Kubernetes Day2 Operation的考量與實踐 E . W. K u o @ i T h o m e K u b e r n e t e s S u m m i t 2 0 2 2 Click to edit Master title style 2 “ 二哥 2 Wistron DX Lab 緯創數位轉型技術實驗室 • 緯創資通員工 • 社群的參與者 • 技術的佈道師 complexity Observability Observability Demo 3 Day2 運營 定義與說明 Kubernetes Day2 運營的挑戰 馴服運營 複雜性 可觀測性 實踐與思維 可觀測性 關聯演示 Click to edit Master title style 4 Day2 Operation 定 義 與 說 明 4 Click to edit Master 自助服務，依靠一小群平台工程師來 管理底層操作系統。 • Centralized policy controls • 運營團隊需要一種集中控制集群和工 作負載策略的方法，以確保根據組織 圍繞安全性、合規性和其他最佳實踐 的策略配置 Kubernetes 和容器。 • Kubernetes-native monitoring and logging for security and availability

Kubernetes安全求生指南 ©2019 VMware, Inc. 2  您的Kubernetes環境夠安全嗎?  Kubernetes安全最佳實務  VMware Enterprise PKS平台如何實踐K8s與容器的安全強化  最困難的部分其實是....  總結 本日議程 3 ©2019 VMware, Inc. 您的Kubernetes環境夠安全嗎? ©2019 ​整個Kubernetes運作環境是相當不安全的....  原生Kubernetes在安全設計上就有許多改善空間  公版Kubernetes許多預設值是不適當的  關於網路層級的安全實際上還有許多地方並未涵蓋  設計上並不特別考慮企業多團隊/多應用的分工與隔離  有非常多層次例如: 容器/映像/作業系統/基礎架構也須涵蓋 您知道嗎? ©2019 VMware 隨便Google就可找到好幾卡車的Kubernetes安全最佳實務/指南.... 6 ©2019 VMware, Inc. Kubernetes安全最佳實務 Kubernetes Security Best Practices ©2019 VMware, Inc. 7  關閉公開存取 (Disable public access)  實施角色型存取權控管 (Implement role-based

升效率及資源使用 率、加強安全性、導入自動化及加速創新；因此Gartner預測將有75%的全球組 織，在2022年之前於正式作業執行容器化應用程式，而這樣的數據並不會讓人 感到驚訝。1 Kubernetes已經成為管理容器化工作負載和服務的頂尖開放原始碼平台，不過 Kubernetes生態系統既龐大又複雜，不但有許多不同版本的Kubernetes可供選 擇，此外也難以瞭解哪種版本最適合組織的特定需求。 Kubernetes及OpenShift都利用運算子提供完整的 生命週期自動化。不過OpenShift運算子大多設計為隔離作業，而Canonical Kubernetes運算子則可共同組合，提供高度複雜的應用程式及服務。Canonical Kubernetes是以Juju部署，設計時將運算子列入考量，因此能夠更輕鬆解決維護和 升級等長期挑戰。 Rancher支援上游運算子，但無法在開箱後立即提供與Canonical 。 OpenShift支援最新的3個次要Kubernetes版本，支援各個版本的時間總計9個月。 在前3個月期間，特定版本會獲得「完整支援」，緊急修復一旦可用就會發行提供， 其他修復則是以定期修補程式的方式提供。至於剩下的6個月，版本會獲得「維護 支援」，在此期間非緊急修復由Red Hat全權決定是否提供。 Rancher支援N-1至N-4的最新Kubernetes版本(按照Rancher管理伺服器版本，一

的應用程式開發。 PS. 除了我的照片之外，投影片裡頭 所有的圖片都來自於 Google Search，版權歸原來各網站與企業所 有，謝謝。 Bio 2 / 74 Agenda 0. 前情提要 1. 進擊的 Hadoop 2. Hadoop 家族 3. Hadoop 戰隊 4. Hadoop 富二代 5. Hadoop 小圈圈 6. 喝咖啡騎大象建議 因為這個題目其實包山包海，所以我們今天只把焦點放在 因為這個題目其實包山包海，所以我們今天只把焦點放在 Hadoop 身上。 3 / 74 前情提要 4 / 74 由創建 Lucene 與 Nutch 的 Doug Cutting 主導開發 Lucene 是個全文檢索的程式 庫，Nutch 是個搜尋引擎 依循著 Google 2003/2004 年發表的論文來開發 2006 年從 Nutch 獨立出來， 稱為 Hadoop Hadoop 是 Doug 兒子黃色大象 玩偶的名稱 / 74 MapReduce (MRv2) 分工優點 ResourceManager 其實是 Resource Arbitrator，要考量到 Capacity、Fairness、 SLA 等問題，也提供 Pluggable Interface 實作不同想法。 ApplicationMaster 其實是 MRv1 與 MRv2 最大的不同，負責與中央的 ResourceManager 與各地的

Policy 應用程式 工具 生態系統 標準化 讓 Kubernetes 上服務網格能有 一致的標準 化繁為簡 定義服務網格各家方案之共通 應用需求 可擴充性 當一項功能被市場廣泛接受即 可立即擴充 … 更多服務網 格方案 Service Mesh Interface 這並非新概念 感覺很熟悉，因為之前 Kubernetes 上已經有類似概念被實現過了 …. 應用程式 工具 生態系統 與Linkerd https://openservicemesh.io/ Open Service Mesh (OSM) 以 CNCF Envoy 為基礎，實作 Service Mesh Interface 輕量化，開放源碼服務網格計畫 Kubernetes 實戰工作坊 Azure Kubernetes Service Workshop（L300） 13:00 ~ 15:00、15:00 ~ 17:00

cpl.thalesgroup.com 挑戰：保護 Kubernetes 環境的應用 程式安全 容器是為服務架構套件配置和軟體相依性的必要元素。 Kubernetes 是用於部署和管理這些容器的開源軟體。 使 用 Kubernetes 可以更快地交付、部署和管理容器化應用 程式，透過可重複使用的模組化元件提高效率、優化資源利 用和降低授權費用以節省成本。 然而還是存在各種風險： • 特權用戶濫用 CipherTrust Transparent Encryption for Kubernetes 提供用於加密、存取控制和資料存取日誌記錄的容器內核 功能，使企業能夠對Kubernetes 環境中的資料建立堅實 穩固的防護。 透過 CipherTrust Transparent Encrypton 的擴展，資料保護可以在每個容器的基礎上應用，兼具保 護容器的內部資料，以及經過容器存取的外部儲存資料， 都統一經由 OpenShift等群組 管理員，能夠像一般用戶執行操作，不會獲得未經授權 的機敏資料存取。 • 實現強大的安全性 - 無論容器在資料中心、虛擬環 境、甚至是雲端，任何地方儲存或使用，CipherTrust Transparent Encryption for Kubernetes 都將實現強 大的資料安全政策。無需對應用程式、容器或基礎架構 進行任何變更的情況下，企業可以選擇部署並使用容器 以提高成本效益、控制或效能。

果。確切地說，Kubernetes 是 Google 嚴格保密十幾年的秘密武器——Borg 的開源 專案版本。Borg 是 Google 久負盛名的一個內部使用的大規模叢集管理系統，它基 於容器技術，目的是實現資源管理的自動化，以及跨多個資料中心的資源利用率最 大化。十幾年來，Google 一直透過 Borg 系統管理著數量龐大的叢集式應用系統。 由於 Google 員工都簽署了保密協議，即便離職也不能洩露 的管控中心，負責對叢集中所有資源進行調度和協作。在每個 Node 上 執行 Kubelet、Proxy 和 Docker Daemon 三個元件，負責對本節點上的 Pod 的生命 週期進行管理，以及實現服務代理的功能。另外在所有節點上都可以執行 Kubectl 命令列工具，它提供了 Kubernetes 的叢集管理工具集。圖 1.14 描述了 Kubernetes 的系統架構。 圖 1.14 及叢集內資源物件互動的情況。 圖例： 圖 2.1 存取 Kubernetes 叢集 以下是對圖 2.1 中各種存取途徑的詳細說明（每個數字表示一種訪問的途徑）。 (1) 叢集內部各元件、應用或叢集外部應用程式存取 API Server。 (2) 叢集外部系統存取 Service。 (3) 此種情況包含： y 叢集內跨節點存取 Pod； y 叢集內跨節點存取容器； y 叢集內跨節點存取

應用 模組化程度 低 低 自動化成熟度 高 VMs (GCE) Kubernetes (GKE) PaaS (GAE) Serverless (GCF) App Engine 以原始碼為基礎佈署 Kubernetes Engine 以容器為基礎佈 隨選生成的K8S叢集 Compute Engine 隨選生成的虛擬機 IaaS and PaaS at Scale Google Google Kubernetes Engine ● Google Kubernetes Engine GKE ○ 在 Google Cloud 提供技術的 Kubernetes 上部署、管理容器化應用程式及調整資源 為何 Google GKE 是佈署 K8S 的首選 全球佈署 業界最多的佈 署地區選擇 多重版本 支援最多的 GKE發佈版本 ，自動升級 高可用性 支援跨資料中 心自動配置叢

上，由防火牆和負載均衡器保護。 軟體的網絡安全是基於IP地址和端口，以及防 火牆來控制的。 軟體網絡安全-在雲上引入微服務後 單體式軟體被分割成了小的功能模塊（可能是 容器化了的微服務），這些模塊在雲上更容易 實施也更容易擴展 但是網絡邊界怎麼辦? 零信任網絡 安全 數據加密, 認證, 授 權 ⁄ How does Consul work? Consul是什麼? Consul是一個服務網格解決方案，它提供了一整套完整的控制層方案，包 RPC and HTTP Traffic with Raft Consensus Algorithm Consul Connect Architecture 通過intentions實現 聲明式網絡安全互 聯 Consul Connect Architecture 基於PKI Certificate 的服務認證 ⁄ Demo Time! ⁄ Additional thoughts

面向终态升级 通过面向终态的应用管理理 念提高应用运维的效率 自愈能力升级 统一容器与应用实例周期简化 应用启动流程 不可变基础设施 分离基础设施与应用容器简化 应用运维复杂性面向终态升级 • 过程式的运维有什么问题？ 例子：升级某服务的 3000 个实例 容 器 平 台 运 维 平 台 容 器 平 台 运 维 平 台 Kubernetes 200 最大不可用数面向终态的应用管理