book

Cloud Native DevOps avec Kubernetes, 2e édition

by Justin Domingus, John Arundel

November 2024

Intermediate to advanced

356 pages

10h 12m

French

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Qu'est-ce que je vais apprendre ?À qui s'adresse ce livre ?À quelles questions ce livre répond-il ?Conventions utilisées dans ce livreUtiliser des exemples de codeApprentissage en ligne O'ReillyComment nous contacterRemerciements
La création du CloudAcheter du tempsInfrastructure en tant que serviceL'aube du DevOpsAméliorer les boucles de rétroactionQue signifie DevOps ?L'infrastructure en tant que codeApprendre ensembleL'avènement des conteneursL'état de l'artPenser à l'intérieur de la boîteMettre les logiciels dans des conteneursApplications Plug and PlayDiriger l'orchestre des conteneursKubernetesDe Borg à KubernetesPourquoi Kubernetes ?Kubernetes va-t-il disparaître ?Kubernetes n'est pas une panacéeCloud NativeL'avenir des opérationsDevOps distribuéCertaines choses resteront centraliséesProductivité des développeurs IngénierieTu es l'avenirRésumé
Exécuter ton premier conteneurInstallation de Docker DesktopQu'est-ce que Docker ?Exécuter une image de conteneurL'application de démonstrationRegarder le code sourcePrésentation de GoComment fonctionne l'application de démonstrationConstruire un conteneurComprendre les DockerfilesImages minimales de conteneursExécuter la construction d'une image DockerNommer tes imagesTransfert de portRegistres des conteneursS'authentifier auprès du registreNomme et pousse ton imageFaire tourner ton imageBonjour, KubernetesExécuter l'application de démonstrationSi le conteneur ne démarre pasMinikubeRésumé
Architecture de la grappeLe plan de contrôleComposants du nœudHaute disponibilitéLes coûts de l'auto-hébergement de KubernetesC'est plus de travail que tu ne le pensesIl ne s'agit pas seulement de l'installation initialeLes outils ne font pas tout le travail à ta placeKubernetes à la dureKubernetes, c'est difficile !Frais généraux d'administrationCommence par les services gérésServices gérés de KubernetesGoogle Kubernetes Engine (GKE)Mise à l'échelle automatique de la grappePilote automatiqueService Amazon Elastic Kubernetes (EKS)Service Kubernetes d'Azure (AKS)Service Kubernetes d'IBM CloudDigitalOcean KubernetesInstallateurs de KuberneteskopsKubespraykubeadmRancher Kubernetes Engine (RKE)Module Puppet KubernetesAcheter ou construire : Nos recommandationsLogiciel Run LessUtilise Kubernetes géré si tu le peux.Mais qu'en est-il du verrouillage des fournisseurs ?Bare-Metal et On-PremClusters Kubernetes multicloudOpenShiftAnthosUtilise des outils d'auto-hébergement Kubernetes standard si tu dois le faire.Services de conteneurs sans grappeAWS FargateInstances de conteneurs Azure (ACI)Google Cloud RunRésumé
DéploiementsSupervision et planificationRedémarrer les conteneursCréation de déploiementsGoussesJeux de répliquesMaintien de l'état désiréL'ordonnanceur de KubernetesManifeste de ressources au format YAMLLes ressources sont des donnéesManifeste de déploiementUtilisation de kubectl applyRessources de serviceInterroger le cluster avec kubectlFaire passer les ressources au niveau supérieurHelm : Un gestionnaire de paquets Kubernetes.Installation de HelmInstallation d'une carte de barreGraphiques, dépôts et publicationsListe des communiqués de presse de HelmRésumé
Comprendre les ressourcesUnités de ressourcesDemandes de ressourcesLimites des ressourcesQualité du serviceGérer le cycle de vie des conteneursSondes de concordanceDélai et fréquence de la sondeAutres types de sondesSondes de préparationSondes de démarrageSondes gRPCSondes de préparation basées sur des fichiersminReadySecondsBudgets de perturbation des podsUtilisation des espaces de nomsTravailler avec des espaces de nomsQuels espaces de noms dois-je utiliser ?Adresses de serviceQuotas de ressourcesDemandes et limites de ressources par défautOptimiser les coûts des grappesKubecostOptimiser les déploiementsOptimiser les goussesDétartreur automatique de nacelles verticalesOptimiser les nœudsOptimiser le stockageNettoyer les ressources inutiliséesVérification de la capacité de réserveUtilisation des instances réservéesUtilisation d'instances préemptibles (Spot)Maintenir l'équilibre de tes charges de travailRésumé
Dimensionnement et mise à l'échelle de la grappePlanification des capacitésNœuds et instancesMise à l'échelle de la grappeVérification de la conformitéCertification CNCFTest de conformité avec SonobuoyJournalisation des audits de KubernetesTest du chaosSeule la production est la productionchaoskubekube-monkeyPowerfulSealRésumé
Maîtriser kubectlAlias du shellUtilisation des drapeaux courtsAbréviation des types de ressourcesCommandes kubectl à exécution automatiqueObtenir de l'aideObtenir de l'aide sur les ressources de Kubernetes.Afficher des résultats plus détaillésTravailler avec des données JSON et jqObserver les objetsDécrire les objetsTravailler avec des ressourcesCommandes impératives de kubectlQuand ne pas utiliser les commandes impérativesGénérer des manifestes de ressourcesRessources pour l'exportationDifférentes ressourcesTravailler avec des conteneursAfficher les journaux d'un conteneurS'attacher à un conteneurObserver les ressources de Kubernetes avec kubespy.Transférer un port de conteneurExécuter des commandes sur des conteneursExécuter des conteneurs pour dépannerUtilisation des commandes BusyBoxAjouter BusyBox à tes conteneursInstaller des programmes sur un conteneurContextes et espaces de nomsFichiers kubeconfigkubectx et kubenskube-ps1Shells et outils pour Kuberneteskube-shellClique surkubed-shSternIDEs KubernetesLentilleVS Code Extension KubernetesConstruire tes propres outils KubernetesRésumé

Containers et PodsQu'est-ce qu'un conteneur ?Exécutions de conteneurs dans KubernetesQuelle est la place d'un conteneur ?Quelle est la place d'une capsule ?Manifeste des conteneursIdentificateurs d'imagesLe dernier TagDigests de conteneursTags de l'image de basePortsDemandes et limites de ressourcesPolitique de retrait d'imagesVariables d'environnementSécurité des conteneursExécuter des conteneurs en tant qu'utilisateur non rootéBloquer les conteneurs racineConfiguration d'un système de fichiers en lecture seuleDésactiver l'escalade des privilègesCapacitésContextes de sécurité des podsComptes de service de podsVolumesemptyDir VolumesVolumes persistantsPolitiques de redémarrageSecrets de tirage d'imageInit ContainersRésumé
ÉtiquettesQue sont les étiquettes ?SélecteursSélecteurs plus avancésAutres utilisations des étiquettesÉtiquettes et annotationsAffinités des nœudsAffinités difficilesAffinités doucesAffinités et anti-affinités de la cosseGarder les gousses ensembleSéparer les cossesAnti-affinités doucesQuand utiliser les affinités podalesTaches et tolérancesContrôleurs de podsEnsembles de démonsEnsembles d'étatsEmploisCronJobsAutoscalers à pods horizontauxOpérateurs et définitions de ressources personnalisées (CRD)IngressionContrôleurs d'ingérenceRègles d'entréeTerminer TLS avec IngressService MeshIstioLinkerdConsul ConnectNGINX Service MeshRésumé
ConfigMapsCréer des cartes de configurationDéfinition des variables d'environnement à partir de ConfigMapsParamétrer l'ensemble de l'environnement à partir d'une carte de configurationUtilisation de variables d'environnement dans les arguments de commandeCréation de fichiers de configuration à partir de ConfigMapsMise à jour des pods lors d'un changement de configurationLes secrets de KubernetesUtiliser les secrets comme variables d'environnementSecrets d'écriture pour les dossiersSecrets de lectureAccès aux secretsChiffrement au reposGarder les secrets et les ConfigMapsStratégies de gestion des secretsChiffrer les secrets dans le contrôle de versionUtilise un outil de gestion des secrets dédiéChiffrer les secrets avec SopsChiffrer un fichier avec SopsUtilisation d'un backend KMSSecrets scellésRésumé
Contrôle d'accès et permissionsGestion de l'accès par groupePrésentation du contrôle d'accès basé sur les rôles (RBAC)Comprendre les rôlesLier les rôles aux utilisateursDe quels rôles ai-je besoin ?Garde l'accès à cluster-adminApplications et déploiementRésolution des problèmes RBACAnalyse de la sécurité des grappesGardien/OPAkube-benchKubescapeAnalyse de la sécurité des conteneursClairAquaMoteur d'ancrageSynkSauvegardesAi-je besoin de sauvegarder Kubernetes ?Sauvegarder etcdSauvegarde de l'état des ressourcesSauvegarde de l'état de la grappePetites et grandes catastrophesVeleroSuivi de l'état de la grappekubectlUtilisation de l'unité centrale et de la mémoireConsole du fournisseur de services cloudTableau de bord KubernetesPortée du tissagekube-ops-viewdétecteur de problèmes de nœudsPour en savoir plusRésumé
Construire des manifestes avec HelmQue contient une carte de barre ?Modèles de barreInterpolation des variablesCiter des valeurs dans les modèlesSpécifier les dépendancesDéployer les diagrammes de HelmRéglage des variablesSpécifier des valeurs dans une version de HelmMise à jour d'une application avec HelmRevenir aux versions précédentesCréation d'une réplique de graphique HelmGérer les secrets du tableau de bord avec SopsGérer plusieurs graphiques avec HelmfileQue contient un fichier d'aide ?Métadonnées du graphiqueAppliquer le fichier d'aideOutils avancés de gestion des manifestespersonnaliserTankaKapitankomposeAnsiblekubevalRésumé
Outils de développementSkaffoldTéléprésencePoint de repèreKnativeOpenFaaSPlanche transversaleStratégies de déploiementMises à jour roulantesRecréermaxSurge et maxUnavailableDéploiements bleu/vertDéploiement de l'arc-en-cielDéploiement de CanaryGérer les migrations avec HelmCrochets de barreGestion des crochets qui ont échouéAutres crochetsCrochets d'enchaînementRésumé
Qu'est-ce que le déploiement continu ?Quel outil CD dois-je utiliser ?Outils CI/CD hébergésAzure PipelinesGoogle Cloud BuildCodefreshActions GitHubGitLab CIOutils CI/CD auto-hébergésJenkinsDroneTektonHall d'entréeSpinnakerArgoQuilleUn pipeline CI/CD avec Cloud BuildConfiguration de Google Cloud et de GKEForking du dépôt de démonstrationCréer un registre d'artefacts Référentiel de conteneursConfiguration de la construction dans le CloudConstruire le conteneur de testExécuter les testsConstruire le conteneur d'applicationVariables de substitutionTags Git SHAValider les manifestes de KubernetesPublier l'imageCréation du premier déclencheur de constructionTest du déclencheurDéploiement à partir d'un pipeline CI/CDCréation d'un déclencheur de déploiementAdaptation de l'exemple de pipelineGitOpsFluxRésumé
Qu'est-ce que l'observabilité ?Qu'est-ce que la surveillance ?Surveillance en boîte ferméeQue signifie "Up" ?EnregistrementPrésentation des métriquesTraçageObservabilitéLe pipeline de l'observabilitéSurveillance dans KubernetesContrôles externes en boîte ferméeContrôles de santé internesRésumé
Qu'est-ce que les métriques ?Données de séries chronologiquesCompteurs et jaugesQue peuvent nous dire les indicateurs ?Choisir de bonnes mesuresServices : Le modèle REDRessources : Le modèle USEMesures de l'activitéKubernetes MetricsAnalyser les mesuresQu'est-ce qui ne va pas avec une moyenne simple ?Moyennes, médianes et valeurs aberrantesDécouvrir les centilesApplication des percentiles aux données métriquesNous voulons généralement connaître le pireAu-delà des centilesReprésentation graphique des mesures à l'aide de tableaux de bordUtilise une présentation standard pour tous les servicesConstruis un radiateur d'informations avec des tableaux de bord primairesTableau de bord Les choses qui cassentAlerte sur les mesuresQu'est-ce qui ne va pas avec les alertes ?La garde ne doit pas être un enferAlertes urgentes, importantes et exploitablesFais le suivi de tes alertes, de tes pages en dehors des heures de travail et de tes réveils.Outils et services de mesureProméthéeGoogle Operations SuiteAWS CloudWatchAzure MonitorDatadogNew RelicRésumé
Où aller ensuite ?Notes de la deuxième éditionBienvenue à bord

Content preview from Cloud Native DevOps avec Kubernetes, 2e édition

Chapitre 11. Sécurité, sauvegardes et santé des grappes

Cet ouvrage a été traduit à l'aide de l'IA. Tes réactions et tes commentaires sont les bienvenus : translation-feedback@oreilly.com

Si tu penses que la technologie peut résoudre tes problèmes de sécurité, alors tu ne comprends pas les problèmes et tu ne comprends pas la technologie.

Bruce Schneier, Cryptographie appliquée

Dans ce chapitre, nous allons explorer les mécanismes de sécurité et de contrôle d'accès dans Kubernetes, notamment le contrôle d'accès basé sur les rôles (RBAC), présenter quelques outils et services de recherche de vulnérabilités, et expliquer comment sauvegarder tes données et ton état Kubernetes (et plus important encore, comment les restaurer). Nous examinerons également quelques moyens utiles pour obtenir des informations sur ce qui se passe dans ton cluster.

Contrôle d'accès et permissions

Les petites entreprises technologiques ont tendance à démarrer avec seulement quelques employés, et tout le monde a un accès d'administrateur sur chaque système.

Mais au fur et à mesure que l'organisation grandit, on finit par se rendre compte qu'il n'est plus judicieux que tout le monde ait des droits d'administrateur : il est trop facile pour quelqu'un de faire une erreur et de modifier quelque chose qu'il ne devrait pas. Il en va de même pour Kubernetes.