Yani, hava boşluklu bir ortamda Kubernet’leri konuşlandırmak istiyorsunuz, ancak aylarca süren meşakkatli çalışmanın ardından hala hazır ve çalışır durumda değilsiniz. Veya belki de yolculuğa yeni çıkıyorsunuz, ancak hava boşluklu ortamlarda Kubernetes dağıtımlarını yönetmeye çalışan ve başarılı olamayan kuruluşların korku hikayelerini duymuşsunuzdur.
İster hastane ister askeriye olsun, görev açısından kritik veya yaşam açısından kritik bir ortamda çalışıyor olun, muhtemelen veri hırsızlığı veya güvenlik ihlallerinden korumak istediğiniz kritik sistemleriniz ve hassas verileriniz vardır. Hava boşluğu bu amaç için idealdir, ancak aynı zamanda son derece zordur.
Hava boşluklu Kubernet’ler neden bu kadar zor?
Bu tür ortamlarda Kubernetes konuşlandırmalarının bu kadar sık sorun yaşamasının veya tamamen başarısız olmasının nedenlerinden biri, birçok kuruluşun mimarinin nasıl görünmesi gerektiğine dair önceden uygun şekilde plan yapmamasıdır.
Kubernet’ler çevrimiçi kullanılmak üzere tasarlanmıştır ve bu ortamda, web’de genel olarak barındırılan kapsayıcı kayıtlarından kapsayıcı görüntülerin paylaşılması ve teslim edilmesiyle gelen harika bir kullanım kolaylığı vardır. Aslında, kapsayıcı yapılandırmaları genellikle varsayılan olarak bir kapsayıcının Docker kayıt defterinde alınabileceğini varsayar.
Bu tasarımın kendisi, tüm kümeyi ve uygulama yaşam döngüsünü yönetmeniz gereken kendi hataya dayanıklı kapsayıcı kayıt defterinizi barındırmanız, güvenliğini sağlamanız ve kullanıma sunmanız gereken hava boşluklu ortamlar için bir Aşil Topuğu haline geliyor. Bu kolay değildir ve başlangıç noktası olarak Kubernetes hakkında kapsamlı bir anlayışa sahip olmanız gerekir.
O halde, insanların yaptığı en büyük hatalardan bazılarına ve hava boşluklu ortamlarda Kubernet’leri dağıtırken dikkate almanız gereken hususlara bir göz atalım.
Transfer sürecinde çeviklik
Dikkate alınması gereken ilk şeylerden biri – ve muhtemelen hava boşluklu konuşlandırmanızı yapacak veya bozacak en büyük faktörlerden biri – yapıtlarınızın aktarım sürecindeki çevikliktir.
Hava boşluklu bir ortamda çalışmak, güvenliği otomatik olarak iyileştirmez. Yine de uygulamalarınızı ve platformunuzu düzenli olarak güncellemeniz gerekiyor, ancak çok uzun bir gereksinim toplama ve aktarma süreciniz varsa bu, ortamın bakımını karmaşık hale getirir ve yeni özelliklerin ve güvenlik yamalarının kullanıma sunulması için caydırıcı bir işlev görür. Çok geçmeden, bu caydırıcılık, topluluğun geri kalanının gerisinde kalmanıza neden olabilir ve aniden, olmayı düşündüğünüzden çok daha savunmasız olursunuz.
Bu konuda ne yapabilirsin? Göç kümelerinin devreye girdiği yer burasıdır.
Taşıma kümesi
Uzun bir gereksinim toplama ve aktarma sürecini hafifletmek için yapabileceğiniz en iyi şeylerden biri, bir geçiş kümesine sahip olmaktır. Özünde bu, hava boşluklu olmayan bir kümenin ona yardımcı olması için hava boşluklu olana paralel olarak çalıştırılmasını içerir. Pratik açıdan, bu kümeler aynıdır, tek fark biri çevrimiçi, diğeri değildir.
Uzun vadede hava boşluklu olmayan küme, hava boşluklu kümenin bir aynası gibi işlev görür ve en büyük yararı, hataları düzeltebilmeniz, gereksinimleri toplayabilmeniz, teslimi hızlandırabilmeniz, geliştiricilerin bazı şeyleri kaçırmaktan kaçınmasına yardımcı olabilmeniz ve güvenlik gereksinimlerini karşılamaya yardımcı olur. Daha sonra, bir görüntü deposuna ihtiyaç duymadan bir dağıtım olarak bile kullanabilirsiniz.
Örnek olarak, bir yolcu gemisinde AWS’de çalışan şeyler olabilir ama aynı zamanda okyanusta da olabilir. Bu nedenle, aslında okyanusta bir internet bağlantılarına sahip olabilirler, ancak müşterilerinin kullanması için ayırmak istedikleri için bu kümenin çevrimiçi çalışmasını zorunlu olarak istemiyorlar. Böylece, internete bağlı bir sistemle başlayacaklar, tüm test ve geliştirmeleri orada yapacaklar, ardından hava boşluklu sistemleri içinde paketleyecekler.
Bu geçiş kümeleri, eğitim için de kullanışlıdır. Hava boşluklu ortamlarla uğraşırken genellikle güvenlik gereksinimleriniz olur ve personeli içeri sokmak zor olabilir. Örneğin, geçmiş kontrollerinden geçene kadar erişimine izin verilmeyen birini işe alabilirsiniz. Ancak, air-gapped kullanarak korumak istediğiniz özel, gizli veya müşteri verilerinizden hiçbirine erişimi tutmadığından, onlara internet bağlantılı kümeye erişim izni verebilirsiniz.
Bu internet bağlantılı küme aynı zamanda yükseltme testleri yapabileceğiniz yerdir, böylece hava boşluklu ortama geldiğinizde bunun için endişelenmenize gerek kalmaz.
Görüntü deposu
Peki, göç kümesinden sonra ne geliyor? Bir resim deposu. Teknik olarak dağıtım olmadan tamamlayabilirsiniz, ancak çok uzağa gidemezsiniz. 0. Günde bile, bir tane olması en iyisidir.
Neden bir resim deposu var? Birincisi, kendi kapsayıcılı uygulamalarınızı hava boşluklu bir ortamda barındırmak için buna ihtiyacınız var ve ikincisi, bu sizin ilk savunma hattınız ve tedarik zinciri güvenliği açısından harika. Kendi görüntü havuzunuzu kullanmak, herhangi bir güvenlik açığına karşı önceden taranmış ve imzalanmış onaylı bir kapsayıcı görüntü seti sağlayabileceğiniz anlamına gelir. Tüm görüntü depolama teknolojileri – Harbor, Nexus, Artifactory – bir tür tarama sağlar. Bu, getirdiğiniz tüm görüntülerin tedarik zincirini kontrol etmesine izin verir, böylece hiç kimse herhangi bir gizli istenmeyen görüntüyü getirmez; kümeye görüntüleri kimin yüklediğini bile kontrol edebilirsiniz. Hava boşluklu bir ortamla ilk başladığınızda aradığınız güvenlik düzeyini sağlar.
Ağ sınırları
Ayrıca her zaman göz önünde bulundurmanız gereken bir tür ağ sınırı vardır. Çoğu sistem diğer sistemlere bağlıdır; Kubernetes kümeniz uygulamaları, yapılandırmayı ve verileri şu kaynaktan almalıdır: bir yerde. Kümeleriniz için hangi ağ sınırlarını kuracağınızı ve kümenizi daha büyük BT sisteminize nasıl sunacağınızı düşünmelisiniz. Hem kümenize gelen kuzey-güney trafiğini hem de uygulamalarınızın küme içinde birbirine nasıl bağlandığıyla ilgili doğu-batı trafiğini güvence altına almak için ağınızı dikkatli bir şekilde tasarlamanız ve yapılandırmanız önemlidir.
Şimdi, hava boşluklu sistemlerin çoğunun kurum içi olduğu göz önüne alındığında, hava boşluklu ortamlara özgü olması gerekmeyen, altyapıya özgü başka endişeler de vardır. Örneğin, performansınızda darboğaz oluşmasını önlemek için şirket içinde sahip olacağınız donanım hakkında önceden düşünmek istersiniz, çünkü gereksinimlerinizi karşılayan yeni donanımı hızlı bir şekilde kullanıma sunmak kolay olmayacaktır.
Ancak bu tamamen farklı bir canavar, bu yüzden bu konuşmanın amacı için, bunu çok derinlemesine incelemeyeceğiz. Ancak çıkarım şudur: Halihazırda hangi altyapıya sahip olduğunuzu ve hava boşluklu ortamınızda neleri makul ölçüde genişletip büyütebileceğinizi anlayın.
Belgeler
Son olarak, bu sıradan görünebilir, ancak evet, hava boşluklu bir ortamda belgelemeyi de düşünmelisiniz. Kubernetes ile ilgili belgelerin çoğu çevrimiçidir ve bunları okumak için bağlı bir ağa ihtiyacınız vardır. Kümeyi hava boşluklu bir ortama dağıtmaya başlamadan önce onu yazdırmayı veya indirmeyi planlamanız gerekir.
Uzun lafın kısası, hava boşluklu Kubernet’leri dağıtmak için bir yıl süren başarısız bir girişimde kendinizi köşeye sıkıştırmamanın anahtarı, uygulamaya çalıştığınız hava boşluklu sistemi anlamaktır. Nereye erişiminiz olduğunu ve nereye erişiminiz olmadığını düşünmeniz gerekir. Ne kullanabilirsin? Neyi kullanamazsın? Ve tüm altyapı gereksinimleri ve sınırlamaları göz önünde bulundurduğunuzda, sistemi bunları göz önünde bulundurarak tasarlamanız gerekir.