Yani, Kubernetes’i güvenlik açığı olan bir ortamda dağıtmak istiyorsunuz, ancak aylarca süren sıkı çalışmadan sonra hala çalışmıyor. Veya belki de yolculuğa çıkmak üzeresiniz, ancak hava boşluğu ortamlarında Kubernetes dağıtımlarını yönetmeye çalışan kuruluşların başarılı olamayan korku hikayelerini duydunuz.
İster hastane ister askeriye olsun, kritik veya yaşamsal açıdan kritik bir ortamda çalışıyor olun, muhtemelen veri hırsızlığı veya güvenlik ihlallerinden korumak istediğiniz kritik sistemleriniz ve hassas verileriniz vardır. hava boşluğu Bunun için mükemmel, ama aynı zamanda çok sağlam.
Kubernetes neden bu kadar zor?
Bu tür ortamlardaki Kubernetes konuşlandırmalarının genellikle sorun yaşamasının veya tamamen başarısız olmasının nedenlerinden biri, birçok kuruluşun mimarinin nasıl görünmesi gerektiğini önceden düzgün bir şekilde planlamamasıdır.
Kubernetes, İnternet üzerinden kullanılmak üzere tasarlanmıştır ve bu kurulumda, web üzerinde genel olarak barındırılan konteyner kayıtlarından konteyner görüntülerini paylaşma ve teslim etme ile birlikte gelen harika bir kullanım kolaylığı vardır. Aslında, konteyner yapılandırmaları genellikle konteynerin varsayılan olarak Docker kayıt defterini almaya hazır olduğunu varsayar.
Bu özel tasarımın bir bobin olduğu ortaya çıktı Aşil topuğu Tam yığın ve uygulama yaşam döngüsünü yönetmeniz gereken kendi hataya dayanıklı kapsayıcı kayıt defterinizi barındırmanız, güvenliğini sağlamanız ve kullanılabilir hale getirmeniz gereken hava boşluğu ortamları için. Bu kolay değildir ve başlangıç noktası olarak Kubernetes hakkında kapsamlı bir anlayışa sahip olmanız gerekir.
O halde, insanların yaptığı en büyük hatalardan bazılarına ve hava boşluklu ortamlarda Kubernetes dağıtırken yapmanız gerekenlere bir göz atalım.
Taşıma sürecinde çeviklik
Dikkate alınması gereken ilk şeylerden biri – ve muhtemelen bir hava boşluğunun açılmasına veya kırılmasına neden olacak en büyük faktörlerden biri – yapı taşıma işleminizdeki esnekliktir.
Hava tıkalı bir ortamda çalışmak güvenliği otomatik olarak iyileştirmez. Yine de uygulamalarınızı ve platformunuzu düzenli olarak güncellemeniz gerekiyor, ancak gereksinimleri toplama ve taşıma süreciniz çok uzunsa, ortamın bakımını karmaşık hale getirir ve yeni özelliklerin ve güvenlik yamalarının kullanıma sunulmasını caydırır. Çok geçmeden bu caydırıcılık, toplumun geri kalanının gerisinde kalmanıza neden olabilir ve birdenbire, olmayı düşündüğünüzden daha savunmasız olursunuz.
Bu konuda ne yapabilirsin? Göç gruplarının devreye girdiği yer burasıdır.
göçmen bloğu
Uzun süren gereksinimleri toplama ve taşıma sürecini azaltmak için yapabileceğiniz en iyi şeylerden biri, bir geçiş toplu işlemine sahip olmaktır. Temel olarak, bu, ona yardımcı olmak için hava kütlesine paralel, hava boşluğu olmayan bir tertibatın çalıştırılmasını içerir. Uygulamada, bu gruplar aynıdır, tek fark biri çevrimiçi, diğeri değildir.
Uzun vadede, hava dışı kütle, hava kütlesinin aynası gibi davranır ve en büyük yararı, hatalarla başa çıkabilmeniz, gereksinimleri toplayabilmeniz, teslimatı hızlandırabilmeniz, geliştiricilerin eksik şeyleri önlemesine ve güvenlik gereksinimlerini karşılamanıza yardımcı olabilmenizdir. Daha sonra bir resim deposuna ihtiyaç duymadan gönderi olarak kullanabilirsiniz.
Örneğin, bir yolcu gemisinde hem AWS’de hem de okyanusta çalışan şeyler olabilir. Dolayısıyla, çevrede zaten bir internet bağlantılarına sahip olabilirler, ancak müşterilerinin kullanması için ayırmak istedikleri için bu grubun çevrimiçi çalışmasını zorunlu olarak istemiyorlar. Böylece, çevrimiçi bir sistemle başlayacaklar, tüm test ve geliştirmeleri orada yapacaklar ve ardından onu hava sızdırmaz sistemleri içinde paketleyecekler.
Bu geçiş grupları, eğitim için de yararlıdır. Bozuk ortamlarla uğraşırken genellikle güvenlik gereksinimleriniz olur ve personel bulmak zor olabilir. Örneğin, geçmiş kontrollerinden geçene kadar erişimine izin verilmeyen birini işe alabilirsiniz. Ancak, Air ile korumak istediğiniz özel, gizli veya müşteri verilerine erişimi engellemediği için onlara çevrimiçi pakete erişim izni verebilirsiniz.
Bu çevrimiçi süit aynı zamanda yükseltme testlerinizi yapabileceğiniz yerdir, böylece yayına çıktığınızda bunun için endişelenmenize gerek kalmaz.
fotoğraf deposu
Peki, küme geçişinden sonra ne gelir? Görüntü deposu. Dağıtım sürecini teknik olarak onsuz tamamlayabilseniz de çok uzağa gidemezsiniz. 0. günde bile, bir tane alsan iyi olur.
Neden bir resim deposu var? İlk olarak, konteynerli uygulamalarınızı hava kısıtlamalı bir ortamda barındırması için ona ihtiyacınız var ve ikincisi, tedarik zinciri güvenliği açısından ilk ve en önemli savunma hattınız. Kendi görüntü havuzunuzu kullanmak, herhangi bir güvenlik açığı için imzalanmış ve önceden taranmış, onaylı bir kapsayıcı görüntü seti sağlayabileceğiniz anlamına gelir. İster Harbor, Nexus veya Artifactory olsun, tüm görüntü depolama teknolojileri bir tür tarama sunar. Bu, getirdiğiniz tüm fotoğrafların tedarik zincirini kontrol etmenizi sağlar, böylece hiç kimse istenmeyen gizli fotoğrafları getirmez; Grupta kimlerin fotoğraf yüklediğini bile kontrol edebilirsiniz. Hava kısıtlamalı bir ortamda ilk başladığınızda aradığınız güvenlik seviyesini sağlar.
ağ sınırları
Ayrıca her zaman göz önünde bulundurmanız gereken bir tür ağ sınırı vardır. Çoğu sistem diğer sistemlere bağlıdır – Kubernetes kümesi uygulamaları, yapılandırmayı ve verileri şu kaynaktan almalıdır: bir yerde. Gruplarınız için kuracağınız ağ sınırlarını ve grubunuzu daha büyük BT sisteminize nasıl maruz bırakacağınızı düşünmelisiniz. Kümenize gelen kuzey-güney trafiğini ve uygulamalarınızın küme içinde birbiriyle nasıl iletişim kurduğuyla ilgili doğu-batı trafiğini güvence altına almak için ağınızı dikkatli bir şekilde tasarlamanız ve mühendisliğini yapmanız önemlidir.
Arızalı sistemlerin çoğu işyerinde olduğundan, hava boşlukları olan ortamlara özgü olması gerekmeyen, aklınızda tutmanız gereken başka altyapı sorunları da vardır. Örneğin, performansınızı kısmaktan kaçınmak için, gereksinimlerinizi karşılayan yeni bir donanımı hızla piyasaya sürmek kolay olmayacağından, yerel olarak hangi donanımı alacağınızı önceden düşünmek istiyorsunuz.
Bu tamamen farklı bir canavar, ancak bu konuşmanın amacı doğrultusunda, bunun derinine inmeyeceğiz. Ancak işin özü şudur: Halihazırda hangi altyapıya sahip olduğunuzu ve hava kısıtlı ortamınızda neleri makul ölçüde genişletip büyütebileceğinizi anlayın.
belgeler
Son olarak, bu önemsiz gelebilir, ancak evet, belgeleri kararsız bir ortamda da düşünmelisiniz. Kubernetes ile ilgili belgelerin çoğu internettedir ve bunları okumak için bağlı bir ağa ihtiyacınız vardır. Kiti hava boşluğu olan bir ortamda dağıtmaya başlamadan önce yazdırmayı veya indirmeyi planlamanız gerekir.
Kısacası, havayla kaplı Kubernetes’leri dağıtmak için bir yıl süren başarısız bir girişimde kendinizi tuzağa düşürmemenin anahtarı, uygulamaya çalıştığınız hava güvenlik açığı sistemini anlamaktır. Nereye gidebileceğinizi ve nereye gidemeyeceğinizi düşünmeniz gerekir. Ne kullanabilirsin? Neyi kullanamazsın? Tüm altyapı gereksinimlerini ve kısıtlamalarını göz önünde bulundurduğunuzda, sistemi bunları göz önünde bulundurarak tasarlamanız gerekir.
“Pop kültürünün ninjası. Sosyal medya fanatiği. Tipik problem çözücü. Kahve pratisyeni. Çok aşık olur. Seyahat tutkunu.”
More Stories
IFE Erişilebilirlik Çözümleri’nin Thales serisi prestijli Kristal Kabin Ödülünü kazandı
Özel büyülü temelleri ortaya çıkarın: Temizleme, Fırtınalar ve Hazineler
Razer’ın Basilisk V3’ü