Kubernetes佈署管理與安全最佳實踐

12 分鐘閱讀

Ansible 的動態清單功能可自動取得雲端供應商的資源資訊,簡化 Kubernetes 叢集的佈署與管理。透過 Ansible Playbook,可以輕鬆執行回復操作、調整副本數量,並確保佈署的可靠性。Kubernetes 安全方面,文章涵蓋了雲端原生安全的四個 C、AAA 機制以及 SELinux、AppArmor 等 Linux 核心安全擴充套件。同時也提供多階段構建的 Dockerfile 範例,以減少映像大小並提升安全性。此外,文章也說明瞭 Ansible 如何與 AWS 等雲端供應商整合,並探討了 OpenID Connect 和 Calico 網路安全等技術,確保 Kubernetes 叢集的安全性和穩定性。最後,文章介紹了 Amazon EKS 的叢集管理、安全最佳實踐以及與 Ansible 的整合,提供更全面的 Kubernetes 佈署與管理方案。

Kubernetes 動態清單與佈署管理

使用 Ansible 管理 Kubernetes 資源

Ansible 是一種自動化工具,可用於管理 Kubernetes 資源,包括佈署、擴充套件和回復。Ansible 的動態清單功能允許從外部來源自動生成和更新清單資訊,例如雲端提供者、CMDB 和清單管理系統。

Kubernetes 動態清單

Kubernetes 動態清單是 Ansible 的一個功能,允許自動生成和更新清單資訊。這使得使用者能夠動態地佈署基礎設施和應用程式,並快速自動化它們。清單儲存在 YAML 檔案中,然後由 Ansible 用來確定要針對哪些主機執行任務。

回復佈署和 DaemonSets

佈署可能會因為各種原因而失敗。在這種情況下,計劃 B 應該是執行回復到先前的工作版本的應用程式或服務。可以使用 Ansible Playbook 來觸發對佈署和 DaemonSets 的回復操作。

回復範例

---
- name: k8s rollback
  hosts: all
  vars:
    myproject: "ansible-examples"
    kind: "Deployment"
    name: "nginx-server"
  tasks:
    - name: rollback
      kubernetes.core.k8s_rollback:
        api_version: apps/v1
        kind: "{{ kind }}"
        name: "{{ name }}"
        namespace: "{{ myproject }}"

清單檔案

localhost ansible_connection=local

執行 ansible-playbook 命令,並指定清單檔案和 playbook 檔案名稱:

$ ansible-playbook -i inventory rollback.yml

設定佈署、ReplicaSet 或 Replication Controller 的大小

可以使用 kubernetes.core.k8s_scale Ansible 模組自動設定佈署、ReplicaSet 或 Replication Controller 的副本數量,或 Job 的平行屬性。

安全

安全是一個廣泛的概念,尤其是在像 Kubernetes 叢集這樣的多個元件相互連線的環境中。Linux 核心有多個重疊的安全擴充套件功能(capabilities、SELinux、AppArmor 和 seccomp-bpf),可以組態這些功能來為程式提供最小的許可權。

四個 C

Kubernetes 在此領域的參考是雲端原生安全的四個 C:

  • Cloud(雲端)
  • Cluster(叢集)
  • Container(容器)
  • Code(程式碼)

首先,託管叢集的雲端基礎設施需要得到充分的安全保護,並且只允許受信任的網路存取叢集上的連線埠。預設情況下,容器引擎是對任何地方開放的。網路防火牆可以幫助減輕這種行為。

身份驗證、授權和記帳(AAA)

每次發出請求時,Kubernetes 會使用身份驗證、授權和記帳(AAA)來確定是否允許或拒絕該請求。這就是 Kubernetes 叢集驗證使用者身份和使用者被授權執行操作的方式。策略根據角色型存取控制(RBAC)或屬性型存取控制(ABAC)定義許可權。

最佳實踐

為了提高安全性,可以採取以下最佳實踐:

  • 使用最小的映像,並刪除所有不必要的二進位檔案。
  • 使用 scratch 建立映像,並新增 USER 指令以非 root 使用者身份在容器中執行。
  • 簽署映像以僅執行受信任的容器。
  • 結合 scratch 和多階段構建,以獲得一個精簡的映像,其中僅包含應用程式。

多階段構建範例

FROM fedora:latest as build
COPY hello.go /app
WORKDIR /app/
RUN go build -o hello
FROM scratch
COPY --from=build /app/hello /app/
ENTRYPOINT ["/app/hello"]

內容解密:

此 Dockerfile 使用多階段構建來建立一個精簡且安全的映像。第一階段使用 Fedora 映像來構建應用程式,第二階段使用 scratch 映像並將構建好的應用程式複製到其中。這樣可以確保最終的映像中只包含必要的檔案,從而減少攻擊面。

圖表翻譯:

此圖示顯示了 Kubernetes 安全性的四個 C:雲端、叢集、容器和程式碼。每個 C 代表了一個需要關注的安全領域,以確保整個 Kubernetes 環境的安全。

Ansible 在 Kubernetes 雲端供應商管理中的應用

隨著雲端運算的快速發展,企業對於雲端供應商(Cloud Providers)的需求日益增加。雲端運算提供了一種商業模式,讓使用者能夠按需使用運算資源、儲存、資料函式庫和網路資源,且能夠快速擴充套件。近年來,機器學習和人工智慧資源也變得越來越流行。

雲端供應商的優勢

根據市場研究機構的報告,企業採用雲端原生技術的比例正在逐年增加。Forrester 的報告預測,2023 年全球企業組織採用雲端原生的比例將達到 50%。Gartner 則預測,2023 年全球公有雲端服務的終端使用者支出將達到 5918 億美元。

企業之所以轉向雲端供應商,主要原因是維護本地基礎設施可能會耗費大量 IT 資源。雲端供應商提供了經濟實惠的總體擁有成本(TCO)和全託管服務,使企業能夠更輕鬆地佈署和管理應用程式。

容器技術的重要性

從應用程式的角度來看,無論是在本地、雲端還是在混合基礎設施上執行,容器技術使得應用程式能夠保持平台獨立性。這意味著企業可以在不同的環境中佈署和管理應用程式,而無需進行任何更改。

Ansible Dynamic Inventories 的應用

Ansible Dynamic Inventories 能夠與雲端供應商 API 互動,檢索識別符號和 IP 地址,這使得它在管理雲端資源時非常有用。隨著受管機器和系統的數量增加,需要一個強大的工具來遵守法規和規定。


#### Ansible Dynamic Inventory 的範例程式碼
- name: Retrieve instances from AWS
  amazon.aws.ec2_instance_info:
    region: us-west-2
  register: ec2_instances

- name: Print instance IDs
  debug:
    msg: "{{ item.instance_id }}"
  loop: "{{ ec2_instances.instances }}"

內容解密:

  1. 檢索 AWS 例項資訊:使用 amazon.aws.ec2_instance_info 模組從指定的 AWS 區域檢索例項資訊,並將結果註冊到 ec2_instances 變數中。
  2. 列印例項 ID:使用 debug 模組列印每個例項的 ID。

Kubernetes 與雲端供應商的整合

Kubernetes 能夠在本地、雲端或混合基礎設施上執行 Pod,且無需進行任何更改。這使得企業能夠更靈活地佈署和管理應用程式。

OpenID Connect 與 Kubernetes 的整合

OpenID Connect (OIDC) 是一種建立在 OAuth 2.0 之上的身份驗證層,能夠提供安全的身份驗證機制。Kubernetes 提供了一個每叢集的公開 OIDC 端點,能夠讓外部系統驗證和接受 Kubernetes 簽發的 OIDC 令牌。


#### OIDC 組態範例
apiVersion: v1
kind: ConfigMap
metadata:
  name: oidc-config
data:
  issuer_url: "https://oidc.example.com"
  client_id: "your_client_id"

內容解密:

  1. OIDC 組態:定義了一個 ConfigMap 物件,用於儲存 OIDC 相關的組態資訊。
  2. Issuer URL 和 Client ID:指定了 OIDC 提供者的 URL 和客戶端 ID。

Calico 網路安全

Calico 能夠為 Kubernetes Pod 提供網路安全功能,實作零信任安全模型。預設情況下,所有流量都被視為危險流量,需要手動設定允許清單。


#### Calico 網路策略範例
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-same-namespace
spec:
  podSelector: {}
  ingress:
  - from:
    - podSelector: {}

內容解密:

  1. 網路策略:定義了一個網路策略物件,用於控制 Pod 之間的流量。
  2. 允許來自相同名稱空間的流量:允許來自相同名稱空間的 Pod 的流量進入。

雲端運算與Ansible自動化

雲端運算是現代IT基礎設施的重要組成部分,允許多組織根據需求動態調整資源。透過採用雲端運算,企業可以將Kubernetes控制平面的管理委託給雲端供應商,從而遵循國際安全和流程管理標準。

分享責任模型

在雲端運算中,責任的分擔取決於所選擇的服務模式。表7-1展示了不同雲端服務模式下的責任分擔:

責任本地佈署IaaSPaaSSaaS
應用程式組態客戶客戶客戶客戶
身份和存取控制客戶客戶分享分享
應用程式資料儲存客戶客戶分享供應商
應用程式客戶客戶客戶供應商
作業系統客戶客戶供應商供應商
網路流控客戶分享供應商供應商
主機基礎設施客戶供應商供應商供應商
物理安全客戶供應商供應商供應商

表格解密:

此表格展示了在不同雲端服務模式下,客戶與供應商之間的責任分擔。在IaaS模式下,客戶負責應用程式組態、身份和存取控制等,而供應商則負責主機基礎設施和物理安全。

雲端架構

雲端供應商的資料中心架構分為區域(Region)和可用區(Availability Zone)。圖7-1展示了Amazon Web Services(AWS)的全球基礎設施地圖。

圖7-1:AWS全球基礎設施地圖

此圖示展示了AWS的全球資料中心分佈,包括區域和可用區。

圖表翻譯: 此圖表顯示了AWS在全球範圍內的資料中心分佈情況。區域代表一組低延遲網路連線的資料中心,而可用區則是區域內獨立的資料中心。這種架構確保了高用性和容錯能力。

高用性與冗餘設計

為了實作高用性和冗餘,應用程式應佈署在多個可用區。這種架構使得服務更加可靠,能夠容忍部分資源或可用區的故障。

雲端服務模式

雲端供應商提供三種主要的架構模式:

  • 基礎設施即服務(IaaS):提供虛擬機器等基礎設施,客戶需自行管理作業系統和應用程式。
  • 平台即服務(PaaS):提供一個完全託管的平台,客戶只需關心應用程式的開發和佈署。
  • 軟體即服務(SaaS):提供完整的軟體應用,客戶無需管理基礎設施或平台。

IaaS模式下的虛擬機器

虛擬機器是雲端運算的基本組成部分。客戶可以選擇不同的作業系統映像,並自行管理虛擬機器的組態和維護。

PaaS模式下的託管服務

PaaS模式下,雲端供應商負責管理資源,客戶只需專注於應用程式的開發和交付。

容器技術在雲端運算中的作用

容器技術因其自包含的依賴性和高效性,在現代雲端運算中扮演著重要角色。容器減少了維護相關的開銷,提高了可移植性和效率。

雲端運算與Kubernetes的基礎架構

現代IT基礎架構中,雲端運算扮演著至關重要的角色。大多數供應商提供PaaS(平台即服務)來透過門戶、API和CLI客戶端SDK啟動有限數量的容器。當容器數量增加時,則需要Kubernetes來進行管理。

為何選擇Kubernetes

Kubernetes已成為在雲端佈署容器的共同選擇,因為它被廣泛佈署和採用於所有現代供應商。容器化技術標準化了不同供應商之間的體驗,使得混合雲IT資料中心成為可能,並確保了供應商之間的一致使用者經驗。當容器數量增加時,需要一個系統來追蹤各個組成部分,確保容器組態正確,檔案系統保持一致,並且協同工作。

三種主要的架構設計

  1. IaaS(基礎設施即服務):提供虛擬化的計算資源,如Amazon Elastic Compute Cloud(EC2)。
  2. PaaS(平台即服務):提供開發、執行和管理應用程式的平台,如Amazon Elastic Kubernetes Service(EKS)。
  3. SaaS(軟體即服務):提供根據網際網路的軟體應用,如Amazon Lambda和Azure Function。

軟體即服務(SaaS)

SaaS是最小的計算服務,可以透過標準的網址(URL)觸發。它執行一次然後停止。這是一種無伺服器的計算服務,因為您不需要擔心虛擬機器的維護或管理流程;您只需專注於功能實作。

金鑰管理

儲存和管理金鑰是現代IT基礎架構中的另一個重要任務。最方便的方法是使用外部服務,如AWS Key Management Service(AWS KMS)、Google Cloud Key Management Service(Cloud KMS)、Azure Key Vault或Hashicorp的Vault。這些服務有助於儲存和檢索Kubernetes的金鑰。

信封加密技術

信封加密技術允許您將金鑰儲存在外部服務中,並使用雙重加密機制來使用它們。使用這種方法,只有供應商可以讀取信封,而只有客戶可以讀取訊息的內容。

Amazon Web Services(AWS)

AWS可能是目前市場上最大的雲端供應商,根據國際分析師的資料,它橫跨31個區域,擁有99個可用區,並可供245個國家和地區的使用者使用。AWS提供IaaS、PaaS和無伺服器選項。

網路管理

網路由虛擬私有雲(VPC)管理,您可以將其組態為公共和私有段,並透過閘道器調節流量。

儲存服務

有多種儲存服務可供選擇,如Elastic Block Storage(EBS)和Amazon Simple Storage Service(S3)。

使用Ansible管理AWS資源

您可以生成Ansible動態清單,以管理AWS基礎架構中的資源。aws_ec2清單外掛程式包含在amazon.aws集合中。

安裝amazon.aws集合

$ ansible-galaxy collection install amazon.aws

組態aws_ec2清單外掛程式

# inventory.aws_ec2.yml
plugin: amazon.aws.aws_ec2
regions:
  - us-east-1
filters:
  tag:env: ansible-examples
keyed_groups:
  - key: 'architecture'
    prefix: arch
  - key: instance_type
    prefix: instance_type
  - key: tags.type
    prefix: tag_type
hostnames:
  - ip-address

啟用aws_ec2清單外掛程式

# ansible.cfg
[inventory]
enable_plugins = amazon.aws.aws_ec2

設定AWS環境變數

export AWS_ACCESS_KEY_ID='AK123'
export AWS_SECRET_ACCESS_KEY='abc123'

使用Ansible動態清單

$ ansible-inventory -i inventory.aws_ec2.yml --graph
$ ansible-playbook -i inventory.aws_ec2.yml ping.yml

Amazon Elastic Kubernetes Service(Amazon EKS)

Amazon EKS提供了多種選項來執行Kubernetes叢集,根據您想要的控制程度和Kubernetes經驗,可以選擇完全託管的節點、受管節點或自管節點。

#### 內容解密:

此段落描述瞭如何使用Ansible管理AWS資源,包括安裝amazon.aws集合、組態aws_ec2清單外掛程式、啟用外掛程式、設定AWS環境變數以及使用Ansible動態清單來管理AWS資源。這使得管理和自動化AWS基礎架構變得更加容易和高效。

Amazon EKS 叢集管理與安全最佳實踐

Amazon Elastic Kubernetes Service(Amazon EKS)是一種完全託管的 Kubernetes 服務,能夠簡化 Kubernetes 叢集的管理和維護。本文將探討 Amazon EKS 的架構、安全性和最佳實踐。

共用責任模型與 AWS Fargate

Amazon 提供共用責任模型,客戶負責應用程式和資料的安全,而 AWS 負責基礎設施的安全。選擇完全託管的服務(如 AWS Fargate)時,AWS 將直接負責 Kubernetes 資料平面的任何故障。

內容解密:

AWS Fargate 是一種無伺服器運算引擎,用於執行容器。透過使用 Firecracker(一種安全快速的微型虛擬機器技術),AWS Fargate 能夠提供高效能和安全性。

身份與存取管理(IAM)

AWS Identity and Access Management(IAM)管理身份驗證、授權和會計(AAA)許可權。RBAC 角色允許使用 ConfigMap 將 Kubernetes 中的角色對映到 IAM 角色。

程式碼範例:

apiVersion: v1
kind: ConfigMap
metadata:
  name: aws-auth
data:
  mapRoles: |
    - rolearn: arn:aws:iam::1234567890:role/EksNodeRole
      username: system:node:{{EC2PrivateDNSName}}
      groups:
        - system:bootstrappers
        - system:nodes

內容解密:

此 ConfigMap 將 EksNodeRole IAM 角色對映到 Kubernetes 中的 system:bootstrappers 和 system:nodes 群組。 EksNodeRole IAM 角色將被應用於控制平面,以服務 Kubernetes 叢集。

網路架構與安全性

Amazon EKS 需要 Amazon VPC 網路才能運作。Kubernetes 叢集節點主機(在自動擴充套件群組中)佈署在私有子網路中。透過 NAT 閘道,流量被精細地啟用到公共子網路。

@startuml
skinparam backgroundColor #FEFEFE
skinparam defaultTextAlignment center
skinparam rectangleBackgroundColor #F5F5F5
skinparam rectangleBorderColor #333333
skinparam arrowColor #333333

title 網路架構與安全性

rectangle "NAT 閘道" as node1
rectangle "Internet 閘道" as node2

node1 --> node2

@enduml

圖表翻譯: 此圖示展示了 Amazon EKS 的網路架構,私有子網路透過 NAT 閘道連線到公共子網路,再透過 Internet 閘道連線到網際網路。

Amazon EKS API 與 eksctl

Amazon EKS API 允許您與 Kubernetes 叢集的控制平面互動。eksctl 是一種額外的命令列工具,用於與 Amazon EKS API 互動。

程式碼範例:

$ eksctl create cluster --name test-cluster --nodegroup-name test-nodes \
--node-type t3.small --nodes 2 --nodes-min 1 --nodes-max 5 --managed \
--version 1.21 --region eu-west-1 --zones eu-west-1a,eu-west-1b --role-arn \
arn:aws:iam:1234567890:role/eksClusterRole

內容解密:

此 eksctl 命令建立了一個小型 Amazon EKS 叢集,具有兩個節點,並指定了節點群組名稱、節點型別、節點數量、最小和最大節點數量等引數。

最佳實踐與安全性建議

  • 使用 AWS Fargate 以簡化 Kubernetes 資料平面的管理。
  • 組態 IAM 角色以管理身份驗證和授權。
  • 使用 ConfigMap 對映 Kubernetes 中的角色到 IAM 角色。
  • 組態網路架構以確保安全性和隔離。
  • 使用 eksctl 和 Amazon EKS API 以簡化叢集管理。
玄貓 BlackCat

玄貓 BlackCat

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。