Kubernetes は、最新のソフトウェア開発におけるコンテナー オーケストレーションのデファクト スタンダードとして浮上しており、組織はコンテナー化されたアプリケーションを簡単に管理およびスケーリングできます。 ただし、非常に動的な分散システムである Kubernetes は、大規模な管理と維持が難しい場合があります。 安定した安全な Kubernetes クラスターを維持する上で最も重要な側面の XNUMX つは、オブジェクトの構成を監視し、一定期間にわたって変更を追跡することです。

Kubernetes オブジェクト構成とは、Kubernetes YAML ファイルで説明されているように、デプロイ、サービス、ポッドなどの Kubernetes オブジェクトの望ましい状態を指します。 一貫性と安定性を維持するには、クラスタの実際の状態が望ましい状態と一致していることを確認することが重要です。 このコンテキストでの望ましい状態とは、カスタム エンタープライズ要件がオブジェクトに期待する状態を指します。 望ましい状態の例としては、Pod の監視権限のみをユーザーに付与する必要がある場合や、指定されたしきい値よりも大きくなければならない ConfigMap 設定値がある場合があります。 クラスターの構成に対する変更を監視することは、構成のドリフト、セキュリティの脆弱性、パフォーマンスの問題などの問題を検出して対処するために不可欠です。

この記事では、Kubernetes オブジェクトの構成を監視することの重要性、それを実現する方法、現在利用可能なツールについて説明し、LogicMonitor の高度な Kubernetes 構成管理機能のいくつかを調べます。 また、Kubernetes オブジェクトの構成を監視することで、一般的な問題を特定して解決し、リソースの使用を最適化し、より合理化された効率的な DevOps プロセスにつながる方法の例も示します。

モニタリングによる Kubernetes 構成の一貫性の確保

Kubernetes オブジェクト構成は、ポッド、デプロイメント、サービス、およびその他のオブジェクトを含む、Kubernetes クラスターを構成するオブジェクトの望ましい状態を定義します。 構成は YAML または JSON ファイルを使用して指定され、Kubernetes はこの構成を使用して、クラスターが目的の状態であることを確認します。 ただし、特にクラスターのサイズが大きくなるにつれて、構成が企業の要件と一致していることを確認することは困難な場合があります。

Kubernetes オブジェクト構成の変更は、新しい展開、既存のオブジェクトの更新、基盤となるインフラストラクチャの変更など、さまざまな理由で発生する可能性があります。 Kubernetes オブジェクトの構成を監視すると、許可されていない変更や偶発的な変更など、意図しない変更を検出し、さらに問題が発生する前にこれらの変更を元に戻すことができます。

Kubernetes オブジェクト構成の監視の重要性

Kubernetes オブジェクトの構成を監視することは、クラスターが望ましい状態を維持するために不可欠です。 これが重要な理由はいくつかあります。

1. 一貫性: クラスタが目的の構成と一貫性を保つようにすることで、クラスタ上で実行されているアプリケーションが安定して予測可能であることが保証されます。
2. セキュリティ注: 構成を監視すると、クラスターをセキュリティ リスクにさらす可能性のある、ネットワーク ポリシーやその他のセキュリティ関連オブジェクトの変更など、不正な変更を検出するのに役立ちます。
3. コンプライアンス: 構成を監視することで、クラスターが PCI-DSS や HIPAA などの規制要件に準拠していることを確認できます。
4. 最適化: 構成の監視は、使用率の低いリソースの特定や、アプリケーションをより効率的にスケーリングする機会の特定など、クラスターのリソース使用を最適化する機会を特定するのに役立ちます。
5. 災害からの回復: 災害や停止が発生した場合、クラスターを安定した状態に復元するには、Kubernetes 構成の最新の一貫したバックアップを保持することが重要です。 構成の変更を監視することで、管理者はバックアップが最新かつ正確であることを確認し、データ損失やダウンタイムのリスクを軽減できます。
6. コラボレーション: 大規模な組織では、複数のチームが Kubernetes 環境のさまざまな側面を管理することは珍しくありません。 Kubernetes 構成を監視すると、クラスターの構成を一元的に表示できるため、これらのチーム間のコラボレーションが容易になり、複数のチームやアプリケーションにまたがる可能性のある問題を簡単に特定して解決できます。

Kubernetes オブジェクト構成を監視するためのオープンソース ツール

Kubernetes オブジェクトの構成を監視するために、いくつかのオープンソース ツールを使用できます。 これらのツールは、構成マップやシークレットなどの構成がデプロイ間でどのように変更されたかを追跡し、Kubernetes YAML 仕様の形式で Kubernetes オブジェクトの状態の変化を監視し、クラスターが望ましい状態を維持するのに役立ちます。 Kubernetes オブジェクトの構成とイベントを監視するために現在使用できるツールの一部を次に示します。

1. Kubernetesの監査: Kubernetes 監査機能は、Kubernetes クラスター内で発生するすべてのアクションとイベントを記録する組み込み機能です。 この機能は、クラスター内のすべてのアクティビティの詳細な記録を提供することで、組織がコンプライアンスを維持し、セキュリティを向上させ、問題をトラブルシューティングするのに役立ちます。
2. キューブ差分: kube-diff は、XNUMX つのバージョン間で Kubernetes オブジェクトを比較し、違いを表示できるコマンドライン ツールです。 構成ファイルの変更を追跡し、不正な変更を特定するために使用できます。
3. コンテスト: Conftest は、Kubernetes オブジェクト構成ファイルをテストするために使用できるツールです。 ポリシーエージェントを開く (OPA) ポリシー。 これを使用して、構成ファイルがベスト プラクティスに準拠し、クラスターの望ましい状態と一致していることを確認できます。
4. キューブウォッチ: Kubewatch は、Kubernetes のイベントを監視し、変更が発生したときに通知を送信するために使用できるツールです。 Kubernetes オブジェクトの状態を監視し、不正な変更を検出するために使用できます。

これらのツールを使用して、Kubernetes 構成の変更を監視し、クラスターが望ましい状態に従って動作していることを確認できます。 変更を追跡し、許可されていない変更を検出することで、管理者は重大な問題が発生する前に是正措置を講じることができます。

多くの Kubernetes 監視ツールが利用可能であるため、企業は簡単にツール スプロール現象に陥る可能性があります。つまり、さまざまなユース ケースに対応するために使用される監視ツールの数が過剰になり、監視プロセスが複雑になり、非効率になる可能性があります。 また、複数のツールを使用すると、多くの場合、各ツールの監視機能とアラート機能に制限されることになり、ツールを組み合わせてインストールし、それらを統合して完全にカバーする必要が生じます。 監視ツールのインストールとメンテナンス、およびツール間の統合のセットアップは、理想的には顧客中心の機能の作成に費やすべき貴重な開発時間を消費する可能性があります。 さらに、これらのツールは多くの場合、インフラストラクチャに対する XNUMX 次元の洞察を提供するため、問題を包括的に理解するには、ログなどの他のデータとの相関関係が必要になります。

LogicMonitorの コンテナモニタリング 製品、 LMコンテナ、アプリケーションとプラットフォームによって生成されたメトリクス、ログ、およびイベントを使用して Kubernetes オブジェクト構成の監視を統合し、システムのより全体的なビューを可能にします。 このアプローチにより、監視プロセスが合理化され、システムの可視性が向上し、複数のツールを管理する複雑さが軽減されるため、Kubernetes 監視のより効率的で効果的なソリューションになります。

LogicMonitor を使用して Kubernetes オブジェクトの構成とドリフトを監視する

LogicMonitor では、組織が Kubernetes オブジェクトの構成の変更を監視できるようにする、LM Container の新しい Kubernetes 監視機能を発表できることを嬉しく思います。 LM Container の新機能は、Kubernetes オブジェクトとその構成の現在および過去の状態の包括的なビューを提供し、ユーザーがリアルタイムで問題を特定して対処できるようにします。

LM Container のユニークな機能の XNUMX つは、Kubernetes オブジェクト構成のバックアップ コピー (またはゴールド コピー) を保存する機能です。これは、障害または停止の場合に Kubernetes オブジェクトを復元するために使用できます。 これにより、ユーザーは問題から迅速に回復し、アプリケーションの可用性を確保できます。

LM Container のもう XNUMX つの重要な側面は、構成値の変更に基づいてアラートを設定できることです。 ユーザーは、構成内の特定の値 (データベースへの接続文字列など) が変更されたときにアラートがトリガーされるように構成できるため、重大な問題になる前に問題を事前に検出して対処できます。

LM Container を使用したオブジェクト構成の監視に関しては、学習曲線はありません。 LM Container インストール ガイドを使用する LM Container Helm チャートの最新バージョンをデフォルト設定でクラスターにインストールすると、LogicMonitor がそこから取得します。

全体として、LM Container の新しい Kubernetes 監視機能は、Kubernetes 環境の包括的なビューを提供し、安定性、安全性、効率性を維持するように設計されています。 Kubernetes オブジェクトのゴールド コピーを保存し、構成の変更に基づいてアラートを設定する機能により、企業は Kubernetes 環境を十分に監視し、パフォーマンスを最大化するために最適化することができます。

ここでは、Kubernetes オブジェクトの構成を監視するための LM コンテナーの潜在的な用途について検討します。

一般的な使用例

安定した役割ベースのアクセス制御 (RBAC) ポリシーを確保する

LM ユーザーは、クラスター ロール、クラスター ロール バインディング、ロール バインディングなどの RBAC ポリシーの変更を監視して、適切なユーザーのみがクラスターにアクセスできるようにすることができます。

次のスクリーンショットは、クラスター ロール バインディング ポリシーを示しています。 デフォルトでは、ポリシーを変更すると、警告アラートがトリガーされます。

ユーザーは、次のように、クラスターのマップ/トポロジ ビューから孤立したロールとロール バインディングを監視できます。

シークレットに関する企業ポリシーへの準拠を確保する

LM ユーザーは、シークレット値の変更を監視することで、Kubernetes シークレット構成のセキュリティとコンプライアンスを確保できます。

以下は、次の場合にトリガーされるカスタム アラートを示すスクリーンショットです。 password フィールドがシークレットから削除されます。

アプリケーションの設定と依存関係の一貫性を確保する

LM ユーザーは、一貫したアプリケーション設定と依存関係を確保するために、Kubernetes 構成マップへの変更を追跡できます。

次のスクリーンショットでは、構成マップに変更があったときにトリガーされた、すぐに使用できるアラートを確認できます。

構成の監視によるパフォーマンスと可用性の問題の特定

LM ユーザーは、リソースの使用状況やネットワーク ポリシーなど、Kubernetes のパフォーマンスと可用性に影響を与える可能性がある構成の問題をすばやく特定できます。

災害復旧の簡素化

LM ユーザーは、問題が発生した場合に手動ですばやく復元できる Kubernetes オブジェクト構成のゴールド/バックアップ コピーを保持します。

まとめ

Kubernetes オブジェクトの構成を監視することは、Kubernetes クラスターの安定性、セキュリティ、およびコンプライアンスを確保するために重要です。 クラスタの構成に対する変更を監視することにより、管理者は問題を早期に検出して対処し、重大な問題になるのを防ぐことができます。 さらに、構成を監視することで、リソースの使用を最適化し、開発プロセスを合理化して、アプリケーションのパフォーマンスを向上させ、市場投入までの時間を短縮できます。

基本的なコマンドライン ツールから、より包括的でカスタマイズ可能なソリューションまで、Kubernetes オブジェクトの構成を監視するために使用できるツールがいくつかあります。 適切なツールの選択は、組織の特定のニーズと要件、および Kubernetes 環境の複雑さによって異なります。

LogicMonitor は、Kubernetes オブジェクトの構成の変更を監視し、オブジェクト構成のゴールド コピーを保存し、構成値に基づくカスタム ポリシーに基づいてアラートを設定できる、新しい Kubernetes 監視機能を提供します。 LM Container を使用すると、組織は問題を迅速に特定して対処し、アプリケーションの可用性とパフォーマンスを確保できます。

Kubernetes オブジェクトの構成を監視する利点は、いくら強調してもしすぎることはありません。 これは、安定した安全な Kubernetes クラスターを維持するための重要な部分であり、アプリケーションの動作とリソースの使用状況に関する貴重な洞察を提供できます。 構成の監視を優先することで、組織は Kubernetes 環境の一貫性と信頼性を確保し、最大限の効率を得るために最適化することができます。