Témata

Kubernetes

Máte rádi Prometheus a Grafana pro váš Kubernetes? Jak na to všechno v plně managed formě v Azure?

Velké množství týmů přicházejících ze světa “tady si už rok hrajeme s Kubernetem” do “tak a teď to pojede produkčně v cloudu” si se sebou nese zkušenosti se sběrem telemetrie přes Prometheus a vizualizace v Grafaně. Když ale mají převzít odpovědnost za správu, vysokou dostupnost a bezpečnost takového řešení v...

15. 12. 2022

Téma:  Kubernetes  Monitoring 

Chcete Azure Kubernetes Service, ale máte málo IP adres? Použijte novou Azure CNI overlay.

Jedním ze základních myšlenkových konceptů Kubernetu, v kterém ve své době řešil nepříjemnosti translace portů u většiny konkurence (Docker Swarm, Apache Mesos aka DC/OS, Service Fabric) byla přímá adresovatelnost Podů mezi sebou. Jinak řečeno každý Pod má svou IP adresu a navzájem se vidí. To je velmi přínosné, ale současně...

2. 11. 2022

Téma:  Networking  Kubernetes 

Federované workload identity v AKS - preview bezpečného řešení pro autentizaci služeb bez hesel

Federovaná identita je skvělý nový způsob bezpečného využívání služeb bez hesel. Pro prostředky běžící ve VM v Azure (a to včetně některých platformních služeb, které jsou sice v Microsoftem spravovaných VM, ale platí to pro ně taky) můžete používat Managed Identity. Nicméně ta je obtížně přenosná do jiných technologií -...

18. 10. 2022

Téma:  Security  Kubernetes 

Kubernetes pro velká data a strojové učení - proč AzureML nebo Apache Spark používá projekt Volcano?

Pokud ze světa infrastruktury a kontejnerů jako já nakouknete přes řeku k borcům od zpracování dat a strojového učení nejde se nevšimnout, že si tam hrají s virtuálkama, nad které si dávají Spark, Hadoop a podobné nástroje, které jim mají umožňit nahazovat jednotlivé úkoly nad takto spravovanou infrastrukturou. Mezitím svět...

18. 7. 2022

Téma:  AI  Kubernetes 

Azure Kubernetes Service v kombinaci s Private Link Service - například pro privátní doručení na Front Door nebo k vašim Azure klientům

Na tomto blogu už jsem popisoval technologii Private Link Service, kdy se můžete pasovat do role providera služby tak jak to třeba děla Microsoft s Azure SQL a svým odběratelům nabídnout začlenění vaší služby přímo do jejich virtuální sítě. Stejnou technologii lze také použít pro zajištění privátního spojení POPů Azure...

3. 6. 2022

Téma:  Networking  Kubernetes 

Nativní Azure Monitor a Microsoft Sentinel nově umí levnější logy a zabudovanou levnější archivaci - analýza nákladů (část 1)

Log Analytics jsou kombinace specializovaného databázového stroje, ingesting pipelines a agentů pro sběr dat ze strojů. Pod kapotou je v roli datového engine Azure Data Explorer. Nad Log Analytics jsou pak vystavena tři velká řešení. Tím prvním je Azure Monitor, který do toho vnáší sběr specializovaných informací (obohacuje základní agenty...

1. 3. 2022

Téma:  Monitoring  Security  Kubernetes 

Federace vnitřních Kubernetes identit s Azure Active Directory pro přístup k cloudovým službám bez hesel

Předávat aplikacím nějaké tajnosti jako jsou hesla nebo certifikáty je vždy docela nepohodlné, zejména, když nechcete prasit a dodržujete bezpečnostní hygienu (pravidelná rotace, nikdy neuloženo v Gitu nebo na disku, nikdy nezalogováno nebo odesláno do crash dumpu). Ve zdrojích běžících v Azure ve vašem tenantu to lze elegantně řešit přes...

15. 2. 2022

Téma:  Kubernetes  Security  AAD 

Kubernetes prakticky: vytváření vlastních politik v rego jazyce s OPA a promítnutím do Azure Policy

Minule jsme si prošli Azure Policy pro kontejnery a ukázali si, jak lze pěkně z jednoho místa řešit governance pro Azure Kubernetes Service i pro libovolný Kubernetes běžící kdekoli připojený do Azure prostředí přes Azure Arc. Využili jsme databáze hotových politik a ukázali si, že pod kapotou jsou pravidla napsaná...

23. 9. 2021

Téma:  Governance  Security  Kubernetes 

Kubernetes prakticky: bezpečnostní politiky s Azure Policy pro Azure Kubernetes Service i váš on-premises Kubernetes/OpenShift

Už desítky let si v IT rádi definujeme nějaké politiky, abychom si udrželi v systémech pořádek a bezpečnost. Jak si je budeme označovat, jak nastavovat jednotlivé parametry, jaké doporučené postupy volit pro zajištění bezpečnosti, vysoké dostupnosti nebo provozuschopnosti? Obvykle se to projevilo ve směrnicích, dokumentaci nebo školeních. Například - pokud...

9. 9. 2021

Téma:  Governance  Security  Kubernetes 

Kubernetes prakticky: privátní AKS clustery

Za nejdůležitější bezpečnostní nastavení z pohledu přístupu administrátorů do vašeho AKS clusteru považuji určitě integraci na Azure Active Directory a s tím spojené silné přihlašování včetně možnosti více-faktoru, podmíněných přístupů a návazný RBAC. O tom jindy. Nicméně omezení vašeho clusteru po stránce síťové jako další stupeň bezpečnosti mi dává smysl...

2. 2. 2021

Téma:  Kubernetes  Networking  Security 

Zabezpečte a řiďte svůj kdekoli běžící Kubernetes z cloudu s Azure Arc

Kubernetes je určitě novým základem pro provoz aplikací a řešením, nad kterým lze dál stavět a například do něj přinášet cloudové služby. Samotný Kubernetes ale není nic jednoduchého - určitě potřebuji ho nějak spravovat, monitorovat, sbírat logy, telemetrii, vytvářet bezpečnostní politiky a synchronizovat konfigurace. Ať už jde o Azure Kubernetes...

27. 10. 2020

Téma:  Kubernetes  Arc 

Kubernetes prakticky: přímé a bezpečné ovládání z Azure portálu v reálném čase

Azure Monitor obsahuje podle mého názoru fantastické Insights, tedy Azure Monitor for Containers, které podporují jak Azure Kubernetes Service, tak clustery mimo Azure napojené přes Azure Arc for Kubernetes. Pro analytiku, reporting a dlouhodobý monitoring jsou myslím výborná volba a takhle dobrých nástrojů s kombinací pokročilého analytického jazyka, jednoduchého sbírání...

6. 8. 2020

Téma:  Kubernetes  Monitoring 

Kubernetes praticky: DAPR napojení na řešení ukládání tajností v Kubernetes, Azure, AWS i Google i Hashicorp

DAPR je výborná platforma pro distribuované aplikace, která vám dá skutečnou přenositelnost mezi prostředími. Nepotřebuje Kubernetes, ale perfektně do něj sedí. Dnes se podíváme jak DAPR umožní sjednotit váš přístup k řešení secrets bez nutnosti uvázat se k proprietárnímu řešení nějakého dodavatele.

20. 4. 2020

Téma:  Kubernetes  Serverless  DAPR 

Kubernetes praticky: nejmocnější Service Mesh část 2 - traffic management

Minule jsme si prošli základní věci typu retry, circuit breaker a dnes se pustíme do pokročilého směrování provozu. Budeme pokračovat s prostředím z minula, kdy Istio jako takové mám zprovozněno a pustili jsme si dva deploymenty, každý v jiné verzi. apiVersion: apps/v1beta2 kind: Deployment metadata: name: myweb-deployment-v1 spec: replicas: 3...

4. 2. 2020

Téma:  Kubernetes  Networking  ServiceMesh 

Kubernetes praticky: nejmocnější Service Mesh část 1 - Istio retry, circuit breaker, copy, balancing

Než se pustíme do Istio, opět připomenu, že jsem nejprve psal o tom, proč Service Mesh ano, ale také proč ne. Nemyslím si, že je pro každého a jsou i jiné, v některých případech lepší, varianty. Také připomínám svůj hodně zjednodušený pohled na tři nejznámější zástupce: Istio, které je zaměřeno...

28. 1. 2020

Téma:  Kubernetes  Networking  ServiceMesh 

Postupné nasazování a testování aplikací na lidech - kanárci, A/B, green/blue na příkladu kadeřníka

Představte si, že jste kadeřník a pořídil si přes Internet nějakou novou speciální barvu, která je lepší, krásnější, levnější, jednodušší, lesklejší a tak podobně. Můžete dnes ráno otevřít a aplikovat ji každému zákazníkovi. To je ale trochu riskantní - co když ta pochybná barva vlasy zničí? Tak asi provedeme nejdříve...

20. 1. 2020

Téma:  Kubernetes  Apps  AppService  Automatizace 

Kubernetes praticky: DAPR jako přenositelná aplikační platforma pro cloud-native aplikace - state store a pub/sub

V minulém díle jsem popisoval proč DAPR a jeho základní architekturu. Dnes si DAPR vyzkoušíme. Všechny soubory potřebné pro dnešní článek najdete na mém GitHubu Instalace DAPR Instalace začíná tím, že si nainstalujeme DAPR CLI. wget -q https://raw.githubusercontent.com/dapr/cli/master/install/install.sh -O - | /bin/bash Následně přes CLI nahodíme DAPR v AKS. dapr...

5. 12. 2019

Téma:  Kubernetes  Serverless  DAPR 

Vytvářejte aplikace nezávislé na platformě s DAPR (Distributed Application Runtime)

Vytváření distribuovaných cloud-native aplikací postavených na mikroslužbách není snadné. Infrastrukturní platforma jako je Kubernetes (orchestrátor kontejnerů) je velmi dobrým způsobem, jak takové řešení provozovat a nasazovat. Nicméně pro vývojáře nenabízí mnoho prostředků k tomu, aby jim zjednodušila používání klíčových patternů distribuovaného světa. Nenabízí nějaké univerzální API, které by pro vás...

25. 11. 2019

Téma:  Kubernetes  Serverless  DAPR 

Pohled na hybridní svět IT nově i s Azure Arc

Na listopadové konferenci Ignite Microsoft oznámil další strategický krok v oblasti hybridních řešení - Azure Arc. Jak vypadá nasazení cloudového modelu nad vaší vlastní infrastrukturou, hostingem či libovolným cloudem nebo Kubernetes clustery od kohokoli a kdekoli? A jak to doplňuje technologii Azure Stack nebo IoT Edge? Dnes se na to...

11. 11. 2019

Téma:  Monitoring  Security  Governance  IoT  AzureStack  Kubernetes  Arc 

Kubernetes praticky: doporučená bezpečnostní nastavení a scan s kubesec.io

Kontejnery nejsou typicky izolované na úrovni hypervisoru (ačkoli se v tomto směru objevují třeba kata containers nebo hyper-v containers, které to dělají), takže izolace probíhá na úrovni kernelu. Vaše aplikace v kontejnerech tedy reálně běží v kernelu hostitele. Opatrnost je tedy na místě. Dnes využijeme jednoduchý scanner best practice kubesec.io...

1. 10. 2019

Téma:  Kubernetes  Security 

Kubernetes praticky: bezpečné řešení přístupu například do Key Vault přes AAD Pod Identity

Pokud chcete bezpečně řešit správu hesel, klíčů a certifikátů je vaší nejlepší volbou jejich uložení do Azure Key Vault a bezpečné vyzvedávání přímo aplikací. Místo použití Secret v Kubernetes se spolehnete na trezor, který je univerzální ať přistupujete odkudoli (Kubernetes, VM, WebApp, Functions, klient), je dokonale oddělen co do RBAC,...

6. 6. 2019

Téma:  Kubernetes  Security 

Kubernetes prakticky: řízení přístupu (RBAC) s integrací na Azure Active Directory

Máte Azure Kubernetes Service a všichni do ní přistupujete pod sdíleným admin účtem? Tento postup pro produkčnější nasazení není vhodný a velmi doporučuji nasadit řízení přístupu (RBAC). Kde ale uživatelské účty vzít a zajistit maximální bezpečnost přístupů třeba včetně vícefaktorového ověřování? Azure Kubernetes Service můžete elegantně napojit na identitní systém...

24. 4. 2019

Téma:  Kubernetes  Security  Governance 

Kubernetes prakticky: integrace Azure služeb díky servisnímu katalogu

Obvykle doporučuji stavové záležitosti typu databáze nebo fronta nedávat do Kubernetes clusteru, ale využít plně spravované PaaS řešení v Azure. Je spolehlivé, bezpečné, bez práce a hlavně udržitelné (nemusím nic patchovat, upgradovat ani si stále zkoušet, že moje provisioning skripty fungují i s novější verzí). Ale mám postupovat tak, že...

10. 9. 2018

Téma:  SQL  Kubernetes  MySQL  PostgreSQL 

Kubernetes prakticky: proč kontejnery, proč orchestrátor, proč Azure

Kontejnerové obrazy jsou skvělou jednotkou nasazení, ideálním novým způsobem zapouzdření a nasazování aplikací. Kontejner je také perfektní výpočetní jednotkou, infrastrukturní komponentou s výbornou přenositelností mezi cloudy, datovými centry i IoT zařízeními. To všechno je fajn pokud si hrajete s jedním "serverem" nebo Raspberry. Pokud ale máte cluster serverů, potřebujete balancovat...

9. 4. 2018

Téma:  Kubernetes 

Další témata:

AAD (13) AI (16) AppService (13) Apps (11) Arc (5) Automatizace (35) AzureContainerApps (1) AzureFunctions (6) AzureStack (14) BackupDR (2) Compute (34) CosmosDB (5) DAPR (5) Data Analytics (7) Data Factory (1) Databricks (1) FrontDoor (2) GitHub (2) Governance (12) IoT (6) Kontejnery (2) Kubernetes (75) Kusto (6) LogicApps (5) ML pro zelenáče (5) Monitoring (36) MySQL (2) Networking (49) OpenTelmetry (4) PostgreSQL (3) PowerShell (1) SQL (20) Security (63) Serverless (16) ServiceBus (2) ServiceMesh (4) Storage (40) Stream Analytics (1)