Kubernetes для начинающих: развертывание первого кластера

Что такое Kubernetes и для чего он нужен?

Kubernetes (часто сокращается как K8s) — это мощная платформа с открытым исходным кодом для автоматизации развертывания, масштабирования и управления контейнеризированными приложениями. Разработанная Google и представленная общественности в 2014 году, она решает проблемы, связанные с управлением контейнерами, такими как Docker. Kubernetes позволяет управлять кластерами контейнеров, обеспечивая высокую доступность, масштабируемость и устойчивость ваших приложений.

Чем Kubernetes отличается от Docker?

Docker и Kubernetes часто упоминаются вместе, но они решают разные задачи:

• Docker: Это платформа для создания, развертывания и управления контейнерами. Docker позволяет упаковать приложение и все его зависимости в контейнер, который можно запускать на любом сервере, поддерживающем Docker. Основное преимущество Docker — это изоляция и переносимость контейнеров.
• Kubernetes: Это система оркестрации контейнеров, которая управляет контейнерами, созданными с помощью Docker или других контейнерных технологий. Kubernetes автоматизирует развертывание, масштабирование и управление контейнерами, обеспечивая их высокую доступность и надежность. Основное преимущество Kubernetes — это автоматизация и управление большим количеством контейнеров.

Таким образом, Docker и Kubernetes дополняют друг друга: Docker создает контейнеры, а Kubernetes управляет ими.

Основные компоненты Kubernetes

Прежде чем приступить к развертыванию, важно понять основные компоненты Kubernetes:

• Кластер: Группа узлов (серверов), на которых работают контейнеры.
• Узел (Node): Отдельный сервер, который является частью кластера. Узлы делятся на мастер-узлы и рабочие узлы.
• Под (Pod): Наименьшая единица в Kubernetes, представляющая собой один или несколько контейнеров, работающих вместе.
• Развертывание (Deployment): Объект, который описывает желаемое состояние подов.
• Сервис (Service): Абстракция, которая определяет логический набор подов и политику доступа к ним.

Установка и настройка Kubernetes

Для развертывания Kubernetes можно использовать различные инструменты. Один из самых популярных и простых способов — использование Minikube. Minikube позволяет запустить одноузловой кластер Kubernetes на вашем локальном компьютере.

Шаг 1: Установка Minikube

Скачайте и установите Minikube с официального сайта или используя пакетный менеджер вашей операционной системы. Например, для Ubuntu это можно сделать следующим образом:

curl -LO https://storage.googleapis.com/minikube/releases/latest/minikube-linux-amd64
sudo install minikube-linux-amd64 /usr/local/bin/minikube

Шаг 2: Установка kubectl

kubectl — это командная строка для взаимодействия с кластером Kubernetes. Установите его, следуя инструкциям на официальном сайте Kubernetes. Для Ubuntu это можно сделать так:

curl -LO "https://dl.k8s.io/release/$(curl -L -s https://dl.k8s.io/release/stable.txt)/bin/linux/amd64/kubectl"
chmod +x kubectl
sudo mv kubectl /usr/local/bin/

Шаг 3: Запуск Minikube

Теперь запустите Minikube, чтобы создать локальный кластер:

minikube start

Эта команда запустит виртуальную машину и настроит одноузловой кластер Kubernetes.

Шаг 4: Проверка кластера

Убедитесь, что ваш кластер работает правильно, выполнив команду:

kubectl get nodes

Вы должны увидеть список узлов, где статус узла должен быть Ready.

Развертывание первого приложения

Теперь, когда ваш кластер работает, давайте развернем простое приложение. Мы будем использовать стандартный образ Nginx для этого примера.

Шаг 1: Создание развертывания

Создайте файл deployment.yaml со следующим содержимым:

apiVersion: apps/v1
kind: Deployment
metadаta:
  name: nginx-deployment
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadаta:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx:1.14.2
        ports:
        - containerPort: 80

Этот файл описывает развертывание, которое создаст 3 реплики подов с контейнерами Nginx.

Шаг 2: Применение развертывания

Примените конфигурацию, выполнив команду:

kubectl apply -f deployment.yaml

Эта команда создаст развертывание и запустит поды в вашем кластере.

Шаг 3: Проверка подов

Убедитесь, что поды работают, выполнив команду:

kubectl get pods

Вы должны увидеть список подов с именем nginx-deployment и статусом Running.

Шаг 4: Создание сервиса

Теперь создадим сервис, чтобы сделать наше приложение доступным извне. Создайте файл service.yaml со следующим содержимым:

apiVersion: v1
kind: Service
metadаta:
  name: nginx-service
spec:
  selector:
    app: nginx
  ports:
    - protocol: TCP
      port: 80
      targetPort: 80
  type: NodePort

Примените конфигурацию сервиса:

kubectl apply -f service.yaml

Эта команда создаст сервис, который будет перенаправлять трафик на поды с Nginx.

Шаг 5: Доступ к приложению

Теперь вы можете получить доступ к вашему приложению через IP-адрес узла и порт, назначенный сервису. Выполните команду:

minikube service nginx-service --url

Эта команда выведет URL, по которому вы можете открыть ваше приложение в браузере.

Безопасность в Kubernetes

Безопасность — это критически важный аспект при работе с Kubernetes. Вот несколько ключевых практик и инструментов, которые помогут вам обеспечить безопасность вашего кластера:

1. Использование RBAC (Role-Based Access Control)

RBAC позволяет вам контролировать доступ к ресурсам кластера на основе ролей. Вы можете создавать роли и назначать их пользователям или группам, чтобы ограничить их возможности. Пример конфигурации RBAC:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadаta:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

2. Сетевые политики (Network Policies)

Сетевые политики позволяют вам контролировать трафик между подами. Вы можете ограничить доступ к подам только из определенных источников. Пример сетевой политики:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadаta:
  name: allow-specific
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          role: frontend

3. Шифрование данных

Используйте TLS для шифрования данных, передаваемых между компонентами Kubernetes. Также можно использовать секреты для хранения конфиденциальной информации, такой как пароли и ключи.

4. Регулярные обновления

Регулярно обновляйте Kubernetes и все связанные компоненты до последних версий, чтобы защититься от известных уязвимостей.

5. Мониторинг и аудит

Используйте инструменты мониторинга и аудита, такие как Prometheus и ELK Stack, чтобы отслеживать активность в кластере и выявлять подозрительные действия.

Заключение

Поздравляем! Вы успешно развернули свой первый кластер Kubernetes и запустили на нем простое приложение. Kubernetes — это мощный инструмент, и это только начало. В дальнейшем вы можете изучить более сложные концепции, такие как конфигурации, секреты, персистентные тома и многое другое.

Kubernetes имеет большое сообщество и множество открытых решений, которые помогут вам в вашем пути. Не бойтесь экспериментировать и учиться на практике!

Полезные ресурсы

• Официальная документация Kubernetes
• Документация Minikube
• Репозиторий Kubernetes на GitHub