Самая популярная программа оркестрирования контейнеров в облаках обладает усиленной защитой и управлением доступом на основе ролей.

Если вы хотите управлять контейнерами в облаке, программа Kubernetes вам подойдет. Ее новейший релиз, Kubernetes 1.8, лучше всех прежних.

Почему это важно? Контейнеры быстро превращаются в способ запуска серверных приложений в ЦОДах и в облаках. Согласно недавнему докладу исследовательской фирм Redmonk, 54% компаний из списка Fortune 100 уже применяют Kubernetes. Некоторые в весьма крупных масштабах.

Например, у компании Ancestry.com имеется 20 млрд. исторических записей и 90 млн. генеалогических деревьев. Это делает ее крупнейшей в мире потребительской сетью, хранящей образцы ДНК. Благодаря Kubernetes она сократила время развертывания своего сервиса вывода изображений Shaky Leaf с 50 до 2-5 минут. Инженер и архитектор ПО Ancestry Пол Маккей написал: «Мы очень близки к тому, чтобы к концу года иметь в Kubernetes все, что должно или может быть в дружественном для Linux мире».

Возможно, важнейшей особенностью этого нового релиза является управление доступом на основе ролей (role based access control, RBAC). Оно позволяет администраторам кластеров динамически определять роли, чтобы осуществлять политики доступа через API-интерфейс Kubernetes.

RBAC включает также бета-вариант поддержки фильтрации исходящего трафика посредством сетевых политик Kubernetes, который дополняет имеющуюся поддержку фильтрации входящего трафика капсулы (pod). Капсулы — это самые мелкие блоки Kubernetes. Они состоят из одного или нескольких контейнеров, имеющих общие ресурсы хранения, сетевые ресурсы и инструкции по запуску контейнеров. RBAC и сетевые политики представляют собой два мощных инструмента соблюдения требований организационной и регуляционной безопасности Kubernetes.

Данная редакция включает также бета-версии основных API-интерфейсов Workload — наиболее свежие версии Deployment, DaemonSet, ReplicaSet и StatefulSet. Теперь API-интерфейсы Workload приобрели стабильность. Они могут использоваться для переноса имеющихся задач в Kubernetes и для разработки чисто облачных приложений. API-интерфейсы Workload помогают также пользователям больших данных, обеспечивая встроенную поддержку Apache Spark в Kubernetes.

Еще одно новшество, бета-версия Custom Resource Definitions (CRD), предоставляет механизм расширения Kubernetes с помощью заданных пользователем объектов API. Как вам этим воспользоваться? Один из способов заключается в использовании CRD для автоматизации сложных приложений с запоминанием состояния, таких как хранилища «ключ-значение», базы данных и механизмы хранения с использованием Operator Pattern. В настоящее время CRD не имеют средств проверки, но их появление ожидается в следующем релизе.

Чтобы воздать должное компьютингу в старом стиле, выпущена бета-версия CronJobs. Это позволит администраторам запускать пакеты контейнеров для выполнения таких задач хранилищ данных, как «извлечение-преобразование-загрузка» (ETL) в ночное время.

Углубляясь в эту тему, менеджер проекта Red Hat OpenShift Майк Барретт и пропагандист контейнеров Red Hat Linux Джо Брокмейер пишут, что их клиенты с нетерпением ожидают решений для пакетных задач. Они считают, что созданный Рабочей группой по управлению ресурсами (Resource Management Working Group) «альфа-код вызовет новую волну в облачных вычислениях».

При посредстве Device Manager это предоставляет разработчикам доступ к таким устройствам, как сетевые интерфейсы, графические процессоры, программируемые пользователем вентильные матрицы (FPGA), шины Infiniband и т. д. CPU Manager позволяет затребовать использование конкретного процессора, чтобы гарантировать качество обслуживания. HugePages дает возможность использовать огромные страницы памяти, размер которых лимитируется только аппаратными ограничениями.

Функциональностью, которой особенно восхищается компания CoreOS, использующая контейнеры и Kubernetes, является сложный аудит Kubernetes, достигший стадии бета-версии. Это, как сказал инженер CoreOS Эрик Чанг, «вводит форматированные журналы аудита, политики для контроля того, что именно подвергается аудиту, и отправку сведений о событиях внешним сервисам. Теперь события аудита можно настраивать, чтобы они полностью соответствовали запросам, агрегированным в центральном офисе... Формат событий аудита будет подвергаться только тем изменениям, которые обеспечивают обратную совместимость. Это предоставляет сообществу возможность начать экспериментировать со способами получения и отражения информации о событиях из журнала аудита, а также с предпринимаемыми в результате этих событий действиями. Одним из первых примеров этого является инструмент audit2rbac, который получает сведения о событиях аудита и автоматически создает профили RBAC».

Сложите все это вместе и получится крупный шаг вперед в превращении Kubernetes в программу на все случаи жизни для оркестрирования контейнеров в облаках.

Версия для печати