ஹெல்ம் பாதுகாப்பு

Kubernetes க்கான மிகவும் பிரபலமான தொகுப்பு மேலாளரைப் பற்றிய கதையின் சாராம்சம் ஒரு ஈமோஜியைப் பயன்படுத்தி சித்தரிக்கப்படலாம்:

• பெட்டி ஹெல்ம் (இது சமீபத்திய ஈமோஜி வெளியீட்டிற்கு மிக நெருக்கமான விஷயம்);
• பூட்டு - பாதுகாப்பு;
• சிறிய மனிதன் பிரச்சினைக்கு தீர்வு.

உண்மையில், எல்லாம் இன்னும் கொஞ்சம் சிக்கலானதாக இருக்கும், மேலும் கதை தொழில்நுட்ப விவரங்கள் நிறைந்ததாக இருக்கும் ஹெல்மை எவ்வாறு பாதுகாப்பாக வைப்பது.

• சுருக்கமாக ஹெல்ம் என்றால் என்ன என்பது உங்களுக்குத் தெரியாமலோ அல்லது மறந்துவிட்டாலோ. இது என்ன சிக்கல்களை தீர்க்கிறது மற்றும் சுற்றுச்சூழல் அமைப்பில் அது எங்கே அமைந்துள்ளது.
• ஹெல்ம் கட்டிடக்கலையைப் பார்ப்போம். கூறுகளின் கட்டமைப்பைப் புரிந்து கொள்ளாமல் பாதுகாப்பு மற்றும் ஒரு கருவி அல்லது தீர்வை மிகவும் பாதுகாப்பானதாக்குவது பற்றிய எந்த உரையாடலும் முடிவடையாது.
• ஹெல்ம் கூறுகளைப் பற்றி விவாதிப்போம்.
• மிகவும் எரியும் கேள்வி எதிர்காலம் - ஹெல்ம் 3 இன் புதிய பதிப்பு. 

இந்த கட்டுரையில் உள்ள அனைத்தும் ஹெல்ம் 2 க்கு பொருந்தும். இந்த பதிப்பு தற்போது தயாரிப்பில் உள்ளது மற்றும் நீங்கள் தற்போது பயன்படுத்திக்கொண்டிருக்கும் பதிப்பாகும், மேலும் இது பாதுகாப்பு அபாயங்களைக் கொண்ட பதிப்பாகும்.

பேச்சாளர் பற்றி: அலெக்சாண்டர் கயோரோவ் (allexx) 10 ஆண்டுகளாக உருவாகி வருகிறது, உள்ளடக்கத்தை மேம்படுத்த உதவுகிறது மாஸ்கோ பைதான் கான்ஃப்++ மற்றும் குழுவில் சேர்ந்தார் ஹெல்ம் உச்சிமாநாடு. இப்போது அவர் செயின்ஸ்டாக்கில் டெவலப்மெண்ட் லீடாக பணிபுரிகிறார் - இது டெவலப்மென்ட் மேனேஜருக்கும் இறுதி வெளியீடுகளை வழங்குவதற்கு பொறுப்பான நபருக்கும் இடையிலான கலப்பினமாகும். அதாவது, இது போர்க்களத்தில் அமைந்துள்ளது, அங்கு ஒரு தயாரிப்பை உருவாக்குவது முதல் அதன் செயல்பாடு வரை அனைத்தும் நடக்கும்.

செயின்ஸ்டாக் என்பது ஒரு சிறிய, சுறுசுறுப்பாக வளர்ந்து வரும் ஸ்டார்ட்அப் ஆகும், இதன் நோக்கம், பரவலாக்கப்பட்ட பயன்பாடுகளை இயக்குவதன் உள்கட்டமைப்பு மற்றும் சிக்கலான தன்மைகளை வாடிக்கையாளர்களுக்கு மறக்கச் செய்வதாகும்; மேம்பாட்டுக் குழு சிங்கப்பூரில் அமைந்துள்ளது. கிரிப்டோகரன்சியை விற்க அல்லது வாங்க செயின்ஸ்டாக்கிடம் கேட்காதீர்கள், ஆனால் நிறுவன பிளாக்செயின் கட்டமைப்புகளைப் பற்றி பேசுங்கள், அவர்கள் உங்களுக்கு மகிழ்ச்சியுடன் பதிலளிப்பார்கள்.

தலைமையில்

இது குபெர்னெட்டஸின் தொகுப்பு (விளக்கப்படம்) மேலாளர். குபெர்னெட்ஸ் கிளஸ்டருக்கு பயன்பாடுகளைக் கொண்டுவருவதற்கான மிகவும் உள்ளுணர்வு மற்றும் உலகளாவிய வழி.

உங்கள் சொந்த YAML மேனிஃபெஸ்ட்களை உருவாக்குவதையும் சிறிய பயன்பாடுகளை எழுதுவதையும் விட நாங்கள் மிகவும் கட்டமைப்பு மற்றும் தொழில்துறை அணுகுமுறையைப் பற்றி பேசுகிறோம்.

ஹெல்ம் என்பது தற்போது கிடைக்கக்கூடிய மற்றும் பிரபலமானது.

ஏன் ஹெல்ம்? முதன்மையாக இது CNCF ஆல் ஆதரிக்கப்படுவதால். கிளவுட் நேட்டிவ் என்பது ஒரு பெரிய நிறுவனமாகும், மேலும் இது குபெர்னெட்டஸ், etcd, Fluentd மற்றும் பிற திட்டங்களுக்கான தாய் நிறுவனமாகும்.

மற்றொரு முக்கியமான உண்மை என்னவென்றால், ஹெல்ம் மிகவும் பிரபலமான திட்டம். ஜனவரி 2019 இல், ஹெல்மை எவ்வாறு பாதுகாப்பது என்பது பற்றி நான் பேசத் தொடங்கியபோது, ​​திட்டத்தில் GitHub இல் ஆயிரம் நட்சத்திரங்கள் இருந்தன. மே மாதத்திற்குள் அவர்களில் 12 ஆயிரம் பேர் இருந்தனர்.

பலர் ஹெல்மில் ஆர்வமாக உள்ளனர், எனவே நீங்கள் இன்னும் அதைப் பயன்படுத்தாவிட்டாலும், அதன் பாதுகாப்பைப் பற்றி அறிந்துகொள்வதன் மூலம் நீங்கள் பயனடைவீர்கள். பாதுகாப்பு முக்கியம்.

கோர் ஹெல்ம் குழுவானது மைக்ரோசாஃப்ட் அஸூரால் ஆதரிக்கப்படுகிறது, எனவே பலவற்றைப் போலல்லாமல் இது மிகவும் நிலையான திட்டமாகும். ஜூலை நடுப்பகுதியில் ஹெல்ம் 3 ஆல்பா 2 வெளியிடப்பட்டது, திட்டத்தில் நிறைய பேர் வேலை செய்கிறார்கள் என்பதைக் குறிக்கிறது, மேலும் ஹெல்மை உருவாக்கவும் மேம்படுத்தவும் அவர்களுக்கு விருப்பமும் ஆற்றலும் உள்ளது.

ஹெல்ம் குபெர்னெட்டஸில் பயன்பாட்டு நிர்வாகத்தின் பல அடிப்படை சிக்கல்களைத் தீர்க்கிறது.

• பயன்பாட்டு பேக்கேஜிங். வேர்ட்பிரஸ்ஸில் உள்ள "ஹலோ, வேர்ல்ட்" போன்ற பயன்பாடு கூட ஏற்கனவே பல சேவைகளைக் கொண்டுள்ளது, மேலும் அவற்றை ஒன்றாக தொகுக்க விரும்புகிறீர்கள்.
• இந்த பயன்பாடுகளை நிர்வகிப்பதில் வரும் சிக்கலை நிர்வகித்தல்.
• பயன்பாடு நிறுவப்பட்ட அல்லது பயன்படுத்தப்பட்ட பிறகு முடிவடையாத வாழ்க்கைச் சுழற்சி. இது தொடர்ந்து வாழ்கிறது, அது புதுப்பிக்கப்பட வேண்டும், மேலும் ஹெல்ம் இதற்கு உதவுகிறது மற்றும் இதற்கான சரியான நடவடிக்கைகளையும் கொள்கைகளையும் கொண்டு வர முயற்சிக்கிறது.

பேக்கிங் இது தெளிவான முறையில் ஒழுங்கமைக்கப்பட்டுள்ளது: Linux, Windows அல்லது MacOS க்கான வழக்கமான தொகுப்பு மேலாளரின் பணிக்கு இணங்க மெட்டாடேட்டா உள்ளது. அதாவது, ஒரு களஞ்சியம், பல்வேறு தொகுப்புகளின் சார்புகள், பயன்பாடுகளுக்கான மெட்டா தகவல், அமைப்புகள், கட்டமைப்பு அம்சங்கள், தகவல் அட்டவணைப்படுத்தல் போன்றவை. ஹெல்ம் பயன்பாடுகளுக்கு இதைப் பெறவும் பயன்படுத்தவும் உங்களை அனுமதிக்கிறது.

சிக்கலான மேலாண்மை. உங்களிடம் ஒரே மாதிரியான பல பயன்பாடுகள் இருந்தால், அளவுருவாக்கம் தேவை. வார்ப்புருக்கள் இதிலிருந்து வருகின்றன, ஆனால் உங்கள் சொந்த டெம்ப்ளேட்களை உருவாக்குவதைத் தவிர்க்க, ஹெல்ம் வழங்குவதைப் பயன்படுத்தலாம்.

பயன்பாட்டு வாழ்க்கை சுழற்சி மேலாண்மை - என் கருத்துப்படி, இது மிகவும் சுவாரஸ்யமான மற்றும் தீர்க்கப்படாத கேள்வி. இதனால்தான் நான் மீண்டும் தலைமைப் பதவிக்கு வந்தேன். பயன்பாட்டு வாழ்க்கைச் சுழற்சியை நாங்கள் கண்காணிக்க வேண்டும், மேலும் எங்கள் CI/CD மற்றும் பயன்பாட்டு சுழற்சிகளை இந்த முன்னுதாரணத்திற்கு நகர்த்த விரும்புகிறோம்.

ஹெல்ம் உங்களை அனுமதிக்கிறது:

• வரிசைப்படுத்தல்களை நிர்வகித்தல், கட்டமைப்பு மற்றும் திருத்தம் என்ற கருத்தை அறிமுகப்படுத்துகிறது;
• வெற்றிகரமாக திரும்பப் பெறுதல்;
• வெவ்வேறு நிகழ்வுகளுக்கு கொக்கிகளைப் பயன்படுத்துங்கள்;
• கூடுதல் பயன்பாட்டுச் சரிபார்ப்புகளைச் சேர்த்து அவற்றின் முடிவுகளுக்குப் பதிலளிக்கவும்.

கூடுதலாக ஹெல்மில் "பேட்டரிகள்" உள்ளன - உங்கள் வாழ்க்கையை எளிதாக்கும் செருகுநிரல்களின் வடிவத்தில் சேர்க்கக்கூடிய ஏராளமான சுவையான விஷயங்கள். செருகுநிரல்கள் சுயாதீனமாக எழுதப்படலாம், அவை மிகவும் தனிமைப்படுத்தப்பட்டவை மற்றும் இணக்கமான கட்டிடக்கலை தேவையில்லை. நீங்கள் ஏதாவது ஒன்றைச் செயல்படுத்த விரும்பினால், அதை ஒரு செருகுநிரலாகச் செய்ய பரிந்துரைக்கிறேன், பின்னர் அதை அப்ஸ்ட்ரீமில் சேர்க்கலாம்.

ஹெல்ம் மூன்று முக்கிய கருத்துக்களை அடிப்படையாகக் கொண்டது:

• விளக்கப்படம் ரெப்போ — உங்கள் மேனிஃபெஸ்ட்டிற்கு சாத்தியமான அளவுருக்களின் விளக்கம் மற்றும் வரிசை. 
• கட்டமைப்பு - அதாவது, பயன்படுத்தப்படும் மதிப்புகள் (உரை, எண் மதிப்புகள் போன்றவை).
• வெளியீட்டு இரண்டு மேல் கூறுகளை சேகரிக்கிறது, மேலும் அவை ஒன்றாக வெளியீட்டாக மாறும். வெளியீடுகள் பதிப்பு செய்யப்படலாம், இதன் மூலம் ஒரு ஒழுங்கமைக்கப்பட்ட வாழ்க்கைச் சுழற்சியை அடையலாம்: நிறுவலின் போது சிறியதாகவும், மேம்படுத்தல், தரமிறக்கம் அல்லது திரும்பப்பெறும் போது பெரியதாகவும் இருக்கும்.

ஹெல்ம் கட்டிடக்கலை

ஹெல்மின் உயர்மட்ட கட்டிடக்கலையை இந்த வரைபடம் கருத்தியல் ரீதியாக சித்தரிக்கிறது.

ஹெல்ம் குபெர்னெட்டஸுடன் தொடர்புடைய ஒன்று என்பதை நான் உங்களுக்கு நினைவூட்டுகிறேன். எனவே, குபெர்னெட்ஸ் கிளஸ்டர் (செவ்வக) இல்லாமல் நாம் செய்ய முடியாது. குபே-அபிசர்வர் கூறு மாஸ்டரில் உள்ளது. ஹெல்ம் இல்லாமல் எங்களிடம் Kubeconfig உள்ளது. ஹெல்ம் ஒரு சிறிய பைனரியைக் கொண்டுவருகிறது, நீங்கள் அதை அழைக்க முடிந்தால், ஹெல்ம் சிஎல்ஐ பயன்பாடு, இது கணினி, மடிக்கணினி, மெயின்பிரேம் - எதிலும் நிறுவப்பட்டுள்ளது.

ஆனால் இது போதாது. ஹெல்மில் டில்லர் எனப்படும் சர்வர் கூறு உள்ளது. இது கிளஸ்டருக்குள் ஹெல்மின் நலன்களைப் பிரதிபலிக்கிறது; இது மற்றதைப் போலவே குபெர்னெட்டஸ் கிளஸ்டருக்குள்ளும் ஒரு பயன்பாடாகும்.

சார்ட் ரெப்போவின் அடுத்த கூறு, விளக்கப்படங்களுடன் கூடிய களஞ்சியமாகும். ஒரு அதிகாரப்பூர்வ களஞ்சியம் உள்ளது, மேலும் ஒரு நிறுவனம் அல்லது திட்டத்தின் தனிப்பட்ட களஞ்சியமாக இருக்கலாம்.

தொடர்பு

ஹெல்மைப் பயன்படுத்தி ஒரு பயன்பாட்டை நிறுவ விரும்பும் போது கட்டிடக்கலை கூறுகள் எவ்வாறு தொடர்பு கொள்கின்றன என்பதைப் பார்ப்போம்.

• நாங்கள் பேசுகிறோம் Helm install, களஞ்சியத்தை (சார்ட் ரெப்போ) அணுகி ஹெல்ம் விளக்கப்படத்தைப் பெறவும்.

• ஹெல்ம் பயன்பாடு (Helm CLI) எந்த கிளஸ்டரைத் தொடர்பு கொள்ள வேண்டும் என்பதைக் கண்டறிய Kubeconfig உடன் தொடர்பு கொள்கிறது. 
• இந்தத் தகவலைப் பெற்ற பிறகு, பயன்பாடு எங்கள் கிளஸ்டரில் அமைந்துள்ள டில்லரை ஒரு பயன்பாடாகக் குறிக்கிறது. 
• குபெர்னெட்டஸில் செயல்களைச் செய்ய, சில பொருட்களை (சேவைகள், காய்கள், பிரதிகள், ரகசியங்கள் போன்றவை) உருவாக்க டில்லர் Kube-apiserver ஐ அழைக்கிறார்.

அடுத்து, முழு ஹெல்ம் கட்டிடக்கலையையும் வெளிப்படுத்தக்கூடிய தாக்குதல் திசையன் பார்க்க வரைபடத்தை சிக்கலாக்குவோம். பின்னர் நாங்கள் அவளைப் பாதுகாக்க முயற்சிப்போம்.

தாக்குதல் திசையன்

முதல் சாத்தியமான பலவீனமான புள்ளி சலுகை பெற்ற API-பயனர். திட்டத்தின் ஒரு பகுதியாக, இது ஹெல்ம் சிஎல்ஐக்கு நிர்வாக அணுகலைப் பெற்ற ஹேக்கர்.

சலுகை இல்லாத API பயனர் அருகில் எங்காவது இருந்தால் ஆபத்தையும் ஏற்படுத்தலாம். அத்தகைய பயனர் வேறுபட்ட சூழலைக் கொண்டிருப்பார், எடுத்துக்காட்டாக, அவரை Kubeconfig அமைப்புகளில் ஒரு கிளஸ்டர் பெயர்வெளியில் சரிசெய்ய முடியும்.

மிகவும் சுவாரசியமான தாக்குதல் திசையன், டில்லர் அருகே எங்காவது ஒரு கிளஸ்டருக்குள் இருக்கும் ஒரு செயல்முறையாக இருக்கலாம் மற்றும் அதை அணுகலாம். இது கிளஸ்டரின் நெட்வொர்க் சூழலைக் காணும் வலை சேவையகம் அல்லது மைக்ரோ சர்வீஸாக இருக்கலாம்.

ஒரு கவர்ச்சியான, ஆனால் பெருகிய முறையில் பிரபலமான தாக்குதல் மாறுபாடு சார்ட் ரெப்போவை உள்ளடக்கியது. நேர்மையற்ற ஆசிரியரால் உருவாக்கப்பட்ட ஒரு விளக்கப்படம் பாதுகாப்பற்ற ஆதாரங்களைக் கொண்டிருக்கலாம், மேலும் நீங்கள் அதை நம்பிக்கையுடன் எடுத்து முடிப்பீர்கள். அல்லது அதிகாரப்பூர்வ களஞ்சியத்திலிருந்து நீங்கள் பதிவிறக்கும் விளக்கப்படத்தை மாற்றலாம், எடுத்துக்காட்டாக, கொள்கைகளின் வடிவத்தில் ஒரு ஆதாரத்தை உருவாக்கி அதன் அணுகலை அதிகரிக்கலாம்.

இந்த நான்கு பக்கங்களிலிருந்தும் தாக்குதல்களைத் தடுக்க முயற்சிப்போம் மற்றும் ஹெல்ம் கட்டிடக்கலையில் எங்கு சிக்கல்கள் உள்ளன, எங்கே, ஒருவேளை, எதுவும் இல்லை என்பதைக் கண்டுபிடிப்போம்.

வரைபடத்தை பெரிதாக்குவோம், கூடுதல் கூறுகளைச் சேர்ப்போம், ஆனால் அனைத்து அடிப்படை கூறுகளையும் வைத்திருங்கள்.

ஹெல்ம் CLI சார்ட் ரெப்போவுடன் தொடர்பு கொள்கிறது, Kubeconfig உடன் தொடர்பு கொள்கிறது, மேலும் வேலை கிளஸ்டருக்கு டில்லர் கூறுக்கு மாற்றப்படுகிறது.

டில்லர் இரண்டு பொருள்களால் குறிக்கப்படுகிறது:

• டில்லர்-டெப்லோய் svc, இது ஒரு குறிப்பிட்ட சேவையை வெளிப்படுத்துகிறது;
• டில்லர்-டிப்லோய் பாட் (வரைபடத்தில் ஒரு பிரதியில் ஒரு பிரதியில்), இதில் முழு சுமையும் இயங்குகிறது, இது கிளஸ்டரை அணுகுகிறது.

வெவ்வேறு நெறிமுறைகள் மற்றும் திட்டங்கள் தொடர்புக்கு பயன்படுத்தப்படுகின்றன. பாதுகாப்புக் கண்ணோட்டத்தில், நாங்கள் மிகவும் ஆர்வமாக உள்ளோம்:

• ஹெல்ம் சிஎல்ஐ சார்ட் ரெப்போவை அணுகும் வழிமுறை: என்ன நெறிமுறை, அங்கீகரிப்பு உள்ளது மற்றும் அதை என்ன செய்ய முடியும்.
• ஹெல்ம் CLI, kubectl ஐப் பயன்படுத்தி, டில்லருடன் தொடர்பு கொள்ளும் நெறிமுறை. இது கிளஸ்டருக்குள் நிறுவப்பட்ட RPC சேவையகம்.
• கிளஸ்டரில் வசிக்கும் மற்றும் குபே-அபிசர்வருடன் தொடர்பு கொள்ளும் மைக்ரோ சர்வீஸ்களுக்கு டில்லரையே அணுக முடியும்.

இந்த எல்லா பகுதிகளையும் வரிசையாக விவாதிப்போம்.

RBAC

RBAC இயக்கப்படும் வரையில் ஹெல்ம் அல்லது க்ளஸ்டரில் உள்ள வேறு ஏதேனும் சேவைக்கான பாதுகாப்பு பற்றி பேசுவதில் அர்த்தமில்லை.

இது சமீபத்திய பரிந்துரை அல்ல என்று தோன்றுகிறது, ஆனால் தயாரிப்பில் கூட பலர் RBAC ஐ இன்னும் இயக்கவில்லை என்று நான் உறுதியாக நம்புகிறேன், ஏனெனில் இது நிறைய வம்புகள் மற்றும் நிறைய விஷயங்களை உள்ளமைக்க வேண்டும். இருப்பினும், இதைச் செய்ய நான் உங்களை ஊக்குவிக்கிறேன்.

https://rbac.dev/ - RBAC க்கான வலைத்தள வழக்கறிஞர். RBAC ஐ அமைக்கவும், அது ஏன் நல்லது மற்றும் உற்பத்தியில் அதனுடன் எவ்வாறு வாழ வேண்டும் என்பதைக் காட்டவும் உதவும் ஒரு பெரிய அளவிலான சுவாரஸ்யமான பொருட்கள் இதில் உள்ளன.

டில்லர் மற்றும் RBAC எப்படி வேலை செய்கின்றன என்பதை விளக்க முயற்சிக்கிறேன். டில்லர் ஒரு குறிப்பிட்ட சேவைக் கணக்கின் கீழ் கிளஸ்டருக்குள் வேலை செய்கிறது. பொதுவாக, RBAC கட்டமைக்கப்படவில்லை என்றால், இது சூப்பர் யூசராக இருக்கும். அடிப்படை கட்டமைப்பில், டில்லர் ஒரு நிர்வாகியாக இருப்பார். இதனால்தான் டில்லர் உங்கள் கிளஸ்டருக்கான ஒரு SSH சுரங்கப்பாதை என்று அடிக்கடி கூறப்படுகிறது. உண்மையில், இது உண்மைதான், எனவே மேலே உள்ள வரைபடத்தில் உள்ள இயல்புநிலை சேவைக் கணக்கிற்குப் பதிலாக நீங்கள் தனி அர்ப்பணிக்கப்பட்ட சேவைக் கணக்கைப் பயன்படுத்தலாம்.

நீங்கள் ஹெல்மை துவக்கி, முதல் முறையாக சர்வரில் நிறுவும் போது, ​​சேவை கணக்கைப் பயன்படுத்தி அமைக்கலாம் --service-account. தேவையான குறைந்தபட்ச உரிமைகளுடன் ஒரு பயனரைப் பயன்படுத்த இது உங்களை அனுமதிக்கும். உண்மை, நீங்கள் அத்தகைய "மாலையை" உருவாக்க வேண்டும்: பங்கு மற்றும் பங்கு பிணைப்பு.

துரதிர்ஷ்டவசமாக, ஹெல்ம் உங்களுக்காக இதைச் செய்ய மாட்டார். நீங்கள் அல்லது உங்கள் குபெர்னெட்டஸ் கிளஸ்டர் நிர்வாகி ஹெல்மில் தேர்ச்சி பெற, சேவைக் கணக்கிற்கான பாத்திரங்கள் மற்றும் பங்குகளின் தொகுப்பை முன்கூட்டியே தயார் செய்ய வேண்டும்.

கேள்வி எழுகிறது - ரோலுக்கும் கிளஸ்டர் ரோலுக்கும் என்ன வித்தியாசம்? வித்தியாசம் என்னவென்றால், வழக்கமான ரோல்ஸ் மற்றும் ரோல்பைண்டிங்ஸைப் போலல்லாமல், கிளஸ்டர்ரோல் அனைத்து பெயர்வெளிகளுக்கும் வேலை செய்கிறது, இது ஒரு சிறப்பு பெயர்வெளிக்கு மட்டுமே வேலை செய்கிறது. நீங்கள் முழு கிளஸ்டர் மற்றும் அனைத்து பெயர்வெளிகளுக்கான கொள்கைகளை உள்ளமைக்கலாம் அல்லது ஒவ்வொரு பெயர்வெளிக்கும் தனிப்பயனாக்கலாம்.

RBAC மற்றொரு பெரிய சிக்கலை தீர்க்கிறது என்பது குறிப்பிடத்தக்கது. ஹெல்ம், துரதிர்ஷ்டவசமாக, மல்டிடெனன்சி அல்ல (பன்முகத்தன்மையை ஆதரிக்கவில்லை) என்று பலர் புகார் கூறுகின்றனர். பல குழுக்கள் ஒரு கிளஸ்டரை உட்கொண்டு ஹெல்மைப் பயன்படுத்தினால், இந்தக் கிளஸ்டருக்குள் கொள்கைகளை அமைப்பதும் அவற்றின் அணுகலைக் கட்டுப்படுத்துவதும் அடிப்படையில் சாத்தியமற்றது, ஏனெனில் ஹெல்ம் இயங்கும் ஒரு குறிப்பிட்ட சேவைக் கணக்கு உள்ளது, மேலும் அது கிளஸ்டரில் உள்ள அனைத்து ஆதாரங்களையும் அதன் கீழ் இருந்து உருவாக்குகிறது. , சில நேரங்களில் மிகவும் சிரமமாக இருக்கும். இது உண்மைதான் - பைனரி கோப்பு போலவே, செயல்முறை போன்றது, ஹெல்ம் டில்லர் பன்முகத்தன்மை பற்றிய கருத்து இல்லை.

இருப்பினும், ஒரு கிளஸ்டரில் டில்லரை பல முறை இயக்க அனுமதிக்கும் ஒரு சிறந்த வழி உள்ளது. இதில் எந்த பிரச்சனையும் இல்லை, ஒவ்வொரு பெயர்வெளியிலும் டில்லர் தொடங்கலாம். எனவே, நீங்கள் RBAC, Kubeconfig ஐ ஒரு சூழலாகப் பயன்படுத்தலாம் மற்றும் சிறப்பு ஹெல்முக்கான அணுகலைக் கட்டுப்படுத்தலாம்.

இது இப்படி இருக்கும்.

எடுத்துக்காட்டாக, வெவ்வேறு குழுக்களுக்கான சூழலுடன் இரண்டு Kubeconfigs உள்ளன (இரண்டு பெயர்வெளிகள்): X Team for Development team மற்றும் admin cluster. அட்மின் கிளஸ்டருக்கு அதன் சொந்த பரந்த டில்லர் உள்ளது, இது குபே-சிஸ்டம் நேம்ஸ்பேஸில் அமைந்துள்ளது, அதற்கேற்ற மேம்பட்ட சேவை-கணக்கு. மேலும் மேம்பாட்டுக் குழுவிற்கான தனி பெயர்வெளி, அவர்கள் தங்கள் சேவைகளை ஒரு சிறப்பு பெயர்வெளியில் பயன்படுத்த முடியும்.

இது ஒரு வேலை செய்யக்கூடிய அணுகுமுறையாகும், டில்லர் ஆற்றல் பசியுடன் இல்லை, அது உங்கள் பட்ஜெட்டை பெரிதும் பாதிக்கும். இது விரைவான தீர்வுகளில் ஒன்றாகும்.

டில்லரை தனித்தனியாக உள்ளமைக்கவும், குழுவிற்கு, குறிப்பிட்ட டெவலப்பருக்காக அல்லது சுற்றுச்சூழலுக்கான சூழலை Kubeconfig ஐ வழங்கவும்: Dev, Staging, Production (எல்லாமே ஒரே கிளஸ்டரில் இருக்கும் என்பது சந்தேகமே, இருப்பினும் இதைச் செய்ய முடியும்).

எங்கள் கதையைத் தொடர்கிறோம், RBAC இலிருந்து மாறலாம் மற்றும் ConfigMaps பற்றி பேசலாம்.

கட்டமைப்பு வரைபடங்கள்

ஹெல்ம் அதன் தரவு சேமிப்பகமாக ConfigMaps ஐப் பயன்படுத்துகிறது. நாங்கள் கட்டிடக்கலை பற்றி பேசுகையில், வெளியீடுகள், கட்டமைப்புகள், ரோல்பேக்குகள் போன்றவற்றைப் பற்றிய தகவல்களைச் சேமிக்கும் தரவுத்தளங்கள் எங்கும் இல்லை. இதற்கு ConfigMaps பயன்படுத்தப்படுகிறது.

ConfigMaps இன் முக்கிய பிரச்சனை அறியப்படுகிறது - அவை கொள்கையளவில் பாதுகாப்பற்றவை; முக்கிய தரவுகளை சேமிப்பது சாத்தியமில்லை. சேவைக்கு அப்பால் செல்லாத அனைத்தையும் பற்றி நாங்கள் பேசுகிறோம், எடுத்துக்காட்டாக, கடவுச்சொற்கள். இப்போது ஹெல்முக்கு மிகவும் இயல்பான வழி, ConfigMaps ஐப் பயன்படுத்துவதிலிருந்து ரகசியங்களுக்கு மாறுவதாகும்.

இது மிகவும் எளிமையாக செய்யப்படுகிறது. டில்லர் அமைப்பை மீறி, சேமிப்பகம் ரகசியமாக இருக்கும் என்பதைக் குறிப்பிடவும். ஒவ்வொரு வரிசைப்படுத்தலுக்கும் நீங்கள் ஒரு ConfigMap அல்ல, ஆனால் ஒரு ரகசியத்தைப் பெறுவீர்கள்.

இரகசியங்கள் ஒரு விசித்திரமான கருத்து மற்றும் மிகவும் பாதுகாப்பானவை அல்ல என்று நீங்கள் வாதிடலாம். இருப்பினும், குபெர்னெட்ஸ் டெவலப்பர்களே இதைச் செய்கிறார்கள் என்பதைப் புரிந்துகொள்வது மதிப்பு. பதிப்பு 1.10 இலிருந்து தொடங்குகிறது, அதாவது. சில காலமாக, குறைந்தபட்சம் பொது மேகங்களில், ரகசியங்களைச் சேமிக்க சரியான சேமிப்பகத்தை இணைக்க முடியும். ரகசியங்கள், தனிப்பட்ட காய்கள் அல்லது பிற நிறுவனங்களுக்கான அணுகலை சிறப்பாக விநியோகிப்பதற்கான வழிகளில் குழு இப்போது செயல்படுகிறது.

சேமிப்பக ஹெல்மை ரகசியங்களுக்கு மாற்றுவது நல்லது, மேலும் அவை மையமாக பாதுகாக்கப்படுகின்றன.

நிச்சயமாக அது இருக்கும் தரவு சேமிப்பு வரம்பு 1 MB. ஹெல்ம் இங்கே போன்றவற்றை ConfigMaps க்காக விநியோகிக்கப்பட்ட சேமிப்பகமாகப் பயன்படுத்துகிறது. மேலும் இது நகலெடுப்பதற்கு ஏற்ற தரவு துண்டாக இருப்பதாக அவர்கள் கருதினர். ரெடிட்டில் இதைப் பற்றி ஒரு சுவாரஸ்யமான விவாதம் உள்ளது, வார இறுதியில் இந்த வேடிக்கையான வாசிப்பைக் கண்டுபிடிக்க அல்லது சாற்றைப் படிக்க பரிந்துரைக்கிறேன் இங்கே.

விளக்கப்படக் களஞ்சியங்கள்

விளக்கப்படங்கள் சமூக ரீதியாக மிகவும் பாதிக்கப்படக்கூடியவை மற்றும் "நடுவில் நாயகன்" ஆதாரமாக மாறும், குறிப்பாக நீங்கள் ஒரு பங்கு தீர்வைப் பயன்படுத்தினால். முதலில், நாங்கள் HTTP வழியாக வெளிப்படும் களஞ்சியங்களைப் பற்றி பேசுகிறோம்.

நீங்கள் கண்டிப்பாக ஹெல்ம் ரெப்போவை HTTPS மூலம் வெளிப்படுத்த வேண்டும் - இது சிறந்த வழி மற்றும் மலிவானது.

கவனம் செலுத்துங்கள் விளக்கப்பட கையொப்ப பொறிமுறை. தொழில்நுட்பம் நரகத்தைப் போல எளிமையானது. பொது மற்றும் தனிப்பட்ட விசைகள் கொண்ட வழக்கமான PGP இயந்திரமான GitHub இல் நீங்கள் பயன்படுத்தும் அதே விஷயம் இதுதான். அமைக்கவும், தேவையான விசைகள் மற்றும் எல்லாவற்றையும் கையொப்பமிடவும், இது உண்மையில் உங்கள் விளக்கப்படம் என்பதை உறுதிப்படுத்தவும்.

மேலும், ஹெல்ம் கிளையன்ட் TLS ஐ ஆதரிக்கிறது (சர்வர் பக்க HTTP அர்த்தத்தில் அல்ல, ஆனால் பரஸ்பர TLS). நீங்கள் தொடர்பு கொள்ள சர்வர் மற்றும் கிளையன்ட் விசைகளைப் பயன்படுத்தலாம். உண்மையைச் சொல்வதானால், பரஸ்பர சான்றிதழ்களை நான் விரும்பாததால், அத்தகைய பொறிமுறையை நான் பயன்படுத்தவில்லை. அடிப்படையில், சார்ட்மியூசியம் - ஹெல்ம் 2 க்கான ஹெல்ம் ரெப்போவை அமைப்பதற்கான முக்கிய கருவி - அடிப்படை அங்கீகாரத்தையும் ஆதரிக்கிறது. இது மிகவும் வசதியாகவும் அமைதியாகவும் இருந்தால் அடிப்படை அங்கீகாரத்தைப் பயன்படுத்தலாம்.

ஒரு செருகுநிரலும் உள்ளது ஹெல்ம்-ஜிசிஎஸ், இது Google கிளவுட் ஸ்டோரேஜில் சார்ட் ரெப்போக்களை ஹோஸ்ட் செய்ய உங்களை அனுமதிக்கிறது. இது மிகவும் வசதியானது, சிறப்பாக செயல்படுகிறது மற்றும் மிகவும் பாதுகாப்பானது, ஏனெனில் விவரிக்கப்பட்ட அனைத்து வழிமுறைகளும் மறுசுழற்சி செய்யப்படுகின்றன.

நீங்கள் HTTPS அல்லது TLSஐ இயக்கினால், mTLSஐப் பயன்படுத்தினால், மேலும் அபாயங்களைக் குறைக்க அடிப்படை அங்கீகாரத்தை இயக்கினால், ஹெல்ம் CLI மற்றும் சார்ட் ரெப்போவுடன் பாதுகாப்பான தகவல் தொடர்பு சேனலைப் பெறுவீர்கள்.

gRPC API

அடுத்த படி மிகவும் முக்கியமானது - கிளஸ்டரில் அமைந்துள்ள மற்றும் ஒருபுறம், ஒரு சேவையகமாக இருக்கும் டில்லரைப் பாதுகாப்பது, மறுபுறம், அதுவே மற்ற கூறுகளை அணுகுகிறது மற்றும் யாரோ போல் நடிக்க முயற்சிக்கிறது.

நான் ஏற்கனவே கூறியது போல், டில்லர் என்பது ஜிஆர்பிசியை வெளிப்படுத்தும் ஒரு சேவையாகும், ஹெல்ம் கிளையன்ட் ஜிஆர்பிசி வழியாக அதற்கு வருகிறது. இயல்பாக, நிச்சயமாக, TLS முடக்கப்பட்டுள்ளது. இது ஏன் செய்யப்பட்டது என்பது ஒரு விவாதத்திற்குரிய கேள்வி, தொடக்கத்தில் அமைப்பை எளிமைப்படுத்த எனக்கு தோன்றுகிறது.

உற்பத்தி மற்றும் ஸ்டேஜிங்கிற்கு, gRPC இல் TLS ஐ இயக்க பரிந்துரைக்கிறேன்.

என் கருத்துப்படி, விளக்கப்படங்களுக்கான mTLS போலல்லாமல், இது இங்கே பொருத்தமானது மற்றும் மிகவும் எளிமையாக செய்யப்படுகிறது - ஒரு PQI உள்கட்டமைப்பை உருவாக்கவும், ஒரு சான்றிதழை உருவாக்கவும், டில்லரைத் தொடங்கவும், துவக்கத்தின் போது சான்றிதழை மாற்றவும். இதற்குப் பிறகு, நீங்கள் உருவாக்கிய சான்றிதழ் மற்றும் தனிப்பட்ட விசையுடன் உங்களை முன்வைத்து, அனைத்து ஹெல்ம் கட்டளைகளையும் இயக்கலாம்.

இந்த வழியில், கிளஸ்டருக்கு வெளியே இருந்து டில்லருக்கு வரும் அனைத்து கோரிக்கைகளிலிருந்தும் உங்களைப் பாதுகாத்துக் கொள்வீர்கள்.

எனவே, டில்லருக்கான இணைப்புச் சேனலைப் பாதுகாத்துள்ளோம், நாங்கள் ஏற்கனவே RBAC பற்றி விவாதித்து, குபெர்னெட்ஸ் அபிசர்வரின் உரிமைகளைச் சரிசெய்து, அது தொடர்புகொள்ளக்கூடிய டொமைனைக் குறைத்துள்ளோம்.

பாதுகாக்கப்பட்ட ஹெல்ம்

இறுதி வரைபடத்தைப் பார்ப்போம். அதே அம்புகளுடன் அதே கட்டிடக்கலை தான்.

இப்போது அனைத்து இணைப்புகளையும் பச்சை நிறத்தில் பாதுகாப்பாக வரையலாம்:

• சார்ட் ரெப்போவிற்கு நாங்கள் TLS அல்லது mTLS மற்றும் அடிப்படை அங்கீகாரத்தைப் பயன்படுத்துகிறோம்;
• டில்லருக்கான mTLS, மற்றும் இது TLS உடன் gRPC சேவையாக வெளிப்படும், நாங்கள் சான்றிதழ்களைப் பயன்படுத்துகிறோம்;
• பங்கு மற்றும் பங்கு பிணைப்புடன் கூடிய சிறப்பு சேவை கணக்கை கிளஸ்டர் பயன்படுத்துகிறது. 

நாங்கள் கிளஸ்டரை கணிசமாகப் பாதுகாத்துள்ளோம், ஆனால் புத்திசாலி ஒருவர் கூறினார்:

"முற்றிலும் பாதுகாப்பான ஒரே ஒரு தீர்வு மட்டுமே இருக்க முடியும் - ஒரு ஸ்விட்ச் ஆஃப் கணினி, இது ஒரு கான்கிரீட் பெட்டியில் அமைந்துள்ளது மற்றும் படையினரால் பாதுகாக்கப்படுகிறது."

தரவைக் கையாளவும் புதிய தாக்குதல் திசையன்களைக் கண்டறியவும் வெவ்வேறு வழிகள் உள்ளன. இருப்பினும், இந்தப் பரிந்துரைகள் பாதுகாப்புக்கான அடிப்படைத் தொழில் தரத்தை அடையும் என்று நான் நம்புகிறேன்.

போனஸ்

இந்த பகுதி நேரடியாக பாதுகாப்புடன் தொடர்புடையது அல்ல, ஆனால் பயனுள்ளதாக இருக்கும். சிலருக்குத் தெரிந்த சில சுவாரஸ்யமான விஷயங்களை நான் உங்களுக்குக் காண்பிக்கிறேன். எடுத்துக்காட்டாக, விளக்கப்படங்களை எவ்வாறு தேடுவது - அதிகாரப்பூர்வ மற்றும் அதிகாரப்பூர்வமற்றது.

களஞ்சியத்தில் github.com/helm/charts இப்போது சுமார் 300 விளக்கப்படங்கள் மற்றும் இரண்டு ஸ்ட்ரீம்கள் உள்ளன: நிலையான மற்றும் இன்குபேட்டர். இன்குபேட்டரில் இருந்து நிலையான நிலைக்கு செல்வது எவ்வளவு கடினம் என்பதையும், நிலையிலிருந்து வெளியே பறப்பது எவ்வளவு எளிது என்பதையும் பங்களிக்கும் எவருக்கும் நன்றாகத் தெரியும். இருப்பினும், ஒரு எளிய காரணத்திற்காக, ப்ரோமிதியஸிற்கான விளக்கப்படங்களைத் தேட இது சிறந்த கருவி அல்ல, மேலும் நீங்கள் விரும்பும் வேறு எதையும் - நீங்கள் வசதியாக தொகுப்புகளைத் தேடக்கூடிய ஒரு போர்டல் அல்ல.

ஆனால் ஒரு சேவை உள்ளது hub.helm.sh, இது விளக்கப்படங்களைக் கண்டுபிடிப்பதை மிகவும் வசதியாக ஆக்குகிறது. மிக முக்கியமாக, இன்னும் பல வெளிப்புற களஞ்சியங்கள் மற்றும் கிட்டத்தட்ட 800 அழகிகள் உள்ளன. கூடுதலாக, சில காரணங்களால் உங்கள் விளக்கப்படங்களை நிலையான நிலைக்கு அனுப்ப விரும்பவில்லை என்றால், உங்கள் களஞ்சியத்தை இணைக்கலாம்.

hub.helm.sh ஐ முயற்சிக்கவும், அதை ஒன்றாக உருவாக்குவோம். இந்தச் சேவை ஹெல்ம் திட்டத்தின் கீழ் உள்ளது, மேலும் நீங்கள் ஒரு முன்-இறுதி டெவலப்பர் மற்றும் தோற்றத்தை மேம்படுத்த விரும்பினால் அதன் UIக்கு பங்களிக்கலாம்.

உங்கள் கவனத்தையும் ஈர்க்க விரும்புகிறேன் சேவை தரகர் API ஒருங்கிணைப்பைத் திறக்கவும். இது சிக்கலானதாகவும் தெளிவற்றதாகவும் தெரிகிறது, ஆனால் இது அனைவரும் எதிர்கொள்ளும் பிரச்சினைகளை தீர்க்கிறது. ஒரு எளிய உதாரணத்துடன் விளக்குகிறேன்.

ஒரு குபெர்னெட்டஸ் கிளஸ்டர் உள்ளது, அதில் ஒரு கிளாசிக் அப்ளிகேஷனை இயக்க விரும்புகிறோம் - வேர்ட்பிரஸ். பொதுவாக, முழு செயல்பாட்டிற்கு ஒரு தரவுத்தளம் தேவைப்படுகிறது. பல்வேறு தீர்வுகள் உள்ளன, எடுத்துக்காட்டாக, நீங்கள் உங்கள் சொந்த ஸ்டேட்ஃபுல் சேவையைத் தொடங்கலாம். இது மிகவும் வசதியானது அல்ல, ஆனால் பலர் அதைச் செய்கிறார்கள்.

செயின்ஸ்டாக்கில் உள்ள எங்களைப் போன்ற மற்றவர்கள், MySQL அல்லது PostgreSQL போன்ற நிர்வகிக்கப்பட்ட தரவுத்தளங்களைத் தங்கள் சேவையகங்களுக்குப் பயன்படுத்துகின்றனர். அதனால்தான் எங்கள் தரவுத்தளங்கள் மேகக்கணியில் எங்காவது அமைந்துள்ளன.

ஆனால் ஒரு சிக்கல் எழுகிறது: எங்கள் சேவையை ஒரு தரவுத்தளத்துடன் இணைக்க வேண்டும், தரவுத்தள சுவையை உருவாக்க வேண்டும், நற்சான்றிதழை மாற்ற வேண்டும் மற்றும் எப்படியாவது அதை நிர்வகிக்க வேண்டும். இவை அனைத்தும் பொதுவாக கணினி நிர்வாகி அல்லது டெவலப்பரால் கைமுறையாக செய்யப்படுகிறது. மேலும் சில பயன்பாடுகள் இருக்கும்போது எந்த பிரச்சனையும் இல்லை. அவற்றில் நிறைய இருக்கும்போது, ​​​​உங்களுக்கு ஒரு கலவை தேவை. அத்தகைய அறுவடை இயந்திரம் உள்ளது - அது சேவை தரகர். பொது கிளவுட் கிளஸ்டருக்கான சிறப்பு செருகுநிரலைப் பயன்படுத்தவும், API போல, புரோக்கர் மூலம் வழங்குநரிடமிருந்து ஆதாரங்களை ஆர்டர் செய்யவும் இது உங்களை அனுமதிக்கிறது. இதைச் செய்ய, நீங்கள் சொந்த குபெர்னெட்ஸ் கருவிகளைப் பயன்படுத்தலாம்.

இது மிகவும் எளிமையானது. நீங்கள் வினவலாம், எடுத்துக்காட்டாக, Azure இல் நிர்வகிக்கப்பட்ட MySQL ஐ அடிப்படை அடுக்குடன் (இதை உள்ளமைக்க முடியும்). Azure API ஐப் பயன்படுத்தி, தரவுத்தளம் உருவாக்கப்பட்டு பயன்பாட்டிற்குத் தயாராகும். இதில் நீங்கள் தலையிட தேவையில்லை, சொருகி இதற்கு பொறுப்பு. எடுத்துக்காட்டாக, OSBA (Azure plugin) சேவைக்கான நற்சான்றிதழைத் திருப்பி, அதை ஹெல்முக்கு அனுப்பும். நீங்கள் கிளவுட் MySQL உடன் WordPress ஐப் பயன்படுத்த முடியும், நிர்வகிக்கப்பட்ட தரவுத்தளங்களைக் கையாள்வதில்லை மற்றும் உள்ளே இருக்கும் மாநில அளவிலான சேவைகளைப் பற்றி கவலைப்பட வேண்டாம்.

ஹெல்ம் ஒரு பசையாக செயல்படுகிறது என்று நாம் கூறலாம், இது ஒருபுறம், சேவைகளை வரிசைப்படுத்த உங்களை அனுமதிக்கிறது, மறுபுறம், கிளவுட் வழங்குநர்களின் வளங்களை பயன்படுத்துகிறது.

நீங்கள் உங்கள் சொந்த செருகுநிரலை எழுதலாம் மற்றும் இந்த முழு கதையையும் வளாகத்தில் பயன்படுத்தலாம். கார்ப்பரேட் கிளவுட் வழங்குனருக்கான உங்கள் சொந்த செருகுநிரலை நீங்கள் வைத்திருப்பீர்கள். இந்த அணுகுமுறையை முயற்சிக்குமாறு நான் பரிந்துரைக்கிறேன், குறிப்பாக உங்களிடம் பெரிய அளவில் இருந்தால் மற்றும் ஒரு அம்சத்திற்காக டெவ், ஸ்டேஜிங் அல்லது முழு உள்கட்டமைப்பையும் விரைவாகப் பயன்படுத்த விரும்பினால். இது உங்கள் செயல்பாடுகள் அல்லது DevOps வாழ்க்கையை எளிதாக்கும்.

நான் ஏற்கனவே குறிப்பிட்டுள்ள மற்றொரு கண்டுபிடிப்பு ஹெல்ம்-ஜிசிஎஸ் செருகுநிரல், இது ஹெல்ம் விளக்கப்படங்களைச் சேமிக்க Google-பக்கெட்டுகளை (பொருள் சேமிப்பு) பயன்படுத்த உங்களை அனுமதிக்கிறது.

இதைப் பயன்படுத்தத் தொடங்க உங்களுக்கு நான்கு கட்டளைகள் மட்டுமே தேவை:

1. சொருகி நிறுவவும்;
2. அதை துவக்கு;
3. gcp இல் அமைந்துள்ள வாளிக்கான பாதையை அமைக்கவும்;
4. நிலையான முறையில் விளக்கப்படங்களை வெளியிடவும்.

அழகு என்னவென்றால், சொந்த gcp முறை அங்கீகாரத்திற்கு பயன்படுத்தப்படும். சேவைக் கணக்கு, டெவலப்பர் கணக்கு என நீங்கள் எதை வேண்டுமானாலும் பயன்படுத்தலாம். இது மிகவும் வசதியானது மற்றும் செயல்பட எதுவும் செலவாகாது. நீங்கள், என்னைப் போலவே, opsless தத்துவத்தை மேம்படுத்தினால், இது மிகவும் வசதியாக இருக்கும், குறிப்பாக சிறிய அணிகளுக்கு.

மாற்று

ஹெல்ம் மட்டுமே சேவை மேலாண்மை தீர்வு அல்ல. அதைப் பற்றி நிறைய கேள்விகள் உள்ளன, அதனால்தான் மூன்றாவது பதிப்பு மிக விரைவாக தோன்றியது. நிச்சயமாக மாற்று வழிகள் உள்ளன.

இவை சிறப்பு தீர்வுகளாக இருக்கலாம், எடுத்துக்காட்டாக, Ksonnet அல்லது Metaparticle. நான் பேசிய அதே நோக்கங்களுக்காக உங்கள் உன்னதமான உள்கட்டமைப்பு மேலாண்மை கருவிகளை (Ansible, Terraform, Chef, முதலியன) நீங்கள் பயன்படுத்தலாம்.

இறுதியாக ஒரு தீர்வு உள்ளது ஆபரேட்டர் கட்டமைப்பு, யாருடைய புகழ் வளர்ந்து வருகிறது.

ஆபரேட்டர் ஃபிரேம்வொர்க் என்பது கருத்தில் கொள்ள வேண்டிய சிறந்த ஹெல்ம் மாற்றாகும்.

இது CNCF மற்றும் Kubernetes க்கு பூர்வீகம். ஆனால் நுழைவதற்கான தடை அதிகமாக உள்ளது, நீங்கள் அதிகமாக நிரல் செய்ய வேண்டும் மற்றும் குறைவான வெளிப்பாடுகளை விவரிக்க வேண்டும்.

வரைவு, சாரக்கட்டு போன்ற பல்வேறு துணை நிரல்கள் உள்ளன. அவர்கள் வாழ்க்கையை மிகவும் எளிதாக்குகிறார்கள், எடுத்துக்காட்டாக, டெவலப்பர்கள் சோதனை சூழலை வரிசைப்படுத்த ஹெல்ம் அனுப்பும் மற்றும் தொடங்கும் சுழற்சியை எளிதாக்குகிறார்கள். நான் அவர்களை அதிகாரமளிப்பவர்கள் என்று அழைப்பேன்.

எல்லாம் எங்குள்ளது என்பதற்கான காட்சி விளக்கப்படம் இங்கே.

x அச்சில் என்ன நடக்கிறது என்பதற்கான உங்கள் தனிப்பட்ட கட்டுப்பாட்டின் நிலை, y அச்சில் குபெர்னெட்டஸின் சொந்த நிலை உள்ளது. ஹெல்ம் பதிப்பு 2 நடுவில் எங்கோ விழுகிறது. பதிப்பு 3 இல், பெரிதாக இல்லை, ஆனால் கட்டுப்பாடு மற்றும் பூர்வீக நிலை இரண்டும் மேம்படுத்தப்பட்டுள்ளன. Ksonnet அளவில் உள்ள தீர்வுகள் ஹெல்ம் 2 ஐ விட இன்னும் குறைவாகவே உள்ளன. இருப்பினும், இந்த உலகில் வேறு என்ன இருக்கிறது என்பதை அறிய அவற்றைப் பார்க்க வேண்டும். நிச்சயமாக, உங்கள் உள்ளமைவு மேலாளர் உங்கள் கட்டுப்பாட்டில் இருப்பார், ஆனால் இது முற்றிலும் குபெர்னெட்ஸுக்கு சொந்தமானது அல்ல.

ஆபரேட்டர் கட்டமைப்பு முற்றிலும் குபெர்னெட்டஸுக்கு சொந்தமானது மற்றும் அதை மிகவும் நேர்த்தியாகவும் துல்லியமாகவும் நிர்வகிக்க உங்களை அனுமதிக்கிறது (ஆனால் நுழைவு நிலை பற்றி நினைவில் கொள்ளுங்கள்). மாறாக, ஹெல்மைப் பயன்படுத்தி அதிக எண்ணிக்கையிலான பயன்பாடுகளை பேக்கேஜிங் செய்வதற்கான வெகுஜன அறுவடை இயந்திரத்தை விட, இது ஒரு சிறப்பு பயன்பாட்டிற்கும் அதற்கான நிர்வாகத்தை உருவாக்குவதற்கும் ஏற்றது.

விரிவாக்கிகள் கட்டுப்பாட்டை சிறிது மேம்படுத்துகின்றன, பணிப்பாய்வுகளை நிறைவு செய்கின்றன அல்லது CI/CD பைப்லைன்களில் மூலைகளை வெட்டுகின்றன.

ஹெல்மின் எதிர்காலம்

ஹெல்ம் 3 வருகிறது என்பது நல்ல செய்தி. ஹெல்ம் 3.0.0-ஆல்ஃபா.2 இன் ஆல்பா பதிப்பு ஏற்கனவே வெளியிடப்பட்டுள்ளது, நீங்கள் முயற்சி செய்யலாம். இது மிகவும் நிலையானது, ஆனால் செயல்பாடு இன்னும் குறைவாகவே உள்ளது.

உங்களுக்கு ஏன் ஹெல்ம் 3 தேவை? முதலில், இது ஒரு கதை டில்லர் காணாமல் போனது, ஒரு அங்கமாக. இது, நீங்கள் ஏற்கனவே புரிந்து கொண்டபடி, முன்னோக்கி ஒரு பெரிய படியாகும், ஏனென்றால் கட்டிடக்கலை பாதுகாப்பின் பார்வையில், எல்லாம் எளிமைப்படுத்தப்பட்டுள்ளது.

ஹெல்ம் 2 உருவாக்கப்பட்டபோது, ​​இது குபெர்னெட்டஸ் 1.8 அல்லது அதற்கு முந்தைய காலத்தில் இருந்தது, பல கருத்துக்கள் முதிர்ச்சியடையவில்லை. எடுத்துக்காட்டாக, CRD கருத்து இப்போது தீவிரமாக செயல்படுத்தப்பட்டு வருகிறது, மேலும் ஹெல்ம் செய்வார் CRD ஐப் பயன்படுத்தவும்கட்டமைப்புகளை சேமிக்க. கிளையண்டை மட்டுமே பயன்படுத்த முடியும் மற்றும் சேவையக பகுதியை பராமரிக்க முடியாது. அதன்படி, கட்டமைப்புகள் மற்றும் ஆதாரங்களுடன் பணிபுரிய சொந்த குபெர்னெட்டஸ் கட்டளைகளைப் பயன்படுத்தவும். இது ஒரு பெரிய முன்னேற்றம்.

தோன்றும் சொந்த OCI களஞ்சியங்களுக்கான ஆதரவு (திறந்த கொள்கலன் முன்முயற்சி). இது ஒரு பெரிய முன்முயற்சியாகும், மேலும் ஹெல்ம் முதன்மையாக அதன் விளக்கப்படங்களை இடுகையிட ஆர்வமாக உள்ளது. எடுத்துக்காட்டாக, Docker Hub பல OCI தரநிலைகளை ஆதரிக்கிறது. நான் யூகிக்கவில்லை, ஆனால் கிளாசிக் டோக்கர் களஞ்சிய வழங்குநர்கள் உங்கள் ஹெல்ம் விளக்கப்படங்களை ஹோஸ்ட் செய்வதற்கான வாய்ப்பை உங்களுக்கு வழங்கத் தொடங்குவார்கள்.

என்னைப் பொறுத்தவரை சர்ச்சைக்குரிய கதை லுவா ஆதரவு, ஸ்கிரிப்ட்களை எழுதுவதற்கான டெம்ப்ளேட்டிங் இயந்திரமாக. நான் லுவாவின் பெரிய ரசிகன் அல்ல, ஆனால் இது முற்றிலும் விருப்பமான அம்சமாக இருக்கும். நான் இதை 3 முறை சரிபார்த்தேன் - Lua ஐப் பயன்படுத்த வேண்டிய அவசியமில்லை. எனவே, லுவாவைப் பயன்படுத்த விரும்புவோர், கோ விரும்புவோர், எங்கள் மாபெரும் முகாமில் இணைந்து, இதற்காக go-tmpl ஐப் பயன்படுத்தவும்.

இறுதியாக, நான் நிச்சயமாக காணாமல் போனது ஸ்கீமா தோற்றம் மற்றும் தரவு வகை சரிபார்ப்பு. எண்ணிலோ சரத்திலோ இனி எந்த பிரச்சனையும் இருக்காது, இரட்டை மேற்கோள்களில் பூஜ்ஜியத்தை மடிக்க வேண்டிய அவசியமில்லை. மதிப்புகளுக்கு இதை வெளிப்படையாக விவரிக்க அனுமதிக்கும் JSONS ஸ்கீமா தோன்றும்.

பெரிதும் மறுவேலை செய்யப்படும் நிகழ்வு-உந்துதல் மாதிரி. இது ஏற்கனவே கருத்தியல் ரீதியாக விவரிக்கப்பட்டுள்ளது. ஹெல்ம் 3 கிளையைப் பாருங்கள், எத்தனை நிகழ்வுகள் மற்றும் கொக்கிகள் மற்றும் பிற விஷயங்கள் சேர்க்கப்பட்டுள்ளன என்பதை நீங்கள் காண்பீர்கள், இது மிகவும் எளிமையாக்கும் மற்றும் மறுபுறம், வரிசைப்படுத்தல் செயல்முறைகள் மற்றும் எதிர்வினைகள் மீதான கட்டுப்பாட்டைச் சேர்க்கும்.

ஹெல்ம் 3 எளிமையானதாகவும், பாதுகாப்பானதாகவும், மேலும் வேடிக்கையாகவும் இருக்கும், ஹெல்ம் 2 நமக்குப் பிடிக்காததால் அல்ல, மாறாக குபெர்னெட்டஸ் மிகவும் முன்னேறி வருவதால். அதன்படி, ஹெல்ம் குபெர்னெட்டஸின் வளர்ச்சியைப் பயன்படுத்தி, அதில் குபெர்னெட்டஸுக்கு சிறந்த மேலாளர்களை உருவாக்க முடியும்.

மற்றொரு நல்ல செய்தி என்னவென்றால் DevOpsConf அலெக்சாண்டர் கயோரோவ் உங்களுக்குச் சொல்வார், கொள்கலன்கள் பாதுகாப்பாக இருக்க முடியுமா? வளர்ச்சி, சோதனை மற்றும் செயல்பாட்டு செயல்முறைகளின் ஒருங்கிணைப்பு குறித்த மாநாடு மாஸ்கோவில் நடைபெறும் என்பதை உங்களுக்கு நினைவூட்டுவோம் செப்டம்பர் 30 மற்றும் அக்டோபர் 1. ஆகஸ்ட் 20 வரை நீங்கள் அதைச் செய்யலாம் அறிக்கை சமர்ப்பிக்க தீர்வு தொடர்பான உங்கள் அனுபவத்தைப் பற்றி எங்களிடம் கூறுங்கள் பலவற்றில் ஒன்று DevOps அணுகுமுறையின் பணிகள்.

மாநாட்டின் சோதனைச் சாவடிகள் மற்றும் செய்திகளைப் பின்தொடரவும் செய்திமடல் и தந்தி சேனல்.

ஆதாரம்: www.habr.com