Polaris를 사용하여 Kubernetes 모범 사례를 3분 안에 확인
5010 단어 polarisCloudNativekubernetes보안도커
Kubernetes의 모범 사례를 둘러싼 흐름
Kubernetes의 성숙과 Dev와 Ops의 책임 범위 분리와 같은 배경이 있습니다.
애플리케이션 엔지니어들도 Kubernetes를 다루는 장면이 늘어났다는 이야기를 들려준다.
여기서, Kubernetes 아는 맨에게 있어서는 아침반전이었던 YAML을 반죽하는 작업을, 누구라도 실시하는 움직임이 가속하고 있어, 향후도 이 상태가 계속되어 가면 상상할 수 있다.
특히 Kubernetes의 보안 관점에 눈을 돌리면 CNCF가 새롭게 Kubernetes의 보안에 특화된 새로운 시험을 곧 공개할 수도 있고, Kubernetes를 이용한 개발을 보다 균질화·안정화시켜 나가는 움직임 된다.
htps : // t 라이 마늘 g.ぃヌ×ふぉうんだちおん。 오 rg / 그럼 / 세르 치후 카치 온 / 세르 r 치후 페에 d 쿠베 r 네 s s 쿠리 ty-s 페시 아 st /
여기에서는, 수중의 Kubernetes 클러스터가 모범 사례를 따르고 있는지를 간편하게 확인할 수 있는 툴인, Polaris를 소개한다.
Polaris 기능 개요
Fairwinds의 Polaris는 클러스터의 원활한 운영을 유지합니다. 다양한 검사를 수행하여 Kubernetes 포드와 컨트롤러가 모범 사례를 따르는지 확인하고 향후 문제를 피할 수 있습니다. Polaris는 다음 세 가지 모드로 실행할 수 있습니다.
여기에서는 대시보드에 대해 다루고, 정리하여 Validating Webhook, CLI tool에 대해 설명한다.
Fairwinds의 Polaris는 클러스터의 원활한 운영을 유지합니다. 다양한 검사를 수행하여 Kubernetes 포드와 컨트롤러가 모범 사례를 따르는지 확인하고 향후 문제를 피할 수 있습니다. Polaris는 다음 세 가지 모드로 실행할 수 있습니다.
여기에서는 대시보드에 대해 다루고, 정리하여 Validating Webhook, CLI tool에 대해 설명한다.
FairwindsOps/polaris
대시보드 빠른 시작
클러스터 준비
여기는 환경에 맞게 준비하십시오. 여기에서는 kind를 이용한 예로 설명합니다.
kind create cluster
poraris를 대시보드로 배포하고 대시보드 서비스를 호스트로 포트 포워드
kubectl apply -f https://github.com/FairwindsOps/polaris/releases/latest/download/dashboard.yaml
kubectl port-forward --namespace polaris svc/polaris-dashboard 8080:80
이상으로, polaris가 동작하고 있는 상태가 됩니다.
※port-forward 커맨드의 타이밍이 너무 빠르면, Pod 기동전에 포트 포워드가 시행되어 에러가 되돌아갑니다.
동작 확인
localhost : 8080에 브라우저로 액세스하면 polaris 대시 보드를 볼 수 있습니다.
5개 카테고리별로 테스트 결과의 백분율이 표시됨
HealthCheck
HelathCheck의 테스트는 간단하며 아래 페이지에 표시된대로 ReadinessProbe와 LivenessProbe가 정의되어 있지 않으면 실패합니다. 기본값은 Warning입니다.
이미지 Images의 테스트도 아래와 같이 2점의 테스트를 실시하고 있다. 이미지의 태그가 지정되어 있지 않거나 latest의 경우에 실패한다. 기본값은 danger 이미지의 pullPolicy가 Always가 아닌 경우에 실패한다. 기본값은 ignore 네트워킹 hostNetwork나 hostPort가 설정되어 있는 경우에 실패한다. 기본값은 Warning Resources Resource Requests/Limits가 CPU, Memory 각각에 정의되어 있지 않으면 실패한다. 기본값은 danger
보안 아래와 같이, 특히 호스트 머신에 영향을 주는 부분이 danger가 되어 있다.
kube-system namespace상의 kindnet이라는 Daemonset에 초점을 맞춘다.
Daemonset에서 생성되는 kindnet-cni 컨테이너에 대해 위험한 Capability를 가지고 있다는 danger 경고가 나오고 있다. CNI이므로 이것은 어쩔 수 없지만.
요약
Polaris를 사용하면 Kubernetes 클러스터가 모범 사례를 따르는지 쉽게 확인할 수 있습니다.
이번에 소개하고 있지 않지만, Kubernetes의 Admission Controller에 Namespace 내의 Kind별로 테스트 결과를 확인할 수 있다
polaris 이외에 특히 아무것도 움직이지 않는 클러스터 때문에, Kind에 디폴트로 들어가 있는 local-path-storage와 kube-system, polaris용의 namespace가 표시되고 있다. 로서 짜넣는 것으로, danger라고 판정되는 매니페스트가 적용되는 경우에, 그것을 자동적으로 거부하는 구조에도 대응하고 있다.
또한 로서도 동작하기 위해 CI/CD의 파이프라인에 짜넣어, danger나 warning등의 역치를 설정하는 것으로 CI/CD 파이프라인을 정지시키는 구조에도 대응하고 있다.
Reference
이 문제에 관하여(Polaris를 사용하여 Kubernetes 모범 사례를 3분 안에 확인), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/iaoiui/items/4990d8c6748452c1dafc
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
Reference
이 문제에 관하여(Polaris를 사용하여 Kubernetes 모범 사례를 3분 안에 확인), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/iaoiui/items/4990d8c6748452c1dafc텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)