
Ekosistem kontena berkembang pesat dan berubah, jadi terdapat kekurangan amalan baik dalam bidang ini. Walau bagaimanapun, Kubernetes dan bekas semakin digunakanβkedua-duanya untuk memodenkan aplikasi warisan dan untuk membangunkan aplikasi asli awan moden.
Pasukan Kami telah mengumpulkan ramalan, nasihat dan amalan terbaik untuk peneraju pasaran daripada Gartner, 451 Research, StacxRoΡ
dan lain-lain. Ini akan membantu memastikan dan mempercepatkan penggunaan kontena dalam persekitaran pengeluaran.
Cara Mengetahui sama ada Syarikat Anda Bersedia untuk Menggunakan Kontena dalam Pengeluaran
Menjelang 2022, lebih daripada 75% organisasi akan menggunakan aplikasi kontena dalam pengeluaran. Ini jauh lebih tinggi daripada angka semasa iaitu kurang daripada 30% syarikat yang menggunakan aplikasi sedemikian.
Menurut Unjuran pasaran untuk aplikasi teknologi kontena pada 2022 ialah $4,3 bilion, lebih dua kali ganda jumlah yang diunjurkan pada 2019, mewakili kadar pertumbuhan pasaran sebanyak 30%.
Π 87% responden berkata mereka kini menggunakan teknologi kontena, berbanding 55% pada 2017.
Walaupun minat dan penggunaan kontena semakin meningkat, penggunaannya ke dalam pengeluaran memerlukan keluk pembelajaran kerana ketidakmatangan teknologi dan kekurangan pengetahuan. Organisasi mesti menilai secara realistik proses perniagaan yang memerlukan kontena aplikasi. Pemimpin IT harus menilai sama ada mereka mempunyai set kemahiran untuk bergerak ke hadapan, memandangkan keperluan untuk pembelajaran pantas.
percaya soalan dalam rajah di bawah akan membantu anda memahami sama ada anda bersedia untuk menggunakan bekas dalam pengeluaran:

Kesilapan yang paling biasa apabila menggunakan bekas dalam pengeluaran
Organisasi sering memandang rendah usaha yang diperlukan untuk mengendalikan kontena dalam pengeluaran. Berikut ialah beberapa kesilapan biasa yang dilakukan oleh pelanggan apabila menggunakan bekas dalam persekitaran pengeluaran:

Bagaimana untuk memastikan keselamatan kontena
Keselamatan tidak boleh difikirkan semula. Ia mesti dibina ke dalam proses DevOps, yang membawa kepada kemunculan istilah khas: DevSecOps. Organisasi perlu merancang sepanjang keseluruhan kitaran hayat pembangunan, yang merangkumi proses pembinaan dan pembangunan, penggunaan dan pelancaran aplikasi.
:
- Integrasikan pengimbasan kelemahan imej aplikasi ke dalam saluran paip penyepaduan berterusan/penyampaian berterusan (CI/CD) anda. Aplikasi diimbas semasa peringkat binaan dan jalankan. Tekankan keperluan untuk mengimbas dan mengenal pasti komponen sumber terbuka, perpustakaan dan rangka kerja. Pembangun yang menggunakan versi lama yang terdedah adalah salah satu punca utama kelemahan kontena.
- Tingkatkan konfigurasi anda dengan ujian daripada Pusat Keselamatan Internet (), yang tersedia untuk Docker dan Kubernetes.
- Pastikan anda menguatkuasakan kawalan akses, memastikan pengasingan tugas dan melaksanakan dasar pengurusan rahsia. Maklumat sensitif, seperti kunci Secure Sockets Layer (SSL) atau bukti kelayakan pangkalan data, disulitkan oleh orkestra atau perkhidmatan pengurusan pihak ketiga dan didedahkan pada masa jalan.
- Mengelakkan bekas dengan keistimewaan yang tinggi melalui pengurusan dasar keselamatan akan mengurangkan potensi risiko penggodaman.
- Gunakan alat keselamatan yang menyediakan penyenaraian putih, pemantauan tingkah laku dan pengesanan anomali untuk mencegah aktiviti berniat jahat.
:
- Manfaatkan keupayaan terbina dalam Kubernetes. Konfigurasikan akses pengguna menggunakan peranan. Pastikan anda tidak memberikan kebenaran yang tidak perlu kepada entiti individu, walaupun mungkin mengambil sedikit masa untuk mempertimbangkan kebenaran minimum yang diperlukan. Ia mungkin menggoda untuk memberikan keistimewaan yang luas kepada pentadbir kluster, kerana ini menjimatkan masa pada mulanya. Walau bagaimanapun, sebarang kompromi atau ralat akaun boleh membawa akibat yang buruk di kemudian hari.
- Elakkan menduplikasi kebenaran akses. Walaupun peranan berbeza boleh bertindih, ini boleh membawa kepada isu operasi dan mewujudkan "zon mati" apabila mengalih keluar kebenaran. Ia juga penting untuk mengalih keluar peranan yang tidak digunakan dan tidak aktif.
- Tetapkan dasar rangkaian: asingkan modul untuk menyekat akses kepada mereka; secara eksplisit membenarkan akses internet kepada modul yang memerlukannya menggunakan label; secara eksplisit membenarkan komunikasi antara modul tersebut yang perlu berkomunikasi antara satu sama lain.
Bagaimana untuk mengatur pemantauan kontena dan perkhidmatan di dalamnya
Keselamatan dan Pemantauan - apabila menggunakan kluster Kubernetes. Pembangun sentiasa lebih tertumpu pada ciri aplikasi yang mereka bangunkan dan bukannya pada aspek .
:
- Cuba pantau keadaan bekas atau perkhidmatan di dalamnya bersama-sama dengan pemantauan sistem hos.
- Pilih vendor dan alatan dengan penyepaduan mendalam ke dalam orkestrasi kontena, terutamanya Kubernetes.
- Pilih alatan yang menyediakan pengelogan terperinci, penemuan perkhidmatan automatik dan pengesyoran masa nyata menggunakan analitik dan/atau pembelajaran mesin.
:
- Gunakan alatan untuk menemui dan menjejaki metrik kontena secara automatik, mengaitkan metrik prestasi seperti CPU, memori dan masa aktif.
- Pastikan perancangan kapasiti optimum dengan meramalkan masa keletihan kapasiti berdasarkan metrik pemantauan kontena.
- Pantau aplikasi dalam kontena untuk ketersediaan dan prestasi, yang berguna untuk perancangan kapasiti dan penyelesaian masalah prestasi.
- Automatikkan aliran kerja dengan menyediakan sokongan pengurusan dan penskalaan untuk bekas dan persekitaran pengehosannya.
- Automatikkan kawalan akses untuk memantau pangkalan pengguna anda, melumpuhkan akaun lapuk dan akaun tetamu, dan mengalih keluar keistimewaan yang tidak perlu.
- Pastikan set alat anda boleh memantau bekas dan aplikasi ini merentas persekitaran yang berbeza (awan, di premis atau hibrid) untuk menggambarkan dan mengaitkan prestasi merentas infrastruktur, rangkaian, sistem dan aplikasi.
Cara menyimpan data dan memastikan keselamatannya
Apabila bilangan bekas berstatus bertambah, pelanggan perlu mempertimbangkan tempat data berada di luar hos dan cara melindungi data tersebut.
Menurut , keselamatan data menduduki tempat pertama dalam senarai kebimbangan keselamatan yang dipetik oleh majoriti responden (61%).
Penyulitan data ialah strategi keselamatan utama (64%), tetapi responden juga menggunakan pemantauan masa jalan
(49%), pengimbasan kerentanan dalam pendaftaran (49%), pengimbasan kerentanan dalam saluran paip CI/CD (49%) dan penyekatan anomali melalui perlindungan masa jalan (48%).
:
- Pilih penyelesaian penyimpanan data yang dibina berdasarkan prinsip Adalah lebih baik untuk memilih yang memenuhi keperluan penyimpanan data untuk perkhidmatan kontena, bebas perkakasan, dipacu API, mempunyai seni bina teragih dan menyokong kedua-dua penggunaan awan di premis dan awam.
- Elakkan pemalam dan antara muka proprietari. Pilih vendor yang berintegrasi dengan Kubernetes dan menyokong antara muka standard, seperti CSI (Antara Muka Penyimpanan Kontena).
Bagaimana untuk bekerja dengan rangkaian
Model rangkaian korporat tradisional, di mana pakar IT mencipta persekitaran rangkaian untuk pembangunan, ujian, jaminan kualiti dan pengeluaran untuk setiap projek, tidak sentiasa sejajar dengan aliran kerja pembangunan yang berterusan. Tambahan pula, rangkaian kontena merangkumi berbilang lapisan.
Π peraturan peringkat tinggi yang pelaksanaan penyelesaian rangkaian kluster mesti mematuhi:
- Pod yang dijadualkan pada nod yang sama mesti boleh berkomunikasi dengan pod lain tanpa menggunakan NAT (Terjemahan Alamat Rangkaian).
- Semua daemon sistem (proses latar belakang, seperti kubelet) yang berjalan pada nod tertentu boleh berkomunikasi dengan pod yang berjalan pada nod yang sama.
- Pod menggunakan sepatutnya dapat berkomunikasi dengan semua pod lain pada semua nod lain tanpa menggunakan NAT. Ambil perhatian bahawa rangkaian hos hanya disokong pada hos. Linux.
Penyelesaian rangkaian mesti disepadukan rapat dengan primitif dan dasar Kubernetes. Pengurus IT mesti berusaha untuk tahap automasi rangkaian yang tinggi, menyediakan pembangun dengan alat yang sesuai dan fleksibiliti yang mencukupi.
:
- Ketahui sama ada CaaS (bekas sebagai perkhidmatan) atau SDN (Rangkaian Ditakrifkan Perisian) anda menyokong rangkaian Kubernetes. Jika tidak, atau jika sokongan tidak mencukupi, gunakan Antara Muka Rangkaian Kontena (CNI) untuk bekas anda, yang menyokong fungsi dan dasar yang diperlukan.
- Pastikan CaaS atau PaaS anda (platform sebagai perkhidmatan) menyokong penciptaan pengawal kemasukan dan/atau pengimbang beban untuk mengagihkan trafik masuk antara nod kelompok. Jika ini tidak boleh dilakukan, pertimbangkan untuk menggunakan proksi pihak ketiga atau mekanisme jaringan perkhidmatan.
- Latih jurutera rangkaian anda tentang rangkaian Linux dan alatan automasi rangkaian untuk mengurangkan jurang kemahiran dan meningkatkan ketangkasan.
Cara mengurus kitaran hayat aplikasi
Untuk memastikan penghantaran aplikasi yang automatik dan lancar, orkestrasi kontena perlu dilengkapi dengan alat automasi lain, seperti produk infrastruktur-sebagai-kod (IaC). Ini termasuk Chef, Puppet, Ansible dan Terraform.
Juga diperlukan adalah alat untuk mengautomasikan pemasangan dan penggunaan aplikasi (lihat ""). Bekas juga menyediakan keupayaan kebolehlanjutan yang serupa dengan yang tersedia dengan penggunaan mesin maya (VM). Oleh itu, pengurus IT harus mempunyai .
:
- Wujudkan piawaian untuk imej bekas asas yang menangani saiz, pelesenan dan fleksibiliti untuk pembangun menambah komponen.
- Gunakan sistem pengurusan konfigurasi untuk mengurus kitaran hayat kontena, konfigurasi lapisan berdasarkan imej asas yang disimpan dalam repositori awam atau persendirian.
- Sepadukan platform CaaS anda dengan alatan automasi untuk mengautomasikan keseluruhan aliran kerja aplikasi anda.
Cara menguruskan kontena menggunakan orkestrator
Fungsi teras untuk penggunaan kontena disediakan pada lapisan orkestrasi dan penjadualan. Semasa penjadualan, bekas diletakkan pada hos yang paling optimum dalam kelompok, seperti yang ditentukan oleh keperluan lapisan orkestrasi.
Kubernetes telah menjadi standard de facto untuk orkestrasi kontena dengan komuniti yang aktif dan disokong oleh kebanyakan vendor komersial terkemuka.
:
- Kenal pasti keperluan garis dasar untuk kawalan keselamatan, pemantauan, pengurusan dasar, pengekalan data, rangkaian dan pengurusan kitaran hayat kontena.
- Berdasarkan keperluan ini, pilih alat yang paling sesuai dengan keperluan dan kes penggunaan anda.
- Gunakan penyelidikan Gartner (lihat "") untuk memahami kelebihan dan kekurangan model penggunaan Kubernetes yang berbeza dan memilih model yang paling sesuai dengan keperluan anda.
- Pilih penyedia yang boleh menyediakan orkestrasi hibrid untuk bekas pengeluaran merentas berbilang persekitaran dengan penyepaduan yang ketat dengan bahagian belakang, pelan pengurusan biasa dan model harga yang konsisten.
Bagaimana untuk memanfaatkan keupayaan penyedia awan
, bahawa minat untuk menggunakan kontena dalam IaaS awan awam semakin meningkat disebabkan oleh ketersediaan tawaran CaaS siap sedia, serta penyepaduan ketat tawaran ini dengan produk lain yang ditawarkan oleh penyedia awan.
Awan IaaS menawarkan penggunaan sumber atas permintaan, skalabiliti pantas dan , yang akan membantu menghapuskan keperluan untuk pengetahuan yang mendalam tentang infrastruktur dan penyelenggaraannya. Kebanyakan penyedia awan menawarkan perkhidmatan pengurusan kontena, dan sesetengahnya menawarkan berbilang pilihan orkestrasi.
Pembekal perkhidmatan terurus awan utama dibentangkan dalam jadual:
Pembekal awan
Jenis perkhidmatan
Produk/perkhidmatan
Alibaba
Perkhidmatan Awan Asli
Perkhidmatan Kontena Awan Alibaba, Perkhidmatan Kontena Awan Alibaba untuk Kubernetes
Amazon Web Services (AWS)
Perkhidmatan Awan Asli
Perkhidmatan Kontena Elastik Amazon (ECS), Amazon ECS untuk Kubernetes (EKS), AWS Fargate
Gerombolan Gergasi
MSP
Giant Swarm Managed Kubernetes Infrastructure
Google
Perkhidmatan Awan Asli
Enjin Kontena Google (GKE)
IBM
Perkhidmatan Awan Asli
Perkhidmatan Kubernetes Awan IBM
microsoft
Perkhidmatan Awan Asli
Perkhidmatan Azure Kubernetes, Fabrik Perkhidmatan Azure
Oracle
Perkhidmatan Awan Asli
Enjin Kontena OCI untuk Kubernetes
Pelantar9
MSP
Kubernetes terurus
Red Hat
Perkhidmatan Dihoskan
OpenShift Dedicated & Dalam Talian
VMware
Perkhidmatan Dihoskan
Cloud PKS (Beta)
Penyelesaian Awan Mail.ru*
Perkhidmatan Awan Asli
Bekas Awan Mail.ru
* Kami tidak akan menyembunyikannya, kami menambah diri kami di sini semasa terjemahan π
Pembekal awan awam juga menambah keupayaan baharu dan mengeluarkan produk di premis. Dalam masa terdekat, penyedia awan akan mengembangkan sokongan mereka untuk awan hibrid dan persekitaran berbilang awan.
:
- Nilai secara objektif keupayaan organisasi anda untuk menggunakan dan mengurus alatan yang berkaitan dan pertimbangkan perkhidmatan pengurusan kontena awan alternatif.
- Pilih perisian anda dengan berhati-hati, gunakan sumber terbuka jika boleh.
- Pilih pembekal dengan model pengendalian bersatu merentas persekitaran hibrid yang menawarkan pengurusan kluster bersekutu daripada satu anak tetingkap kaca, serta pembekal yang memudahkan IaaS layan diri.
:
- Perlu mencari pengedaran yang menyokong ketersediaan tinggi di luar kotak. Ini termasuk sokongan untuk beberapa seni bina utama, komponen etcd yang sangat tersedia, dan sandaran dan pemulihan.
- Untuk memastikan mobiliti persekitaran Kubernetes, sebaiknya pilih pembekal awan yang menyokong pelbagai model penggunaan: daripada di premis kepada hibrid dan berbilang awan.
- Tawaran pembekal juga harus dinilai berdasarkan kemudahan persediaan, pemasangan dan penciptaan kluster, serta kemas kini, pemantauan dan penyelesaian masalah. Keperluan asas ialah sokongan untuk kemas kini kelompok automatik sepenuhnya dengan masa henti sifar. Penyelesaian yang dipilih juga harus membenarkan kemas kini manual.
- Pengurusan identiti dan akses adalah penting dari perspektif keselamatan dan tadbir urus. Pastikan pengedaran Kubernetes yang anda pilih menyokong penyepaduan dengan alat pengesahan dan kebenaran syarikat anda. RBAC dan kawalan akses berbutir halus juga merupakan ciri penting.
- Pengedaran yang dipilih harus sama ada mempunyai penyelesaian rangkaian yang ditakrifkan perisian sendiri yang meliputi pelbagai keperluan yang dikenakan oleh aplikasi atau infrastruktur yang berbeza, atau menyokong salah satu pelaksanaan rangkaian berasaskan CNI yang popular, termasuk Flanel, Calico, kube-router atau OVN.
Pengenalan kontena ke dalam pengeluaran menjadi trend arus perdana, seperti yang dibuktikan oleh hasil tinjauan yang dijalankan pada Infrastruktur, Operasi dan Strategi Awan (IOCS) pada Disember 2018:

Seperti yang kita dapat lihat, 27% daripada responden sudah menggunakan bekas dalam kerja mereka, dan 63% merancang untuk berbuat demikian.
Π 24% daripada responden melaporkan melabur lebih daripada setengah juta dolar setahun untuk teknologi kontena, dan 17% daripada responden membelanjakan lebih daripada satu juta dolar setahun untuk mereka.
Artikel ini disediakan oleh pasukan platform awan. .
Apa lagi yang perlu dibaca mengenai topik tersebut:
- .
- .
- .
Sumber: www.habr.com
