Kubernetes(也称为K8s)仍然是开发人员中需求最高的容器技术。K8s最初是由Google的工程师开发的,作为一种解决方案,它在本地、公共云、私有云或混合云的托管中都广受欢迎。Statista的数据显示,2021年公共云中Kubernetes的市场份额为16%,到2022年增长至45%。VMware关于2022年Kubernetes状况的报告还显示,在拥有1000名以上员工的大型企业中,对Kubernetes的采用率从2018年的27%增加到2020年的48%。
然而,尽管Kubernetes变得越来越受欢迎,但仍存在一些挑战,使得DevOps团队无法从使用K8s构建云原生应用程序中获得全部好处。他们如何平衡取舍并交付最佳项目呢?让我们一起快速了解一下。
观测性是关键Kubernetes具有很多优点,因为容器生态系统中存在多个节点和接触点。这使得全面了解整个K8s环境成为一项具有挑战性的任务。事实上,使用K8s的用户明白手动理解其容器是行不通的。然而,根据Groundcover公司的首席执行官兼联合创始人Shahar Azulay的说法,解决这个挑战的方法在于使用观测性工具。
通过使用观测性工具,DevOps团队可以全面了解Kubernetes中发生的一切,从日志到指标再到追踪。这使得DevOps团队能够快速修复错误并大规模构建应用程序。Azulay表示:“开发人员可以通过识别源头最有趣的数据,智能地对其进行采样,而不是收集和分析所有可用的数据或随机抽样数据,然后仅选择将这些数据发送到他们的观测性平台”。
通过观测性,DevOps团队可以减少停机时间、降低成本,并最终提高性能。如今一些最受欢迎的观测性工具包括Grafana、Groundcover和Prometheus。Azulay进一步指出,Groundcover代表了观测性的新一代,因为它“打破了常规的应用性能管理(APM)模式,提供了资源消耗极小、全面可观察且透明简化的定价”。
将安全置于首位仅关注观测性还不够,因为那只解决了问题的一半。尤其是在安全方面还有更多需要关注的地方。红帽(Red Hat)关于2023年Kubernetes安全状况的报告显示,94%的受访者在过去12个月中遇到了安全事故,64%的受访者由于K8s安全问题而延迟或放缓部署进程。30%的受访者还将漏洞视为他们对容器和K8s环境最担心的问题。
在Kubernetes环境中运行应用程序时保持安全显然非常重要。如果不将安全置于首要位置,可能会对性能产生负面影响,增加修复成本,并造成长期的破坏性影响。ARMO公司的开源安全提供商、当今最流行的Kubernetes安全工具Kubescape的创始人兼副总裁Box Craig指出,“与所有云软件一样,确保在将Kubernetes访问权限委派给团队时有适当的防护措施非常重要”。
Craig进一步指出,确保安全的一些步骤包括(但不限于):
定期进行安全补丁和更新。在配置K8s集群时遵循行业最佳实践。检查和验证镜像是否存在恶意代码、错误配置和其他漏洞。禁止访问云API元数据。利用基于角色的访问控制(RBAC),只允许用户根据其角色和职能访问K8s资源。使用Kubecsape等安全工具保护您的集成开发环境(IDE)、CI/CD流水线和集群。
解决存储问题在使用Kubernetes时,额外的存储会带来成本,并由开发人员和组织承担大部分费用。为了有效减少开发人员的部署摩擦,大型组织通常转向公共云环境,并减少对本地服务器的依赖。
ARMO公司的首席技术官兼联合创始人Ben Hirschberg表示,解决这个问题的一种方法是“在源头分析数据,最大程度地减少为观察而移动大量数据的需求。通过在节点或应用程序内部分析数据,不需要将所有数据移动到外部存储或可观测性平台。通过本地存储数据,DevOps团队可以避免不必要的数据传输成本,同时确保需要时可以立即获取必要的数据”。
优先考虑互操作性K8s面临的另一个挑战是互操作性,即应用程序在Kubernetes中相互通信的能力。云原生应用程序之间在K8s上的互操作通信并不像看起来那么直接。正如本文所指出的,缺乏互操作性可能会“影响集群部署,因为它包含的应用实例可能在集群中的各个节点上运行时出现问题”。
解决这个挑战的一种方法是利用跨多个组织合作项目(如AWS、Google、IBM、SAP和Red Hat)为您的云原生应用提供服务。
最后的思考最佳的K8s实践不是一劳永逸的解决方案;它们来自于不断从错误中学习并改进实践。对于已经被技术工作和以创纪录速度部署容器的需求所拖累的DevOps团队来说,这可能是一项艰巨的工作。幸运的是,观测性工具可以指明需要关注的重点,并帮助针对安全、互操作性、存储等关键问题采取有针对性的步骤。
