La revolución del contenedor brinda más control y flexibilidad en la administración de aplicaciones.
Después de varios años de implementación y operación, desde SUSE han  aprendido a identificar errores, lo que permite corregir incidentes rápidamente.
En la mayoría de los casos, estos incidentes operativos y de seguridad están relacionados con la funcionalidad y la configuración de Kubernetes.

La verdadera pregunta es: ¿cuál es la diferencia entre un Kubernetes bueno y uno malo?

Good Kubernetes no tiene SPOF

Es importante instalar el clúster de Kubernetes en HA, es decir, tener al menos 3 maestros.
Por lo tanto, los servicios vitales como la API (puerta de enlace al clúster) y la base de datos DCE (base de datos que aloja el estado del clúster) son redundantes.
No se preocupe, el servicio estará garantizado en el caso de que una de las máquinas se detenga, ya sea una avería o un mantenimiento planificado.
Del mismo modo, se recomienda tener un sistema de almacenamiento resistente y distribuido que se pueda controlar a través de API como Ceph para el almacenamiento de datos de carga de trabajo.

Good Kubernetes prescinde de registros externos

Olvídese del acceso a registros públicos como Docker Hub o gcr.io.
Un registro interno garantizará una administración más fácil para los desarrolladores, pero también su disponibilidad sin tener acceso a Internet.
Para asegurar sus implementaciones y ser autónomo, es vital configurar su propio registro.

El buen Kubernetes limita los privilegios

En Kubernetes como en un sistema Linux, no se puede permitir el acceso de root a las aplicaciones.
Y, sin embargo, los contenedores que va a implementar, especialmente si provienen de un editor externo, no siempre respetarán esta regla.
Es esencial activar PodSecurityPolicy para adaptar los derechos y la funcionalidad de los contenedores.
Los PSP permiten la ejecución de un Pod en un contexto seguro.
Por ejemplo, un Pod sin la capacidad NET_BIND no podrá abrir puertos de escucha en el sistema host.

El buen Kubernetes tiene un tablero de instrumentos.

Por último y probablemente el punto más importante: la parte Métrica, necesaria para el monitoreo operativo.
Sin un panel de control, es difícil controlar el estado de su clúster de Kubernetes.
Gracias a Prometheus y Grafana es posible ver el consumo de recursos en tiempo real y acceder al historial para analizar el origen de un incidente.
También puede generar rápidamente informes sobre la actividad y la planificación de capacidades de sus soluciones.

Gracias a estos comentarios, SUSE desarrolla y mejora constantemente la oferta de la plataforma de contenedores como servicio (CaaSP) para proporcionarle una solución de infraestructura probada y reconocida.

Descubra todos los artículos sobre SUSE CaaSP