Ako bezpečné je prevádzkovať kontajnery v produkcii? Krátke rozprávanie o tom, čo všetko znamená návrh on-premise riešenia a z akých komponentov sa skladá.
Fero Volár H E A D O F S E R V E R P R O D U C T S Pôsobím v spoločnosti WebSupport, kde vediem obchodný B2B team a spravujem serverové produktové portfólio. Mám viac ako 15 ročné skúsenosti v oblasti IT s navrhovaním individuálnych zákazníckych riešení. I ❤ containers. Hi, Nice to meet you @websupport_tech 2
Prečo on-premise? Aké bývajú dôvody na vlastný produkčný setup kontajnerovej platformy Komponenty 02. Z akých najdôležitejších častí sa kontajnerový cluster skladá + nástroje na deployment 01. Poučenia a odporúčania 03. Najčastejšie úskalia vlastného riešenia 3 www.websupport.sk
plná kontrola sieťové obmedzenia public cloudu, traffic dáta na Slovensku hybrid/multi-cloud setup ovládače (napr. storage) bezpečnosť, špeciálne pravidlá a smernice … 5 Dôvody Prečo vlastne riešiť vlastný produkčný setup kontajnerovej platformy @websupport_tech www.websupport.sk
cluster, ktorý je rozumne zabezpečený komponenty clustera sú vysoko dostupné pre potreby používateľov zmeny v clusteri sú bezpečné (upgrade & rollback) deklaratívny manažment akýkoľvek nod môže byť nahradený, akýkoľvek kontajner môže byť znovu vytvorený 7 Produkcia Čo je to produkčný cluster? @websupport_tech www.websupport.sk
Flannel - menšie a nenáročné setupy WeaveNet - ak potrebujete šifrovanie siete + JumboFrames Calico - BGP features Canal (Flannel + Calico ako FW) Cilium Kube-router Romana porovnanie CNI na 10Gbit/s network K8s Ingress controller (L7 LB, SSL) 11 networking Jedna z najkritickejších častí @websupport_tech www.websupport.sk
EFK - Elasticsearch, Fluentd a Kibana Fluentd LogTrail kubelogs 14 logy Čím viac zmien robíte, tým dôležitejšie sú logy @websupport_tech www.websupport.sk
GitOps (team) “kontajnerizovanie” aplikácie aktualizácie, rolling upgrade/rollback bare-metal vs. virtualizácia škálovanie, využitie zdrojov veľkosť imidžov bezpečnosť 23 úskalia vlastného rieŠenia Pain points @websupport_tech www.websupport.sk
nemusíte hneď všetko prerábať na microservices - containerize as-is vyberte správny image, aktualizujte ho nainštalujte potrebné balíčky pridajte vaše dáta zadefinujte otvorené porty 26 kontajnerizácia Postupne @websupport_tech www.websupport.sk
FROM latest špecifikovať verziu kritických balíčkov (apt, yum, …) defaultne nakonfigurované aplikácie (DB, PHP, Java, ...) - používať ENV, RUN, ENTRYPOINT Alpine radšej neskôr - začať s tradičnou distribúciou 27 Dockerfile Menší imidž je lepší @websupport_tech www.websupport.sk
žiadne kontajnery bežiace pod root-om šifrovanie komunikácie medzi kontajnermi kontajner má prístup len k zdrojom, ktoré potrebuje limitujte zdroje (storage, compute, memory, network) neukladať prístupové údaje v kontajneroch pre Kubernetes zapnúť Role-Based Access Control (RBAC) Namespaces v Kubernetes infraštruktúra (OS, firmware, …) 28 Bezpečnosť Security, security, security @websupport_tech www.websupport.sk
A curated list for awesome Kubernetes sources A curated list of Docker resources and projects kniha: Cloud Native DevOps With Kubernetes stackshare.io bit.ly/kubeweekly newsletter 29 Zaujímavé zdroje Kam ďalej @websupport_tech www.websupport.sk