Как стать автором
Обновить

Комментарии 4

Спасибо за перевод. Познавательно

Замечания.


Многие путают Kubernetes с PaaS-решением. Это не PaaS-решение! Это платформа для создания PaaS-решений. OpenShift — один из таких примеров.

ОпенШифт — это не PaaS. Rancher — это тоже не PaaS. ОпенШифт облачный (не managed, а именно, что у редхата, мультитенантный) — это PaaS.


Коробочная версия Kubernetes мало кого устроит.… Дополнить Kubernetes можно несколькими путями.

Не раскрыто — что такое "коробочный кубернетес". Если речь про ОпенШифт. Ну, э… Очень своеобразно. Если речь про managed в облаках, то там тоже до коробки еще как пешком до Луны. Сколько там всего еще сделать надо… Если бы все было готовы, то не рождались бы проекты вроде SysDig/StackRox/Aqua/Falco/Notary/Trivy и куча всего того, что помимо куба есть в CNCF Landscape.


Чтобы избежать всего этого, мы решили использовать Consul, Vault и Consul Template для управления конфигурациями. ...

Кстати, тут я согласен с коллегами, что встроенные в куб ConfigMap и Secrets — фу-фу-фу и Consul/Vault выглядят интереснее, но your mileage may vary...


Опытным путем мы установили, что эксплуатировать Kubernetes непросто… Нет никакого смысла заниматься этим самостоятельно.

В целом — да, но не всегда это возможно. Плюс специфика российского рынка — когда нормального облака нет. Яндекс, к сожалению, возможен не всегда. Плюс любое managed решение имеет свои ограничения. И хорошо, если вы можете в них вписаться. А если нет или это дорого? Вот тогда и приходится разбираться самому


Для снижения всех видов рисков безопасности мы используем Open Policy Agent. Также он позволяет снизить стоимость и сократить риски, связанные с техническим долгом.

очень жирный плюсик за OPA. К своему удивлению обнаружил, что сам Гугл в своем managed кубе предлагает OPA из коробки (правда, все равно надо включать самому)


Даже если вы контролируете размещение pod'ов в своем кластере, нет простого способа контролировать межсервисное взаимодействие, чтобы pod одного сервиса связывался с pod'ом другого сервиса в той же AZ (тем самым сокращая потоки данных между AZ).

ПРОСТОГО — действительно нет, но если ребята затащили консул — они могли бы в нем регистрировать сервисы по AZ. И тогда делать балансировку не встроенным кубовым SD, а своими силами. Ну, или тащить cilium. Хотя его вроде в managed кубах нет. И этот чудесный сетевой плагин кажется как раз будет уметь что-то подобное (с topology awareness).

Однако финансовая выгода пришла не сразу.
непонятно, пришла ли она вообще…
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.