Комментарии 4

Замечания.


Многие путают Kubernetes с PaaS-решением. Это не PaaS-решение! Это платформа для создания PaaS-решений. OpenShift — один из таких примеров.

ОпенШифт — это не PaaS. Rancher — это тоже не PaaS. ОпенШифт облачный (не managed, а именно, что у редхата, мультитенантный) — это PaaS.


Коробочная версия Kubernetes мало кого устроит.… Дополнить Kubernetes можно несколькими путями.

Не раскрыто — что такое "коробочный кубернетес". Если речь про ОпенШифт. Ну, э… Очень своеобразно. Если речь про managed в облаках, то там тоже до коробки еще как пешком до Луны. Сколько там всего еще сделать надо… Если бы все было готовы, то не рождались бы проекты вроде SysDig/StackRox/Aqua/Falco/Notary/Trivy и куча всего того, что помимо куба есть в CNCF Landscape.


Чтобы избежать всего этого, мы решили использовать Consul, Vault и Consul Template для управления конфигурациями. ...

Кстати, тут я согласен с коллегами, что встроенные в куб ConfigMap и Secrets — фу-фу-фу и Consul/Vault выглядят интереснее, но your mileage may vary...


Опытным путем мы установили, что эксплуатировать Kubernetes непросто… Нет никакого смысла заниматься этим самостоятельно.

В целом — да, но не всегда это возможно. Плюс специфика российского рынка — когда нормального облака нет. Яндекс, к сожалению, возможен не всегда. Плюс любое managed решение имеет свои ограничения. И хорошо, если вы можете в них вписаться. А если нет или это дорого? Вот тогда и приходится разбираться самому


Для снижения всех видов рисков безопасности мы используем Open Policy Agent. Также он позволяет снизить стоимость и сократить риски, связанные с техническим долгом.

очень жирный плюсик за OPA. К своему удивлению обнаружил, что сам Гугл в своем managed кубе предлагает OPA из коробки (правда, все равно надо включать самому)


Даже если вы контролируете размещение pod'ов в своем кластере, нет простого способа контролировать межсервисное взаимодействие, чтобы pod одного сервиса связывался с pod'ом другого сервиса в той же AZ (тем самым сокращая потоки данных между AZ).

ПРОСТОГО — действительно нет, но если ребята затащили консул — они могли бы в нем регистрировать сервисы по AZ. И тогда делать балансировку не встроенным кубовым SD, а своими силами. Ну, или тащить cilium. Хотя его вроде в managed кубах нет. И этот чудесный сетевой плагин кажется как раз будет уметь что-то подобное (с topology awareness).

Однако финансовая выгода пришла не сразу.
непонятно, пришла ли она вообще…
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
Местоположение
Россия
Сайт
flant.ru
Численность
51–100 человек
Дата регистрации

Блог на Хабре