Rzadko piszę o Microsoft, a w końcu to olbrzymi gracz na rynku cloudowym (podobno drugi, tuż za AWS).
Tak się składa, że ostatnio wypuścili garść ciekawych nowości dla swojego Kubernetesa, czyli AKS. To cieszy, bo oznacza, że Ci którzy korzystają z chmury Microsoftu nie zostaną w tyle za EKS czy moim ulubionym GKE. Wiem, że Azure jest w sporej ilości firm w Polsce – widzę to szczególnie podczas szkoleń.
A dla tych co nie mają Azure przygotowałem też garść innych nowości. Zapraszam!
Nowe Kyverno weryfikuje podpisy manifestów
Kyverno to natywne rozwiązanie do aplikowania reguł bezpieczeństwa na klastrach Kubernetesowych. Jest to świetna alternatywa dla OPA Gateway i prostsza w użyciu.
Niedawno wyszła wersja 1.8, która przynosi kilka zmian. Umożliwia sprawdzanie reguł nowego standardu bezpieczeństwa, czyli PodSecurity.
Ciekawą nową funkcją jest też weryfikacja manifestów. Wszystko wskazuje, że idziemy w stronę podpisywania wszystkiego – od commitów git, przez obrazy kontenerów aż po manifesty.
Wygląda to ciekawie, a Kyverno jest moim faworytem. Polecam szczególnie tym, którzy nie “polubili” się z językiem rego wykorzystywanym w OPA.
Film o prometheus
Obok wydanego dokumentu o Kubernetes (część 1 i 2) doszedł jeszcze jeden – tym razem o projekcie Prometheus.
Przyznam się, że jeszcze nie obejrzałem, ale zamierzam. Znam tylko pobieżnie historię powstania i sam jestem ciekaw jak tak świeży (biorąc pod uwagę inne projekty open source) projekt zdominował tak ważną działkę IT jaką jest monitoring i stał się niedzownym elementem środowisk skonteneryzowanych.
Red Hat umożliwia szybsze testowanie OKD
Ogłoszono wydanie OKD Streams. To rozwiązanie pozwoli wszystkim odważnym na testowanie nowych funkcjonalności zanim trafią one do wersji stabilnej.
To zgodne z przeznaczeniem OKD, bo to ma być wersja community flagowego produktu Red Hata – OpenShift Container Platform. Podobno w CERN używają tego produkcyjnie, ale ja słyszałem o wielu problemach tego projektu (szczególnie po perturbacjach związanych z wersją 4).
Jeśli używasz tego u siebie to chętnie się dowiem czy OKD osiągnęło już stabilność i można to polecać dla środowisk on-prem obok EKS Anywhere czy VMware Tanzu Community Edition.
Alternatywa dla Helm i Kustomize jest już stablina
Mowa oczywiście o CDK8S+. Jeśli zatem zamiast pisać yamle czy szablony dla chartów, to już śmiało możesz użyć swojego ulubionego języka i tam opisywać stan platformy.
Oczywiście jeśli zechcesz to spiąć z rozwiązaniem GitOps to póki co będziesz musiał do Gita zapisywać wygenerowane manifesty. Ale dla niektórych ucieczka od długich yamli jest tego warta i doskonale to rozumiem.
Nowości w AKS
I temat główny, czyli garść nowości w Azure Kubernetes Service.
Pierwsza to wsparcie dla IPVS. Od teraz można testować na AKS wewnętrzny load balancing, który nie jest oparty o reguły iptables (pokazuję jak to działa w moim wideo), a o kernelowy moduł IPVS. Dlaczego chcesz IPVS? Bo możesz użyć innych algorytmów balansowania ruchem i do tego lepiej on działa dla środowisk o większej ilości podów.
Kolejna nowość to wsparcie CNI opartego na Cilium. A jak masz już Cilium to możesz między innymi użyć ich zaawansowanego firewalla działającego na warstwie L7. Do tego szyfrowanie, tracing i wszystkie inne bajery, które mamy dzięki ePBF.
AKS może też działać na dystrybucji Mariner, którą Microsoft utworzył dla rozwiązań działających na kontenerach. Nie znam za dużo szczegółów, ale wygląda mi to na podobny projekt do CoreOS czy też googlowego COS. W końcu skoro wszystko jest i tak w kontenerach to można uprościć działanie hosta, którego główne zadanie to dostarczanie cpu, pamięci i kernela do obsługi kontenerów.
I na koniec AKS udostępnia wertykalny autoscaler, czyli VPA. Sam nie korzystam, bo nie znalazłem póki co zastosowania. Zakładam jednak, że znajdą się tacy, których Microsoft tym uszczęśliwi.
Ważne, że nowe funkcje są dodawane i wszystko idzie do przodu jak powinno.