Kubernetes praticky: doporučená bezpečnostní nastavení a scan s kubesec.io

Kontejnery nejsou typicky izolované na úrovni hypervisoru (ačkoli se v tomto směru objevují třeba kata containers nebo hyper-v containers, které to dělají), takže izolace probíhá na úrovni kernelu. Vaše aplikace v kontejnerech tedy reálně běží v kernelu hostitele. Opatrnost je tedy na místě. Dnes využijeme jednoduchý scanner best practice kubesec.io...

1. 10. 2019

Téma:  Kubernetes  Kontejnery  Security 

---

Kubernetes praticky: používání externí konfigurace v Azure App Configuration Service

Kubernetes přichází s prostředky správy aplikačních konfigurací s ConfigMap a správu tajností se Secrets. Tyto vlastnosti jsou pro Kubernetes specifické a možná máte potřebu univerzálnějšího řešení. Něčeho, co bude dostupné z AKS, ale i VM v Azure, Web App v Azure Stack, Azure Function, Javascript klienta v browseru, IoT zařízení...

9. 9. 2019

Téma:  Kubernetes  Kontejnery  Apps 

---

Kubernetes praticky: vystavování aplikací s Ingress a Azure App Gateway (WAF)

Na tomto blogu už jsem ukazoval vystavování aplikací přes objekt Service a s využitím typu LoadBalancer vám Kubernetes ve spolupráci s Azure Load Balancer zajistí vystrčení ven z clusteru na private nebo public IP adresu. Nicméně to má své nevýhody. Adres může být zbytečně moc, neřeší to L7 funkce jako...

12. 8. 2019

Téma:  Kubernetes  Kontejnery  Networking  Security 

---

Kubernetes praticky: vývoj a testování s DevSpaces

Používáte architekturu mikroslužeb s Kubernetes? Z pohledu vývoje vás čeká jedna zajímavá výzva. Mikroslužby jsou samostatně nasaditelné jednotky, takže můžu testovat každou zvlášť. Na lokálním PC vývojáře si ten může hrát a před tím, než změnu publikuje, by si měl lokálně sjet základní testy včetně těch, které zavolají jeho API...

30. 7. 2019

Téma:  Kubernetes  Kontejnery  Apps 

---

Kubernetes praticky: bezpečné řešení přístupu například do Key Vault přes AAD Pod Identity

Pokud chcete bezpečně řešit správu hesel, klíčů a certifikátů je vaší nejlepší volbou jejich uložení do Azure Key Vault a bezpečné vyzvedávání přímo aplikací. Místo použití Secret v Kubernetes se spolehnete na trezor, který je univerzální ať přistupujete odkudoli (Kubernetes, VM, WebApp, Functions, klient), je dokonale oddělen co do RBAC,...

6. 6. 2019

Téma:  Kubernetes  Kontejnery  Security 

---

Kubernetes prakticky: řízení přístupu (RBAC) s integrací na Azure Active Directory

Máte Azure Kubernetes Service a všichni do ní přistupujete pod sdíleným admin účtem? Tento postup pro produkčnější nasazení není vhodný a velmi doporučuji nasadit řízení přístupu (RBAC). Kde ale uživatelské účty vzít a zajistit maximální bezpečnost přístupů třeba včetně vícefaktorového ověřování? Azure Kubernetes Service můžete elegantně napojit na identitní systém...

24. 4. 2019

Téma:  Kontejnery  Kubernetes  Security  Governance 

---

Kubernetes prakticky: síťová bezpečnost s Network Policy

Otevíráte uvnitř vaší sítě komunikaci jen odkud kam je to potřeba nebo jedete stylem “od vnějšku mě odděluje firewall, tak vevnitř může být klidně všechno se vším, tady si věříme”? Dnešní přístup k bezpečnosti vychází spíše z assume breach, tedy útočník se dříve či později dovnitř dostane. A když už...

14. 3. 2019

Téma:  Kontejnery  Kubernetes  Networking 

---

Kubernetes prakticky: vystavování služeb přes objekt Service

Aplikace v Kubernetes mají smysl pouze tehdy, když se k nim dá připojit. Deployment vám umožní běžet víc instancí kontejnerů a integrovaná service discovery dovoluje ostatním mikroslužbám tyto Pody najít. Předpokládám ale, že pro většinu situací nebudete chtít discovery provádět sami a uvítáte jednu virtuální IP, která bude zátěž rozhazovat...

25. 2. 2019

Téma:  Kontejnery  Kubernetes 

---

Kubernetes prakticky: nasazování Java aplikací

Ve spolupráci firem Microsoft a Gopas proběhl 31.1.2019 workshop na nasazování Java aplikací v Azure Kubernetes Service. Společně s kolegy Valdou Zavadsky a Tomášem Slavíkem jsme připravili podklady pro tento workshop, které najdete na GitHubu https://github.com/azurecz/java-k8s-workshop. Co tam je? Modul první - zabalení Java aplikace do kontejneru a nahrání do...

7. 2. 2019

Téma:  Kontejnery  Kubernetes 

---

Kubernetes prakticky: backup a DR s Heptio Ark

Jak se postavit k zálohování a DR vašeho AKS clusteru? Pokud to jde, doporučoval bych následující. Vytáhnout veškerý state z clusteru ven například do služeb typu Azure SQL, které mají přímo jako součást služby zálohování i disaster recovery vyřešené (ať už pomalejší a levnější geo-restore nebo živou asynchronní repliku do...

28. 1. 2019

Téma:  Kontejnery  Kubernetes 

---

Azure Kubernetes Service bez mašin aneb virtuální nody

Kubernetes mám strašně rád, ale jedna věc mi v cloudu nesedí. Chápu, že ve vlastním datovém centru budu rád, že Kubernetes se postará o moje nody a pomůže mi na ně spravedlivě umisťovat kontejnery. To je skvělé. Ale cloud je přeci alespoň teoreticky neomezený zásobník zdrojů a platím jen za...

5. 12. 2018

Téma:  Serverless  Kubernetes  Kontejnery 

---

Kubernetes prakticky: integrace Azure služeb díky servisnímu katalogu

Obvykle doporučuji stavové záležitosti typu databáze nebo fronta nedávat do Kubernetes clusteru, ale využít plně spravované PaaS řešení v Azure. Je spolehlivé, bezpečné, bez práce a hlavně udržitelné (nemusím nic patchovat, upgradovat ani si stále zkoušet, že moje provisioning skripty fungují i s novější verzí). Ale mám postupovat tak, že...

10. 9. 2018

Téma:  SQL  Kubernetes  MySQL  PostgreSQL  Kontejnery 

---

Service Fabric očima Kubernetes správce: architektura a kdy co použít

Pro moderní nasazování aplikací jsou dvě výborné technologie, které jsou obě v Azure, obě dostupné v on-premises a jiných cloudech, obě jsou (alespoň částečně a v budoucnu úplně) open source. Jedna je Service Fabric a druhá Kubernetes. Já jsem čas investoval především do té druhé, ale Service Fabric má některé...

5. 9. 2018

Téma:  Kubernetes  ServiceFabric  Kontejnery 

---

Kubernetes prakticky: finty pro ovládaní aneb kdy CLI a kdy GUI a jaké

Ovládání Kubernetes je velmi milé a přirozené a osobně toho hodně dělám přímo z příkazové řádky s použitíme kubectl. Podívejme se dnes na pár fintiček, které mám rád. A co GUI? Kubernetes nabízí svůj dashboard, ale AKS cluster má krásnou monitorovací záložku a je tu také plug-in do Visual Studio...

22. 8. 2018

Téma:  Kubernetes  Kontejnery 

---

Kubernetes prakticky: advanced scheduling

Azure Kubernetes Service automaticky dává vaše Pody na vhodné Nody včetně zajištění vysoké dostupnosti rozhazováním Deploymentů na Nody z různých fault domén. Přesto někdy můžete potřebovat scheduler ovlivnit a implementovat svoje specifické potřeby kde se mají vaše Pody objevit. Pojďme se podívat na Node affinitu, Pod affinitu a anti-affinitu, Taint...

16. 8. 2018

Téma:  Kubernetes  Kontejnery 

---

Kubernetes prakticky: zrod, život a smrt kontejnerů

Azure Kubernetes Service se o vaše kontejnery krásně postára, to už víte. Zkoušíte si jak to krásně funguje s demo příklady a pak tam dáte svojí aplikaci. V ten okamžik je na čase podívat se na životní cyklus kontejnerové instance. Jak řešit iniciační procesy? Jak kontrolovat health aplikace? Jak signalizovat...

12. 7. 2018

Téma:  Kubernetes  Kontejnery 

---

Kubernetes prakticky: Azure Container Registry

Kam s kontejnerovými obrazy? Do registru. Zní to dost triviálně. Azure Container Registry ale není jen o uložení diskového obrazu. K dispozici máte řízení přístupu integrované do Azure Active Directory (a potažmo vašeho AD), build as a service (sestaví vám kontejner rovnou v cloudu, nemusíte to dělat na svém notebooku),...

3. 7. 2018

Téma:  Kubernetes  Kontejnery 

---

Kubernetes prakticky: jak na více než jeden proces

Jste zvyklí spouštět u své aplikace více, než jeden proces, třeba pro vzdálený přístup, debugovací proces či pattern typu adaptér nebo ambasador? Jak na to v Kubernetes? Mám mít víc procesů v kontejneru a pokud ano, jak to udělat? Nebo mám mít každý proces ve svém, ale dát je do...

28. 6. 2018

Téma:  Kubernetes  Kontejnery 

---

Kubernetes prakticky: předávání konfigurací aplikacím v kontejnerech

Kontejnerový image s aplikací je immutable a obraz vybudovaný v rámci Continuous Integration pro vývoj a testování má být naprosto identický jako ten, který se přes staging dostane až do produkce například v rámci Continuous Deployment procesu. Pak je tedy potřeba mít schopnost ovlivnit aplikační nastavení mimo samotný kontejnerový image...

25. 6. 2018

Téma:  Kubernetes  Kontejnery 

---

Kubernetes prakticky: perzistentní storage pro stateful situace

Kontejnery v Kubernetes jsou naprosto ideální pro stateless služby. Pokud potřebujete držet state, použijte plně spravované služby Azure jako jsou databáze, fronty nebo objektová storage. Přesto někdy můžete mít potřebu ukládat data v kontejnerech tak, že pod tím bude perzistentní storage. Tak jak si ve storage vytvoříte Volume pro připojení...

30. 5. 2018

Téma:  Kubernetes  Kontejnery 

---

Kubernetes prakticky: nasazení kontejnerů s Pod, Deployment a Service

V dnešním díle si spustíme nějaké kontejnery. Zatím se nebudeme trápit síťařinou, spíš si projdeme základní koncepty Podů, Deploymentů a zkusíme nějaký upgrade nasazené služby za provozu. Váš první kontejner běžící v Kubernetes V minulých dílech jsme si v Azure vytvořili AKS a umíme se do Kubernetes připojit jeho příkazovou...

11. 5. 2018

Téma:  Kubernetes  Kontejnery 

---

Kubernetes prakticky: jak funguje a jak ho založit s AKS

Minule jsem popisoval proč kontejnery, proč Kubernetes a proč v Azure. Dnes se podíváme na základní principy Kubernetes a nasadíme si ho v plně spravované verzi AKS v Azure. Základní architektura Kubernetes je postaven na dvou rolích - master a agent. Ty první mají na starost control plane a management...

11. 4. 2018

Téma:  Kubernetes  Kontejnery 

---

Kubernetes prakticky: proč kontejnery, proč orchestrátor, proč Azure

Kontejnerové obrazy jsou skvělou jednotkou nasazení, ideálním novým způsobem zapouzdření a nasazování aplikací. Kontejner je také perfektní výpočetní jednotkou, infrastrukturní komponentou s výbornou přenositelností mezi cloudy, datovými centry i IoT zařízeními. To všechno je fajn pokud si hrajete s jedním "serverem" nebo Raspberry. Pokud ale máte cluster serverů, potřebujete balancovat...

9. 4. 2018

Téma:  Kubernetes  Kontejnery 

---

Jak přispívá Microsoft do open source kolem Kubernetes?

Jsou firmy, například Red Hat, které nejen masivně využívají open source, ale extenzivně přispívají jak psaním kódu tak s vedením projektů. Jsou jiné, které open source především využívají, ale kontribuce do komunity nejsou největší (tím je poměrně znám Amazon). Do které kategorie patří Microsoft specificky ve vztahu ke Kubernetes? Psaní...

1. 2. 2018

Téma:  Kubernetes  Kontejnery 

---

Co přinesl rok 2017 v Azure v kontejnerech

Rok je v cloudu dlouhá doba. V této sérii zpětných pohledů se pokouším ohlédnout za největšími novinkami, které rok 2017 přinesl. Co se stalo v mé snad nejoblíbenější oblasti: ve světě kontejnerů? Kontejnery na začátku roku 2017 Jak vstoupil Azure do roku 2017 z pohledu kontejnerů? V roce 2016 šla...

29. 12. 2017

Téma:  Kubernetes  Kontejnery 

---

CI/CD z .NET Core v Linux do Kubernetes v Azure s Visual Studio Team Services

Zkusil jsem se pustit do něčeho, v čem jsem se zatím příliš nepohyboval. Visual Studio, .NET, Visual Studio Team Services, ale chtěl jsem to vidět v kombinaci s tím, čemu se naopak věnuji delší dobu - Linux, Docker kontejnery a Kubernetes. Jde to vůbec dohromady? Perfektně! Pojďme na to mrknout....

4. 12. 2017

Téma:  Kubernetes  AzureDevOps 

---

Umožněte vývojářům jednoduše pustit aplikaci v Kubernetes clusteru s Draft

Kubernetes zejména v rámci Azure Container Service je moje nejoblíbenější platforma pro orchestraci kontejnerů - perfektní pro testování a provoz aplikací. Co kdyby tento cluster umožnil vývojářům jednoduše provést deployment svého kódu tak, aby se mohli podívat jak jim krásně běží? Pokud si vývojář umí sám vyrobit kontejnerový image, tak...

8. 9. 2017

Téma:  Kubernetes  Kontejnery 

---

Helm - váš package manager pro Kubernetes

Kubernetes v rámci Azure Container Service je skvělé řešení pro vaše kontejnerizované aplikace. Jenže co když ta se skládá z několika komponent ať už technologických (web, cache, databáze, ...) nebo s byznys logikou (mikroslužby)? Jak koordinovaně nasadit, upgradovat a rollbackovat celé aplikace bez nutnosti řešit každý dílek zvlášť? V Linuxu...

9. 8. 2017

Téma:  Kubernetes  Kontejnery 

---

Kubernetes a Windows kontejnery v Azure

Víte, že populární orchestrátor kontejnerů může nejen ovládat Linuxový svět, ale také Windows kontejnery ve Windows OS? A že si tohle můžete vyzkoušet (zatím jako neprodukční preview) na kliknutí s Azure Container Service? A že je to všechno krásně napojeno na Azure networking? Dnes si to vyzkoušíme. Azure Container Service...

1. 6. 2017

Téma:  Kubernetes  Kontejnery 

---

O kontejnerech, cloudu, vesmíru a vůbec se zvláštním zřetelem na Kubernetes

Článek pro konferenci EurOpen. Myslíte, že je čas podívat se kontejnerům na ozubená kolečka a nasadit vaši první aplikaci v kontejnerovém clusteru? Zkuste to v cloudu, je to nejrychlejší a nejpohodlnější cesta k tomu získat reálné zkušenosti z vývoje, deploymentu a provozu vaší aplikace v kontejnerech. V Azure můžete na...

17. 5. 2017

Téma:  Kubernetes  Kontejnery 

---

Síťařina v Kubernetes v Azure Container Service

V síťařině jsem působil mnoho let a vždycky to bylo docela složité. Virtualizace a cloud situaci díky nástupu overlay sítí a mikrosegmentaci zrovna nezjednodušují a dnes se pak musí řešit otázka síťařiny v kontejnerech běžících nad virtualizací. Azure Container Service odladila a připravila robustní řešení pro open source orchestrátor dle vaší volby...

8. 3. 2017

Téma:  Kubernetes  Networking  Kontejnery 

---

3x open source orchestrace kontejnerů s Azure Container Service

  Kontejnery, open source a Azure? To jde perfektně dohromady. Za asi deset minut můžete mít produkční spolehlivý cluster postavený na orchestrátoru dle vaší volby - Docker Swarm, Kubernetes nebo DC/OS (Mesos). Docker bez orchestrátoru Vývojáři mají rádi kontejnery, protože jim umožní na běžném notebooku provozovat obrovské množství virtuálních prostředí....

6. 2. 2017

Téma:  Kubernetes  Kontejnery 

---