Immer Wind in den Segeln – Kubernetes-Backups mit Velero

Einst von VMware entwickelt und nunmehr Open Source in den Händen der Cloud Native Computing Foundation, leistet Velero Backup, Disaster Recovery und Datenmigration im Kubernetes-Umfeld. Wir zeigen, wie Sie das Tool aufsetzen und die drei erwähnten Aufgaben in Ihrem Cluster erledigen. So stellen Sie sicher, dass Ihre Apps immer Rückenwind haben.

Backups innerhalb eines Kubernetes-Clusters umfassen üblicherweise verschiedene Elemente wie die Master-Knoten, die Worker-Knoten und die etcd-Datenbank. Administratoren sind bei Datensicherungen aber zumeist an Kubernetes-Objekten interessiert, also zum Beispiel Namespaces, Persistent Disks oder Deployments.

Genau in diese Bresche springt Velero [1]. Die Software läuft sowohl in Cloudumgebungen als auch im eigenen Rechenzentrum und kommt mit diesen zentralen Funktionalitäten daher:

– Erstellen von Backups und deren Einspielen im Falle eines Datenverlustes.

Gesamten Artikel im IT-Administrator-Heftarchiv lesen

Leichtes Spiel: Vereinfachte Container-Orchestrierung mit Azure Container Apps

Azure Container Apps ist ein vollständig verwalteter serverloser Containerdienst zum Erzeugen und Bereitstellen von Anwendungen. Mit diesem Service zielt Microsoft auf IT-Verantwortliche, die die Komplexität und den hohen Know-how-Bedarf einer Container-Orchestrierung scheuen, aber dennoch die Vorteile containerisierter Applikationen nutzen wollen.

Kubernetes ist in Sachen Anwendungsentwicklung nicht mehr wegzudenken und Unternehmen stehen vor der Notwendigkeit, diese Technologie zu adaptieren. Allerdings haben viele Firmen nicht die Ressourcen und das Know-how, um Kubernetes selbst zu betreiben. Gemanagte Kubernetes-Umgebungen wie Google Kubernetes Engine (GKE), Azure Kubernetes Service (AKS) oder Elastic Kubernetes Service (EKS) erleichtern den Betrieb. Diese Dienste übernehmen viele Betriebsaufgaben wie zum Beispiel die Installation der Kubernetes-Umgebung und automatisieren das Patching, die Wiederherstellung bei Knotenausfällen und das Skalieren der Kubernetes-Cluster.

IT-Verantwortliche sehen sich aber dennoch vielen Herausforderungen gegenüber. Denn für den produktiven Einsatz sind häufig noch diverse weitere Tools wie etwa Service Mesh, Monitoring- und Logging-Werkzeuge, Security-Anwendungen, Devops-Werkzeuge et cetera erforderlich. Rund um Kubernetes hat sich ein komplexes Ökosystem an Tools angesiedelt, das sich in der Landkarte der Cloud Native Computing Foundation (CNCF) widerspiegelt [1]. Die CNCF ist eine von allen großen Herstellern unterstützte Initiative zur Förderung von cloudnativen Technologien, die eine Vielzahl von Open-Source-Produkten beinhalten. Aufgrund der hohen Dynamik innerhalb des Ökosystems rund um Kubernetes ist es für IT-Verantwortliche schwierig, den Überblick zu behalten.

Neuer Dienst liefert hilfreiche Werkzeuge

Mit Azure Container Apps (ACA) adressiert Microsoft diese Problemstellung, indem es IT-Verantwortlichen einen abstrahierten, auf Azure Kubernetes Service (AKS) aufbauenden PaaS-Dienst bereitstellt. Im Gegensatz zu AKS ist Azure Container App serverless, das heißt, der Kunde bekommt die darunterliegenden virtuellen Maschinen beziehungsweise die AKS-Infrastruktur, auf denen die Container laufen, nicht zu Gesicht und muss sich auch nicht um diese kümmern. Laut Microsoft existieren mehrere Szenarien, für die Azure Container Apps besonders geeignet sind: der Betrieb von Microservices, die ereignisgesteuerte Verarbeitung (event-driven processing), containerbasierte Webapplikationen und Backend-Applikationen sowie für das Hosting von Public-API-Endpoints.

Gesamten Artikel im IT-Administrator-Heftarchiv lesen

Regelwerke mit dem Open Policy Agent – Nicht mehr als erlaubt

Jede Anwendung, auf die mehr als ein Nutzer zugreift, muss die entscheidende Frage beantworten: Darf dieser Benutzer die gewünschte Aktion wirklich ausführen? Was ein Anwender in einer Software darf, legt meist ein Rollenmodell fest. Doch insbesondere in der Cloud oder für Infrastructure-as-Code birgt dies zahlreiche Herausforderungen. Mit dem freien Open Policy Agent steuern Admins Nutzerrechte flexibler.

Infrastructure-as-Code (IaC) ist mittlerweile ein Erfolgsrezept für deklarativen, maschinenlesbaren Code und daher liegt es nahe, es auf das Thema Security und insbesondere auf das Verfassen von Policies zu übertragen. Mit diesem Ansatz versuchen Firmen in einer skalierbaren Art und Weise, Regeln innerhalb einer Organisation zu implementieren. Ein Vertreter dieser Gattung, der in jüngster Zeit immer mehr Aufmerksamkeit erhält, ist der Projekt Open Policy Agent (OPA) [1], hinter dem das Startup-Unternehmen Styra steht. OPA ist eine universell einsetzbare Policy-Engine, die eine einheitliche, kontextbewusste Durchsetzung von Richtlinien über den gesamten Stack hinweg ermöglicht.

Open Policy Agent im Überblick

OPA wird von der CNCF (Cloud Native Computing Foundation) gehostet – also von der Organisation, die für Kubernetes verantwortlich zeichnet. Konzipiert ist OPA für cloudnative Umgebungen und kombiniert die relativ einfach zu erlernende und lesbare Policy-Sprache „Rego“ mit einem Richtlinienmodel sowie einer API. Dies ermöglicht eine Art universelles Framework, um Regeln auf alle Arten von Stacks anzuwenden. Einer der großen Vorteile von OPA ist somit die Entkopplung von Security-Policies und Code und seiner Anwendung – unabhängig, wie oft sich der Code ändert.

Technisch ist OPA an Input gebunden. Sobald diese Daten vorliegen, entscheidet der OPA-Code darüber, wie mit dem entsprechenden Input umzugehen ist (beispielsweise das Erlauben oder Verbieten mit einer allow/deny-Policy). Ein weiterer Vorteil ist die Tatsache, dass OPA Input und Output sowohl im JSON- als auch im YAML-Format verarbeitet, sodass sich IT-Verantwortliche dabei nicht an eine vordefinierte API halten müssen. Insgesamt gestaltet sich das Verfassen von Regeln so relativ leicht – darüber hinaus unterstützt OPA REPL, also das Shell-basierte Ausführen von Code. Praktisch ist auch, dass Sie nicht alle Policies selbst verfassen müssen, denn im Internet finden sich für viele Anwendungsfälle bereits fertige Policy-Bundles, die ein brauchbares, vordefiniertes Regelwerk beinhalten. Zum Üben existiert sowohl ein frei zugänglicher Playground als auch eine freie Styra Academy.

Gesamten Artikel im IT-Administrator-Heftarchiv lesen