如何建立Kubernetes治理战略

译文2023-03-13 13:48:46Kubernetes治理实现了用于集群分配、部署、重新部署和扩展的策略。人们需要详细了解Kubernetes治理的原因。

译者 | 李睿

审校 | 孙淑娟

治理可带来一致性和可重复性，以确保质量永远不会降低。制定Kubernetes治理模型有助于保持整个组织的正常运行。此外，Kubernetes治理模型中提出的策略并不局限于资源和部署的安全基线。

然而，真正的问题是：在企业的云原生旅程中，在哪里以及为什么需要Kubernetes的治理和策略?

Kubernetes提供了基于角色的访问控制（RBAC）特性，这有助于以非常细粒度的方式定义访问，从而区分操作人员或管理人员所拥有的访问级别。

基于角色的访问控制（RBAC）的局限性在于，它不允许用户对资源使用设置限制。而在定义策略边界时，对资源设置这些限制至关重要。

本文将介绍Kubernetes治理及其意义。

一、什么是Kubernetes治理?

人们都理解“治理”，即跨所有组、部门或整个组织执行某些规则和策略的能力。同样，在讨论Kubernetes治理时，指的是在所有Kubernetes集群中遵循的特定标准，以及在这些集群上运行的应用程序。

更容易理解的是，人们需要标准流程来保持事情的可预测性和安全性。当用户拥有较少的集群，并且一个人处理所有的集群时，合并标准化看起来可能有点过分。但是，随着时间的推移，这可能在维护集群方面付出巨大努力。

在这里了解治理的维度是什么，以及如何防止有太多重叠的政策。

二、治理的维度

Kubernetes治理有三个维度。

Kubernetes治理的维度

它需要在组织单位和技术单位方面加以实施。组织单位由用户、组、团队和部门组成。

技术单元包括云计算提供商、数据中心、区域、集群组、标签选择器、名称空间等。还可以根据从静态列表到动态规则的功能来定义范围。

谈到策略目标，在安全策略、映像管理、网络策略管理和配置约束和策略方面有很多需要探讨的地方。以下详细了解一下。

三、治理目标是什么?

可以将Kubernetes治理目标分为以下几类：

（1）安全策略

（2）容器图像管理

（3）网络策略管理

（4）访问管理

（5）配置约束和策略

1.安全策略

当人们谈论安全政策时，企业的运维团队需要控制不同的领域。

框架安全设置可以确保：

（1）谁有权访问集群或应用程序?

（2）针对不同部门定制访问权限。

（3）指定应用程序使用操作系统功能的程度。

例如，对于数据科学部门创建的所有集群，这一切应该如何工作，用户只能访问特定的默认名称空间。

2.容器图像管理

另一个治理领域是图像管理。在这种情况下，企业可以制定一套规则来说明：

（1）要在哪些集群中使用的容器映像类型。

（2）在生产环境中使用容器映像的标准是什么?

（3）容器登记册选择的监管标准以及如何防止其受到损害。

3.网络策略管理

用户需要专注于定义哪些pod或容器可以相互通信。简单地说，需要通过治理来确保pod的安全约束。在某些情况下，安全框架确实可以解决这个问题。

拥有一个涵盖安全以及其他领域(如集群拓扑和一般集群配置约束)的公共治理框架总是好的。

4.访问实施和管理

引入基于角色的访问控制策略（RBAC）的流行概念。

通过这种方式，管理员可以限制对Kubernetes集群的访问。有各种Kubernetes对象在定义基于角色的访问控制策略（RBAC）时起作用，例如角色、群集角色、角色绑定和群集角色绑定。有了它们，可以详细定义访问限制。

5.配置约束与策略

这是关于定义资源可配置权限以及资源访问和限制。这是如何工作的——假设有不同的软件团队。通过配置约束与策略，允许团队A在azure和AWS上创建集群，并定义了团队A可以利用资源的上限。需要注意的是，团队A不能更改这些配置细节。

与部署的应用程序相关的治理规则与上面讨论的安全规则非常相似。其中包括网络策略和定义pod如何交互（称为应用程序级约束）。还可以对所有应用程序的资源使用、请求和限制进行约束。

四、Kubernetes多集群管理和治理的重要性

实现多集群管理和治理的主要优点包括：

（1）减少管理复杂性——当工程团队遵守一系列规则时，就更容易防止任何形式的浪费/过度使用。

（2）增强的集群可见性——更好的工作负载管理，实现资源的最佳使用。防止在节点之间不均匀地分布应用程序pod。

（3）更好的应用程序可用性——更容易在最近的可用区域部署应用程序。

（4）改进的监控和日志记录——更容易解决问题，最大限度地减少停机时间。

（5）确保一致性和合规性——员工遵守规定的政策会带来一致性，并使事情具有可预测性。

（6）减少延迟——有了强大的监控，更容易预测任何偏差，并更好做好准备。

改进的灾难恢复。

（7）能够跨多云/混合云环境部署遗留和云原生应用程序。

（8）标准化，内置自动化，降低运营成本，提高效率。

（9）强化的安全态势——全面可见、集中控制、一致性和标准化。

五、如何实施Kubernetes治理框架？

在此之前，需要了解Kubernetes治理框架是什么样子的？

它将多个专门的治理框架组合为一个全面的解决方案。这包括为不同的目标使用不同的工具，如云计算成本管理、云计算资源管理、可观察性和监视、安全性等。一个全面的解决方案的问题是，这些不同的工具不一定要相互沟通和集成。

最好的方法是使用Kubernetes管理平台。一个遵循安全性、可观察性、成本管理等最佳实践的低代码平台。

1.安全的最佳实践

（1）集成在持续集成（CI）/持续交付（CD）管道中强大的图像扫描过程，确保在软件开发生命周期(SDLC)的构建和运行阶段扫描每个企业应用程序。

（2）使用符合互联网安全基准测试中心(CIS)标准的工具。

（3）限制对机密系统或数据的访问。

（4）使用HashiCorp Vault等工具更好地管理数字认证凭证。

2.监视和可观察性的最佳实践

（1）监控策略，专注于提供Kubernetes集群内部正在发生的事情的细粒度可见性。

（2）自动化服务发现，执行详细的应用程序监控，并实时提供面向行动的建议。

3.缓解网络挑战的最佳实践

自定义设置支持：

容器网络接口(CNI)——随着业务通信的复杂性增加，安全威胁的脆弱性也随之增加。将网络接口插入容器网络命名空间的容器网络接口(CNI)插件。

通过创建公共和受保护的入口部署“约定优于配置”。

部署与应用程序的基础设施层集成的服务网格。从而使网络上服务之间的通信安全可靠。

4.云计算成本管理实践

（1）使用现场实例(AWS)/现场虚拟机(Azure)/抢占虚拟机(GCP)进行成本优化：对于非关键任务的任务，可以在现场实例上运行。直观的平台通过确保在这些实例被撤销时数据不会被删除来支持这一点。

（2）停机调度：对于所有正在无目的运行的环境都可以关闭，从而节省基础设施成本。

（3）使用副本集，保证在任何时间点都有指定相同数量的pod可用。

六、结语

通过优先考虑Kubernetes治理，企业正在实现必要的保护，以成功地保护其最宝贵的资产。此外，它还帮助这些资产实现可扩展性，从而使它们更加安全和健壮。

原文链接：

网站成功的第一要素是什么？

在做网站的时候，往往对目标用户群，对网站提供什么样的产品方面，对市场环境，对竞争对手比较关注。 关于网站的运营，也往往重视的是对用户的分析，流量的分析等等，并根据这些数据采取一些应对措施。 但是，如果从网站负责人的角度看，除了要建立一套的运营体系之外，还需要做一件更加底层的事情，才能从根本上做好一个网站，这是网站成功的第一要素。 这里不是指产品的运营，市场的推广，用户的调研，而是关于人事本身的运营。 从企业长远发展的角度看，人事运营的重要性要远远超过业务运营本身。 做网站，有什么样的人，就做什么样的网站。 网站的运营措施都是靠这个团队合作完成的。 团队的认知、团队的态度、团队的做事方式，直接决定了网站提供什么样的产品，产品的规则是什么。 所以，人的问题，直接从根本上决定了网站的前途。 所以，对于网站的负责人来说，最重要的事情不是运营你的网站，而是运营你的团队。 产品的运营管理需要一套体系，比如内容管理的体系，保证网站在不因为人事的变动，而能够正常运转。 如果网站负责人把重心完全放在网站内容的运营上而忽略了网站的人事运营，最后的结果是搞得自己很忙，而效果却不一定好。 网站人事的运营分为两个方面：第一，人事运营的目标是什么？第二，如何去实现这个目标。 人事运营的目标怎么来制定？首先要问网站事业的远景是什么？网站要做成一个什么样的网站，是一个营收几百万就满足的网站，还是一个没有天花板的网站。 如果要达到几百万收入的网站，也许就不用聘用太高级的人才，只要具备常规的责任心和技能即可。 而要建立一个大的网站，则可能需要高级的人才。 关于人才方面，技能只是一个方面，更重要的是人才的德，包括正真、诚实、责任心、创造力等更为重要的方面。 根据网站事业的目标建立一套人事运营体系，这套体系包括人员的挑选，如何帮助团队的成长，如何激励团队成员，如何淘汰不合格的人员等。 这套体系的目的只有一个，就是实现网站的目标，而不是为了建立一套人事制度而存在。 人事运营的成功与否的判断标准就是业务绩效是否有成长。 这套体系是不是成功，就是看是不是已经建立起来一个以绩效为核心的执行性企业文化，而不是看是不是听领导的话，是不是完成领导交给的任务，核心在于绩效，而不在于命令。 一旦建立其以绩效为核心的执行性企业文化，新来的员工很快就融入氛围，接受影响，对于绝大多数人来说，是组织塑造人，而不是人塑造组织。 如果认同文化，就会留下来，不认同的人则离开。 这样，网站就会形成一个良性的循环。 不管是人事的变动，还是业务出现问题，都可靠团队的力量来解决问题。 这种力量是企业最根本的竞争力，也是最核心的竞争力。 中国的政权创业史上，流寇主义往往以失败为告终，流寇主义在前期往往取得了很多的成功，都是攻城掠地的高手，在企业界就像是很多市场营销一样，短时间内攻下一个有一个市场领域，这时候，就算是风光无限了。 但是历史上的李闯王、王巢、洪秀全最终都归于失败了，原因不是因为业务战略和战术的不对，而是源自于组织运营的失败，在取得一定的成就之时，就开始脱离人们群众，从组织的精神，组织的远景，组织的文化等方面失去了真正的长期发展之柱，人心不再，所有业务上的真正的战略和战术如何去制定，如何去执行？只有真正做好人事组织的运营工作，才能真正扎根于人民，才能获得最广大人们的支持，也才能创业成功。

股票中的创业块和中小板块有什么区别？

创业板GEM （Growth Enterprises Market ）board是地位次于主板市场的二板证券市场，以美国纳斯达克股票市场（NASDAQ）为学习样板，特指中国深圳创业板。 其在上市门槛、监管制度、信息披露、交易者条件、投资风险等方面和主板市场有较大区别。 成立创业板的目的主要是扶持中小企业，尤其是高成长性企业，为风险投资和创投企业建立正常的退出机制，为自主创新国家战略提供融资平台，为多层次的资本市场体系建设添砖加瓦。 创业板又称二板市场，即第二股票交易市场，创业板是专指为暂时无法在主板上市的中小企业提供融资途径和成长空间的证券交易市场，是对主板市场的重要补充。 2009年10月创立。 中小板即中小企业板，是指流通盘大约1亿以下的创业公司板块，主要是针对于主板市场而言的。 有些企业的条件达不到主板市场的要求，所以只能在中小板市场上市。 中小板市场是创业板的一种过渡，是构筑多层次资本市场的重要举措，也是创业板的前奏，2004年5月，经国务院批准，中国证监会批复同意深圳证券交易所在主板市场内设立中小企业板块。

天津福丰达怎么样？都有什么业务？

天津福丰达影视科技投资发展有限公司是发展中的多元化文化企业，目前公司已拥有自主知识产权30余项，并与世界多家著名企业集团建立了紧密的战略合作关系，为公司品牌国际化战略的实施构建了发展平台，通过与海外研发机构的沟通，进一步壮大了自身的技术力量。事业领域覆盖了3D、4D立体影视制作、影院系统集成、FFD立体动感球幕影院、立体眼镜等多个领域，福丰达拥有一流的专业制作团队、多项自主知识产权、科学的管理机制，从思维到创作，从资源到研发，公司的业务领域几乎涵盖文化产业规划链的各个环节