- tocdepth
2
Справочник плагинов
Плагины в Managed Kubernetes — это дополнительные инструменты, которые расширяют функциональные возможности кластера Kubernetes.
Плагины предназначены для упрощения процесса управления кластером, повышения его производительности, безопасности и удобства использования. Пользователям легко интегрировать плагины в свои кластеры без необходимости ручной установки и настройки.
Плагины можно установить при создании и редактировании кластера, а также через страницу маркетплейса в личном кабинете. Инструкции по работе с плагинами см. в разделе Работа с плагинами в Evolution Managed Kubernetes.
Cilium
Cilium — плагин для защиты и контроля сетевых подключений между рабочими нагрузками. Поддерживает сетевые политики Kubernetes и дополнительно предоставляет CiliumNetworkPolicies, расширяя возможности встроенных.
Cilium основывается на технологии eBPF, которая обеспечивает широкие возможности сетевой безопасности, высокопроизводительную сеть, динамическую балансировку нагрузки, прозрачное шифрование и управление сетью. Рекомендуется использовать для масштабных и высокодинамичных облачных сред, где сотни и даже тысячи контейнеров создаются и уничтожаются за секунды.
Cilium устанавливается при создании кластера по умолчанию, если не выбран другой сетевой плагин.
Calico
Calico — плагин сетевой безопасности, который позволяет рабочим нагрузкам Kubernetes беспрепятственно и безопасно взаимодействовать друг с другом.
Сетевая безопасность на основе политик, предлагаемая Calico, подходит для приложений с высокими требованиями безопасности.
Calico может помочь обеспечить строгую сегментацию сети и контроль доступа, что особенно полезно для многопользовательских сред или приложений, работающих с конфиденциальными данными.
CSI Driver
CSI-драйвер в Managed Kubernetes поддерживает спецификацию Container Storage Interface и позволяет предоставлять произвольные блочные или файловые хранилища для контейнеров, расширяя возможности хранения данных приложений.
После установки драйвера в кластере Managed Kubernetes пользователи смогут подключать и монтировать постоянные тома на поды и настраивать классы хранения.
Ресурсы подключаемых томов могут быть созданы динамически или заранее подготовлены администратором кластера Managed Kubernetes. Том может быть смонтирован с возможностью чтения и записи одним узлом. Допустимый размер тома для монтирования — от 1 ГБ до 4 ТБ, кратный 1 ГБ.
Пример использования:
Ingress Nginx
Плагин реализует Ingress Controller для NGINX и NGINX Plus. Поддерживает стандартные возможности Ingress, такие как маршрутизация на основе контента и TLS/SSL-терминирование.
Ingress Nginx позволяет:
Управлять балансировкой нагрузки для Websocket, gRPC, TCP и UDP и доступом к кластеру Managed Kubernetes на основе ролей.
Наблюдать за состоянием кластера, выявлять аномальные события и определять узкие места, которые влияют на производительность.
Настраивать Web Application Firewall, который защищает приложения, отслеживая распространенные типы атак, такие как SQL-инъекция, XSS, включение файлов, и фильтруя трафик.
Istio
Istio расширяет возможности Managed Kubernetes для создания программируемой сети с использованием прокси-сервера службы Envoy.
Обеспечивает универсальное управление трафиком, телеметрию и безопасность в сложных развертываниях. Поддерживает автоматическую балансировку нагрузки для HTTP, gRPC, TCP и WebSocket-трафика.
Istio в Managed Kubernetes позволяет получать подробные данные телеметрии для всех сервисных коммуникаций внутри сети. Телеметрия обеспечивает возможность наблюдения за поведением сервисов, позволяя устранять неполадки, обслуживать и оптимизировать свои приложения.
С помощью Istio можно получить полное представление о том, как отслеживаемые сервисы взаимодействуют с другими сервисами и с самими компонентами Istio.
Synapse Service Mesh
Synapse Service Mesh в кластере Managed Kubernetes позволяет создавать сервисную сеть поверх платформенной. В основе — сетевая инфраструктура Service Mesh, с помощью которой сервисы могут обмениваться миллионами событий в режиме реального времени.
Плагин реализован на базе Istio и входит в реестр отечественного программного обеспечения.
Synapse Service Mesh обеспечивает интеграцию с инфраструктурой безопасности и мониторинга, сквозную трассировку сообщений с помощью автоматизированного сбора, агрегации и передачи на хранение трейсов интеграционных сервисов.
Позволяет настроить расширенный мониторинг для просмотра журнала логов, наблюдения и отслеживания проблем в компонентах сервиса. Поддерживает реестр сервисов service discovery.
Kube State Metrics
Kube State Metrics (KSM) в Managed Kubernetes прослушивает сервер API Kubernetes и генерирует метрики о состоянии объектов.
KSM фокусируется на состояниях объектов внутри кластера, а не на состояниях отдельных компонентов кластера, и позволяет получать информацию о статусах узлов, доступных репликах развертывания, статусах жизненного цикла подов и другом.
Kube State Metrics отображает необработанные данные из Kubernetes API, не изменяя их, и охватывает большинство полезных метрик в кластере. KSM предоставляет данные в формате Prometheus, поэтому визуализацию и анализ показателей можно быстро настроить с помощью Prometheus.
Плагин необходимо установить для работы с сервисом «Мониторинг». Подробнее см. Мониторинг кластера.
Node Exporter
Node Exporter в Managed Kubernetes предоставляет широкий набор системных метрик узла и операционной системы, позволяя контролировать:
используемую и свободную оперативную память;
свободное дисковое пространство,
использование CPU.
Метрики системы, собираемые Node Exporter, можно использовать в качестве источника данных для систем управления конфигурацией, например Ansible, Puppet или Chef.
Применение Node Exporter в Managed Kubernetes наблюдать за состоянием системы и своевременно реагировать на сбои.
Плагин необходимо установить для работы с сервисом «Мониторинг». Подробнее см. Мониторинг кластера.
Fluent Bit
Плагин для сбора и обработки данных телеметрии кластера. Позволяет получать логи компонентов кластера, событий, аудита и приложений в разном виде и конвертировать их в необходимый формат для отправки в систему логирования.
Надежная и легкая архитектура Fluent Bit обеспечивает высокую производительность с низким потреблением ресурсов при передаче данных телеметрии в систему логирования.
Плагин позволяет эффективно управлять разнообразными форматами данных, сохраняя при этом оптимальную производительность. Совместим с Prometheus и OpenTelemetry.
Metrics Server
Плагин Metrics Server собирает и агрегирует показатели ресурсов узлов и подов (CPU и RAM) от kubelet и предоставляет их в Kubernetes API Server через Metrics API. Метрики, собранные плагином, используются для настройки горизонтального (HPA) и вертикального (VPA) масштабирования.
Благодаря полученным метрикам можно задавать условия изменения количества подов или выделения ресурсов.
Не используйте метрики, собранные плагином:
в качестве источника метрик для решений мониторинга;
для создания Horizontal Pod Autoscaler на основе ресурсов, отличных от CPU и памяти.
Пример использования:
Trivy Operator
Плагин для проверки образов контейнеров и конфигураций ресурсов:
на уязвимости;
ошибки конфигураций;
секреты, доступные в открытом виде.
Плагин сканирует кластер на наличие проблем безопасности и публикует результаты сканирования в отчетах, которые доступны через Kubernetes API.
Пользователи могут просматривать отчеты и находить риски, связанные с различными ресурсами кластера.
Проверка на наличие проблем безопасности запускается при изменении состояния кластера Managed Kubernetes. Например, при создании нового пода.
Пример использования:
Gatekeeper
Плагин для контроля за соблюдением политик в кластере Managed Kubernetes.
При создании или обновлении ресурсов в кластере Gatekeeper проверяет их на соответствие заданным политикам, предотвращая развертывание нежелательных или небезопасных конфигураций.
Gatekeeper может выполнять аудит существующих ресурсов в кластере Managed Kubernetes в соответствии с принятыми ограничениями, выявляя созданные ранее неправильные конфигурации.
Вы можете использовать шаблоны ограничений из библиотеки Gatekeeper или создавать свои шаблоны ограничений с помощью языка Rego.
Пример использования:
Контейнерная безопасность
Плагин обеспечивает защиту контейнеров, подов и хостов во время их выполнения в кластере Managed Kubernetes. Позволяет снизить вероятность утечек данных, атак и инцидентов, связанных с безопасностью. Продукт от Neuvector.
Плагин «Контейнерная безопасность»:
Выполняет сканирование на наличие уязвимостей на протяжении всего процесса непрерывной интеграции и развертывания контейнеров (CI/CD).
Упрощает создание сетевых политик и управление ими.
Обеспечивает сегментацию и изоляцию трафика между контейнерами.
Предотвращает распространение атак внутри кластера.
Дает возможность помещать контейнеры в карантин.
Обратите внимание, для корректной работы плагина «Контейнерная безопасность» необходимо создать хотя бы одну группу узлов.
Размер группы узлов — три или более рабочих узлов. Рекомендованный размер оперативной памяти для рабочих узлов — не менее 8 ГБ.
Пример использования:
для Dev & Test