当下企业越来越多的驳回云原生来开发和拓展运行程序,因此在处置日益增长的复杂性以及允许在多云环境下部署上班负载时,容器和Kubernetes 就变得至关关键。
但一项针对DevOps专业人士的考查发现,94%的人在过去一年里至少阅历过一次性Kubernetes安保事情,59%的人以为安保疑问是他们在经常使用Kubernetes以及容器时最大的担心。虽然越来越多的DevOps团队转向Kubernetes,以满足企业裁减需求,但像安保和数据包全这样的基本准则绝不能被漠视。
部署Kubernetes
开发人员被要求在更多的灵活环境中树立更大、愈加可裁减的运行程序。因此,关于运营或基础设备团队来说,跟上不时变动的软件开发通常仿佛曾经成了一项全职上班。Kubernetes只是最新的(也可以说是更复杂的)应战,但开发人员的指标没有变:咱们如何才干缩小危险,最大限制地降落老本,并提供一个更好的全体业务成绩?
开发团队是 "开拓者",他们探求新的畛域并树立起全新的物品。另一方面,运营和基础设备团队是 "定居者",在第二波浪潮中来坚固新的开发,并确保它能常年生活。这正是Kubernetes的状况。当Kubernetes处于虚构化或实用阶段时,通常是由运营团队主导,由于关乎真正的业务成绩的责任落在他们身上。
但想让这些团队了解Kubernetes和容器的盘根错节是一个很高的要求。即使是新技术,也须要遵守基本准则,即安保、备份和复原都是须要的。但共同的技术要求也会带来应战。
Kubernetes的安保性和零信赖
作为一个云原生程序,Kubernetes的许多安保应战来自云架构的扩散性。不同的上班负载可以在几个不同的中央运转,包含多个云以及外部和外部的主机。这不只大大参与了或者出现攻打和失误的 "要挟范围",而且还参与了可视化方面的应战,即监控容器和检测疑问都变的更艰巨。
虽然Kubernetes的设计是安保的,它只对可以验证和授权的恳求做出照应,但它也为开发者提供了定制的性能选项,这象征着它的安保水平只相当于开发者性能的RBAC(基于角色的访问控制)战略。Kubernetes还经常使用了所谓的 "扁平网络",使容器组(或Pod)自动与其余容器启动通讯。这惹起了安保疑问,由于通常上,攻打者假设破坏了一个Pod,就可以访问同一集群中的其余资源。
虽然有必定的复杂性,但减轻这种危险的处置方案是十分便捷直观的,即零信赖。由于有如此大的攻打面、放开的网络设计和超过不同环境的上班负载,因此在经常使用Kubernetes启动构建时,零信赖架构极为关键,即从不信赖和永远验证。
零信赖架构的准则是将安保的焦点从运行程序的中心移开,同时将这些准则贯通一直。一切的外部恳求一概视为可疑的,自上至下都须要身份验证。这种战略经过假定网络上不时存在要挟来协助降落危险,因此围绕每个用户、设备和衔接继续坚持严厉的安保程序。关于Kubernetes的流动和扩散的架构来说,这是必需的。
备份和复原
为Kubernetes运行程序减轻危险所需的另一个基本准则是备份和复原。这是一个妇孺皆知的概念,但在备份Kubernetes和容器时,有很多不凡的考量。这些对数据备份的不同要求是由于Kubernetes与其余架构有基本的不同,例如,它没有映射到主机或虚构机上的运行。
Kubernetes备份系统也须要以运行为中心,而不是以基础设备为重点。这是出于DevOps通常基础和 "左移 "准则,即开发人员对基础设备和部署有更多的控制。Kubernetes备份的其余不凡需求包含运行程序的规模、包全差距和生态系统的整合。
在复原Kubernetes环境时,须要一个具体的口头方案,确定集群的依赖性,降级运行程序以反映新的存储组件,并将方案转化为关系的Kubernetes运行程序编程接口(API)。虽然备份确实须要更多定制的Kubernetes原生处置方案,但这种复原环节对企业的常年肥壮开展依然至关关键。在当天,高效复原和劫难复原是必无法少的,据预计,每分钟的终止老本为1,459欧元。
此外,备份在测试和开发目的以及成功运行程序移动性方面具备渺小价值。运行程序的移动性是指将运行程序迁徙到不同环境的才干——跨企业外部、云、集群以及Kubernetes散布。随着IT环境变得越来越复杂,企业须要应答新的业务需求,驳回新的技术平台或提升老本,这一点也越来越关键。
迎接扭转
虽然Kubernetes带来了新的技术应战,但到底万变不离其宗。运营和基础设备团队曾经习气于将新的工具归入不时裁减的技术栈,经过现代数据包全降落危险等中心准则仍在施展作用。
一旦这些才干树立起来,运营团队就可以看得更远,并经过测试和提升等手腕来开掘应用其数据的价值。应用允许运行程序移动性的弱小备份,团队还可以经过确保服务能够更容易地驾驭下一波变动,来为运行程序的未来做好预备。虽然Kubernetes是目前正在扭转开发环境的工具,但它必需不会是最后一个。
(本文由Veeam 世界初级技术专家 Michael Cade撰写)