بي بدل مطلب ته ڪنٽينر ان جي زندگي دوران تبديل نه ڪيو ويندو: ڪابه تازه ڪاري، پيچ، ترتيب واري تبديليون. جيڪڏهن توهان کي پنهنجي ايپليڪيشن ڪوڊ کي اپڊيٽ ڪرڻ يا پيچ لاڳو ڪرڻ جي ضرورت آهي، هڪ نئين تصوير ٺاهيو ۽ ان کي ترتيب ڏيو. اها صلاح ڏني وئي آهي ته ڪنٽينر جي ترتيب (ٻڌڻ واري پورٽ، رن ٽائم ماحول جا اختيار، وغيره) کي ٻاهران منتقل ڪيو وڃي. راز и ConfigMaps. اهي نوان ڪنٽينر تصوير ٺاهڻ جي بغير اپڊيٽ ٿي سگهن ٿيون. آساني سان تصوير اسيمبلي سان پائپ لائنون ٺاهڻ لاء، توهان استعمال ڪري سگهو ٿا Cloud Build. (نوٽ. ترجمو: اسان انهن مقصدن لاءِ اوپن سورس ٽول استعمال ڪندا آهيون ڊيپ.)
ڪبرنيٽس ۾ ترتيب ڏيڻ جي ترتيب کي تازه ڪاري ڪرڻ جو هڪ مثال ConfigMap استعمال ڪندي پوڊس ۾ نصب ڪيل ترتيب جي طور تي
3. امتيازي ڪنٽينرز کان پاسو ڪريو
توهان پنهنجي سرور تي روٽ طور ايپليڪيشنون نه هلائيندا آهيو، صحيح؟ جيڪڏهن هڪ حملو ڪندڙ ايپليڪيشن ۾ اچي ٿو، هو روٽ رسائي حاصل ڪندو. ساڳيا ويچار لاڳو ٿين ٿا نه هلڻ تي مراعات يافته ڪنٽينرز. جيڪڏهن توهان کي ميزبان تي سيٽنگون تبديل ڪرڻ جي ضرورت آهي، توهان ڪنٽينر کي مخصوص ڏئي سگهو ٿا صلاحيتون اختيار استعمال ڪندي securityContext ڪبرنيٽس ۾. جيڪڏھن توھان کي تبديل ڪرڻ جي ضرورت آھي sysctls، ڪبرنيٽس وٽ آهي جدا جدا خلاصو هن لاء. عام طور تي، سڀ کان وڌيڪ ٺاهڻ جي ڪوشش ڪريو ان ۾- ۽ سائڊ ڪار ڪنٽينر ساڳيا مراعات يافته آپريشن ڪرڻ لاءِ. انهن کي اندروني يا بيروني ٽرئفڪ تائين پهچڻ جي ضرورت ناهي.
جيڪڏهن توهان هڪ ڪلستر کي منظم ڪريو ٿا، توهان استعمال ڪري سگهو ٿا پوڊ سيڪيورٽي پاليسي امتيازي ڪنٽينرز جي استعمال تي پابندين لاءِ.
4. روٽ وانگر هلڻ کان پاسو ڪريو
خصوصي ڪنٽينرز تي اڳ ۾ ئي بحث ڪيو ويو آهي، پر اهو اڃا به بهتر ٿيندو، ان کان علاوه، توهان ڪنٽينر اندر ايپليڪيشنن کي روٽ طور نه هلائيندا آهيو. جيڪڏهن ڪو حملو ڪندڙ روٽ رائٽس سان گڏ ايپليڪيشن ۾ ريموٽ ڪمزوري ڳولي ٿو جيڪو ڪوڊ جي عمل جي اجازت ڏئي ٿو، جنهن کان پوءِ هو اڃا تائين اڻڄاتل خطري ذريعي ڪنٽينر ڇڏڻ جي قابل آهي، هو ميزبان تي روٽ حاصل ڪندو.
هن کان بچڻ جو بهترين طريقو اهو آهي ته ڪنهن به شيءِ کي روٽ جي طور تي نه هلايو وڃي. هن کي ڪرڻ لاء، توهان هدايتون استعمال ڪري سگهو ٿا USER в Dockerfile يا runAsUser Kubernetes ۾. ڪلستر ايڊمنسٽريٽر پڻ استعمال ڪندي لاڳو ڪندڙ رويي کي ترتيب ڏئي سگھي ٿو پوڊ سيڪيورٽي پاليسي.
5. ايپليڪيشن کي مانيٽر ڪرڻ آسان بڻائي
لاگنگ وانگر، نگراني ايپليڪيشن مينيجمينٽ جو هڪ لازمي حصو آهي. Kubernetes ڪميونٽي ۾ هڪ مشهور نگراني حل آهي Prometheus - هڪ سسٽم جيڪو خودڪار طريقي سان پوڊ ۽ خدمتن کي ڳولي ٿو جيڪو نگراني جي ضرورت آهي. (نوٽ. ترجمو: پڻ ڏسو اسان جي تفصيلي رپورٽ پروميٿيوس ۽ ڪبرنيٽس استعمال ڪندي نگراني جي موضوع تي.)اسٽيڪ ڊرائيور Kubernetes ڪلستر جي نگراني ڪرڻ جي قابل آهي ۽ ايپليڪيشن مانيٽرنگ لاءِ پروميٿيوس جو پنهنجو ورزن شامل آهي.
Stackdriver تي Kubernetes ڊيش بورڊ
Prometheus اميد رکي ٿو ته ايپليڪيشن ميٽرڪس کي HTTP جي آخري پوائنٽ ڏانهن اڳتي وڌايو. ان لاءِ دستياب آهي Prometheus ڪلائنٽ لائبريريون. ساڳيو فارميٽ ٻين اوزارن جهڙوڪ استعمال ڪيو ويندو آهي OpenCensus и استيو.
6. ايپ جي صحت جي صورتحال کي دستياب ڪريو
پيداوار ۾ ايپليڪيشن مينيجمينٽ ان جي قابليت سان مدد ڪئي وئي آهي ته ان جي رياست کي پوري سسٽم تائين پهچائي. ڇا ايپليڪيشن هلي رهي آهي؟ ڇا اهو ٺيڪ آهي؟ ڇا توهان ٽرئفڪ حاصل ڪرڻ لاء تيار آهيو؟ هن جو ڪهڙو سلوڪ آهي؟ هن مسئلي کي حل ڪرڻ جو سڀ کان عام طريقو صحت جي چڪاس کي لاڳو ڪرڻ آهي (صحت جي چڪاس). Kubernetes جا ٻه قسم آهن: زندگي ۽ تياري جي جاچ.
حياتياتي تحقيق لاء (زندگي جي چڪاس) ايپليڪيشن کي هڪ HTTP آخر پوائنٽ هجڻ گهرجي جيڪو "200 ٺيڪ" جواب ڏئي ٿو جيڪڏهن اهو فنڪشنل آهي ۽ ان جي بنيادي انحصار مطمئن آهي. تياري جي جاچ لاءِ (خدمت جي تياري جي چڪاس) ايپليڪيشن کي هڪ ٻيو HTTP آخر پوائنٽ هجڻ گهرجي جيڪو "200 OK" جواب ڏئي ٿو جيڪڏهن ايپليڪيشن صحتمند حالت ۾ آهي، شروعاتي مرحلن کي مڪمل ڪيو ويو آهي ۽ ڪنهن به صحيح درخواست جي نتيجي ۾ غلطي نه ٿيندي. Kubernetes صرف ٽريفڪ کي ڪنٽينر ڏانهن رستو ڏيندو جيڪڏهن ايپليڪيشن انهن چيڪن جي مطابق تيار آهي. ٻن آخري پوائنٽن کي ملائي سگهجي ٿو جيڪڏهن زندهه ۽ تيارگي جي رياستن جي وچ ۾ ڪوبه فرق نه آهي.
اڪثر سرڪاري ۽ خانگي تصويرون استعمال ڪن ٿيون ٽيگنگ سسٽم سان ملندڙ جلندڙ هڪ ۾ بيان ڪيل ڪنٽينرز جي تعمير لاءِ بهترين طريقا. جيڪڏهن تصوير هڪ سسٽم جي ويجهو استعمال ڪري ٿي معنوي نسخو، اهو ضروري آهي ته اڪائونٽ ۾ ٽيگنگ جي خاصيتن کي. مثال طور، ٽيگ latest تصوير کان تصوير تائين بار بار منتقل ٿي سگھي ٿو - ان تي ڀروسو نه ٿو ڪري سگھجي جيڪڏھن توھان کي ضرورت آھي اڳڪٿي لائق ۽ ورجائيبل تعمير ۽ تنصيب.
توهان ٽيگ استعمال ڪري سگهو ٿا X.Y.Z (اهي لڳ ڀڳ هميشه تبديل ٿيل نه آهن)، پر هن صورت ۾، سڀني پيچ ۽ تازه ڪاري جي تصوير کي ٽريڪ رکو. جيڪڏھن تصوير جيڪا توھان استعمال ڪري رھيا آھيو ھڪڙو ٽيگ آھي X.Y, هي هڪ سٺو اختيار آهي سون جي معني لاء. ان کي چونڊڻ سان، توهان خودڪار طريقي سان پيچ وصول ڪندا آهيو ۽ ساڳئي وقت ايپليڪيشن جي مستحڪم ورزن تي ڀروسو ڪندا آهيو.