Kubernetes（也稱為K8s）仍然是開發(fā)人員中需求最高的容器技術(shù)。K8s最初是由Google的工程師開發(fā)的，作為一種解決方案，它在本地、公共云、私有云或混合云的托管中都廣受歡迎。Statista的數(shù)據(jù)顯示，2021年公共云中Kubernetes的市場份額為16%，到2022年增長至45%。VMware關(guān)于2022年Kubernetes狀況的報告還顯示，在擁有1000名以上員工的大型企業(yè)中，對Kubernetes的采用率從2018年的27%增加到2020年的48%。

然而，盡管Kubernetes變得越來越受歡迎，但仍存在一些挑戰(zhàn)，使得DevOps團隊無法從使用K8s構(gòu)建云原生應(yīng)用程序中獲得全部好處。他們?nèi)绾纹胶馊∩岵⒔桓蹲罴秧椖磕?？讓我們一起快速了解一下?/p>

觀測性是關(guān)鍵Kubernetes具有很多優(yōu)點，因為容器生態(tài)系統(tǒng)中存在多個節(jié)點和接觸點。這使得全面了解整個K8s環(huán)境成為一項具有挑戰(zhàn)性的任務(wù)。事實上，使用K8s的用戶明白手動理解其容器是行不通的。然而，根據(jù)Groundcover公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Shahar Azulay的說法，解決這個挑戰(zhàn)的方法在于使用觀測性工具。

通過使用觀測性工具，DevOps團隊可以全面了解Kubernetes中發(fā)生的一切，從日志到指標再到追蹤。這使得DevOps團隊能夠快速修復(fù)錯誤并大規(guī)模構(gòu)建應(yīng)用程序。Azulay表示：“開發(fā)人員可以通過識別源頭最有趣的數(shù)據(jù)，智能地對其進行采樣，而不是收集和分析所有可用的數(shù)據(jù)或隨機抽樣數(shù)據(jù)，然后僅選擇將這些數(shù)據(jù)發(fā)送到他們的觀測性平臺”。

通過觀測性，DevOps團隊可以減少停機時間、降低成本，并最終提高性能。如今一些最受歡迎的觀測性工具包括Grafana、Groundcover和Prometheus。Azulay進一步指出，Groundcover代表了觀測性的新一代，因為它“打破了常規(guī)的應(yīng)用性能管理（APM）模式，提供了資源消耗極小、全面可觀察且透明簡化的定價”。

將安全置于首位僅關(guān)注觀測性還不夠，因為那只解決了問題的一半。尤其是在安全方面還有更多需要關(guān)注的地方。紅帽（Red Hat）關(guān)于2023年Kubernetes安全狀況的報告顯示，94%的受訪者在過去12個月中遇到了安全事故，64%的受訪者由于K8s安全問題而延遲或放緩部署進程。30%的受訪者還將漏洞視為他們對容器和K8s環(huán)境最擔(dān)心的問題。

在Kubernetes環(huán)境中運行應(yīng)用程序時保持安全顯然非常重要。如果不將安全置于首要位置，可能會對性能產(chǎn)生負面影響，增加修復(fù)成本，并造成長期的破壞性影響。ARMO公司的開源安全提供商、當今最流行的Kubernetes安全工具Kubescape的創(chuàng)始人兼副總裁Box Craig指出，“與所有云軟件一樣，確保在將Kubernetes訪問權(quán)限委派給團隊時有適當?shù)姆雷o措施非常重要”。

Craig進一步指出，確保安全的一些步驟包括（但不限于）：

定期進行安全補丁和更新。在配置K8s集群時遵循行業(yè)最佳實踐。檢查和驗證鏡像是否存在惡意代碼、錯誤配置和其他漏洞。禁止訪問云API元數(shù)據(jù)。利用基于角色的訪問控制（RBAC），只允許用戶根據(jù)其角色和職能訪問K8s資源。使用Kubecsape等安全工具保護您的集成開發(fā)環(huán)境（IDE）、CI/CD流水線和集群。

解決存儲問題在使用Kubernetes時，額外的存儲會帶來成本，并由開發(fā)人員和組織承擔(dān)大部分費用。為了有效減少開發(fā)人員的部署摩擦，大型組織通常轉(zhuǎn)向公共云環(huán)境，并減少對本地服務(wù)器的依賴。

ARMO公司的首席技術(shù)官兼聯(lián)合創(chuàng)始人Ben Hirschberg表示，解決這個問題的一種方法是“在源頭分析數(shù)據(jù)，最大程度地減少為觀察而移動大量數(shù)據(jù)的需求。通過在節(jié)點或應(yīng)用程序內(nèi)部分析數(shù)據(jù)，不需要將所有數(shù)據(jù)移動到外部存儲或可觀測性平臺。通過本地存儲數(shù)據(jù)，DevOps團隊可以避免不必要的數(shù)據(jù)傳輸成本，同時確保需要時可以立即獲取必要的數(shù)據(jù)”。

優(yōu)先考慮互操作性K8s面臨的另一個挑戰(zhàn)是互操作性，即應(yīng)用程序在Kubernetes中相互通信的能力。云原生應(yīng)用程序之間在K8s上的互操作通信并不像看起來那么直接。正如本文所指出的，缺乏互操作性可能會“影響集群部署，因為它包含的應(yīng)用實例可能在集群中的各個節(jié)點上運行時出現(xiàn)問題”。

解決這個挑戰(zhàn)的一種方法是利用跨多個組織合作項目（如AWS、Google、IBM、SAP和Red Hat）為您的云原生應(yīng)用提供服務(wù)。

最后的思考最佳的K8s實踐不是一勞永逸的解決方案；它們來自于不斷從錯誤中學(xué)習(xí)并改進實踐。對于已經(jīng)被技術(shù)工作和以創(chuàng)紀錄速度部署容器的需求所拖累的DevOps團隊來說，這可能是一項艱巨的工作。幸運的是，觀測性工具可以指明需要關(guān)注的重點，并幫助針對安全、互操作性、存儲等關(guān)鍵問題采取有針對性的步驟。