Технология ва инфрасохтор → Кластерҳои Кубернетес ва чартҳои Helm
Ҷадвалҳои кластерҳои Кубернетес ва Ҳелм
1) Нақши Кубернетес ва Ҳелм
Kubernetes асоси платформаи барномавӣ мебошад: он ғалтак, шабака, конфигуратсия, асрори худ ва табобатро стандартӣ мекунад. Ҳелм менеҷери бастаҳо/қолабҳоест, ки зуҳуроти декларативиро ба версияҳои такрорӣ бо назорати версия ва вобастагӣ табдил медиҳад. Якҷоя онҳо диспетчерҳои пешгӯишаванда, суръати тез ва забони ягонаи инфрасохторро таъмин мекунанд.
2) Тарҳи кластер
2. 1 Топология ва таҳаммулпазирии гуноҳ
Multi-AZ: ҳавопаймоҳои назоратӣ ва гиреҳҳои ҳавзи коргарон минтақа карда мешаванд; PDB/Topology
Бисёр минтақа/DR: кластерҳои мустақил дар як минтақа; зангҳои байниминтақавӣ - танҳо дар роҳҳои "хунук" (феҳристҳо/телеметрия), "гарм" (ҳамён) - дар маҳал.
Ҳавзҳои коргарӣ аз рӯи профил: 'умумӣ', 'ҳисоб кардан', 'io', 'spot' (барои вазифаҳои пасзамина). Таъйин тавассути гиреҳи Selector/наздикӣ/tains.
2. 2 Номҳо ва модели бисёр корбар
Ҷудокунии фазо аз рӯи доменҳо/фармонҳо: 'пардохтҳо', 'ҳамён', 'бозиҳо', 'ҳисоботдиҳӣ'.
Resource-Quota + Limited-Range: маҳдудиятҳои асосии CPU/RAM ва нусхаҳои ҳадди аксар; муҳофизати кластерӣ аз "чангкашакҳо".
RBAC: нақшҳои танҳо хондан бо нобаёнӣ, навиштан - танҳо CI/CD ва занг задан.
2. 3 Шабака
CNI бо дастгирии шабака (Calico/Cilium): Сиёсат аз рӯи фазо/нишона.
Ingress → Gateway API: гузариш ба модели 'Gateway/Class/Gateway/HTTPR' барои канарейкаҳо ва бисёрҳуҷрагӣ.
Service Mesh (ихтиёрӣ): MTLS, retry/breaker, маҳал огоҳ; нуқтаеро барои эътимоднокии байнишаҳрӣ фурӯзон кунед.
3) Эътимоднокӣ ва миқёспазирӣ
3. 1 миқёс
HPA аз рӯи ченакҳои корбар (RPS/ниҳонӣ/умқи навбат), на танҳо CPU.
VPA дар синфи сарбории замина; дар маҳсулот - "танҳо тавсия" ё дар якҷоягӣ бо HPA оид ба ченакҳои гуногун.
Кластер Autoscaler: гурӯҳҳои гиреҳи алоҳида барои хидматҳои ҳассос; ҳавзи гарм ба интихобҳо (мусобиқаҳо/мусобиқаҳо).
3. 2 Захираҳо ва QOS
Ҳар як Pod дархостҳо/маҳдудиятҳо дорад; канорагирӣ кунед: контейнерҳои охирин ва "номаҳдуд".
Афзалияти синф: хидматҳои муҳим ('ҳамён', 'пардохт') хидматҳои ғайримуқаррариро иваз мекунанд.
PDB: нагузоред, ки кластер ҳангоми навсозии гиреҳҳо "худро дар пои худ тир занад".
3. 3 Такмилдиҳӣ бидуни вақти корӣ
Навсозии Rolling бо максимум = 0 дар роҳҳои муҳим.
Pod
Иқтидори фаврӣ барои релизҳои зуд дар қуллаҳо - бо эҳтиёт.
4) Амнияти платформа
Амнияти Pod (ибтидоӣ/маҳдуд) дар сатҳи фазо; 'privileged' иҷозат надодан, хост Path, реша.
Шабака: пешфарз-рад ва сафедкунӣ бо порт/тамғакоғаз.
Seccomp/App-Armor, корбарони ғайримуқаррарӣ, решаҳои танҳо барои хондан.
Асрҳо: Провайдери KMS/Vault (CSI) сирри худро нигоҳ намедоранд. yaml 'дар шакли кушода.
Ҳадди аққали RBAC: мо ҳисобҳои хидматиро танҳо ҳуқуқҳои зарурӣ медиҳем; нишонаҳои кӯтоҳмуддат.
Назорати қабул: OPA/Gatekeeper/Kyverno - тамғакоғазҳо, маҳдудиятҳо, вайронкунии сиёсатро риоя мекунад.
5) Мушоҳидакорӣ
Open-Telemetry: пайгирӣ аз Ingress/Gateway → хидмат → пойгоҳи додаҳо/кэш, тамғакоғазҳои ҳатмии 'хидмат', 'версия', 'минтақа', 'шарикӣ', 'api _ version'.
Гузоришҳо: сохташуда, PII/PAN нест; Масир ба нигаҳдории мутамарказ
Нишондиҳандаҳо: RED/USE, панелҳои SLO, огоҳиҳои сӯхтан.
Синтетика: намунаҳо аз кишварҳои рост/ASN; периметри ва санҷиши дохилии саломатӣ.
6) Таҳвили прогрессивӣ Gitops
Argo CD/Flux: ҳолати дилхоҳ дар Git нигоҳ дошта мешавад; ҳар як фазои ном дорои анбор/ҷузвдони худ мебошад.
Пешбурди артефактҳо: 'dev → stage → prod' тавассути PR, на "kubectl татбиқ мешавад".
Canary/кабуд-сабз: Argo Rollouts/Gateway API; ченакҳои муваффақият - P95/P99, хатогӣ, бизнес SLI (CR амонатҳо).
Рӯйпӯшҳо: дар Ҳелм/Арго - бо тугма; дар диаграммаҳо - версияҳо собит шудаанд.
7) Ҳелм: таҷрибаи беҳтарин
7. 1 Сохтори диаграмма
my-service/
Chart. yaml # name, version (SemVer), appVersion values. yaml # base values (no secrets)
values-prod. yaml # prod overrides (no secrets)
templates/
_helpers. tpl # naming, common deployment templates. yaml service. yaml hpa. yaml pdb. yaml networkpolicy. yaml serviceaccount. yaml ingress_or_gateway. yaml charts/# dependencies (opcional)- 'version' - версияи диаграмма (Sem
- Номҳои қавии захираҳо '{{дохил' svc мебошанд. пурра. "}} '+ тамғакоғазҳо' app. kubernetes. io/'.
- Зуҳуроти зарурӣ: Ҷойгиркунӣ/Statureful
7. 2 Арзишҳо-стратегия
Basic 'values. yaml '- пешфарз, бе асрор ва хусусиятҳои муҳити зист.
Аз нав сабт кардан: 'values- {stage' prod} .yaml '+ файлҳои ҳар як минтақа.
Асрҳо: SOPS ('арзишҳо-prod. сопс. yaml ') ё тазриқи Vault тавассути CSI.
Параметрҳои захираҳо ва намунаҳо - бо арзишҳо бо пешфарзҳои "оқилона".
7. 3 Вобастагӣ ва рамзи умумӣ
Китобхонаҳои диаграммаҳои маъмул барои намунаҳо (пробҳо, эзоҳҳо, Network-Policy).
Вобастагӣ ('талабот '/' Диаграмма. yaml ') аз рӯи версия ислоҳ кунед; аз "лӯхтакҳои лона" дурӣ ҷӯед.
7. 4 Қолибҳо ва санҷишҳо
Истифодаи 'зарурӣ' ва 'нокомӣ' дар '_ ёрирасон. tpl 'for арзишҳои интиқодӣ.
Тасдиқи арзишҳо - 'нақшаи арзишҳо. схема. json '.
Санҷишҳои диаграммаи воҳидҳо - 'helm unittest'; таҳлили статикӣ - кубеконформ/кубевал.
Debugging маҳаллӣ - 'қолаби helm' + '- арзишҳо' + 'kubeconform'.
7. 5 Нашр ва нигоҳдорӣ
Диаграммаро ба қайди контейнерҳои OCI тела диҳед; барчаспҳо аз ҷониби Sem-Ver.
Helmfile/' helmfile. оркестри бисёрҷанбаи диаграмма.
Артефактҳои CI: зуҳуроти тавлидшуда + вобастагии қулфӣ.
8) Мисол: Ҷойгиркунӣ (порчаи шаблон)
yaml apiVersion: apps/v1 kind: Deployment metadata:
name: {{ include "svc. fullname". }}
labels: {{ include "svc. labels". nindent 4 }}
spec:
replicas: {{.Values. replicas default 3 }}
strategy:
type: RollingUpdate rollingUpdate:
maxSurge: 1 maxUnavailable: 0 selector:
matchLabels: {{ include "svc. selectorLabels". nindent 6 }}
template:
metadata:
labels: {{ include "svc. selectorLabels". nindent 8 }}
annotations:
checksum/config: {{ include (print $.Template. BasePath "/configmap. yaml"). sha256sum }}
spec:
serviceAccountName: {{ include "svc. serviceAccountName". }}
securityContext:
runAsNonRoot: true containers:
- name: app image: "{{.Values. image. repository }}:{{.Values. image. tag }}"
imagePullPolicy: IfNotPresent ports:
- name: http containerPort: {{.Values. ports. http }}
resources:
requests:
cpu: {{.Values. resources. requests. cpu }}
memory: {{.Values. resources. requests. memory }}
limits:
cpu: {{.Values. resources. limits. cpu }}
memory: {{.Values. resources. limits. memory }}
readinessProbe:
httpGet:
path: /healthz port: http periodSeconds: 5 envFrom:
- secretRef:
name: {{ include "svc. secretsName". }}9) Асрҳо ва конфигуратсияҳо
Асрҳо тавассути CSI (Vault/KMS) ё SOPS дар анбори Git (калидҳои GPG/KMS); 'kubectl edit' манъ аст).
Шарҳҳои махфии чеки Config/Secret барои триггери релизӣ.
PAN/PII-ро нигоҳ надоред; токенизатсияро истифода баред.
Асрори мӯҳршуда иҷозат дода мешавад, аммо SOPS ё CSI-и мустақим бартарӣ доранд.
10) Шабака ва периметри
Дарвозаи API барои масири L7, канарейкаҳо ва кабуд-сабз; ҷаласаҳои часпанда танҳо дар ҳолати зарурӣ.
MTLS байни хидматҳо тавассути фикрию/sidecar-less (Cilium) - нуқтаи аслии пардохт.
Egress: рӯйхати назоратшавандаи гиреҳҳои беруна (PSP/KYC), собит NAT-IP, танаффус ва буҷаи бозсозӣ.
11) Хадамоти давлатӣ ва маълумот
Барои пойгоҳи додаҳои OLTP, хидматҳои абрии идорашаванда ё операторҳо (Postgres/My
PVC/CSI бо сиёсати лаҳзаҳо ва нусхаҳои эҳтиётӣ; 'Подполковник' барои нусхабардорӣ.
Барои навбат/ҷараён - қарорҳои идорашаванда ё кластерҳои махсус; дар кластери "умумӣ" ҳадди аққал ҳолатро нигоҳ доред.
12) Конвейери CI/CD (истинод)
1. Сохтан ва санҷидан → 2) SCA/lint → 3) Тасвир дар регистр (SBOM, имзо) →
2. Насли диаграммаи Helm + 'helm unittest' + kubeconform →
3. Рамзкушоии SOPS дар CD → 6) вақти кории PR дар анбори Git
4. Argo/Flux татбиқ мешавад → 8) Argo Rollouts canary → 9) SLO Auto Verdict → 10) Таблиғ/Rollback.
13) Нишондиҳандаҳои камолоти платформа
Ҳиссаи релизҳо тавассути GITOPS (ҳадаф: 100%).
Вақти ғелонда (P95) то тайёр, гардиши MTTR.
Фарогирии Pod Pod Амният ва Шабака (ҳадаф: 100%).
% хидматҳо бо HPA ва дархостҳо/маҳдудиятҳои дуруст.
% диаграмма бо 'values. схема. санҷишҳои воҳиди json 'and.
Ҳодисаҳое, ки бо тағироти "дастӣ" рух додаанд (ҳадаф: 0).
14) Рӯйхати назорати амалисозӣ
1. Кластерҳо аз рӯи минтақаҳо, ҳавзи гиреҳҳо аз рӯи профилҳо; Маҳдудиятҳои PDB/Топология.
2. Модели фазои номӣ, Resource
3. Pod Security (Маҳдудият) и пешфарз-рад кардани шабака.
4. Дарвозаи API/Ingress; назорати egress ва ислоҳи NAT ба провайдерҳо.
5. Мушоҳида: Роҳҳои OT el, RED/USE, синтетикаи гео; Панели панели SLO.
6. Gitops (Argo/Flux), канарӣ/кабуд-сабз, таблиғи худкор аз рӯи ченакҳо.
7. Стандартҳои Helm: сохтор, схема. json, санҷишҳо, SOPS/Vault, сабти OCI.
8. HPA/VPA, Claster Autoscaler, ҳавзи гарм ба қуллаҳо.
9. Амалиётҳои маълумот: аксҳои CSI, нусхабардорӣ ,/операторони пойгоҳи додаҳо.
10. Санҷишҳои мунтазами DR/бетартибӣ ва рӯзҳои бозӣ.
15) Анти-намунаҳо
Як кластери "азим" барои ҳама чиз бидуни ҷудо ва квота.
Контейнерҳо бидуни маҳдудияти захираҳо, барчаспҳои "охирин", зондҳо нестанд.
Асрори in 'values. yaml 'дар матни равшан,' kubectl edit 'дар prod.
Интишори Gits-ҳои гузашта, таҳрирҳои дастӣ дар кластери зинда.
Набудани шабака/Pod Амният - шабакаи "ҳамвор".
Як сигнали ягонаи HPA дар саросари CPU барои намудҳои гуногуни бор.
Нигоҳдории пойгоҳи додаҳои OLTP дар як кластери барномавии "маъмул" бидуни оператор ва нусхабардорӣ.
16) Контексти бозӣ/fintech: қайдҳои амалӣ
Webhooks пардохт: воридшавӣ/дарвозаи махсус ва egress танг ба PSP; вақтхушӣ/такрори қатъӣ; Ҳавзи мизбони инфиродӣ.
Трафики VIP: афзалият ва хатсайрҳои инфиродӣ; PDB ва топология барои субот паҳн шуданд.
Мусобиқаҳо/интихобҳо: гиреҳҳои ҳавзи гарм + HPA пешгӯишаванда; гарм кардани кэшҳо/пайвастҳо.
Ҳисобот/CDC: кластер/ҳавзи алоҳида, то ETL ба Prod таъсир нарасонад.
Танзимкунанда: гузоришҳои тағйирнопазир (WORM), токенизатсияи PII, сегментатсияи шабака.
Ҷамъ
Платформаи қавии Kubernetes ин "тӯдаи YAML" нест, балки стандартҳо: ҷудокунӣ, сиёсати амният, захираҳои идорашаванда, мушоҳида ва интизоми GIT. Диаграммаҳои Helm - Шартномаи таъминоти шумо: Варақаҳои пешгӯишаванда, намунаҳои санҷидашуда, коркарди махфии бехатар ва kickbacks оддӣ. Бо мустаҳкам кардани ин принсипҳо, шумо кластерҳоеро пайдо мекунед, ки аз қуллаҳо наҷот меёбанд, релизҳоро суръат мебахшанд ва ба талаботҳои тиҷорат ва танзим тоб меоранд.