Tecnologia e Infrastruttura per i cluster Kubernets e Helm
cluster Kubernets e liste Helm
1) Ruolo Kubernets e Helm
Kubernets è il fulcro di una piattaforma di applicazioni che standardizza la mappatura, la rete, i confighi, i segreti e l'autosufficienza. Helm è un gestore di pacchetti/modelli che trasforma i manifesti dichiarativi in release ripetute con gestione di versioni e dipendenze. Insieme, forniscono predittivi deploi, rimborsi rapidi e un unico linguaggio dell'infrastruttura.
2) Progettazione cluster
2. 1 Topologia e tolleranza
Multi-AZ: controllo plane e nodi dei pool di lavoro distribuiti nelle zone PDB/TopologySpreadConstraints per uniformità.
Multiregion/DR: cluster indipendenti per-region; chiamate interregionali solo per vie «fredde» (cataloghi/telemetria), «hot» (portafogli) - localmente.
I pool dei profili sono «general», «compute», «io», «spot» (per le attività di sfondo). L'appuntamento è tra un quarto d'ora.
2. 2 Spazio dei nomi e modello multi-utente
Isolamento namespace per dominio/comando: «payments», «wallet», «games», «reporting».
ResourceQuota + LimitRange: limiti di base CPU/RAM e massimo repliche Protezione del cluster dall'aspirapolvere.
RBAC: ruoli predefiniti read-only, write solo CI/CD e on-call.
2. 3 Rete
CNI con supporto NetworkPolicy (Calico/Cilium): L3/L4 regole namespace/label.
Ingress → Gateway API - Passa al modello «GatewayClass/Gateway/HTTPRoute» per i canarini e molto tenace.
Servizio Mesh (opzionale): mTLS, retry/breaker, locality-aware; includere i punti per l'affidabilità tra server.
3) Affidabilità e scalabilità
3. 1 Scailing
HPA per metriche personalizzate (RPS/latency/queue depth), non solo CPU.
VPA in background in vendita, «recommendation only» o in collaborazione con HPA su diverse metriche.
Cluster Autocaler: singoli node groups per servizi sensibili warm-pool ai picchi (tornei/partite).
3. 2 Risorse e QoS
Ogni Pod ha richiesti/limits; evitare i contenitori «latest» e «illimitati».
PriorityClass I servizi critici («wallet», «payments») eliminano quelli non critici.
PDB: impedisce al cluster di spararsi al piede durante l'aggiornamento del nastro.
3. 3 Aggiornamenti senza interruzioni
C'è un su un binario critico.
PodDisruptionBudget + ReadinessProbes (не `startupProbe` вместо readiness).
Capacità di rilascio veloce durante i picchi con cautela.
4) Sicurezza della piattaforma
Pod Security (Baseline/Restrited) a livello namespace; «prived», hostPath, root.
NetworkPolicy: default-deny e elenchi bianchi per porta/label.
Seccomp/AppArmor, non-root users, read-only rootfs.
Secret: KMS/Vault provider (CSI), non teniamo segreti in'values. yaml'in pubblico.
RBAC-minimo: gli account di servizio rilasciano solo i diritti necessari; i token sono corti.
Admision Control: OPA/Gatekeeper/Kyverno - etichette enforce, limiti, violazioni policy.
5) Observability
: tracciamento di Ingress/Gateway, servizio di OBD/cache, etichette di servizio obbligatorie, versione, region, partner, api _ versione.
Loghi: strutturati, senza PII/PAN; instradamento a storage centralizzato.
Metriche: RED/USE, SLO-Dashboard, burn-rate alert.
Sintetica: campioni dai paesi/ASN giusti; perimetro e health-checks interni.
6) GitOps и progressive delivery
Argo CD/Flux: stato desiderato memorizzato in Git; ogni namespace è il proprio repository/cartella.
La promozione degli artefatti è DAV-STAGE-PROD, non «kubectl apply».
Canary/Blue-Green: Argo Rollouts/Gateway API; metriche di successo - P95/P99, error-rate, Business SLI (CR depositi).
Rimborsi: in Helm/Argo per pulsante; Le versioni dei listini sono fisse.
7) Helm: migliori pratiche
7. 1 Struttura della scaletta
my-service/
Chart. yaml # name, version (SemVer), appVersion values. yaml # base values (no secrets)
values-prod. yaml # prod overrides (no secrets)
templates/
_helpers. tpl # naming, common deployment templates. yaml service. yaml hpa. yaml pdb. yaml networkpolicy. yaml serviceaccount. yaml ingress_or_gateway. yaml charts/# dependencies (opcional)- «variante» è una versione della lista (SemVer), «appVersion» è una versione dell'applicazione (immagine).
- Nomi di risorse rigorosi: '{{{include "svc. fullname "}}" + etichette "app. kubernetes. io/`.
- Manifesti obbligatori: Deployment/StatefulSet, Service, ServiceAccount, HPA (se applicabile), PDB, NetworkPolicy.
7. 2 Strategia Values
«Values» di base. yaml è un default, senza segreti o ambienti specifici.
File «values- {stage» prod} .yaml' + per-region.
I segreti sono SOPS ('values-prod. sops. yaml ') o Vault-iniezione tramite CSI.
I parametri delle risorse e dei campioni sono values con default «ragionevoli».
7. 3 Dipendenze e codice condiviso
Le librerie comuni per i pattern (propes, annotazioni, NetworkPolicy).
Dipendenze ('solliments '/' Chart'. yaml ') fissare la versione; Evitate «matricole» profonde.
7. 4 Modelli e convalida
Usa "richired" e "fail" in "_ helpers. tpl per valori critici.
Convalida dello schema values'values. schema. json`.
Test unit della lista - 'helm unittest'; analisi statica - kubeconform/kubeval.
Debug locale è "helm template" + "--values' +" kubeconform ".
7. 5 Release e memorizzazione
Un pozzo di listino nei registri OCI dei container; Tag di SemVer.
Helmfile/`helmfile. d) per l'orchestrazione di svariati scatti.
Artefatti CI: manifesti generati + lockfile dipendenze.
8) Esempio: Deployment (frammento del modello Helm)
yaml apiVersion: apps/v1 kind: Deployment metadata:
name: {{ include "svc. fullname". }}
labels: {{ include "svc. labels". nindent 4 }}
spec:
replicas: {{.Values. replicas default 3 }}
strategy:
type: RollingUpdate rollingUpdate:
maxSurge: 1 maxUnavailable: 0 selector:
matchLabels: {{ include "svc. selectorLabels". nindent 6 }}
template:
metadata:
labels: {{ include "svc. selectorLabels". nindent 8 }}
annotations:
checksum/config: {{ include (print $.Template. BasePath "/configmap. yaml"). sha256sum }}
spec:
serviceAccountName: {{ include "svc. serviceAccountName". }}
securityContext:
runAsNonRoot: true containers:
- name: app image: "{{.Values. image. repository }}:{{.Values. image. tag }}"
imagePullPolicy: IfNotPresent ports:
- name: http containerPort: {{.Values. ports. http }}
resources:
requests:
cpu: {{.Values. resources. requests. cpu }}
memory: {{.Values. resources. requests. memory }}
limits:
cpu: {{.Values. resources. limits. cpu }}
memory: {{.Values. resources. limits. memory }}
readinessProbe:
httpGet:
path: /healthz port: http periodSeconds: 5 envFrom:
- secretRef:
name: {{ include "svc. secretsName". }}9) Segreti e configurazioni
Segreti tramite CSI (Vault/KMS) o SOPS nel repository Git (chiavi GPG/KMS; proibizione'kubectl edit ').
ConfigMap/Secret checksum annotazione per il rilascio rolling.
Non memorizzare PAN/PII; Utilizzare la tornitura.
Sealed Secret è consentito, ma è preferibile a SOPS o CSI diretto.
10) Rete e perimetro
Gateway API per L7 routing, canarini e blue-green; sessioni sticky solo quando necessario.
mTLS tra i servizi tramite mesh/sidecar-less (Cilium) - puntuale per il core di pagamento.
Egress è un elenco controllato di nodi esterni (PSP/KYC), NAT-IP fissi, timeout e budget dei retrai.
11) Servizi e dati Stateful
Per il database OLTP, utilizzare i servizi cloud gestiti o gli operatori (Postgres/MySQL) nei singoli cluster.
PVC/CSI con regole snapshot e backup; 'PodAntiAffinity' per repliche.
Per code/streaming: soluzioni gestite o cluster dedicati In un cluster allegato generico, mantenere un minimo di stato.
12) CA/CD trasportatore (arbitro)
1. Build & test → 2) SCA/lente → 3) Immagine in maiuscolo (SBOM, firma) →
2. Generazione della lista Helm + 'helm unittest' + kubeconform →
3. Decriptazione SOPS in formato CD (6) PR nel repository GitOps
4. Argo/Flux applica 8) Argo Rollouts canary (9) Auto-verdetto SLO (10) Promozione/ritorno.
13) Metriche della maturità della piattaforma
Percentuale di rilascio attraverso il GitOps (obiettivo 100%).
Tempo di espansione (P95) prima di essere pronto, MTTR indietro.
Rivestimento Namespace's Pod Security e NetworkPolicy (obiettivo 100%).
% di servizi con HPA e richiesti/limits corretti.
% di listino con'values. schema. json'e test unit.
Incidenti causati da modifiche manuali (obiettivo 0).
14) Assegno foglio di implementazione
1. Cluster per area, pool di siti per profilo PDB/TopologySpreadConstraints.
2. Modello Namespace, ResourceQuota/LimitRange, RBAC minimo.
3. Pod Security (Restricted) и default-deny NetworkPolicy.
4. Gateway API/Ingress; controllo egress e fissazione NAT ai provider.
5. Osservabilità: trailer OTEL, RED/USE, sintetico per geo; Dashboard SLO.
6. GitOps (Argo/Flux), canary/blue-green, lavaggio automatico per metriche.
7. Gli standard Helm sono struttura, schema. json, test, SOPS/Vault, registri OCI.
8. HPA/VPA, Cluster Autocaler, warm-pool ai picchi.
9. Operazioni dati: CSI snap, backup, operatori/managed database.
10. Test DR/chaos regolari e game-days.
15) Anti-pattern
Un cluster «gigante» per tutto senza isolamento o quote.
Contenitori senza vincoli di risorse, tag latest, nessun probes.
I segreti in'values '. yaml'in pubblico, 'kubectl edit'in vendita.
Le release sono passate, le modifiche manuali dei manifesti sul cluster vivente.
L'assenza di sicurezza è una rete «piatta».
Un unico segnale HPA comune CPU per carichi di lavoro variabili.
Storage del database OLTP all'interno di un cluster di applicazione «condiviso» senza operatore o backup.
16) Contesto iGaming/fintech: note pratiche
Web di pagamento: ingress/gateway dedicato e egress stretto a PSP; timeout/retrai rigorosi; un pool di siti separato.
Traffico VIP: priorità e percorsi separati PDB e topology spread per la stabilità.
Tornei/picchi: warm-pool nodi + HPA predittivo; riscaldamento della cache/connessione.
Report/CDC: cluster/pool separato in modo che l'ETL non influisca sul provino.
Regolazione: logi invariati (WORM), tornizzazione PII, segmentazione delle reti.
Totale
Una piattaforma di Kubernets forte non è «un mucchio di YAML», ma standard: isolamento, politiche di sicurezza, risorse gestite, osservabilità e disciplina GitOps. Helm-List è il tuo contratto di spedizione: rilasci prevedibili, modelli testati, segretezza sicura e semplice rimborso. Consolidando questi principi, otterrete cluster che subiscono picchi, accelerano i rilasci e resistono alle esigenze di business e regolatori.