来自Sandeep Dinesh(谷歌)的5大Kubernetes最佳实践

最新推荐文章于 2021-10-06 20:17:26 发布
最新推荐文章于 2021-10-06 20:17:26 发布
阅读量444 收藏
点赞数
分类专栏: Kubernetes 文章标签: kubernetes docker best practice namespace service

文章目录

来自Sandeep Dinesh(谷歌)的5大Kubernetes最佳实践

原文链接:https://www.weave.works/blog/kubernetes-best-practices
在最近的 Weave Online User Group (WOUG)上,两位发言者介绍了Kubernetes的主题。Sandeep Dinesh(@SandeepDinesh),Google Cloud的开发者倡导者提供了在Kubernetes上运行应用程序的最佳实践列表。Weaveworks工程师Jordan Pellizzari(@jpellizzari)接着就Kubernetes开发和运行SaaS Weave Cloud两年后的经验教训进行了跟进。

Kubernetes的最佳实践

此演示文稿中的最佳实践源于Sandeep及其团队关于您可以在Kubernetes中执行相同任务的许多不同方式的讨论。他们编制了一份这些任务的清单,并从中衍生出一套最佳实践。

最佳实践分为:

  1. 构建容器
  2. 容器内部
  3. 部署
  4. 服务
  5. 应用架构

一、构建容器

1.不要相信任意基础镜像

不幸的是,我们看到这种情况一直在发生,Pradeep说。人们将从DockerHub中获取某人创建的基本图像 - 因为乍一看它有他们需要的包 - 但随后将任意选择的容器推向生产。

这有很多错误:您可能使用了具有漏洞的错误代码版本,其中存在错误,或者更糟糕的是它可能会故意捆绑恶意软件 - 您只是不知道。

为了缓解这种情况,您可以运行CoreOS’Clair或Banyon Collector之类的静态分析,您可以使用它来扫描容器中的漏洞。

2.保持基础镜像尽可能小

从最精简最可行的基本图像开始,然后在顶部构建您的包,以便您知道内部的内容。

较小的基础图像也减少了开销。您的应用程序可能只有大约5 MB,但如果您盲目地使用现成的图像,例如Node.js,它包含一个额外的600MB库,您不需要。

较小图像的其他优点:

  1. 更快的构建
  2. 存储量减少
  3. 图像拉动速度更快
  4. 可能减少攻击面
    在这里插入图片描述

3.使用构建器模式

此模式对于编译为Go和C ++或Typescript for Node.js的静态语言更有用。

在这种模式中,您将拥有一个包含编译器,依赖项和单元测试的构建容器。然后代码运行第一步并输出构建工件。它们与任何静态文件,包等组合在一起,并通过运行时容器,该容器也可能包含一些监视或调试工具。

最后,您的Docker文件应该只引用您的基本映像和运行时环境容器。
在这里插入图片描述

二、容器内部

1.容器内使用非root用户

当以root身份在容器内更新包时,您需要将用户更改为非root用户。

原因是,如果有人攻击您的容器并且您没有从root更改用户,那么简单的容器转义可以让他们访问您将成为root用户的主机。当您将用户更改为非root用户时,黑客需要额外的黑客尝试才能获得root访问权限。

作为最佳实践,您希望尽可能多地在您的基础架构周围安装shell。

在Kubernetes中,您可以通过设置 Security context runAsNonRoot:true 来强制执行此操作,这将使其成为整个群集的策略范围设置。

2.文件系统只读

这是另一个可以通过设置选项readOnlyFileSystem:true来强制执行的最佳实践。

3.一个容器一个进程

您可以在容器中运行多个进程,但建议只运行一个进程。这是因为orchestrator的工作方式。Kubernetes根据流程是否健康来管理容器。如果你在容器内运行了20个进程 - 它将如何知道它是否健康?

要运行所有谈话并相互依赖的多个进程,您需要在Pod中运行它们。

4.不要使用Restart on Failure, 而应当Crash Cleanly

Kubernetes为您重新启动失败的容器,因此您应该使用错误代码彻底崩溃,以便他们可以在没有您干预的情况下成功重新启动。

5.将所有日志打到标准输出和标准错误输出(stdout&stderr)

默认情况下,Kubernetes会监听这些管道并将输出发送到您的日志记录服务。例如,在Google Cloud上,他们会自动转到StackDriver。

三、部署

1.使用“记录”选项以便轻松回滚(record)

应用yaml时,请使用–record标志:

kubectl apply -f deployment.yaml --record

使用此选项,每次有更新时,它都会保存到这些部署的历史记录中,并使您能够回滚更改。
在这里插入图片描述

2.多使用描述性的标签(label)

由于标签是任意键值对,因此它们非常强大。例如,考虑下面的图表,名为’Nifty’的应用程序分布在四个容器中。使用标签,您可以通过选择后端(BE)标签仅选择后端容器。
在这里插入图片描述

3.用sidecar来做代理、监视器等

有时您需要一组进程来相互通信。但是你不希望所有这些都在一个容器中运行(参见上面“每个容器一个进程”),而是在Pod中运行相关进程。

同样,当您运行代理或您的流程所依赖的观察程序时。例如,您的进程所依赖的数据库。您不会将凭据硬编码到每个容器中。相反,您可以将凭证作为代理部署到安全处理连接的sidecar中:
在这里插入图片描述

4.不要使用sidecar来做启动引导

尽管sidecar在处理集群内外的请求时非常有用,Sandeep不推荐使用它做启动。再过去,引导启动(bootstraping)是唯一选项,但是现在Kubernetes有了“init 容器”。

当容器里面的一个进程依赖于其它的一个微服务时, 你可以使用init容器来等到进程启动以后再启动你的容器。这可以避免当进程和微服务不同步时产生的很多错误。

基本原则就是: 使用sidecar来处理总是发生的事件,而用init容器来处理一次性的事件。

5.不要使用:latest或者无标签

这个原则是很明显的而且大家基本都这么在用。如果你不给你的容器加标签,那么它会总是拉最新的,这个“最新的”并不能保证包括你认为它应该有的那些更新。

6.善用readiness、liveness探针

使用探针可以让Kubernetes知道节点是否正常,以此决定是否把流量发给它。缺省情况下Kubernetes检查进程是否在运行。但是通过使用探针, 你可以在缺省行为下加上你自己的逻辑。
在这里插入图片描述

四、服务

1.不要使用type: Loadbalancer

每次你在部署文件里面加一个公有云提供商的loadbalancer(负载均衡器)的时候,它都会创建一个。 它确实是高可用,高速度,但是它也有经济成本。
使用Ingress来代替,同样可以实现通过一个end point来负载均衡多个服务。这种方式不但更简单,而且更经济。
在这里插入图片描述
当然这个策略只有你提供http和web服务时有用,对于普通的TCP/UDP应用就没用了。

2.Type: Nodeport可能已经够用了

这个更多是个人喜好,并不是所有人都推荐。NodePort把你的应用通过一个VM的特定端口暴露到外网上。 问题就是它没有像负载均衡器那样有高可用。比如极端情况,VM挂了你的服务也挂了。

3.使用静态IP, 它们免费!

在谷歌云上很简单,只需要为你的ingress来创建全局IP。类似的对你的负载均衡器可以使用Regional IP。这样当你的服务down了之后你不必担心IP会变。

4.将外部服务映射到内部

Kubernetes提供的这个功能不是所有人都知道。如果您需要群集外部的服务,您可以做的是使用ExternalName类型的服务。这样你就可以通过名字来调用这个服务,Kubernetes manager会把请求传递给它,就好像它在集群之中一样。Kubernetes对待这个服务就好像它在同一个内网里面,即使实际上它不在。

五、应用架构

1.使用Helm Charts

Helm基本上就是打包Kubernetes应用配置的仓库。如果你要部署一个MongoDB, 存在一个预先配置好的Helm chart,包括了它所有的依赖,你可以十分容易的把它部署到集群中。
很多流行的软件/组件都有写好了的Helm charts, 你可以直接用,省掉大量的时间和精力。

2.所有下游的依赖是不可靠的

你的应用应该有逻辑和错误信息负责审计你不能控制的所有依赖。Sandeep建议说你可以使用Istio或者Linkerd这样的服务网格来做下游管理。

3.使用Weave Cloud

集群是很难可视化管理的。 使用Weave Cloud可以帮你监视集群内的情况和跟踪依赖。

4.确保你的微服务不要太“微小”

你需要的是逻辑组件,而不是每个单独的功能/函数都变成一个微服务。

5.使用命名空间来分离集群

例如, 你可以在同一个集群里面创建prod、dev、test这样不同的命名空间,同时可以对不同的命名空间分配资源, 这样万一某个进程有问题也不会用尽所有的集群资源。

6.基于角色的访问控制(RBAC)

实施时当的访问控制来限制访问量, 这也是最佳的安全实践。

从运行Weave Cloud生产环境学到的教训

接下来,Jordan Pellizzari讲述了我们在过去两年中在Kubernetes上运行和开发Weave Cloud所学到的知识。

我们目前在AWS EC2上运行,在13个主机和大约150个容器上运行大约72个Kubernetes Deployments。

我们所有的持久存储都保存在S3,DynamoDB或RDS中,我们不会将状态保存在容器中。

有关我们如何设置基础架构的更多详细信息,请参阅 Weaveworks & AWS: How we manage Kubernetes clusters

挑战1.基础设施的版本控制

在Weaveworks,我们所有的基础设施都保存在Git中,当我们进行基础设施更改(如代码)时,它也可以通过拉取请求完成。我们一直在调用这个GitOps,我们有很多关于它的博客。您可以从第一个开始: GitOps - Operations by Pull Request

在Weave,Terraform脚本,Ansible以及当然Kubernetes YAML文件都在Git下进行版本控制。

将您的基础设施保留在Git中的最佳做法有很多原因:

  • 发布很容易回滚
  • 关于谁做了什么创造的可审计的踪迹
  • 灾难恢复要简单得多

问题:当Prod与版本控制不匹配时,您会怎么做?

除了将所有内容保存在Git中之外,我们还运行一个过程来检查prod群集中运行的内容与检入版本控制中的内容之间的差异。当它检测到差异时,会向我们的松弛通道发送警报。

我们使用名为Kube-Diff的开源工具检查差异。

挑战2.自动化持续交付

自动化CI / CD管道并避免手动部署Kubernetes。由于我们每天要多次部署,因此这种方法可以节省团队宝贵的时间,因为它可以消除手动容易出错的步骤。在Weaveworks,开发人员只需执行Git推送,Weave Cloud负责其余工作:

  • 标记代码通过CircleCI测试运行并构建新的容器映像并将新映像推送到注册表。
  • Weave Cloud’Deploy Automator’通知图像,从存储库中提取新图像,然后在配置仓库中更新其YAML。
  • 部署同步器检测到群集已过期,它从配置存储库中提取已更改的清单,并将新映像部署到群集。

这是一篇较长的文章(The GitOps Pipeline),我们认为这是构建自动化CICD管道时的最佳实践。
在这里插入图片描述

综上所述

Sandeep Dinesh深入介绍了在Kubernetes上创建,部署和运行应用程序的5个最佳实践。接下来是Jordan Pellizzari关于Weave如何在Kubernetes中管理其SaaS产品Weave Cloud以及所吸取教训的演讲。

KINGSUO2016
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GitOpsKubernetes多集群环境下的高效CICD实践.pdf
08-29
GitOpsKubernetes多集群环境下的高效CICD实践.pdf
石蕊:Litmus帮助Kubernetes SRE和开发人员以Kubernetes原生方式练习混沌工程。 混沌实验发表在ChaosHub(https:hub.litmuschaos.io)上。 社区注释位于https://hackmd.ioa4Zu_sH4TZGeih-xCimi3Q
01-31
石蕊属 原生混沌工程 用阅读。 总览 Litmus是进行原生混沌工程的工具集。 Litmus提供了一些工具来协调Kubernetes上的混乱情况,以帮助SRE发现其部署中的弱点。 SRE最初在登台环境中使用Litmus进行混乱的实验,最终在生产中使用它们来发现错误,漏洞。 修复弱点可提高系统的弹性。 Litmus采用原生方法来创建,管理和监视混乱。 使用以下Kubernetes自定义资源定义( CRD )编排混乱: ChaosEngine :一种资源,用于将Kubernetes应用程序或Kubernetes节点链接到ChaosExperiment。 Litmus的Chaos-Operator监视ChaosEngine,然后调用Chaos-Experiments ChaosExperiment :用于分组混沌实验的配置参数的资源。 当ChaosEngine调用实验时,由操作员创建ChaosExperiment CR。 ChaosResult :用于保存混沌实验结果的资源。 Chaos-exporter读取结果并将度量导出到已配置的Prometheus服务器
Kubernetes生产最佳实践 -应用开发
weixin_42526859的博客
09-03 256
第一章 应用开发 健康检查相关 就绪探针确定容器何时可以接收流量。 kubelet 执行检查并决定应用程序是否可以接收流量。 活性探针确定何时应重新启动容器。 kubelet 执行检查并决定是否应该重新启动容器。 容器具有readiness探针 *注意,readiness 和 liveness 没有默认值。 如果您没有设置就绪探测,kubelet 会假设应用程序在容器启动后就准备好接收流量。 如果容器需要 2 分钟才能启动,那么在这 2 分钟内对它的所有请求都将失败。 出现致命错误时容器崩溃 如果应用程
五大Kubernetes最佳实践
Docker的专栏
04-15 2117
在最近的一次Weave用户组在线会议WOUG[1]上两个工程师做了Kubernetes相关的分享。谷歌的开发者布道师Sandeep Dinesh(@SandeepDinesh)做了一个演讲,给大家列举了在Kubernetes上运行应用的最佳实践清单;Jordan Pellizzari(@jpellizzari),是来自Weaveworks的工程师,随后也做了一个分享,内容是在他们使用Kubern
[kubernetes]7-1/2/3/4/5 cicd实践
爷来辣的博客
01-05 326
7-1 kubernetes与cicd 没什么花头 7-2 cicd实践(1) 构建成功 7-3 cicd实践(2) 定义环境变量 上传代码到git pipline script如下 node { env.BUILD_DIR = "/root/build-workspace/" env.MODULE = "web...
sandeep13712
03-30
当前正在寻找与数据科学或数据平台开发相关的新机会 :red_circle: 关于我 :telescope: 我目前正在开发一种解析器,用于从研究文章中... Google AppScript | BashScript | VBA-脚本 Java脚本D3.js | CSS | 材料设计库|
Sandeep:桑迪普样品
06-28
【标题】"Sandeep:桑迪普样品" 指的可能是一个个人...通过深入研究Sandeep的项目,不仅可以学习Java编程,还能了解到实际项目开发中的最佳实践、工具使用以及协作流程,对于提升自身的编程技能和项目管理能力大有裨益。
[HTML5] HTML5 基础教程 英文版
10-02
[作者信息] Tiffany B Brown Kerry Butters Sandeep Panda [出版机构] SitePoint [出版日期] 2014年02月16日 [图书页数] 250页 [图书语言] 英语 [图书格式] PDF 格式">☆ 资源说明:☆ [SitePoint] HTML5 基础...
sandeep-sthapit-nuxt
03-19
Sandeep-Sthapit构建设置# install dependencies$ yarn install# serve with hot reload at localhost:3000$ yarn dev# build for production and launch server$ yarn build$ yarn start# generate static project$...
Kubernetes CICD 开发部署环境
qq_37377136的博客
01-17 1180
此篇可作为开发人员部署环境, 请先查看CICD流程篇章 前提环境: kubernetes Jenkins Gitlab Harbor 必须有Master与Slave分布式 环境 涉及参考文档: Pipeline 获取构建项目的用户 Pipeline 语法1 Jenkinsfile 获取构建项目的用户 Pipeline 语法2 钉钉机器人插件 语法介绍 插件文档介绍: build user vars 插件介绍 DingTalk 插件介绍 接着上篇文章操作 Kubernetes CICD发布
Kubernetes 最佳实践:正常终止
谷歌开发者
07-09 4982
发布人:开发技术推广工程师 Sandeep Dinesh谈到分布式系统,故障处理是关键。Kubernetes 利用控制器来监控系统状态并重新启动已停止执行的服务,可有效解...
GitOps:Kubernetes多集群环境下的高效CICD实践
weixin_34275734的博客
04-18 296
为了解决传统应用升级缓慢、架构臃肿、不能快速迭代、故障不能快速定位、问题无法快速解决等问题,原生这一概念横空出世。原生可以改进应用开发的效率,改变企业的组织结构,甚至会在文化层面上直接影响一个公司的决策,可以说,时代的原生应用大势已来。在容器领域内,Kubernetes已经成为了容器编排和管理的社区标准。它通过把应用服务抽象成多种资源类型,比如D...
Kubernetes 存活探针和就绪探针的最佳实践
小楼一夜听春雨,深巷明朝卖杏花
09-24 625
Kubernetes存活探针和就绪探针的最佳实践 【编者的话】Kubernetes提供了两种探针来检查容器的状态,Liveliness和Readiness,根据官方文档,Liveliness探针是为了查看容器是否正在运行,翻译为存活探针,Readiness探针是为了查看容器是否准备好接受HTTP请求,翻译为就绪探针。这篇文章主要阐述了作者在使用这两种探针时总结的一些最佳实践。 在Kubernetes中,Pod是Kubernetes创建及管理的最小的可部署的计算单元,一个Pod由一个或者多个容器(Doc..
基于Kubernetes Jenkins CICD(项目实战)
qq_23435961的博客
12-02 1319
基于Kubernetes Jenkins CICD 一、在Kubernetes 安装 Jenkins优点 目前很多公司采用Jenkins集群搭建复合需求的CI/CD流程,但是会存在一些问题 主Master发生单点故障时,整个流程都不可用 每个Slave的环境配置不一样,来完成不同语言的编译打包,但是这些差异化的配置导致管理起来不方便,维护麻烦 资源分配不均衡,有的slave要运行的job出现排队等待,而有的salve处于空闲状态 资源有浪费,每台slave可能是物理机或者虚拟机,当slave处于空闲状态时
实战:Kubernetes网络service实验(成功测试-博客输出)-20211005
weixin_39246554的博客
10-06 478
目录 文章目录目录写在前面基础知识实验环境实验1:定义service资源1.编写service.yaml2.apply下service.yaml并查看3.我们来看service是如何关联项目的pod的呢?实验2:多端口Service定义services资源实验环境1.编写service.yaml文件2.apply下service.yaml并查看实验3:Service三种常用类型测试实验环境1、service中Cluster IP配置2、service中NodePort配置实战4:Service代理模式:k.
混沌工程之 ChaosToolkit K8S 使用之删除 POD 实验
Mo小泽的技术博客
09-28 757
文章目录什么是 ChaosToolkit?实验准备安装 python3安装 pipenv安装 chaos-toolkit 的 k8s 扩展和报告模块创建虚拟环境实验实操chaos discover 探索试验chaos init 生成试验Chaos Run 执行案例检查结果小结 什么是 ChaosToolkit? 今天我们来玩一下混沌工程的开源工具 ChaosToolkit ,它的目标是提供一个免费,开放,社区驱动的工具集以及api。 ​ 官方源码链接:https://github.com/chaostool
基于Jenkins + Kubernetes实践
Andriy_dangli
12-18 3775
概述 本文将介绍两个令人惊奇和相当有趣的技术实践。一个是Jenkins,一个流行的持续集成/发布的工具,另一个是Kubernetes,一个流行的容器编排引擎。 文章重要分为两部分:在kubernetes集群中部署jenkins集群;利用jenkins的kubernetes plugin实现对jenkins slave的动态管理 架构如下 部署jenkins 创建jenkins-rbac.yaml...
Oracle 11i高级产品目录实施指南:快速入门与最佳实践
总体来说,Oracle Advanced Product Catalog Implementation Guide是企业级产品经理、系统管理员和技术人员在部署和维护Oracle 11i环境下高级产品目录系统的重要参考资料,提供了全面的实施步骤和最佳实践,有助于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值