DevOps Tool of Month (7 серии деталей)
DevOps Tool of the Month это серия, где каждый месяц я представляю один новый полезный инструмент DevOps в 2021 году 🙌 🏼
В июне я выбрал: Datree 🎉 — Инструмент CLI, который предотвращает ошибочные неправильные конфигурации Kubernetes!
Почему мы хотим обеспечить соблюдение лучших практик 🧐
Допустим, в вашей компании есть несколько проектных команд, где разработчики развертывают свои приложения в K8s. Инженер DevOps, который управляет кластерами K8S в компании, хочет, чтобы каждая команда проекта была Следуйте определенным правилам и напишите файлы конфигурации K8S, которые следуют передовым практикам Анкет
Таким образом, они хотят Предотвратить любые неправильные задания или проблемы безопасности в кластере Когда приложения развернуты.
Так что же такое лучшие или плохие практики?
ДЕЛАТЬ:
- Укажите версию на каждом изображении, используемом в стручке, вместо последней теги. Почему? Каждый раз, когда это изображение будет вытянуто, версия будет другой версией и может сломать ваш код
НЕ:
- Запустите контейнер с корневой привилегией. Почему? Контейнеры гораздо более безопасны, когда их доступ ограничен
- Используйте устаревшие API K8S для компонентов
Делать это вручную — не очень хорошая идея 🤷🏻 ♂ ️
Таким образом, чтобы избежать этого, администраторы K8S будут регулярно проверять конфигурацию и проверять на наличие любых неправильных задач или проблем безопасности.
После того, как администраторы K8S обнаруживают проблемы в конфигурации, они уведомили бы команды о проблемах, которые необходимо исправить. И это должно быть сделано для всех кластеров по всей компании. Иногда команды могут не расставлять приоритеты в проблемах или задержать исправления.
Но также, если этот процесс проверки не автоматизирован, Администраторы могут что -то пропустить И ошибочные проблемы и проблемы безопасности могут фактически оказаться в процессе производства.
Итак, вопрос: как мы можем позволить разработчикам создавать эти манифесты сами, но в то же время убедиться, что любая конфигурация, которая заканчивается в кластере, является правильной и следует правилам наилучшей практики, которые хотят администраторы? 🤔
Что такое Datree и как она решает эту проблему 😎
Это на самом деле очень просто: Datree позволяет Admins K8s Создать политики и лучшие практики, которые они хотят, чтобы каждая команда следовала, а затем запускала эти политики как Автоматизированные проверки Как часть трубопровода CI/CD или даже раньше в рабочем процессе разработки, например, крючков перед коммитацией.
Это перемещает проверки неправильной конфигурации влево, не позволяя им оказаться в кластере, но также позволяя разработчикам исправить их сразу, без необходимости обратного общения от администраторов K8S, объясняя разработчиков, почему и что нужно исправить.
Как использовать datree 🔥
💡 Инструмент командной строки 💡
Это инструмент командной строки, который вы можете установить с помощью одной команды, что означает, что вы можете установить его на любую машину и интегрировать в любом инструменте и запускается, когда захотите, как каждый раз, когда разработчики совершают изменения, или создают запрос на вытягивание и т. Д.
Таким образом, в основном администраторы K8S, которые на самом деле знают K8s и как правильно настроить компоненты K8S, один раз создаст политики со всеми правилами и лучшими практиками. Интегрируйте его во всех рабочих процессах развития команд и таким образом сделать Постоянная политика по всей компании что все проекты будут использовать.
💡 Централизованная политика 💡
И чтобы интегрировать его в несколько конвейеров CI/CD, вам на самом деле не нужно копировать и вставлять политики и включать их в каждый проект. Эти политики Хранится централизованно в Datree И не в проекте в качестве дополнительного файла проекта, поэтому, просто ссылаясь на политики, вы можете использовать одну и ту же политику во всех ваших трубопроводах CI.
💡 DateRe Validations 💡
Следующие 3 вещи подтверждены:
- Yaml : Файл является действительным файлом yaml
- Kubernetes схема : Является ли файл действительным файлом Kubernetes
- Политика : Является ли файл, следуя вашей политике Kubernetes
💡 Встроенные политики 💡
Также в дополнение к тому, что вы можете создавать политики, Datree уже дает вам Список встроенных политик , который уже охватывает почти все лучшие практики. Это означает, что после того, как вы настроите его, вы уже можете начать проверять свои файлы YAML с помощью этих встроенных политик. 👍
Datree в действии — демонстрация 👩🏻 💻
В видео я покажу вам, как легко настроить Datree и сразу же начать проверку файлов конфигурации K8S:
Еще больше удивительных инструментов в этой серии, Так что следите за обновлениями! 🎬 😊
Мол, поделиться и следуй за мной 😍 Для большего содержания:
DevOps Tool of Month (7 серии деталей)
Оригинал: «https://dev.to/techworld_with_nana/how-to-enforce-kubernetes-best-practices-with-datree-4pen»