodrošina reālas veiktspējas un drošības priekšrocības jūsu sistēmai.

Kubernetes labākā prakse. Kubernetes organizācija ar nosaukumvietu

Dažas reklāmas 🙂

Paldies, ka palikāt kopā ar mums. Vai jums patīk mūsu raksti? Vai vēlaties redzēt interesantāku saturu? Atbalsti mūs, pasūtot vai iesakot draugiem, mākoņa VPS izstrādātājiem no 4.99 USD, unikāls sākuma līmeņa serveru analogs, ko mēs jums izgudrojām: Visa patiesība par VPS (KVM) E5-2697 v3 (6 kodoli) 10GB DDR4 480GB SSD 1Gbps no 19$ vai kā koplietot serveri? (pieejams ar RAID1 un RAID10, līdz 24 kodoliem un līdz 40 GB DDR4).

Dell R730xd 2x lētāk Equinix Tier IV datu centrā Amsterdamā? Tikai šeit 2x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV no 199$ Nīderlandē! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB — no 99 USD! Lasīt par Kā izveidot infrastruktūras uzņēmumu klase ar Dell R730xd E5-2650 v4 serveru izmantošanu 9000 eiro par santīmu?

Avots: www.habr.com