컨테이너 시대의 나이와 Kubernetes의 미래

Nomura Research Institute, Inc.
멀티 클라우드 통합 사업 본부 사업 IT 인프라 프로모션 부서
Hirita Masaru, 선임 기술 엔지니어

현재 IT 산업에서 컨테이너, 마이크로 서비스 및 DevOps는 고속으로 개발되어 3 방향 방식으로 서로 영향을 미칩니다. 응용 프로그램 개발의 핵심에는 DevOps 및 Microservices가 있으며, 이는 더 짧은 배포 간격과 관리 범위를 줄일 수 있습니다. 이에 컨테이너를 추가함으로써 개발 환경과 생산 환경의 차이를 흡수하여 빠른 구성 및 운영 부하를 줄일 수 있습니다.

특정 규모의 개발 프로젝트에서 환경 개발 및 구축을 담당하는 팀은 분열되며 개발자가 새로운 애플리케이션 환경이 필요할 때 내부 네트워크 관리자에게 환경을 구축하도록 요청해야합니다. 경우에 따라 약 일주일의 대기 시간이있을 수 있습니다. 그러나 선언적 컨테이너 언어를 사용하여 Yaml을 사용하면 개발자가 환경을 구축하는 데 주도권을 잡을 수 있습니다. 물론 네트워크 관리자는 정책에서 일일 운영을 미리 설정할 수 있습니다.

Kubernetes는 전형적인 컨테이너이지만 Kubernetes는 여전히 "어려운"이미지를 가지고 있습니다. 그 이유는 새로운 계층 (컨테이너 런타임이라고 함)을 추가하면 운영 및 모범 사례를 모니터링하는 것이 가장 좋은 방법으로 "어려운"이미지를 초래하기 때문입니다. 또한 컨테이너를 구현하려는 경우 본질적으로 DevOps 문화로 전환해야합니다. 조직 문화의 변화가 필요할 것입니다.

Kubernetes는 방해처럼 보일지 모르지만 컨테이너 기술은 미래의 인프라에서 불가피하며 다가오는 컨테이너에 대비해야합니다.

자체 관리 슬롯 무료체험를 구축하고 운영하는 포인트

Nomura Research Institute, Inc.
멀티 클라우드 통합 사업 본부 사업 IT 인프라 프로모션 부서
최고 기술 엔지니어 Sawagata Takeshi

Kubernetes 서비스에 대해 말하면 Google Cloud 플랫폼 용 GKE (Google Kubernetes Engine), AWS 용 EKS (Amazon Elastic Kubernetes Service) 및 Microsoft Azure 용 Aks (Aks kubernetes 서비스)가 있습니다. 클라우드 제공 업체가 관리하기 때문에 "제공자 관리"라고 할 수 있습니다.

반면에, 우리 자신을 슬롯 무료체험하는 사람들은 "자기 슬롯 무료체험"입니다. 이 자체 슬롯 무료체험 유형을 선택한 이유에는 회사의 컴퓨팅 리소스를 효과적으로 사용하거나 온 프레미스 환경에서 밖에 나가고 싶지 않은 고객 정보를 처리하려는 것이 포함됩니다. 공급자 슬롯 무료체험 유형에서 제공하지 않은 최신 기능을 사용할 수도 있습니다.

자체 관리 슬롯 무료체험 환경을 설계 할 때 핵심 사항은 클러스터를 백업하고 복원 한 다음 인증서를 복원하는 것입니다.

먼저 백업 및 복원. 슬롯 무료체험 객체는 ETCD에 저장되므로 ETCD의 스냅 샷을 주기적으로 가져와야합니다. 또한 ETCD와 물리적으로 다른 서버를 백업 대상으로 사용하고 실패한 경우 스냅 샷을 복원하고 다시 시작하십시오.

백업하려는 대상이 PeristentVolume (PV)을 사용하는 경우 경영진을 담당하는 팀이 백업을 수행하고 복원합니다. Velero 및 Kasten K10과 같은 도구를 사용하는 것이 효과적입니다.

실제 장애물이 발생하면 사이트는 종종 결정을 내리는 것이 어렵다는 것을 알게됩니다. 즉각적인 네트워크 중단으로 인해 노드가 멤버로부터 일시적으로 제거 될 수 있고 반복적으로 재 연결 될 수 있기 때문입니다. 따라서 사전 판단 기준을 만드는 것이 가장 좋습니다.

다음, 여기에 인증서가 있습니다. 슬롯 무료체험 클러스터에는 다양한 인증서가 사용됩니다. 여기에는 Kubelet에 대한 클라이언트 인증서가 API 서버에 인증, API 서버 엔드 포인트의 서버 인증서 등이 포함됩니다. OpenSSL 또는 CFSSL을 사용하여 수동으로 인증서를 작성하는 것 외에도 Kubeadm을 사용하는 데 효과적입니다. 각 도구마다 사양이 다르므로 인증서가 만료되면주의하십시오.

자체 관리 슬롯 무료체험는 운영 부하가 높기 때문에 요구 사항과 비교하고 달성 될 효과를 결정하십시오.

무엇에 대해 조심해야합니까? 슬롯 무료체험 이용 및 SysDig와의 솔루션의 문제

SCSK Co., Ltd.
플랫폼 솔루션 비즈니스 부서, IT 엔지니어링 비즈니스 부서, 미들웨어 부서 2 부, 섹션 1
Sekiya Shoko

컨테이너 및 Kubernetes 작업에서 아키텍처는 복잡하고 블랙 박스가있는 경향이 있습니다. 분산 된 대형 컨테이너 및 서비스는 복잡하고 수명이 짧습니다. 이러한 특성은 또한 문제 해결을 방해 할 수 있습니다. 예를 들어, "CrashLoopbackoff". 이것은 일부 오류로 인해 포드가 반복적으로 멈추고 시작되는 현상입니다. 용기의 물질 인 포드는 멈출 때 사라져 원인을 조사하기가 어렵습니다.

또한 컨테이너 작업에서는 여전히 보안 조치를 탐색하고 있다고 말할 수 있습니다. NIST (National Institute of Standards and Technology)에서 게시 한 Application Container Security Guide (SP800-190)는 컨테이너에서 운영되는 응용 프로그램에 대한 보안에 대한 자세한 정보를 제공합니다. 이것은 이미지, 레지스트리, 오케스트레이터, 컨테이너 및 호스트 OS의 위험을 인용합니다.

이 배경으로 인해 컨테이너를 작동 할 때 시각화 및 결함 감지가 어떻게 중요한지. 오늘 우리는 "SysDig Secure DevOps 플랫폼"(이하 "SysDig")을 소개하여 컨테이너 환경을위한 통합 모니터링 및 보안 플랫폼을 가능하게합니다. SysDig는 무단 액세스 및 사이버 공격을 감지하는 데 매우 효과적입니다. 컨테이너의 내부 및 통신 상태를 모니터링하고, 명령 실행 기록을 기록하며, 컨테이너에 숨겨진 취약점을 발견 할 수 있습니다.

Sysdig는 네트워크 프로토콜 분석기 Wireshark의 공동 제작자 인 Loris Dioniani가 개발했습니다. SysDig 모니터와 SysDig Secure의 두 가지 유형으로 구성됩니다. Goldman Sachs, Mercari 및 NTT 데이터를 포함하여 전 세계 400 개 이상의 회사에서 사용합니다. Sysdig 모니터는 Prometheus 및 Sysdig Inspect이며 Sysdig Secure는 Falco 및 Anchore를 기반으로합니다.

또한 슬롯 무료체험 Certification Exam, Sysdig 및 Falco 인 CKS (Certified 슬롯 무료체험 Security Specialist)에서는 참조 문서로 표시됩니다. 이 시점부터 Sysdig는 슬롯 무료체험의 표준 기술로 인식되는 것으로 간주됩니다.

Sysdig는 컨테이너 환경에 특화된 접근 방식 인 "Container Vision"이라는 시스템을 제공합니다. 노드를 위해 컨테이너 형식으로 배포 된 sysdig 에이전트는 호스트의 커널에 액세스하고 Linux 시스템 호출을 수집하고 시각화합니다.

SysDig의 주요 특징은 모니터링 및 시각화뿐만 아니라 한 번에 문제 해결 및 법의학을 제공 할 수있는 솔루션이라는 것입니다.

세미나에서 SysDig Secure DevOps 플랫폼 제품의 데모로서 SysDig 모니터 기능을 사용하여 블랙 박스 컨테이너와 컨테이너 간의 통신 상태를 시각화하여 응용 프로그램 및 컨테이너의 가용성을 보장하는 메커니즘을 도입했습니다. 또한 응용 프로그램 개발 수명주기 (빌드, 선박, 실행)에 따라 고려해야 할 보안 관점과 SysDig 보안 기능을 사용했습니다.

마지막으로, Ishikawa Aihiko, Middleware Division 2, IT 엔지니어링 비즈니스 본부, Scsk Co., Ltd.의 IT 엔지니어링 비즈니스 본부는 "Sysdig는 모니터링 및 보안 기능을 제공 할 수있는 유일한 제품이며, 2) 결함 감지, 3) 분석 및 보안 응답.