Kubernetes: orkiestracja kontenerów - szkolenie kompleksowe

1. Wprowadzenie

o Architektura aplikacji kontenerowych - Docker vs Portainer vs ContainerD - czy to ma znaczenie?

o Optymalizacja Dockerfile, jak to robić dobrze

o Bezpieczeństwo kontenerów jak o nie zadbać i jak je skanować?

o Hardening obrazów - czyli jak dodatkowo zabezpieczyć obraz

o Jak dobrze zarządzać konfiguracjami w dockerze na przykładzie docker compose

o Administracja kontenerami - na co zwrócić uwagę, skonfigurowanie logowania, metryki, tracing, itp.

o Narzędzia wspierające codzienną pracę z dockerem.

2. Kubernetes

o Podstawy architektury

 API

 Opis obiektów

o Zarządzanie obiektami Kubernetes (imperatywne oraz deklaratywne)

o Manifesty obiektów - struktura oraz format (YAML)

o Omówienie kubectl i podobieństwa z docker

 Wejście w POD i kontener

 Zarządzanie kontekstem

o Pod

 Lifecyle kontenera - co się dzieje jak POD nie działa?

 Uruchamianie kontenerów/zadań przed startem głównej aplikacji

 Zarządzanie zasobami - jak ograniczyć zasoby naszego kontenera

 Healtcheck - co to jest i jak go stosować (Liveness, Readiness oraz Startup probes)

 Wiele kontenerów w Pod - czy można?

 Przeglądanie logów i eventów - co jak idzie coś nie tak…

 Labele, Selectory i Adnotacje - jakie labele stosować, aby się nie pogubić

o Service discovery w Kubernetes

 Service discovery w Kubernetes

 DNS

o Repliki, skalowanie a deployment wersji

 Recreate i rolling update - jak wdrażać nasze aplikacje na produkcję

 Omówienie polityk aktualizacji aplikacji (recreate, ramped, blue/green, canary, a/b testing, shadow)

 Canary Release - jak to dobrze zrobić na Kubernetesie (oraz jak zrobić to źle)

 Manualne i automatyczne skalowanie aplikacji - co zrobić jak nasza aplikacja potrzebuje więcej zasobów czy może się sama zeskalować - HPA

 Startowanie aplikacji na określonych maszynach oraz konfiguracja zależności pomiędzy uruchomionymi kontenerami (nodeSelector, affinity/antiAffinity, taints/tolerations)

 Zarządzanie zasobami klastra: minimalnymi oraz maksymalnymi limitami przypisanymi do kontenerów

 Priorytety aplikacji w klastrze oraz wywłaszczanie kontenerów z niskim priorytetem

 Utrzymanie maszyn klastra wraz z przygotowaniem okien obsług

o Namespaces - wirtualne przestrzenie

o Eksponowanie usług

 NodePort

 ClusterIP

 LoadBalancer

 Ingress

 NGINX ingress controler i alternatywy

 Zarządzanie routingiem aplikacji

 Używanie certyfikatów w ingress

 Automatyczne generowanie certyfikatów na przykładzie Let’s encrypt i Cert Managera

o Konfiguracja i współdzielenie informacji

 Sekrety

 ConfigMaps

 Dobre praktyki na produkcji - wykorzystanie Hashicorp Vault

o Job i CronJob - zadania wsadowe i cykliczne

o Storage

 Lokalne montowanie danych

 EmptyDir

 Zarządzanie zmiennymi środowiskowymi i plikami konfiguracyjnymi aplikacji z użyciem ConfigMaps

 Przechowywanie danych wrażliwych takich jak: hasła, klucze czy tokeny za pomocą Secrets (generic, docker-registry, tls)

 Utrwalanie danych z użyciem wolumenów różnego typu

 Dynamiczne oraz statyczne zarządzanie wolumenami w klastrze

o DemonSets

o StatefulSets - czyli bazy danych w docker - stosować czy nie? Jak to robić? I kiedy nie robić.

o QoS

3. Uwierzytelnianie oraz autoryzacja

o Organizacja informacji o klastrach i użytkownikach w pliku kubeconfig

o Przedstawienie typów użytkowników w Kubernetes: używanych przez administratorów (użytkownicy) oraz aplikacje (konta serwisowe)

o Omówienie strategii uwierzytelniania w klastrze, od użytkownika z hasłem, przez certyfikaty x509, po tokeny OpenID

o Kontrola dostępu oparta na rolach jako sposób na przypisywanie uprawnień do użytkowników

o Walidacja lub modyfikacja żądań za pomocą Admission Controllers

4. Sieci

o CNI jako interfejs służący do konfiguracji kart sieciowych kontenerów

o Który CNI wybrać?

o Blokada komunikacji sieciowej w klastrze za pomocą Network Policies

o Mesh - co to jest

5. Monitorowanie aplikacji

o Jakie są sposoby monitorowania Kubernetesa?

o Prometheus czy jest to najlepsze narzędzie?

o Dashboard kubernetesowy i alternatywy

6. Centralne systemy logowania

o Omówienie różnych architektur zbierania logów w klastrze Kubernetes wraz z przeglądem najpopularniejszych narzędzi

o Centralny monitoring zasobów w klastrze na przykładzie: Prometheus, AlertManager, Grafana

7. Jak postawić klaster od zera - jakie są możliwości?

8. Kilka przydatnych rzeczy

o Helm

o Kustomize

9. Security w Kubernetes

o Testy penetracyjne klastra Kubernetes

o Ograniczenie uprawnień oraz kontrola dostępu aplikacji do komponentów systemu operacyjnego z użyciem SecurityContext

o Wymuszanie globalnych standardów specyfikacji aplikacji wykorzystując Pod Security Policy

10. Dystrybucje oraz użyteczne narzędzia

o Kubernetes jako usługa na przykładzie najpopularniejszych dostawców chmur publicznych (GKE, EKS, AKS)

o Zautomatyzowana instalacja klastra przy użyciu Kubernetes Operations (KOPS)

o Instalacja klastra Kubernetes "on premise" (Kubespray)

o kubectx, kubens, telepresence, lens i inne narzędzia użyteczne w codziennej pracy z klastrem Kubernetes

Informacje o materiałach dla uczestników usługi - Uczestnicy otrzymają komplet materiałów PDF. Każdy uczestnik otrzymuje kod dostępu i dane logowania do platformy ZOOM na 7 dni przed datą rozpoczęcia szkolenia. Dane przesyłane są na adres e-mail podany podczas rejestracji.

Praktyczna znajomość technologii kontenerowej np. Docker Wiedza z zakresu programowania, sieci komputerowych oraz systemu Linux, umiejętność korzystania z komputera

Warunkiem ukończenia szkolenia i otrzymania zaświadczenia jest uzyskanie minimalnej

frekwencji na poziomie 80% całkowitego czasu trwania usługi. Obecność uczestnika będzie

potwierdzana na podstawie codziennych list obecności lub logów z platformy online.

Uczestnik musi dysponować sprzętem i łączem o parametrach:

• Procesor: min. 4-rdzeniowy (np. Intel i5/i7 lub odpowiednik AMD/M1/M2)

• Pamięć RAM: min. 16 GB

• Dysk: min. 20 GB wolnej przestrzeni

• System operacyjny: Windows 10/11 Pro, Linux lub macOS

• Multimedia: Sprawna kamera internetowa oraz mikrofon (wymagane do komunikacji i weryfikacji obecności)

• Łącze internetowe: Stabilne połączenie o minimalnej prędkości 10 Mbps (download) / 5 Mbps (upload)

• Oprogramowanie: Uprawnienia administratora pozwalające na instalację narzędzi