Kubernetes: эффективное управление приложениями в контейнерах

Контейнеризация – один из самых популярных и эффективных современных способов упаковки и доставки приложений. Благодаря такому методу удается изолировать приложения и их зависимости, что упрощает развертывание, масштабирование и управление ими. Однако с ростом числа контейнеризованных приложений становится вызовом эффективное управление ими. В статье рассмотрим Kubernetes – одну из самых популярных и мощных платформ для управления приложениями в контейнерах.

Функции и архитектура Kubernetes

Kubernetes (K8s) — платформа для автоматического управления контейнеризованными приложениями с помощью кластеров на API. Такое управление позволяет равномерно распределять нагрузку при работе даже большого количества приложений одновременно.

Ключевые функции платформы:

• Распределение нагрузок. Для более стабильного развертывания Kubernetes распределяет сетевой трафик. Через IP-адрес или DNS система определяет необходимые контейнеры.
• Оркестрация хранилища. Платформа автоматически генерирует необходимую систему хранения.
• Развертывание и откаты. Есть возможность задавать состояние контейнеров и менять уже развернутые.
• Контроль. Система автоматически перезапускает контейнеры, в которых по каким-либо причинам могли произойти сбои в работе. Если же контейнер не соответствует заранее заданным параметрам, Kubernetes отключает его.
• Управление конфигурацией и конфиденциальной информацией. Kubernetes управляет паролями, токенами и ключами. Есть возможность обновлять и разворачивать конфигурацию и данные без изменения контейнера.

Архитектуру Kubernetes условно можно разделить на следующие основные элементы:

1. Нода (узел) – виртуальный сервер. Архитектура представлена несколькими сервисами на самой ноде и отдельными сервисами для управления кластером. Кроме этого, каждая нода запускает Docker, который отвечает за активацию контейнеров и образов.
2. Kubelet – система управления контейнерами, разделами и образами.
3. Kube-Proxy – балансировщик. Работает на каждой ноде. Kube-Proxy также перенаправляет потоки UDP и TCP.
4. Компоненты управления:

• Etcd – сервер хранения главной информации, благодаря которому все конфигурационные данные находятся под надежной защитой. О любом изменении их состояния оперативно приходит соответствующее оповещение.
• Kubernetes API Server – CRUD-сервер с встроенной бизнес-логикой. Такая логика реализуется через отдельные компоненты или плагины. Сервер работает с REST-операциями, поддерживая необходимые объекты в актуальном состоянии в хранилищах.
• Scheduler с помощью вызова binding API привязывает не запущенные контейнеры к нодам.
• Controller Manager Server включает в себя прочие функции кластера размещенные в Controller Manager.

Установка и настройка

Kubernetes лучше подойдет для крупных компаний или ИТ-отделов. Платформа достаточно требовательна к приложениям и требует большого объема ресурсов. Использовать Kubernetes для небольших проектов как минимум невыгодно.

Установка и дальнейшее использование Kubernetes возможна как на локальной машине, так и в облачной среде. Рассматривать пользование Kubernetes на локальной машине рекомендуется лишь в редких случаях. Например, для локальной разработки и тестирования кластера или просто для того, чтобы предварительно оценить платформу.

Для установки Kubernetes и дальнейшего развертывания кластера необходимо соблюсти следующие условия:

• Каждая нода (узел) должна иметь внешний IP и должна быть обеспечена 2 ядрами CPU и 2 Гб RAM. Если работа планируется на Ubuntu, RAM следует увеличить до 4 Гб и обеспечить около 35 Гб дискового пространства.
• В одном кластере обязательно должны присутствовать master (главная) node и worker (рабочая) node. Кластер – ресурсы, которыми управляет Kubernetes.

К основным этапам установки относят:

• Ключи SSH. Генерация открытого и закрытого SSH ключей проводится для каждой ноды. Они позволяют удаленно управлять кластером. Имя открытого ключа генерируется автоматически с помощью добавления к имени закрытого ключа расширения .pub.
• Установка пакетов. Перед работой с пакетами важно настроить соединение с рабочей нодой. Это также необходимо сделать для обновления используемых приложений. 
• Ключ шифрования GPG.
• Установка Docker.
• Модули Kubernetes.

Для корректной работы необходимо установить 3 модуля Kubernetes:

1. Kubelet для контроля состояния контейнеров;
2. Kubectl для запуска инструкций;
3. Kubeadm для автоматической установки и настройки прочих модулей Kube.

Для установки модулей необходимо просто прописать их в инструкции и перезапустить систему:

• Кластер. Для создания кластера необходимо преобразовать рабочую ноду в главную. Именно с нее в дальнейшем и будет происходить управление кластером.
• Взаимодействие. Для обеспечения внутрисетевого взаимодействия устанавливается SDN Flannel.
• Токен. После создания токена можно приступать развертыванию кластера.
• Подключение нод. Рабочие ноды необходимо подключить к кластеру с помощью созданного ранее токена.
• Проверка корректности установки и настройки платформы.

Работа с контейнерами

Pod (под) – базовая минимальная единица информации в Kubernetes. Он может содержать сразу несколько контейнеров. Создается под на языке YAML с включением необходимых ресурсов, версии API, исполняемого контейнера и т. д. Итоговым результатом создания должен стать YAML-файл, в котором задекларировано будущее приложение. При помощи инструкции Deployment Kubernetes позволяет создавать одновременно несколько реплик приложения. Это позволяет запускать поддерживать их работоспособность, даже если одно из приложений выйдет из строя. Такой инструмент, как Service, помогает управлять подами, которые закрепляются за ним. Автоматическое масштабирование контейнеров обеспечивается через настройку координации между уровнями подов и уровень кластера.

Управление приложениями

Развертывание приложений проходит в несколько этапов:

• подготовка Docker-образа;
• генерация манифеста;
• использование манифеста.

В зависимости от типа приложений и технологии его разработки могут понадобиться дополнительные инструменты. Чаще всего используется сервис Helm. Он позволяет одновременно управлять несколькими ресурсами.

Kubernetes автоматически обновляет версии приложений, удаляя предыдущие. Однако иногда возникает необходимость использовать более ранние версии. Важно помнить о том, что система не удаляет предыдущие реплики сразу. Поэтому если есть вероятность возникновения необходимости в откате приложения к прошлой версии, стоит позаботиться о сохранении прошлых реплик.

Мониторинг приложений в Kubernetes позволяет контролировать состояние инфраструктуры и своевременно обнаружить ошибки и принять меры по их устранению. Одним из сильнейших инструментов мониторинга считается Prometheus. Для этих же целей важно мониторить и сохранять определенные логи. В Kubernetes предусмотрена установка дополнительного хранилища для логов. Оно не зависит от контейнеров, узлов и подов.

Безопасность

При работе в Kubernetes важно учесть максимум факторов для защиты данных любого уровня. Рассмотрим наиболее важные меры обеспечения безопасности:

• Авторизация. Права доступа в Kubernetes распределяются по принципу RBAC – на основе ролей.
• Безопасность пода. Предусмотрен набор условий для подов. При невыполнении хотя бы одного компонент не пропускается в систему. Политика безопасности пода позволяет контролировать использование файловой системы хоста и пространств его имени, запуск привилегированных контейнеров. Важно помнить также о том, что недостаточно просто установить политику безопасности для подов, но и следить за тем, кто имеет к ним доступ.
• Защита производственной среды. Важно следить за безопасностью производственной среды, начиная с сетей и заканчивая устройствами, которыми пользуются все сотрудники, включая ИТ-отдел.
• Защита пайплайнов CI/CD. Для обеспечения минимальной безопасности развертывания необходимо регулярно проводит проверку кода образов и конфигураций в процессах CI/CD.
• Включение service mesh. Безопасность сети – ключевой момент безопасности всей системы. Service mesh позволяет добавить отдельный уровень инфраструктуры для упрощения обмена данными и ужесточения контроля за трафиком.

Масштабирование и отказоустойчивость

Масштабирование и отказоустойчивость Kubernetes достигается за счет следующих функций: 

• Автомасштабирование на этапе загрузки. Платформа масштабирует приложения автоматически регулируя их количество. Это позволяет обрабатывать более высокий трафик.
• Кластеризация. Отказоустойчивость значительно повышается благодаря возможности Kubernetes работать в нескольких узлах. Если один из них выйдет из строя, приложения будут перезапущены в других.
• Распределение нагрузки. Платформа распределяет нагрузку между приложениями таким образом, чтобы трафик был автоматически перенаправлен с более нагруженных программ на менее нагруженные.
• Self-healing (самовосстановление). Kubernetes автоматически перезапускает вышедшее из строя приложение.
• Мониторинг. Платформа постоянно отслеживает состояние приложений. В случае обнаружения неполадок Kubernetes оперативно отправляет уведомление.
• Доступность. Благодаря размещению нескольких экземпляров приложения на разных узлах и автоматическому перезапуску обеспечивается высокая доступность программ.

Интеграция с другими инструментами

Одновременная работа нескольких кластеров может вызвать некоторые неудобства. Для того, чтобы их избежать, в систему интегрируют дополнительные инструменты управления.

Менеджер пакетов Helm дает возможность упростить работу приложений в кластере. Благодаря Helm у разработчиков и пользователей Kubernetes операции с кластерами проходит значительно быстрее и проще. К основным функциям менеджера пакетов можно отнести упрощенное описание приложений, хорошая эксплуатационная готовность, высокая скорость интеграции облачных программ. Достичь таких показателей удается за счет диаграмм, в которых содержатся все определения имеющихся в системе ресурсов.

Непрерывная интеграция (CI) и непрерывная доставка (CD) часто используется разработчиками для оперативного развертывания новых функций. Чаще всего CI/CD используется для автоинтеграции в репозитории кода, а также для сборки и запуска новых приложений. В частности, CI позволяет объединить изменения кода в общую ветку главного репозитория. В процессе CD программное обеспечение функционирует периодическими итерациями при частом обновлении репозитория. Таким образом CI/CD постоянно контролирует контейнер на предмет изменений и своевременно его развертывает.

Интеграция Kubernetes и GitOps позволяет более качественно и безопасно управлять приложениями и всей инфраструктурой в облачной среде. GitOps дает возможность автоматизировать развертываемость более быстро и практически без ошибок. Благодаря Kubernetes появляется возможность масштабировать приложения практически в любом масштабе.

Заключение

Kubernetes – мощная платформа для управления приложениями в контейнерах. Данный инструмент становится все более популярным среди разработчиков и инженеров DevOps благодаря своей гибкости, удобству использования и возможностям автоматизации процессов.