Amalan Terbaik dan Amalan Terbaik untuk Menjalankan Bekas dan Kubernetes dalam Persekitaran Pengeluaran

Ekosistem teknologi kontena berkembang pesat dan berubah, jadi terdapat kekurangan amalan kerja yang baik dalam bidang ini. Walau bagaimanapun, Kubernetes dan bekas semakin digunakan, kedua-duanya untuk memodenkan aplikasi lama dan untuk membangunkan aplikasi awan moden. 

Pasukan Kubernetes aaS daripada Mail.ru mengumpul ramalan, nasihat dan amalan terbaik untuk peneraju pasaran daripada Gartner, 451 Research, StacxRoх dan lain-lain. Mereka akan membolehkan dan mempercepatkan penggunaan kontena dalam persekitaran pengeluaran.

Cara Mengetahui sama ada Syarikat Anda Bersedia untuk Menggunakan Kontena dalam Persekitaran Pengeluaran

Menurut Gartner, pada 2022, lebih daripada 75% organisasi akan menggunakan aplikasi kontena dalam pengeluaran. Ini adalah lebih ketara daripada sekarang, apabila kurang daripada 30% syarikat menggunakan aplikasi sedemikian. 

Menurut Penyelidikan 451Unjuran pasaran untuk aplikasi teknologi kontena pada 2022 ialah $4,3 bilion. Ini adalah lebih daripada dua kali ganda jumlah yang diunjurkan pada 2019, dengan kadar pertumbuhan pasaran sebanyak 30%.

В Tinjauan Portworx dan Aqua Security 87% responden berkata mereka kini menggunakan teknologi kontena. Sebagai perbandingan, pada tahun 2017 terdapat 55% daripada responden tersebut. 

Walaupun minat dan penggunaan kontena semakin meningkat, mendapatkannya ke dalam pengeluaran memerlukan keluk pembelajaran kerana ketidakmatangan teknologi dan kekurangan pengetahuan. Organisasi mesti realistik tentang proses perniagaan yang memerlukan kontena aplikasi. Pemimpin IT harus menilai sama ada mereka mempunyai set kemahiran untuk bergerak ke hadapan dengan keperluan untuk belajar dengan cepat. 

Pakar Gartner Kami berpendapat soalan dalam imej di bawah akan membantu anda menentukan sama ada anda bersedia untuk menggunakan bekas dalam pengeluaran:

Kesilapan yang paling biasa apabila menggunakan bekas dalam pengeluaran

Organisasi sering memandang rendah usaha yang diperlukan untuk mengendalikan kontena dalam pengeluaran. Gartner ditemui Beberapa kesilapan biasa dalam senario pelanggan apabila menggunakan bekas dalam persekitaran pengeluaran:

Bagaimana untuk memastikan bekas selamat

Keselamatan tidak boleh ditangani "kemudian". Ia mesti dibina ke dalam proses DevOps, itulah sebabnya terdapat istilah khas - DevSecOps. Organisasi perlu merancang melindungi persekitaran kontena anda sepanjang kitaran hayat pembangunan, yang merangkumi proses pembinaan dan pembangunan, penggunaan dan pelancaran aplikasi.

Cadangan daripada Gartner: 

1. Sepadukan proses mengimbas imej aplikasi untuk mencari kelemahan ke dalam saluran paip penyepaduan berterusan/penyampaian berterusan (CI/CD) anda. Aplikasi diimbas pada peringkat pembinaan dan pelancaran perisian. Tekankan keperluan untuk mengimbas dan mengenal pasti komponen sumber terbuka, perpustakaan dan rangka kerja. Pembangun yang menggunakan versi lama yang terdedah adalah salah satu punca utama kelemahan kontena.
2. Tingkatkan konfigurasi anda dengan ujian Center for Internet Security (CIS), yang tersedia untuk Docker dan Kubernetes.
3. Pastikan anda menguatkuasakan kawalan akses, memastikan pengasingan tugas dan melaksanakan dasar pengurusan rahsia. Maklumat sensitif, seperti kunci Secure Sockets Layer (SSL) atau bukti kelayakan pangkalan data, disulitkan oleh orkestra atau perkhidmatan pengurusan pihak ketiga dan didedahkan pada masa jalan
4. Elakkan bekas bertingkat dengan menguruskan dasar keselamatan untuk mengurangkan potensi risiko pelanggaran.
5. Gunakan alat keselamatan yang menyediakan penyenaraian putih, pemantauan tingkah laku dan pengesanan anomali untuk menghalang aktiviti berniat jahat.

Cadangan daripada StacxRox:

1. Manfaatkan keupayaan terbina dalam Kubernetes. Sediakan akses untuk pengguna menggunakan peranan. Pastikan anda tidak memberikan kebenaran yang tidak perlu kepada entiti individu, walaupun mungkin mengambil sedikit masa untuk memikirkan kebenaran minimum yang diperlukan. Ia mungkin menggoda untuk memberikan keistimewaan yang luas kepada pentadbir kluster kerana ini menjimatkan masa pada mulanya. Walau bagaimanapun, sebarang kompromi atau kesilapan dalam akaun boleh membawa kepada akibat yang dahsyat di kemudian hari. 
2. Elakkan kebenaran akses pendua. Kadangkala boleh berguna untuk mempunyai peranan yang berbeza bertindih, tetapi ini boleh membawa kepada isu operasi dan juga mewujudkan titik buta apabila mengalih keluar kebenaran. Ia juga penting untuk mengalih keluar peranan yang tidak digunakan dan tidak aktif.
3. Tetapkan dasar rangkaian: asingkan modul untuk mengehadkan akses kepada mereka; secara eksplisit membenarkan akses Internet kepada modul yang memerlukannya menggunakan tag; Benarkan komunikasi antara modul yang perlu berkomunikasi antara satu sama lain secara eksplisit. 

Bagaimana untuk mengatur pemantauan kontena dan perkhidmatan di dalamnya

Keselamatan dan Pemantauan - masalah utama syarikat apabila menggunakan kluster Kubernetes. Pembangun sentiasa lebih tertumpu pada ciri aplikasi yang mereka bangunkan dan bukannya aspek memantau aplikasi ini. 

Cadangan daripada Gartner:

1. Cuba pantau keadaan bekas atau perkhidmatan di dalamnya bersama-sama dengan pemantauan sistem hos.
2. Cari vendor dan alatan dengan penyepaduan mendalam ke dalam orkestrasi kontena, terutamanya Kubernetes.
3. Pilih alatan yang menyediakan pengelogan terperinci, penemuan perkhidmatan automatik dan pengesyoran masa nyata menggunakan analitik dan/atau pembelajaran mesin.

Blog SolarWinds menasihati:

1. Gunakan alatan untuk menemui dan menjejaki metrik kontena secara automatik, mengaitkan metrik prestasi seperti CPU, memori dan masa aktif.
2. Pastikan perancangan kapasiti optimum dengan meramalkan tarikh habis kapasiti berdasarkan metrik pemantauan kontena.
3. Pantau aplikasi dalam kontena untuk ketersediaan dan prestasi, berguna untuk perancangan kapasiti dan penyelesaian masalah prestasi.
4. Automatikkan aliran kerja dengan menyediakan sokongan pengurusan dan penskalaan untuk bekas dan persekitaran pengehosannya.
5. Automatikkan kawalan akses untuk memantau pangkalan pengguna anda, lumpuhkan akaun usang dan tetamu, dan alih keluar keistimewaan yang tidak perlu.
6. Pastikan set alat anda boleh memantau bekas dan aplikasi ini merentas berbilang persekitaran (awan, di premis atau hibrid) untuk menggambarkan dan menanda aras prestasi merentas infrastruktur, rangkaian, sistem dan aplikasi.

Cara menyimpan data dan memastikan keselamatannya

Dengan peningkatan bekas pekerja yang berstatus, pelanggan perlu mempertimbangkan kehadiran data di luar hos dan keperluan untuk melindungi data tersebut. 

Menurut Tinjauan Portworx dan Aqua Security, keselamatan data mendahului senarai kebimbangan keselamatan yang dipetik oleh majoriti responden (61%). 

Penyulitan data ialah strategi keselamatan utama (64%), tetapi responden juga menggunakan pemantauan masa jalan

(49%), mengimbas pendaftaran untuk kelemahan (49%), mengimbas kelemahan dalam saluran paip CI/CD (49%) dan menyekat anomali melalui perlindungan masa jalan (48%).

Cadangan daripada Gartner:

1. Pilih penyelesaian storan yang dibina berdasarkan prinsip seni bina perkhidmatan mikro. Adalah lebih baik untuk memberi tumpuan kepada mereka yang memenuhi keperluan penyimpanan data untuk perkhidmatan kontena, bebas perkakasan, dipacu API, mempunyai seni bina teragih, menyokong penggunaan tempatan dan penggunaan dalam awan awam.
2. Elakkan pemalam dan antara muka proprietari. Pilih vendor yang menyediakan integrasi Kubernetes dan menyokong antara muka standard seperti CSI (Antara Muka Penyimpanan Kontena).

Bagaimana untuk bekerja dengan rangkaian

Model rangkaian perusahaan tradisional, di mana pasukan IT mencipta pembangunan rangkaian, ujian, jaminan kualiti dan persekitaran pengeluaran untuk setiap projek, tidak selalunya sesuai dengan aliran kerja pembangunan berterusan. Di samping itu, rangkaian kontena merangkumi berbilang lapisan.

В blog Magalix dikumpul peraturan peringkat tinggi yang pelaksanaan penyelesaian rangkaian kluster mesti mematuhi:

1. Pod yang dijadualkan pada nod yang sama mesti boleh berkomunikasi dengan pod lain tanpa menggunakan NAT (Terjemahan Alamat Rangkaian).
2. Semua daemon sistem (proses latar belakang seperti kubelet) yang berjalan pada nod tertentu boleh berkomunikasi dengan pod yang berjalan pada nod yang sama.
3. Pod menggunakan rangkaian hos, mesti boleh berkomunikasi dengan semua pod lain pada semua nod lain tanpa menggunakan NAT. Sila ambil perhatian bahawa rangkaian hos hanya disokong pada hos Linux.

Penyelesaian rangkaian mesti disepadukan rapat dengan primitif dan dasar Kubernetes. Pemimpin IT harus berusaha untuk mencapai tahap automasi rangkaian yang tinggi dan menyediakan pemaju dengan alat yang betul dan fleksibiliti yang mencukupi.

Cadangan daripada Gartner:

1. Ketahui sama ada CaaS anda (bekas sebagai perkhidmatan) atau SDN (Rangkaian Ditakrifkan Perisian) anda menyokong rangkaian Kubernetes. Jika tidak atau sokongan tidak mencukupi, gunakan antara muka rangkaian CNI (Container Network Interface) untuk bekas anda, yang menyokong fungsi dan dasar yang diperlukan.
2. Pastikan CaaS atau PaaS anda (platform sebagai perkhidmatan) menyokong penciptaan pengawal kemasukan dan/atau pengimbang beban yang mengagihkan trafik masuk antara nod kelompok. Jika ini bukan pilihan, teroka menggunakan proksi pihak ketiga atau jaringan perkhidmatan.
3. Latih jurutera rangkaian anda pada rangkaian Linux dan alatan automasi rangkaian untuk mengurangkan jurang kemahiran dan meningkatkan ketangkasan.

Cara mengurus kitaran hayat aplikasi

Untuk penghantaran aplikasi yang automatik dan lancar, anda perlu melengkapkan orkestrasi kontena dengan alat automasi lain, seperti produk infrastruktur sebagai kod (IaC). Ini termasuk Chef, Puppet, Ansible dan Terraform. 

Alat automasi untuk membina dan melancarkan aplikasi juga diperlukan (lihat "Kuadran Ajaib untuk Orkestrasi Keluaran Aplikasi"). Bekas juga menyediakan keupayaan kebolehlanjutan yang serupa dengan yang tersedia semasa menggunakan mesin maya (VM). Oleh itu, pemimpin IT mesti ada alat pengurusan kitaran hayat kontena.

Cadangan daripada Gartner:

1. Tetapkan standard untuk imej bekas asas berdasarkan saiz, pelesenan dan fleksibiliti untuk pembangun menambah komponen.
2. Gunakan sistem pengurusan konfigurasi untuk mengurus kitaran hayat bekas yang melapisi konfigurasi berdasarkan imej asas yang terletak di repositori awam atau persendirian.
3. Sepadukan platform CaaS anda dengan alatan automasi untuk mengautomasikan keseluruhan aliran kerja aplikasi anda.

Cara menguruskan bekas dengan orkestra

Fungsi teras untuk menggunakan bekas disediakan pada lapisan orkestra dan perancangan. Semasa penjadualan, bekas diletakkan pada hos yang paling optimum dalam kelompok, seperti yang ditentukan oleh keperluan lapisan orkestrasi. 

Kubernetes telah menjadi piawaian orkestrasi kontena de facto dengan komuniti yang aktif dan disokong oleh kebanyakan vendor komersial terkemuka. 

Cadangan daripada Gartner:

1. Tentukan keperluan asas untuk kawalan keselamatan, pemantauan, pengurusan dasar, kegigihan data, rangkaian dan pengurusan kitaran hayat kontena.
2. Berdasarkan keperluan ini, pilih alat yang paling sesuai dengan keperluan dan kes penggunaan anda.
3. Gunakan penyelidikan Gartner (lihat "Cara memilih model penggunaan Kubernetes") untuk memahami kebaikan dan keburukan model penggunaan Kubernetes yang berbeza dan memilih model yang terbaik untuk aplikasi anda.
4. Pilih pembekal yang boleh menyediakan orkestrasi hibrid untuk bekas kerja merentas berbilang persekitaran dengan penyepaduan bahagian belakang yang ketat, pelan pengurusan biasa dan model harga yang konsisten.

Cara menggunakan keupayaan pembekal awan

Gartner percayabahawa minat untuk menggunakan kontena pada awan awam IaaS semakin berkembang disebabkan oleh ketersediaan tawaran CaaS siap sedia, serta penyepaduan ketat tawaran ini dengan produk lain yang ditawarkan oleh penyedia awan.

Awan IaaS menawarkan penggunaan sumber atas permintaan, berskala pantas dan pengurusan perkhidmatan, yang akan membantu mengelakkan keperluan untuk pengetahuan yang mendalam tentang infrastruktur dan penyelenggaraannya. Kebanyakan penyedia awan menawarkan perkhidmatan pengurusan kontena, dan sesetengahnya menawarkan berbilang pilihan orkestrasi. 

Pembekal perkhidmatan terurus awan utama dibentangkan dalam jadual: 

Pembekal awan
Jenis perkhidmatan
Produk/perkhidmatan

Alibaba
Perkhidmatan Awan Asli
Perkhidmatan Kontena Awan Alibaba, Perkhidmatan Kontena Awan Alibaba untuk Kubernetes

Amazon Web Services (AWS)
Perkhidmatan Awan Asli
Perkhidmatan Kontena Elastik Amazon (ECS), Amazon ECS untuk Kubernetes (EKS), AWS Fargate

Gerombolan Gergasi
MSP
Giant Swarm Managed Kubernetes Infrastructure

Google
Perkhidmatan Awan Asli
Enjin Kontena Google (GKE)

IBM
Perkhidmatan Awan Asli
Perkhidmatan Kubernetes Awan IBM

microsoft
Perkhidmatan Awan Asli
Perkhidmatan Azure Kubernetes, Fabrik Perkhidmatan Azure

Oracle
Perkhidmatan Awan Asli
Enjin Kontena OCI untuk Kubernetes

Platform9
MSP
Kubernetes terurus

Red Hat
Perkhidmatan Dihoskan
OpenShift Dedicated & Dalam Talian

VMware
Perkhidmatan Dihoskan
Cloud PKS (Beta)

Penyelesaian Awan Mail.ru*
Perkhidmatan Awan Asli
Bekas Awan Mail.ru

* Kami tidak akan menyembunyikannya, kami menambah diri kami di sini semasa terjemahan :)

Pembekal awan awam juga menambah keupayaan baharu dan mengeluarkan produk di premis. Dalam masa terdekat, pembekal awan akan membangunkan sokongan untuk awan hibrid dan persekitaran berbilang awan. 

Cadangan Gartner:

1. Nilai secara objektif keupayaan organisasi anda untuk menggunakan dan mengurus alatan yang sesuai dan pertimbangkan perkhidmatan pengurusan kontena awan alternatif.
2. Pilih perisian dengan berhati-hati, gunakan sumber terbuka jika boleh.
3. Pilih pembekal dengan model pengendalian biasa dalam persekitaran hibrid yang menawarkan anak tetingkap tunggal pengurusan kaca bagi kluster bersekutu, serta pembekal yang memudahkan untuk mengehos sendiri IaaS.

Beberapa petua untuk memilih penyedia aaS Kubernetes daripada blog Replex:

1. Perlu mencari pengedaran yang menyokong ketersediaan tinggi di luar kotak. Ini termasuk sokongan untuk berbilang seni bina utama, komponen etcd yang sangat tersedia, dan sandaran dan pemulihan.
2. Untuk memastikan mobiliti dalam persekitaran Kubernetes anda, sebaiknya pilih penyedia awan yang menyokong pelbagai model penggunaan, daripada di premis kepada hibrid kepada berbilang awan. 
3. Tawaran pembekal juga harus dinilai berdasarkan kemudahan persediaan, pemasangan dan penciptaan kelompok, serta kemas kini, pemantauan dan penyelesaian masalah. Keperluan asas adalah untuk menyokong kemas kini kluster automatik sepenuhnya dengan masa henti sifar. Penyelesaian yang anda pilih juga harus membenarkan anda menjalankan kemas kini secara manual. 
4. Pengurusan identiti dan akses adalah penting dari sudut keselamatan dan tadbir urus. Pastikan pengedaran Kubernetes yang anda pilih menyokong penyepaduan dengan alat pengesahan dan kebenaran yang anda gunakan secara dalaman. RBAC dan kawalan akses berbutir halus juga merupakan set ciri penting.
5. Pengedaran yang anda pilih mesti sama ada mempunyai penyelesaian rangkaian yang ditakrifkan perisian asli yang merangkumi pelbagai keperluan aplikasi atau infrastruktur yang berbeza, atau menyokong salah satu pelaksanaan rangkaian berasaskan CNI yang popular, termasuk Flanel, Calico, kube-router atau OVN.

Pengenalan kontena ke dalam pengeluaran menjadi hala tuju utama, seperti yang dibuktikan oleh hasil tinjauan yang dijalankan pada Sesi Gartner mengenai infrastruktur, operasi dan strategi awan (IOCS) pada Disember 2018:

Seperti yang anda lihat, 27% daripada responden sudah menggunakan bekas dalam kerja mereka, dan 63% merancang untuk berbuat demikian.

В Tinjauan Portworx dan Aqua Security 24% daripada responden melaporkan melabur lebih daripada setengah juta dolar setahun untuk teknologi kontena, dan 17% daripada responden membelanjakan lebih daripada satu juta dolar setahun untuk mereka. 

Artikel disediakan oleh pasukan platform awan Penyelesaian Awan Mail.ru.

Apa lagi yang perlu dibaca mengenai topik tersebut:

1. Amalan Terbaik DevOps: Laporan DORA.
2. Kubernetes dalam semangat cetak rompak dengan templat untuk pelaksanaan.
3. 25 Alat Berguna untuk Penggunaan dan Penggunaan Kubernetes.

Sumber: www.habr.com