مقدمه
Kubernetes ، همچنین به عنوان K8S شناخته می شود ، یک سیستم منبع باز برای خودکارسازی استقرار ، مقیاس گذاری و مدیریت برنامه های کانتینر شده است.
Kubernetes به یک استاندارد de facto برای ارکستراسیون کانتینر تبدیل شده است و از برنامه های مدرن ابر بومی در سراسر جهان استفاده می کند. انعطاف پذیری ، مقیاس پذیری و اکوسیستم غنی آن ، اتخاذ سریع را در بنگاه های مختلف در هر اندازه سوق داده است. با این حال ، به همان اندازه که Kubernetes قدرتمند است ، بدون چالش و محدودیت آن نیست. درک این موانع برای تیم هایی که به دنبال اتخاذ یا بهینه سازی محیط های Kubernetes به طور مؤثر هستند ، ضروری است.
چرا Kubernetes امروز اهمیت دارد؟
جامعه فعال منبع باز و پشتیبانی از همه ارائه دهندگان اصلی ابر (AWS ، Azure ، GCP) آن را به یک انتخاب ضد آینده برای زیرساخت های مدرن تبدیل می کند.
معماری خوشه Kubernetes
Kubernetes از یک راه اندازی مشتری با دو نوع اصلی ماشین استفاده می کند: یک گره اصلی و گره های کارگر. گره اصلی مؤلفه های مهمی مانند سرور API ، مدیر کنترل کننده ، برنامه ریزی و بانک اطلاعاتی ETCD را که داده های خوشه را ذخیره می کند ، اجرا می کند. گره های کارگر برنامه ها را اجرا می کنند و شامل ابزارهایی مانند Kubelet (که با استاد صحبت می کند) ، Kube-Proxy (شبکه های کنترل شده) و یک کانتینر زمان اجرا مانند Docker برای مدیریت ظروف.
اجزای Kubernetes
Kubernetes دارای دو گروه اصلی مؤلفه است:
کنترل هواپیما: این کل خوشه را کنترل می کند ، گره های کارگر را کنترل می کند و در مورد سیستم تصمیم می گیرد.
گره های کارگر: این دستگاه هایی هستند که ظروف برنامه شما در آن اجرا می شوند.
اجزای هواپیما را کنترل کنید
هواپیمای کنترل مانند مغز خوشه Kubernetes است – این سلامت و عملکرد کلی خوشه را مدیریت می کند. این وظایف مانند ایجاد ، حذف و مقیاس بندی غلاف را انجام می دهد. چهار قسمت اصلی وجود دارد:
سرور Kube-API
این نقطه اصلی ورود برای همه دستورات و درخواست ها است. این دستورالعمل از ابزارهایی مانند Kubectl را گوش می دهد و اطمینان می دهد که آنها قبل از عبور از آنها معتبر هستند. هیچ عملی بدون عبور از سرور API اتفاق نمی افتد.
به برنامه ریزی
هنگامی که یک غلاف جدید ایجاد شود ، برنامه ریز تصمیم می گیرد که کدام گره کارگر بهترین مناسب برای آن است و کارایی خوشه را بهینه می کند.
کاله کنترل کننده
این کنترل کننده های مختلفی را اجرا می کند که خوشه را در حالت مورد نظر نگه می دارد. به عنوان مثال ، اطمینان می دهد که تعداد مناسب نسخه های POD در حال اجرا است و در صورت سالم بودن گره ها بررسی می شود.
ETCD
این پایگاه داده خوشه است. این تمام اطلاعات مربوط به وضعیت فعلی خوشه را ذخیره می کند و آن را با سایر مؤلفه ها به اشتراک می گذارد تا آنها بدانند که چه خبر است.
اجزای گره
گره ها دستگاه هایی هستند که برنامه های شما در واقع در داخل ظروف اجرا می شوند. هر گره چندین فرآیند کلیدی را اجرا می کند:
زمان اجرا کانتینر
این نرم افزاری است که ظروف واقعی را اجرا می کند (مانند Docker).
کلبه
این عامل روی هر گره اجرا می شود و اطمینان می دهد که ظروف در داخل غلافها در حال اجرا هستند. با هواپیمای کنترل و زمان اجرا کانتینر صحبت می کند.
به پروکسی
این ترافیک شبکه را کنترل می کند ، و اطمینان حاصل می کند که درخواست ها به غلافهای مناسب روی گره می رسند.
مدل شبکه Kubernetes
Kubernetes از یک مدل شبکه ساده اما قدرتمند با این نکات کلیدی استفاده می کند:
هر غلاف آدرس IP منحصر به فرد خود را می گیرد.
ظروف داخل همان غلاف که غلاف IP است و می توانند آزادانه ارتباط برقرار کنند.
POD ها می توانند با استفاده از IPS خود به طور مستقیم با سایر غلافهای موجود در خوشه ارتباط برقرار کنند – نیازی به NAT (ترجمه آدرس شبکه).
جداسازی شبکه (کنترل کدام غلاف می تواند با یکدیگر صحبت کند) از طریق سیاست های شبکه انجام می شود ، نه با پیچیده کردن خود شبکه.
به همین دلیل ، غلاف ها مانند ماشین های مجازی یا میزبان ها بسیار رفتار می کنند که هرکدام IP خاص خود را دارند. ظروف موجود در غلاف ها مانند فرآیندی هستند که روی آن میزبان کار می کنند و همان فضای شبکه و آدرس IP را به اشتراک می گذارند. این طراحی “شبکه مسطح” انتقال برنامه ها از VM های سنتی به غلافهای Kubernetes را آسان تر می کند.
اگرچه به ندرت مورد نیاز است ، Kubernetes همچنین از نقشه برداری از درگاه های دستگاه میزبان به غلاف یا اجرای غلاف ها به طور مستقیم در فضای نام شبکه میزبان پشتیبانی می کند و آدرس IP میزبان را به اشتراک می گذارد.
اجرای شبکه Kubernetes
Kubernetes شامل یک راه حل اصلی شبکه به نام Kubenet برای ارائه اتصال POD است ، اما بیشتر کاربران به افزونه های شبکه شخص ثالث که از طریق API CNI (رابط شبکه کانتینر) وصل می شوند ، تکیه می کنند.
دو نوع اصلی افزونه های CNI وجود دارد:
افزونه های شبکه: غلاف ها را به شبکه وصل کنید.
افزونه های IPAM (مدیریت آدرس IP): آدرس IP را به غلاف اختصاص دهید.
ذخیره سازی در Kubernetes
حجم مداوم (PV) و مطالبات حجم مداوم (PVC): PV ها منابع ذخیره سازی در خوشه هستند و PVC ها درخواست هایی برای آن حجم های ذخیره سازی توسط POD ها هستند.
کلاس های ذخیره سازی و تهیه پویا: کلاس های ذخیره سازی انواع ذخیره سازی (مانند SSD یا HDD) را تعریف می کنند و Kubernetes را قادر می سازد تا در صورت لزوم به طور خودکار حجم ایجاد کنند.
StatefulSets: برای اجرای برنامه های مطبوع که نیاز به شناسه شبکه پایدار و ذخیره مداوم دارند ، مانند بانکهای اطلاعاتی استفاده می شود.
برنامه ریزی و مقیاس گذاری
Kubernetes Scheduler: تصمیم می گیرد که یک غلاف جدید باید بر اساس در دسترس بودن منابع و خط مشی ها اجرا شود.
AutoScaling POD افقی: به طور خودکار تعداد ماکت های POD را بر اساس CPU یا معیارهای سفارشی تنظیم می کند.
AutoScaling POD عمودی: درخواست های منابع (CPU/حافظه) غلاف را بر اساس استفاده تنظیم می کند.
AutoScaling خوشه ای: بسته به تقاضای بار کار ، گره های کارگر را به طور خودکار اضافه یا حذف می کند.
امنیت در Kubernetes
احراز هویت و مجوز: تضمین می کند که فقط کاربران و خدمات قابل اعتماد می توانند به خوشه دسترسی پیدا کنند.
کنترل دسترسی مبتنی بر نقش (RBAC): تعریف می کند که چه کسی می تواند آنچه را در داخل خوشه انجام می دهد.
سیاست های امنیتی POD و کنترل کننده پذیرش: استانداردهای امنیتی را در غلاف ها قبل از اجرای اجرا کنید.
مدیریت اسرار: داده های حساس مانند رمزهای عبور و کلیدهای API را به طور ایمن ذخیره می کند.
نظارت ، ورود به سیستم و عیب یابی
ابزارهای نظارت: ابزارهایی مانند پرومتئوس و گرافانا به ردیابی خوشه و سلامت برنامه کمک می کنند.
راه حل های ورود به سیستم: Elk Stack (Elasticsearch ، Logstash ، Kibana) و Fluentd گزارش ها را جمع آوری و تجزیه و تحلیل می کنند.
تکنیک های اشکال زدایی: روش ها و ابزارهای شناسایی و رفع مشکلات در محیط های Kubernetes.
اجرای Kubernetes در چندین ابر: مزایا ، چالش ها و راه حل ها
Kubernetes Multi-Cloud چیست؟
بسیاری از سازمان ها چندین خوشه Kubernetes را برای اهداف مختلف مانند توسعه ، آزمایش و تولید اجرا می کنند. برخی می خواهند این خوشه ها را در ابرهای مختلف عمومی و خصوصی اجرا کنند-به این ابر چند ابر یا ابر ترکیبی گفته می شود.
فواید چند ابر
از قفل کردن فروشنده خودداری کنید: شما با یک ارائه دهنده ابر گره خورده اید. اگر کسی مشکل داشته باشد ، می توانید به دیگری بروید.
بهینه سازی هزینه: بار کاری را اجرا کنید که هزینه های ابر کمترین آن باشد.
در دسترس بودن بهتر: اگر یک ابر پایین بیاید ، ترافیک می تواند به ابر دیگری نرود و قابلیت اطمینان را بهبود بخشد.
جداسازی بار کار: با اجرای آنها بر روی ابرهای مختلف یا خوشه ها می توانید پروژه ها ، تیم ها یا برنامه های مختلف را جدا کنید.
چالش های Kubernetes چند ابر
مدیریت هویت و سازگاری سیاست در بین ارائه دهندگان متعدد می تواند به یک بار عملیاتی عمده تبدیل شود.
API های مختلف: هر ابر روشهای منحصر به فردی برای مدیریت منابع دارد و ساخت و سازهای اتوماسیون را پیچیده می کند.
تفاوت های نظارت: هر ابر ابزارهای مختلف نظارت و قالب های داده را ارائه می دهد.
شبکه: اتصال غلاف در شبکه های مختلف ابری مشکل است.
امنیت: مدیریت امنیت در شبکه های عمومی نیاز به مراقبت های اضافی دارد.
بهترین روشها برای Kubernetes چند ابر
تنظیمات استاندارد: از تنظیمات مداوم در بین ابرها استفاده کنید.
از اتوماسیون استفاده کنید: برای مدیریت آسان ، گیتوپ ها و زیرساخت ها را به عنوان کد (IAC) اتخاذ کنید.
امنیت قوی: اجرای RBAC ، رمزگذاری و سیاست های سخت.
ابزارهای Cloud-Agnostic: از ابزارهای بومی Kubernetes مانند مشهای سرویس و گرافانا برای نظارت استفاده کنید.
مدیریت Kubernetes هیبریدی و چند ابر
مدیریت چندین خوشه نیاز به حاکمیت ، مشاهده و اتوماسیون یکپارچه دارد.
برای بهینه سازی هزینه ها از مشهای چند ابر برای شبکه سازی و خودکار سازی استفاده کنید. اتوماسیون با GITOPS و خطوط لوله CI/CD برای مدیریت پیچیدگی مهم است.
راه حل های چند ابر kubernetes
برای غلبه بر چالش های فنی:
برای اتصال خوشه ها از VPN یا ابزارهای شبکه ای مانند پارچه تنگستن یا CALICO استفاده کنید.
برای انعطاف پذیری تنظیمات خود از تکیه بر API های خاص ابر خودداری کنید.
از سیستم عامل های Kubernetes چند ابر آماده مانند موتور Mirantis Kubernetes استفاده کنید ، که روی AWS ، Google Cloud ، VMware و موارد دیگر کار می کنند ، بنابراین بار کاری می تواند آزادانه حرکت کند.
راه حل ها و نوآوری های نوظهور در Kubernetes
راه حل های شبکه بومی
راه حل های نوآورانه مانند فایروال Aviatrix Kubernetes در حال تعریف مجدد شبکه های ایمن در محیط های بومی ابر است. این ابزارها کنترل های امنیتی شبکه ای با سطح غلاف را ارائه می دهند که فراتر از قابلیت های فایروال سنتی است. آنها یکپارچه با Kubernetes ادغام می شوند و مدیریت سیاست متمرکز را در سراسر تنظیمات ترکیبی و چند ابر فعال می کنند و به چالش اجرای امنیتی مداوم می پردازند.
رویکردهای امنیتی پیشرفته
پارادایم های امنیتی جدید برای محافظت بهتر از بارهای کاری Kubernetes در حال ظهور هستند:
شبکه اعتماد صفر: اجرای هویت دقیق و کنترل دسترسی برای هر مؤلفه در خوشه.
ابزارهای امنیتی زمان اجرا (به عنوان مثال ، Falco ، Aqua Security): برای تشخیص ناهنجاری ها یا نقض ، رفتار کانتینر را در زمان واقعی کنترل کنید.
امنیت چپ تغییر: ادغام امنیت زودتر در خط لوله CI/CD با استفاده از ابزارهایی مانند Trivy برای اسکن آسیب پذیری و Kyverno برای اجرای سیاست.
ابزارهای مشاهده قابلیت بهبود
راه حل های مشاهده مدرن بینش عمیق تری در مورد محیط های Kubernetes ارائه می دهد:
Opentelemetry: یک استاندارد یکپارچه برای جمع آوری ردپا ، معیارها و سیاهههای مربوط ، ساده سازی دید نهایی به پایان.
Grafana Loki + Tempo + Prometheus: یک پشته قدرتمند و ابر بومی برای جمع آوری ورود به سیستم ، ردیابی توزیع شده و تجسم معیارها.
ابزارهای مبتنی بر EBPF (به عنوان مثال ، Cilium ، Pixie): دید کم مصرف در فعالیت شبکه و سیستم را مستقیماً از هسته لینوکس ارائه می دهد و باعث افزایش مشاهده و عیب یابی عملکرد می شود.
