tocdepth

2

Справочник плагинов

Плагины в Managed Kubernetes — это дополнительные инструменты, которые расширяют функциональные возможности кластера Kubernetes.

Плагины предназначены для упрощения процесса управления кластером, повышения его производительности, безопасности и удобства использования. Пользователям легко интегрировать плагины в свои кластеры без необходимости ручной установки и настройки.

Плагины можно установить при создании и редактировании кластера, а также через страницу маркетплейса в личном кабинете. Инструкции по работе с плагинами см. в разделе Работа с плагинами в Evolution Managed Kubernetes.

Cilium

Cilium — плагин для защиты и контроля сетевых подключений между рабочими нагрузками. Поддерживает сетевые политики Kubernetes и дополнительно предоставляет CiliumNetworkPolicies, расширяя возможности встроенных.

Cilium основывается на технологии eBPF, которая обеспечивает широкие возможности сетевой безопасности, высокопроизводительную сеть, динамическую балансировку нагрузки, прозрачное шифрование и управление сетью. Рекомендуется использовать для масштабных и высокодинамичных облачных сред, где сотни и даже тысячи контейнеров создаются и уничтожаются за секунды.

Cilium устанавливается при создании кластера по умолчанию, если не выбран другой сетевой плагин.

Calico

Calico — плагин сетевой безопасности, который позволяет рабочим нагрузкам Kubernetes беспрепятственно и безопасно взаимодействовать друг с другом.

Сетевая безопасность на основе политик, предлагаемая Calico, подходит для приложений с высокими требованиями безопасности.

Calico может помочь обеспечить строгую сегментацию сети и контроль доступа, что особенно полезно для многопользовательских сред или приложений, работающих с конфиденциальными данными.

CSI Driver

CSI-драйвер в Managed Kubernetes поддерживает спецификацию Container Storage Interface и позволяет предоставлять произвольные блочные или файловые хранилища для контейнеров, расширяя возможности хранения данных приложений.

После установки драйвера в кластере Managed Kubernetes пользователи смогут подключать и монтировать постоянные тома на поды и настраивать классы хранения.

Ресурсы подключаемых томов могут быть созданы динамически или заранее подготовлены администратором кластера Managed Kubernetes. Том может быть смонтирован с возможностью чтения и записи одним узлом. Допустимый размер тома для монтирования — от 1 ГБ до 4 ТБ, кратный 1 ГБ.

Пример использования:

• Создание пода с динамически подготовленным томом

• Создание пода со статически подготовленным томом

• Увеличение размера тома для пода

• Создание StatefulSet

Ingress Nginx

Плагин реализует Ingress Controller для NGINX и NGINX Plus. Поддерживает стандартные возможности Ingress, такие как маршрутизация на основе контента и TLS/SSL-терминирование.

Ingress Nginx позволяет:

• Управлять балансировкой нагрузки для Websocket, gRPC, TCP и UDP и доступом к кластеру Managed Kubernetes на основе ролей.

• Наблюдать за состоянием кластера, выявлять аномальные события и определять узкие места, которые влияют на производительность.

• Настраивать Web Application Firewall, который защищает приложения, отслеживая распространенные типы атак, такие как SQL-инъекция, XSS, включение файлов, и фильтруя трафик.

Istio

Istio расширяет возможности Managed Kubernetes для создания программируемой сети с использованием прокси-сервера службы Envoy.

Обеспечивает универсальное управление трафиком, телеметрию и безопасность в сложных развертываниях. Поддерживает автоматическую балансировку нагрузки для HTTP, gRPC, TCP и WebSocket-трафика.

Istio в Managed Kubernetes позволяет получать подробные данные телеметрии для всех сервисных коммуникаций внутри сети. Телеметрия обеспечивает возможность наблюдения за поведением сервисов, позволяя устранять неполадки, обслуживать и оптимизировать свои приложения.

С помощью Istio можно получить полное представление о том, как отслеживаемые сервисы взаимодействуют с другими сервисами и с самими компонентами Istio.

Synapse Service Mesh

Synapse Service Mesh в кластере Managed Kubernetes позволяет создавать сервисную сеть поверх платформенной. В основе — сетевая инфраструктура Service Mesh, с помощью которой сервисы могут обмениваться миллионами событий в режиме реального времени.

Плагин реализован на базе Istio и входит в реестр отечественного программного обеспечения.

Synapse Service Mesh обеспечивает интеграцию с инфраструктурой безопасности и мониторинга, сквозную трассировку сообщений с помощью автоматизированного сбора, агрегации и передачи на хранение трейсов интеграционных сервисов.

Позволяет настроить расширенный мониторинг для просмотра журнала логов, наблюдения и отслеживания проблем в компонентах сервиса. Поддерживает реестр сервисов service discovery.

Kube State Metrics

Kube State Metrics (KSM) в Managed Kubernetes прослушивает сервер API Kubernetes и генерирует метрики о состоянии объектов.

KSM фокусируется на состояниях объектов внутри кластера, а не на состояниях отдельных компонентов кластера, и позволяет получать информацию о статусах узлов, доступных репликах развертывания, статусах жизненного цикла подов и другом.

Kube State Metrics отображает необработанные данные из Kubernetes API, не изменяя их, и охватывает большинство полезных метрик в кластере. KSM предоставляет данные в формате Prometheus, поэтому визуализацию и анализ показателей можно быстро настроить с помощью Prometheus.

Плагин необходимо установить для работы с сервисом «Мониторинг». Подробнее см. Мониторинг кластера.

Node Exporter

Node Exporter в Managed Kubernetes предоставляет широкий набор системных метрик узла и операционной системы, позволяя контролировать:

• используемую и свободную оперативную память;

• свободное дисковое пространство,

• использование CPU.

Метрики системы, собираемые Node Exporter, можно использовать в качестве источника данных для систем управления конфигурацией, например Ansible, Puppet или Chef.

Применение Node Exporter в Managed Kubernetes наблюдать за состоянием системы и своевременно реагировать на сбои.

Плагин необходимо установить для работы с сервисом «Мониторинг». Подробнее см. Мониторинг кластера.

Fluent Bit

Плагин для сбора и обработки данных телеметрии кластера. Позволяет получать логи компонентов кластера, событий, аудита и приложений в разном виде и конвертировать их в необходимый формат для отправки в систему логирования.

Надежная и легкая архитектура Fluent Bit обеспечивает высокую производительность с низким потреблением ресурсов при передаче данных телеметрии в систему логирования.

Плагин позволяет эффективно управлять разнообразными форматами данных, сохраняя при этом оптимальную производительность. Совместим с Prometheus и OpenTelemetry.

Metrics Server

Плагин Metrics Server собирает и агрегирует показатели ресурсов узлов и подов (CPU и RAM) от kubelet и предоставляет их в Kubernetes API Server через Metrics API. Метрики, собранные плагином, используются для настройки горизонтального (HPA) и вертикального (VPA) масштабирования.

Благодаря полученным метрикам можно задавать условия изменения количества подов или выделения ресурсов.

Не используйте метрики, собранные плагином:

• в качестве источника метрик для решений мониторинга;

• для создания Horizontal Pod Autoscaler на основе ресурсов, отличных от CPU и памяти.

Пример использования:

• Развертывание Deployment с горизонтальным масштабированием подов

• Развертывание Deployment с вертикальным масштабированием подов

Trivy Operator

Плагин для проверки образов контейнеров и конфигураций ресурсов:

• на уязвимости;

• ошибки конфигураций;

• секреты, доступные в открытом виде.

Плагин сканирует кластер на наличие проблем безопасности и публикует результаты сканирования в отчетах, которые доступны через Kubernetes API.

Пользователи могут просматривать отчеты и находить риски, связанные с различными ресурсами кластера.

Проверка на наличие проблем безопасности запускается при изменении состояния кластера Managed Kubernetes. Например, при создании нового пода.

Пример использования:

• Просмотр отчетов Trivy Operator

Gatekeeper

Плагин для контроля за соблюдением политик в кластере Managed Kubernetes.

При создании или обновлении ресурсов в кластере Gatekeeper проверяет их на соответствие заданным политикам, предотвращая развертывание нежелательных или небезопасных конфигураций.

Gatekeeper может выполнять аудит существующих ресурсов в кластере Managed Kubernetes в соответствии с принятыми ограничениями, выявляя созданные ранее неправильные конфигурации.

Вы можете использовать шаблоны ограничений из библиотеки Gatekeeper или создавать свои шаблоны ограничений с помощью языка Rego.

Пример использования:

• Настройка политики Gatekeeper

Контейнерная безопасность

Плагин обеспечивает защиту контейнеров, подов и хостов во время их выполнения в кластере Managed Kubernetes. Позволяет снизить вероятность утечек данных, атак и инцидентов, связанных с безопасностью. Продукт от Neuvector.

Плагин «Контейнерная безопасность»:

• Выполняет сканирование на наличие уязвимостей на протяжении всего процесса непрерывной интеграции и развертывания контейнеров (CI/CD).

• Упрощает создание сетевых политик и управление ими.

• Обеспечивает сегментацию и изоляцию трафика между контейнерами.

• Предотвращает распространение атак внутри кластера.

• Дает возможность помещать контейнеры в карантин.

Обратите внимание, для корректной работы плагина «Контейнерная безопасность» необходимо создать хотя бы одну группу узлов.

Размер группы узлов — три или более рабочих узлов. Рекомендованный размер оперативной памяти для рабочих узлов — не менее 8 ГБ.

Пример использования:

• Настройка доступа к панели администратора плагина «Контейнерная безопасность»

Была ли статья полезной?

Да Нет

Предыдущая статья

Аудит-логирование в Managed Kubernetes

Следующая статья

Справочник API

Запустили Evolution free tier
для Dev & Test

Получить