🥇 “Kubernetes for DevOps” हे पुस्तक

हॅलो, खबरो रहिवासी! Kubernetes आधुनिक क्लाउड इकोसिस्टमच्या मुख्य घटकांपैकी एक आहे. हे तंत्रज्ञान कंटेनर वर्च्युअलायझेशनला विश्वासार्हता, स्केलेबिलिटी आणि लवचिकता प्रदान करते. जॉन अरुंडेल आणि जस्टिन डोमिंगस कुबर्नेट्स इकोसिस्टमबद्दल बोलतात आणि दैनंदिन समस्यांवर सिद्ध झालेले उपाय सादर करतात. स्टेप बाय स्टेप, तुम्ही तुमचा स्वतःचा क्लाउड-नेटिव्ह अॅप्लिकेशन तयार कराल आणि त्याला सपोर्ट करण्यासाठी पायाभूत सुविधा तयार कराल, डेव्हलपमेंट एन्व्हायर्नमेंट आणि सतत डिप्लॉयमेंट पाइपलाइन सेट कराल जी तुम्हाला तुमच्या पुढील अॅप्लिकेशन्सवर काम करताना मदत करेल.

• मूलभूत गोष्टींपासून कंटेनर आणि कुबरनेटसह प्रारंभ करा: विषय शिकण्यासाठी कोणत्याही विशेष अनुभवाची आवश्यकता नाही. • तुमचे स्वतःचे क्लस्टर चालवा किंवा Amazon, Google इ. वरून व्यवस्थापित Kubernetes सेवा निवडा. • कंटेनर लाइफसायकल आणि संसाधनांचा वापर व्यवस्थापित करण्यासाठी Kubernetes वापरा. • खर्च, कार्यप्रदर्शन, लवचिकता, शक्ती आणि स्केलेबिलिटी यावर आधारित क्लस्टर्स ऑप्टिमाइझ करा. • तुमचे अनुप्रयोग विकसित करण्यासाठी, चाचणी करण्यासाठी आणि उपयोजित करण्यासाठी सर्वोत्तम साधने जाणून घ्या. सुरक्षा आणि नियंत्रण सुनिश्चित करण्यासाठी सध्याच्या उद्योग पद्धतींचा लाभ घ्या. • तुमच्या संपूर्ण कंपनीमध्ये DevOps तत्त्वे लागू करा जेणेकरून विकास कार्यसंघ अधिक लवचिकपणे, जलद आणि कार्यक्षमतेने कार्य करू शकतील.

पुस्तक कोणासाठी आहे?

सर्व्हर, अॅप्लिकेशन्स आणि सेवांसाठी जबाबदार असलेल्या प्रशासन विभागातील कर्मचाऱ्यांसाठी तसेच नवीन क्लाउड सेवा तयार करण्यात किंवा विद्यमान अॅप्लिकेशन्स Kubernetes आणि क्लाउडमध्ये स्थलांतरित करण्यात गुंतलेल्या डेव्हलपरसाठी हे पुस्तक सर्वात उपयुक्त आहे. काळजी करू नका, कुबर्नेट्स किंवा कंटेनरसह कसे कार्य करावे हे आपल्याला माहित असणे आवश्यक नाही - आम्ही आपल्याला सर्वकाही शिकवू.

अनुभवी Kubernetes वापरकर्त्यांना RBAC, सतत उपयोजन, संवेदनशील डेटा व्यवस्थापन आणि निरीक्षणक्षमता यासारख्या विषयांच्या सखोल कव्हरेजसह बरेच मूल्य मिळेल. आम्‍हाला आशा आहे की तुमच्‍या कौशल्‍यांची आणि अनुभवाची पर्वा न करता, पुस्‍तकाच्‍या पानांवर तुमच्‍यासाठी नक्कीच काहीतरी मनोरंजक असेल.

पुस्तक कोणत्या प्रश्नांची उत्तरे देते?

पुस्तकाचे नियोजन आणि लेखन करताना, आम्ही शेकडो लोकांशी क्लाउड टेक्नॉलॉजी आणि कुबर्नेट्सवर चर्चा केली, उद्योगातील नेते आणि तज्ञ तसेच पूर्ण नवशिक्यांशी बोललो. खाली निवडक प्रश्न आहेत ज्यांची उत्तरे त्यांना या प्रकाशनात पहायची आहेत.

“तुम्ही या तंत्रज्ञानावर वेळ का घालवावा यात मला रस आहे. ते मला आणि माझ्या टीमला कोणत्या समस्या सोडवण्यास मदत करेल?”
"कुबर्नेट्स मनोरंजक वाटतात, परंतु प्रवेशासाठी बराच मोठा अडथळा आहे. एक साधे उदाहरण तयार करणे कठीण नाही, परंतु पुढील प्रशासन आणि डीबग करणे कठीण आहे. वास्तविक जगात लोक कुबर्नेट्स क्लस्टर्स कसे व्यवस्थापित करतात आणि आम्हाला कोणत्या समस्यांना सामोरे जावे लागण्याची शक्यता आहे याबद्दल आम्हाला विश्वासार्ह सल्ला मिळू इच्छितो."
"व्यक्तिनिष्ठ सल्ला उपयुक्त ठरेल. Kubernetes इकोसिस्टम नवीन संघांना निवडण्यासाठी बरेच पर्याय देते. जेव्हा एकच गोष्ट करण्याचे अनेक मार्ग असतात, तेव्हा कोणता सर्वोत्तम आहे हे तुम्हाला कसे कळेल? निवड कशी करावी?

आणि कदाचित सर्व प्रश्नांपैकी सर्वात महत्वाचे:

"माझ्या कंपनीत व्यत्यय न आणता मी कुबर्नेट्स कसे वापरू शकतो?"

उतारा. कॉन्फिगरेशन आणि गुप्त वस्तू

कुबर्नेट्स ऍप्लिकेशनचे लॉजिक त्याच्या कॉन्फिगरेशनपासून वेगळे करण्याची क्षमता (म्हणजेच, वेळोवेळी बदलू शकणार्‍या कोणत्याही मूल्ये किंवा सेटिंग्जमधून) खूप उपयुक्त आहे. कॉन्फिगरेशन मूल्यांमध्ये सामान्यत: पर्यावरण-विशिष्ट सेटिंग्ज, तृतीय-पक्ष सेवा DNS पत्ते आणि प्रमाणीकरण क्रेडेन्शियल्स समाविष्ट असतात.

अर्थात, हे सर्व थेट कोडमध्ये ठेवले जाऊ शकते, परंतु हा दृष्टिकोन पुरेसा लवचिक नाही. उदाहरणार्थ, कॉन्फिगरेशन मूल्य बदलण्यासाठी तुम्हाला तुमचा कोड पुन्हा तयार करणे आणि उपयोजित करणे आवश्यक आहे. कोडपासून कॉन्फिगरेशन वेगळे करणे आणि फाइल किंवा पर्यावरण व्हेरिएबल्समधून ते वाचणे हा एक चांगला उपाय आहे.

Kubernetes कॉन्फिगरेशन व्यवस्थापित करण्यासाठी अनेक भिन्न मार्ग प्रदान करते. प्रथम, तुम्ही पॉड रॅपर स्पेसिफिकेशनमध्ये निर्दिष्ट केलेल्या एन्व्हायर्नमेंट व्हेरिएबल्सद्वारे अॅप्लिकेशनमध्ये मूल्ये पास करू शकता (पृष्ठ 192 वर “पर्यावरण व्हेरिएबल्स” पहा). दुसरे, कॉन्फिगरेशन डेटा कॉन्फिगमॅप आणि सिक्रेट ऑब्जेक्ट्स वापरून थेट कुबरनेटमध्ये संग्रहित केला जाऊ शकतो.

या प्रकरणात, आम्ही या वस्तूंचे तपशीलवार अन्वेषण करतो आणि डेमो ऍप्लिकेशन वापरून कॉन्फिगरेशन आणि संवेदनशील डेटा व्यवस्थापित करण्यासाठी काही व्यावहारिक दृष्टिकोन पाहू.

कॉन्फिगरेशन बदलते तेव्हा पॉड शेल अद्यतनित करणे

कल्पना करा की तुमच्या क्लस्टरमध्ये एक उपयोजन आहे आणि तुम्हाला त्याच्या कॉन्फिगमॅपमध्ये काही मूल्ये बदलायची आहेत. तुम्ही हेल्म चार्ट वापरत असल्यास (पृष्ठ 102 वर “हेल्म: कुबरनेटेससाठी पॅकेज मॅनेजर” पहा), तुम्ही कॉन्फिगरेशन बदल आपोआप शोधू शकता आणि एका व्यवस्थित युक्तीने तुमचे पॉड शेल रीलोड करू शकता. तुमच्या डिप्लॉयमेंट स्पेसिफिकेशनमध्ये खालील भाष्य जोडा:

checksum/config: {{ include (print $.Template.BasePath "/configmap.yaml") .
       | sha256sum }}

डिप्लॉयमेंट टेम्प्लेटमध्ये आता कॉन्फिगरेशन पॅरामीटर्सचा चेकसम समाविष्ट आहे: पॅरामीटर्स बदलल्यास, बेरीज अपडेट केली जाईल. तुम्ही हेल्म अपग्रेड चालवल्यास, हेल्म डिप्लॉयमेंट स्पेसिफिकेशन बदलले आहे हे ओळखेल आणि सर्व पॉड शेल रीस्टार्ट करेल.

Kubernetes मधील संवेदनशील डेटा

आम्हाला आधीच माहित आहे की कॉन्फिगमॅप ऑब्जेक्ट क्लस्टरमध्ये कॉन्फिगरेशन डेटा संचयित करण्यासाठी आणि त्यात प्रवेश करण्यासाठी एक लवचिक यंत्रणा प्रदान करते. तथापि, बहुतेक अनुप्रयोगांमध्ये संवेदनशील आणि संवेदनशील माहिती असते, जसे की पासवर्ड किंवा API की. हे ConfigMap मध्ये देखील संग्रहित केले जाऊ शकते, परंतु हे समाधान आदर्श नाही.

त्याऐवजी, Kubernetes संवेदनशील डेटा संचयित करण्यासाठी डिझाइन केलेले एक विशेष प्रकारचे ऑब्जेक्ट ऑफर करते: गुप्त. पुढे, ही वस्तू आमच्या डेमो ऍप्लिकेशनमध्ये कशी वापरली जाऊ शकते याचे उदाहरण पाहू.

प्रारंभ करण्यासाठी, गुप्त ऑब्जेक्टसाठी कुबर्नेट्स मॅनिफेस्ट पहा (hello-secret-env/k8s/secret.yaml पहा):

apiVersion: v1
kind: Secret
metadata:
    name: demo-secret
stringData:
    magicWord: xyzzy

या उदाहरणात, मॅजिकवर्ड प्रायव्हेट की xyzzy (en.wikipedia.org/wiki/Xyzzy_(computing)) आहे. xyzzy हा शब्द साधारणपणे संगणकाच्या जगात खूप उपयुक्त आहे. ConfigMap प्रमाणे, तुम्ही एका गुप्त ऑब्जेक्टमध्ये एकाधिक की आणि मूल्ये संचयित करू शकता. येथे, साधेपणासाठी, आम्ही फक्त एक की-व्हॅल्यू जोडी वापरतो.

पर्यावरणीय चल म्हणून गुप्त वस्तू वापरणे

कॉन्फिगमॅप प्रमाणे, सीक्रेट ऑब्जेक्ट कंटेनरमध्ये पर्यावरण व्हेरिएबल्स किंवा त्याच्या डिस्कवर फाइल म्हणून उपलब्ध केले जाऊ शकते. खालील उदाहरणात, आम्ही Secret मधील व्हॅल्यूला पर्यावरण व्हेरिएबल नियुक्त करू:

spec:
   containers:
       - name: demo
          image: cloudnatived/demo:hello-secret-env
          ports:
             - containerPort: 8888
          env:
             - name: GREETING
               valueFrom:
               secretKeyRef:
                  name: demo-secret
                  key: magicWord

मॅनिफेस्‍ट लागू करण्‍यासाठी डेमो रेपॉजिटरीमध्‍ये खालील कमांड चालवा:

kubectl apply -f hello-secret-env/k8s/
deployment.extensions "demo" configured
secret "demo-secret" created

पूर्वीप्रमाणे, तुमच्या ब्राउझरमध्ये परिणाम पाहण्यासाठी स्थानिक पोर्ट तैनातीकडे पाठवा:

kubectl port-forward deploy/demo 9999:8888
Forwarding from 127.0.0.1:9999 -> 8888
Forwarding from [::1]:9999 -> 8888

पत्ता उघडताना localhost:9999/ तुम्हाला खालील दिसले पाहिजे:

The magic word is "xyzzy"

फाईल्समध्ये गुप्त वस्तू लिहिणे

या उदाहरणात, आम्ही कंटेनरला एक फाइल म्हणून गुप्त ऑब्जेक्ट संलग्न करू. कोड डेमो रेपॉजिटरीच्या hello-secret-file फोल्डरमध्ये स्थित आहे.

सीक्रेटला फाइल म्हणून कनेक्ट करण्यासाठी, आम्ही खालील उपयोजन वापरू:

spec:
   containers:
       - name: demo
          image: cloudnatived/demo:hello-secret-file
          ports:
              - containerPort: 8888
          volumeMounts:
              - name: demo-secret-volume
                mountPath: "/secrets/"
                readOnly: true
   volumes:
      - name: demo-secret-volume
        secret:
           secretName: demo-secret

p वर "कॉन्फिगमॅप ऑब्जेक्ट्समधून कॉन्फिगरेशन फाइल्स तयार करणे" या उपविभागाप्रमाणे. 240, आम्ही एक व्हॉल्यूम तयार करतो (या प्रकरणात डेमो-सिक्रेट-व्हॉल्यूम) आणि स्पेसिफिकेशनच्या व्हॉल्यूम माउंट्स विभागात कंटेनरवर माउंट करतो. mountPath फील्ड /secrets आहे, म्हणून कुबर्नेट्स या फोल्डरमध्ये सिक्रेट ऑब्जेक्टमध्ये परिभाषित केलेल्या प्रत्येक की/व्हॅल्यू जोडीसाठी एक फाइल तयार करेल.

आमच्या उदाहरणात, आम्ही मॅजिकवर्ड नावाची फक्त एक की-व्हॅल्यू जोडी परिभाषित केली आहे, त्यामुळे मॅनिफेस्ट कंटेनरमधील संवेदनशील डेटासह एकल-वाचनीय फाइल /secrets/magicWord तयार करेल.

तुम्ही हे मॅनिफेस्ट मागील उदाहरणाप्रमाणेच लागू केल्यास, तुम्हाला समान परिणाम मिळावा:

The magic word is "xyzzy"

गुप्त वस्तू वाचणे

मागील विभागात, कॉन्फिगमॅपची सामग्री प्रदर्शित करण्यासाठी आम्ही kubectl describe कमांडचा वापर केला. सिक्रेटच्या बाबतीतही असेच करता येईल का?

kubectl describe secret/demo-secret
Name:          demo-secret

Namespace:      default
Labels:             <none>
Annotations:
Type:               Opaque

Data
====
magicWord: 5   bytes

कृपया लक्षात घ्या की डेटा स्वतः प्रदर्शित होत नाही. Kubernetes मधील गुप्त वस्तू अपारदर्शक प्रकारच्या असतात, म्हणजे त्यांची सामग्री kubectl वर्णन आउटपुट, लॉग एंट्री किंवा टर्मिनलमध्ये दर्शविली जात नाही, ज्यामुळे चुकून संवेदनशील माहिती उघड करणे अशक्य होते.

संवेदनशील डेटाची एन्कोड केलेली YAML आवृत्ती पाहण्यासाठी, kubectl get कमांड वापरा:

kubectl get secret/demo-secret -o yaml
apiVersion: v1
data:
   magicWord: eHl6enk=
kind: Secret
metadata:
...
type: Opaque

बेस 64

eHl6enk= काय आहे, आमच्या मूळ मूल्यापेक्षा पूर्णपणे भिन्न? हे प्रत्यक्षात एक गुप्त ऑब्जेक्ट आहे, जे बेस64 एन्कोडिंगमध्ये प्रस्तुत केले जाते. बेस64 ही वर्णांची स्ट्रिंग म्हणून अनियंत्रित बायनरी डेटा एन्कोड करण्याची योजना आहे.

कारण संवेदनशील माहिती बायनरी असू शकते आणि आउटपुट नाही (जसे TLS एनक्रिप्शन कीच्या बाबतीत आहे), गुप्त वस्तू नेहमी बेस64 फॉरमॅटमध्ये संग्रहित केल्या जातात.

beHl6enk= हा मजकूर आमच्या गुप्त शब्द xyzzy ची बेस64 एन्कोड केलेली आवृत्ती आहे. तुम्ही टर्मिनलमध्ये base64 —decode कमांड चालवून हे सत्यापित करू शकता:

echo "eHl6enk=" | base64 --decode
xyzzy

त्यामुळे, टर्मिनल किंवा लॉग फाईल्समधील संवेदनशील डेटा चुकून आउटपुट करण्यापासून Kubernetes तुमचे संरक्षण करते, जर तुम्ही एखाद्या विशिष्ट नेमस्पेसमध्ये गुप्त वस्तूंवरील परवानग्या वाचल्या असतील, तर तो डेटा बेस64 आणि नंतर डीकोड केला जाऊ शकतो.

जर तुम्हाला काही मजकूर बेस64 एन्कोड करायचा असेल (उदाहरणार्थ, तो गुप्त ठेवण्यासाठी), वितर्कांशिवाय बेस64 कमांड वापरा:

echo xyzzy | base64
eHl6enkK

गुप्त वस्तूंमध्ये प्रवेश करणे

गुप्त वस्तू कोण वाचू आणि संपादित करू शकतो? हे RBAC द्वारे निर्धारित केले जाते, एक प्रवेश नियंत्रण यंत्रणा (आम्ही पृष्ठ 258 वरील "भूमिका-आधारित प्रवेश नियंत्रणाचा परिचय" या उपविभागात तपशीलवार चर्चा करू). तुम्ही RBAC नसलेले किंवा सक्षम नसलेले क्लस्टर चालवत असल्यास, तुमच्या सर्व गुप्त वस्तू कोणत्याही वापरकर्त्यांसाठी आणि कंटेनरसाठी उपलब्ध आहेत (आम्ही नंतर स्पष्ट करू की तुमच्याकडे RBAC शिवाय कोणतेही उत्पादन क्लस्टर नसावे).

निष्क्रिय डेटा एन्क्रिप्शन

ज्यांना etcd डेटाबेसमध्ये प्रवेश आहे त्यांच्याबद्दल काय आहे जेथे Kubernetes त्याची सर्व माहिती संग्रहित करते? API द्वारे गुप्त वस्तू वाचण्याची परवानगी न घेता ते संवेदनशील डेटा वाचू शकतात?

आवृत्ती 1.7 पासून, Kubernetes निष्क्रिय डेटा एन्क्रिप्शनला समर्थन देते. याचा अर्थ असा की etcd मधील संवेदनशील माहिती डिस्कवर कूटबद्ध करून संग्रहित केली जाते आणि डेटाबेसमध्ये थेट प्रवेश असलेल्यांनाही ती वाचता येत नाही. ते डिक्रिप्ट करण्यासाठी, तुम्हाला फक्त कुबर्नेट्स API सर्व्हरकडे असलेली की आवश्यक आहे. योग्यरित्या कॉन्फिगर केलेल्या क्लस्टरमध्ये, निष्क्रिय एनक्रिप्शन सक्षम केले जावे.

तुमच्या क्लस्टरमध्ये निष्क्रिय एन्क्रिप्शन या प्रकारे काम करते का ते तुम्ही तपासू शकता:

kubectl describe pod -n kube-system -l component=kube-apiserver |grep encryption
        --experimental-encryption-provider-config=...

तुम्हाला प्रायोगिक-एनक्रिप्शन-प्रदाता-कॉन्फिग ध्वज दिसत नसल्यास, निष्क्रिय एन्क्रिप्शन सक्षम केलेले नाही. Google Kubernetes Engine किंवा इतर Kubernetes व्यवस्थापन सेवा वापरताना, तुमचा डेटा भिन्न यंत्रणा वापरून कूटबद्ध केला जातो, त्यामुळे ध्वज उपस्थित राहणार नाही. etcd सामग्री एन्क्रिप्ट केलेली आहे का हे पाहण्यासाठी तुमच्या कुबर्नेट्स विक्रेत्याशी तपासा.

गोपनीय डेटा संचयित करणे

काही कुबर्नेट्स संसाधने आहेत जी क्लस्टरमधून कधीही काढली जाऊ नयेत, जसे की अत्यंत संवेदनशील गुप्त वस्तू. हेल्म व्यवस्थापकाद्वारे प्रदान केलेले भाष्य वापरून तुम्ही संसाधन हटवण्यापासून संरक्षित करू शकता:

kind: Secret
metadata:
    annotations:
        "helm.sh/resource-policy": keep

सिक्रेट ऑब्जेक्ट मॅनेजमेंट स्ट्रॅटेजीज

मागील विभागातील उदाहरणामध्ये, संवेदनशील डेटा क्लस्टरमध्ये संग्रहित झाल्यानंतर लगेचच अनधिकृत प्रवेशापासून संरक्षित केला गेला. परंतु मॅनिफेस्ट फायलींमध्ये ते साध्या मजकूर म्हणून संग्रहित केले गेले.

आवृत्ती नियंत्रणात असलेल्या फाइल्समध्ये तुम्ही कधीही गोपनीय माहिती ठेवू नये. तुमच्या Kubernetes क्लस्टरवर लागू करण्यापूर्वी तुम्ही ही माहिती सुरक्षितपणे कशी व्यवस्थापित आणि संग्रहित करू शकता?

तुम्ही तुमच्या ऍप्लिकेशन्समधील संवेदनशील डेटा हाताळण्यासाठी कोणतीही साधने किंवा धोरणे निवडू शकता, परंतु तरीही तुम्हाला खालील प्रश्नांची उत्तरे द्यावी लागतील.

संवेदनशील डेटा कोठे संग्रहित केला पाहिजे जेणेकरून ते अत्यंत प्रवेशयोग्य असेल?
तुमच्या सक्रिय ऍप्लिकेशन्ससाठी संवेदनशील डेटा कसा उपलब्ध करायचा?
तुम्ही संवेदनशील डेटा बदलता किंवा संपादित करता तेव्हा तुमच्या अॅप्लिकेशन्सचे काय व्हायला हवे?

लेखकांबद्दल

जॉन अरुंडेल संगणक उद्योगातील 30 वर्षांचा अनुभव असलेले सल्लागार आहेत. त्यांनी अनेक पुस्तके लिहिली आहेत आणि विविध देशांतील अनेक कंपन्यांसोबत काम केले आहे, त्यांना क्लाउड-नेटिव्ह इन्फ्रास्ट्रक्चर आणि कुबर्नेट्सवर सल्ला दिला आहे. त्याच्या मोकळ्या वेळेत, तो सर्फिंगचा आनंद घेतो, तो एक चांगला पिस्तूल शूटर आहे आणि एक हौशी म्हणून पियानो वाजवतो. कॉर्नवॉल, इंग्लंडमधील एका परीकथा कॉटेजमध्ये राहतो.

जस्टिन डोमिंगस — Kubernetes आणि क्लाउड तंत्रज्ञानासह DevOps वातावरणात काम करणारे सिस्टम प्रशासन अभियंता. त्याला घराबाहेर वेळ घालवणे, कॉफी पिणे, क्रॅबिंग करणे आणि संगणकावर बसणे आवडते. सिएटल, वॉशिंग्टन येथे राहते, एक अद्भुत मांजर आणि त्याहूनही अद्भुत पत्नी आणि सर्वात चांगली मैत्रीण, अॅड्रिएन.

» पुस्तकाबद्दल अधिक तपशील येथे आढळू शकतात प्रकाशकाची वेबसाइट
» सामग्री सारणी
» उतारा

Khabrozhiteley साठी कूपन वापरून 25% सूट - कुबेरनेट्स

पुस्तकाची कागदी आवृत्ती भरल्यानंतर, इलेक्ट्रॉनिक पुस्तक ई-मेलद्वारे पाठवले जाईल.

स्त्रोत: www.habr.com

"DevOps साठी Kubernetes" बुक करा