Verfügbarkeit: Skalierbare Container-Infrastrukturen

Skalierbare Container-Infrastrukturen: das Handbuch für Planung und Administration

Gespeichert in:

Bibliographische Detailangaben
1. Verfasser:	Liebel, Oliver (VerfasserIn)
Format:	Buch
Sprache:	German
Veröffentlicht:	Bonn Rheinwerk 2024
Ausgabe:	4., aktualisierte Auflage
Schriftenreihe:	Rheinwerk Computing
Schlagworte:	Softwareproduktionsumgebung Container > Informatik Kubernetes Docker > Software Skalierbarkeit Virtualisierung Docker 1.12 Suse Red-Hat Docker Buildah Hochverfügbarkeit HA Microservices Container-Cluster OpenShift Continuous Delivery Deployment Ansible GitOps Podman Orchestrierung Hand-Buch Lesen E-Book Lernen Anleitung Wissen CoreOS Suse Administration Security Governance
Online-Zugang:	Inhaltstext Inhaltsverzeichnis
Beschreibung:	Auf dem Cover: Architektur, Setup, strategischer Background, Best Practices. Professionelle Orchestrierung mit Kubernetes und OpenShift. IaC, Operatoren, GitOps, Security, Federated Cluster, GPU-Cluster, API-Gateways, Software-Defined Storage, IDM, Autoscaler. Alle Beispielkonfigurationen zum Download
Beschreibung:	1148 Seiten Illustrationen, Diagramme 24 cm x 19 cm
ISBN:	9783836297530 3836297531

Internformat

MARC


LEADER	00000nam a22000008c 4500
001	BV049097475
003	DE-604
005	20240807
007	t
008	230810s2024 gw a\|\|\| \|\|\|\| 00\|\|\| ger d
015			\|a 23,N30 \|2 dnb
016	7		\|a 1296727807 \|2 DE-101
020			\|a 9783836297530 \|c : EUR 79.90 (DE), EUR 82.20 (AT), CHF 102.90 (freier Preis) \|9 978-3-8362-9753-0
020			\|a 3836297531 \|9 3-8362-9753-1
024	3		\|a 9783836297530
028	5	2	\|a Bestellnummer: 459/09753
035			\|a (OCoLC)1414557677
035			\|a (DE-599)DNB1296727807
040			\|a DE-604 \|b ger \|e rda
041	0		\|a ger
044			\|a gw \|c XA-DE-NW
049			\|a DE-M347 \|a DE-898 \|a DE-1102 \|a DE-29T \|a DE-739 \|a DE-573
084			\|a ST 230 \|0 (DE-625)143617: \|2 rvk
084			\|a ST 260 \|0 (DE-625)143632: \|2 rvk
084			\|8 1\p \|a 004 \|2 23sdnb
100	1		\|a Liebel, Oliver \|e Verfasser \|0 (DE-588)1042738157 \|4 aut
245	1	0	\|a Skalierbare Container-Infrastrukturen \|b das Handbuch für Planung und Administration \|c Oliver Liebel
250			\|a 4., aktualisierte Auflage
264		1	\|a Bonn \|b Rheinwerk \|c 2024
300			\|a 1148 Seiten \|b Illustrationen, Diagramme \|c 24 cm x 19 cm
336			\|b txt \|2 rdacontent
337			\|b n \|2 rdamedia
338			\|b nc \|2 rdacarrier
490	0		\|a Rheinwerk Computing
500			\|a Auf dem Cover: Architektur, Setup, strategischer Background, Best Practices. Professionelle Orchestrierung mit Kubernetes und OpenShift. IaC, Operatoren, GitOps, Security, Federated Cluster, GPU-Cluster, API-Gateways, Software-Defined Storage, IDM, Autoscaler. Alle Beispielkonfigurationen zum Download
650	0	7	\|a Softwareproduktionsumgebung \|0 (DE-588)4138444-1 \|2 gnd \|9 rswk-swf
650	0	7	\|a Container \|g Informatik \|0 (DE-588)1116639513 \|2 gnd \|9 rswk-swf
650	0	7	\|a Kubernetes \|0 (DE-588)1153019000 \|2 gnd \|9 rswk-swf
650	0	7	\|a Docker \|g Software \|0 (DE-588)1173644687 \|2 gnd \|9 rswk-swf
650	0	7	\|a Skalierbarkeit \|0 (DE-588)4520890-6 \|2 gnd \|9 rswk-swf
650	0	7	\|a Virtualisierung \|0 (DE-588)4839180-3 \|2 gnd \|9 rswk-swf
650	0	7	\|a Docker 1.12 \|0 (DE-588)1116737825 \|2 gnd \|9 rswk-swf
653			\|a Suse Red-Hat
653			\|a Docker Buildah
653			\|a Hochverfügbarkeit HA
653			\|a Microservices
653			\|a Container-Cluster
653			\|a OpenShift
653			\|a Continuous Delivery
653			\|a Deployment
653			\|a Ansible
653			\|a GitOps
653			\|a Podman
653			\|a Orchestrierung
653			\|a Hand-Buch Lesen E-Book Lernen Anleitung Wissen
653			\|a CoreOS
653			\|a Suse
653			\|a Administration
653			\|a Security
653			\|a Governance
689	0	0	\|a Container \|g Informatik \|0 (DE-588)1116639513 \|D s
689	0	1	\|a Virtualisierung \|0 (DE-588)4839180-3 \|D s
689	0	2	\|a Skalierbarkeit \|0 (DE-588)4520890-6 \|D s
689	0	3	\|a Softwareproduktionsumgebung \|0 (DE-588)4138444-1 \|D s
689	0	4	\|a Docker 1.12 \|0 (DE-588)1116737825 \|D s
689	0		\|5 DE-604
689	1	0	\|a Container \|g Informatik \|0 (DE-588)1116639513 \|D s
689	1	1	\|a Virtualisierung \|0 (DE-588)4839180-3 \|D s
689	1	2	\|a Skalierbarkeit \|0 (DE-588)4520890-6 \|D s
689	1	3	\|a Softwareproduktionsumgebung \|0 (DE-588)4138444-1 \|D s
689	1	4	\|a Docker \|g Software \|0 (DE-588)1173644687 \|D s
689	1	5	\|a Kubernetes \|0 (DE-588)1153019000 \|D s
689	1		\|5 DE-604
710	2		\|a Rheinwerk Verlag \|0 (DE-588)1081738405 \|4 pbl
856	4	2	\|m X:MVB \|q text/html \|u http://deposit.dnb.de/cgi-bin/dokserv?id=499e9485f6d54b32bd62f76a63bd9a21&prov=M&dok_var=1&dok_ext=htm \|3 Inhaltstext
856	4	2	\|m DNB Datenaustausch \|q application/pdf \|u http://bvbr.bib-bvb.de:8991/F?func=service&doc_library=BVB01&local_base=BVB01&doc_number=034359070&sequence=000001&line_number=0001&func_code=DB_RECORDS&service_type=MEDIA \|3 Inhaltsverzeichnis
883	1		\|8 1\p \|a vlb \|d 20230720 \|q DE-101 \|u https://d-nb.info/provenance/plan#vlb
943	1		\|a oai:aleph.bib-bvb.de:BVB01-034359070

Datensatz im Suchindex

_version_	1806776039833075712
adam_text	INHALT 1 CATCH-22 39 1.1 VORBEMERKUNGEN . 43 1.1.1 VERWENDETE FORMATIERUNGEN . 44 1.1.2 WEITERFUEHRENDE HINWEISE . 44 1.1.3 KLARTEXT . 44 1.2 KERNZIELE UND ROTE FAEDEN . 45 1.3 WAS DIESES BUCH SEIN SOLL UND WAS NICHT . 46 1.4 WIE DIESES BUCH ZU LESEN IST . 46 1.4.1 NEUE GLIEDERUNG UND DAY 0-1-2-3 OPERATIONS . 47 1.4.2 WENIGER DETAILSCHRITTE, LISTINGS UND OUTPUTS, MEHR AUTOMATION . 47 1.4.3 KAPITEL UND ZIELGRUPPEN IM GROBEN UEBERBLICK . 47 1.5 DOCKER-REPLACEMENT-TOOLS . 48 1.5.1 PODMAN . 48 1.5.2 BUILDAH . 48 1.5.3 SKOPEO . 49 TEIL I STRATEGISCHE VORBETRACHTUNGEN, FOUNDATIONS UND PREFLIGHTS 2 GRUNDSAETZLICHE STRATEGISCHE FRAGEN 53 2.1 WORUM GEHT ES? . 53 2.2 UEBERBLICK: CONTAINER UND INFRASTRUKTUR-KONZEPTE . 54 2.2.1 DIE LAYER . 55 2.2.2 PLATTFORMEN FUER CLUSTER-NODES MIT SCHLANKEM OS . 56 2.2.3 CONTAINER-ENGINES . 57 2.2.4 DIE GROSSE FRAGE - WELCHER ORCHESTRIEREN: VANILLA KUBERNETES? OPENSHIFT? RANCHER? TANZU? . 57 INHALT 2.3 GENERELLE INFRASTRUKTUR-FRAGEN: CLOUD VS. ON-PREM, MANAGED KUBERNETES, MANAGED SERVER, HYBRIDER MISCHBETRIEB . 58 23.1 KONZEPTIONELLER AUFBAU UND PLANUNGSSTRATEGIEN . 58 23.2 MANAGED KUBERNETES VS. SELF-DRIVEN . 59 233 IMPLEMENTIERUNGS UND KOSTENFAKTOREN IN DER CLOUD . 60 23.4 MULTI-CLOUD-IMPLEMENTIERUNGEN - VOR UND NACHTEILE . 61 23.5 EXKURS: MANAGED SERVER KLEINERER SPS ALS GUENSTIGERE CLOUD-ALTERNATIVE MIT HOEHERER FLEXIBILITAET? . 62 23.6 IMPLEMENTIERUNGS UND KOSTENFAKTOREN: SELF-HOSTED . 63 23.7 DATENSICHERHEIT . 64 23.8 STORAGE UND NETZWERK . 64 23.9 HYBRIDER ANSATZ: ON-PREMISES UND CLOUD (PAY-PER-USE) . 65 23.10 ALLES COOL? IN DER CLOUD OFT EHER NICHT: TEMPERATUR-, PERFORMANCE UND DAMIT KOSTENFRAGEN . 65 2.4 MAXIMALE VOLLAUTOMATION - LAC, OPERATOREN, GITOPS . 66 2.4.1 MAXIMALE AUTOMATION - IN ALLEN BEREICHEN . 66 2.4.2 KRITERIEN . 67 2.43 KONZEPTE: LAAS UND LAC . 68 2.4.4 TERRAFORM UND DAS KOMPLEXITAETSPROBLEM . 69 2.4.5 VOLLAUTOMATION (INFRASTRUKTUR), TEIL 1: LAAS UND LAC . 71 2.4.6 VOLLAUTOMATION (IN-CLUSTER), TEIL 2: OPERATOREN . 72 2.4.7 VOLLAUTOMATION (IN-CLUSTER), TEIL 3: GITOPS-PIPELINES . 72 2.5 REGISTRIES . 73 2.5.1 CONTAINER-IMAGE-REGISTRIES UND -REPOSITORIES . 73 2.5.2 AUSWAHLKRITERIEN . 74 2.5.3 KANDIDATEN . 75 2.6 GANZHEITLICHE SECURITY - HIGH-LEVEL VIEW . 76 2.6.1 INSEL-LOESUNGEN SIND KEINE LOESUNG . 76 2.6.2 OEFFENTLICHE REGISTRIES? NEIN . 77 2.6.3 TRUSTED IMAGES UND REGISTRIES . 78 2.6.4 RED HAT REGISTRY . 79 2.6.5 AUTOMATISCHES IMAGE SIGNING UND VERIFY . 82 2.6.6 RED HATS UNIVERSAL BASE IMAGE (UBI) . 82 2.6.7 SECCOMP-PROFILE UND KERNEL-CAPABILITIES . 84 2.6.8 BSI-RICHTLINIEN FUER CONTAINER-CLUSTER . 85 2.6.9 FAZIT . 86 INHALT TEIL II KUBERNETES-ARCHITEKTUR, CORE-CONCEPTS, WORKLOADS UND DAY 1 OPERATIONS 3 KUBERNETES 89 3.1 KUBERNETES IM UEBERBLICK . 89 3.1.1 AUFGABEN . 90 3.1.2 CONTAINER-ENGINES . 90 3.1.3 SKALIERBARKEIT . 91 3.2 VANILLA KUBERNETES UND DAS TRAURIGE THEMA LTS . 91 3.2.1 GELD VERBRENNEN? ODER BESSER DOCH NICHT? . 91 3.2.2 VANILLA KUBERNETES: RELEASES, CHANGES UND KEIN ENDE . 92 3.2.3 VANILLA KUBERNETES UND DERIVATE: LTS-MANKOS, BENOETIGTE 3RD-PARTY TOOLS, ASYNCHRONE PRODUKTZYKLEN UND MAERCHENSTUNDEN . 93 3.2.4 VANILLA KUBERNETES; FAZIT . 94 3.2.5 VMWARE, TANZU UND DAS ECKIGE, DAS DURCHS RUNDE SOLL . 95 3.2.6 AKS, EKS, GKE & CO . 96 3.2.7 OPENSHIFT . 97 3.2.8 RANCHER . 98 3.2.9 UEBERSICHT UEBER ENTERPRISE-RELEVANTE KERNFEATURES EINIGER KUBERNETES PLATTFORMEN . 99 3.2.10 FAZIT . 100 3.3 KUBERNETES-KOMPONENTEN. 100 3.3.1 HIGH-LEVEL-ARCHITEKTUR . 100 3.3.2 MASTER-BZW. CONTROLPLANE-NODES . 101 3.3.3 WORKER-NODES UND GPU-WORKER-NODES . 102 3.3.4 INFRASTRUKTUR-NODES . 102 3.4 DIENSTE AUF ALLEN NODE-TYPEN: KUBELET, CONTAINER-ENGINE, OVERLAY-NETZE, PROXIES . 103 3.4.1 HIGH-LEVEL: KUBELET UND CONTAINER-ENGINE, PROXIES, OVERLAY-NETZE . 103 3.4.2 KUBELET . 103 3.4.3 KUBELETS; HOUSEKEEPING UND NO-SWAP . 104 3.4.4 KUBE-PROXY UND ALTERNATIVEN . 105 3.5 DIENSTE AUF DEN KUBERNETES-MASTER-/CONTROLPLANE-NODES . 106 3.5.1 API-SERVER . 106 3.5.2 CONTROLLER-MANAGER . 107 3.5.3 NODE-CONTROLLER (KUBE-CONTROLLER-MANAGER) UND DIE VERFUEGBARKEIT DER WORKER-NODES . 108 3.5.4 SCHEDULER . 110 INHALT 3.5.5 CLOUD-CONTROLLER-MANAGER . 111 3.5.6 ETED . 112 3.6 ETED ALS KEY/VALUE-STORE IN KUBERNETES-BASIERTEN CLUSTERN . 112 3.6.1 FOUNDATIONS UND ARBEITSWEISE . 113 3.6.2 BACKUP-UND VERFUEGBARKEITSSTRATEGIEN . 113 3.6.3 HA-ASPEKTE . 114 3.6.4 IMPLEMENTIERUNGSDETAILS . 115 3.6.5 BEST PRACTICE - ANZAHL DER ETCD-LNSTANZEN UND FAULT-TOLERANCE . 117 3.6.6 RZ-TOPOLOGIEN . 118 3.7 NETWORKING IN KUBERNETES . 118 3.7.1 VORBETRACHTUNGEN . 118 3.7.2 ARBEITSWEISE . 119 3.7.3 KUBERNETES UND IPV6 BZW. IPV4/IPV6-DUAL-STACKS . 119 3.7.4 NETWORK-PLUGINS . 119 3.8 WINDOWS-NODES IN KUBERNETES-CLUSTERN? . 121 3.8.1 GENERELLE ASPEKTE . 122 3.8.2 LIMITATIONEN: OS-VERSION, WORKER ODER MASTER . 123 3.8.3 LIMITATIONEN: CONTAINER-ENGINE . 123 3.8.4 LIMITATIONEN: NETZWERK . 124 3.8.5 LIMITATIONEN: STORAGE PROBLEME . 125 3.8.6 FAZIT . 125 3.9 CONTAINER-ENGINES FUER KUBERNETES . 126 3.9.1 CRI - DAS CONTAINER RUNTIME INTERFACE . 126 3.9.2 CRI-0 VS. CRI-CONTAINERD VS. DOCKER . 127 3.9.3 RUNC . 127 3.9.4 CRI-0 . 127 3.9.5 CRI-CONTAINERD . 129 4 KUBERNETES-SETUP-VARIANTEN IM KOMPAKTEN UEBERBLICK 131 4.1 OPTIONEN UND GRAD DER VERWALTBARKEIT . 131 4.1.1 LOESUNGEN NACH GRAD DER EIGEN-VERWALTBARKEIT . 131 4.1.2 SETUP-TOOLS NACH PLATTFORM-DIVERSITAET . 132 4.2 SETUP-ANSAETZE (AUSZUEGE). 133 4.2.1 CLOUD-BASIERT . 133 4.2.2 OPENSHIFT . 134 INHALT 4.2.3 RANCHER . 134 4.2.4 MINIKUBE . 134 4.2.5 TERRAFORM NATIV . 135 4.2.6 KUBEADM . 135 4.2.7 KUBERMATIC . 135 4.2.8 KUBESPRAY . 136 43 ZEITSYNCHRONISATION. 137 4.4 INSTANCE SIZING . 137 4.4.1 MINDESTANFORDERUNGEN . 137 4.4.2 WENIGE GROSSE ODER VIELE KLEINE NODES? . 138 4.4.3 CLOUD-INSTANCE-CALCULATOR . 139 5 KUBERNETES-CLUSTER-SETUPS (CLOUD) 141 5.1 GKE . 142 5.1.1 GKE-GOOGLE KUBERNETES ENGINE . 142 5.1.2 REGIONEN, ZONEN UND VERFUEGBARKEITEN . 143 5.1.3 GKE-SETUP-VARIANTEN . 144 5.1.4 GKE SHIELDED NODES . 144 5.1.5 VERFUEGBARE MASCHINEN BZW. INSTANZ-TYPEN IN DER GCP . 145 5.1.6 MINDESTANGABEN FUER DAS SETUP . 145 5.1.7 GOOGLES NODE-OS-VARIANTEN . 146 5.1.8 AUSZUEGE SONSTIGER EINSTELLBARER FEATURES . 146 5.1.9 GCLOUD-CLI-BASIERTE CLUSTER-INSTALLATION . 147 5.1.10 GCLOUD INIT AUF DEM VERWALTUNGS-NODE . 148 5.1.11 INSTALLIERTE/VERFUEGBARE GCLOUD-KOMPONENTEN AUFLISTEN BZW. NACHINSTALLIEREN . 149 5.1.12 CONTAINER-API UND BILLING IM PROJEKT AKTIVIEREN . 149 5.1.13 GKE-CHANNELS (STABLE, REGULAR, RAPID) . 150 5.1.14 CLUSTER-INSTALLATION MIT ANPASSUNGEN . 152 5.1.15 GKE-CLUSTER UND NETWORKPOLICIES . 154 5.1.16 MANUELLES CIUSTER-SIZING/-SCAIING . 154 5.1.17 EINEN NODE-POOL ODER CLUSTER LOESCHEN . 155 5.1.18 AUTH-ENTRIES, KONTEXTE FETCHEN/SWITCHEN, PROJEKT SETZEN . 156 5.1.19 X509-ZERTIFIKATSFEHLER BEI DER AUSFUEHRUNG VON KUBECTL . 156 5.1.20 DIE GOOGLE-REGISTRY NUTZEN . 156 5.1.21 ZUGRIFF AUF GKE-WORKER-NODES . 157 5.2 EKS . 158 5.2.1 REGION, ZONEN UND VERFUEGBARKEITEN . 158 INHALT 5.2.2 INSTANZEN UND PREISE . 159 5.2.3 EKSCTL-CLI UND SETUP . 159 53 AKS . 160 5.3.1 REGION, ZONEN UND VERFUEGBARKEITEN . 161 5.3.2 INSTANZEN UND PREISE, SLAS. 161 5.3.3 AZURE-CLI UND SETUP . 162 5.4 VERGLEICHSTABELLE FUER . 164 6 KUBERNETES: DEPLOYMENT-TOOLS UND -KONZEPTE, API-FOUNDATIONS, MANIFEST UND CLI-HANDLING 165 6.1 UEBERBLICK: TOOLS ZUM DEPLOYMENT VON KUBERNETES-RESSOURCEN . 165 6.1.1 DIE QUAL DER WAHL? NICHT WIRKLICH . 165 6.1.2 KUBECTL . 166 6.1.3 HELM . 166 6.1.4 KUSTOMIZE . 166 6.1.5 OPERATOREN . 167 6.2 HELM UND KUSTOMIZE - THE BIG SHORT . 167 6.2.1 KUSTOMIZE . 169 6.2.2 HELM . 171 63 EDITOREN UND TOOLS: VI(M), VISUAL STUDIO CODE UND K9S . 172 6.3.1 VI(M) . 172 6.3.2 VISUAL STUDIO CODE . 173 6.3.3 K9S . 176 6.4 GRUNDLEGENDE VERFAHREN ZUM ERSTELLEN VON WORKLOADS . 176 6.4.1 MANIFESTE ERZEUGEN . 176 6.4.2 MEHRERE RESSOURCEN IN EINEM YAML-FILE . 177 6.4.3 YAML-MANIFEST-VERSIONIERUNG VIA GIT . 177 6.5 GRUNDLAGEN ZU KUBECTL . 178 6.5.1 KUBECTL-BASH-COMPLETION, KUBECTL-ALIAS UND KUBECTL-CACHING . 178 6.5.2 KUBECTL-CLIENT/SERVER-VERSIONEN . 179 6.5.3 DIE KONFIGURATION VON KUBECTL . 180 6.5.4 DIE KUBECONFIG WURDE GELOESCHT ODER IST NICHT MEHR VERFUEGBAR . 180 6.5.5 PLUGINS FUER KUBECTL . 181 6.5.6 SYNTAX-PRUEFUNGEN FUER KUBECTL UND YAML (EDITOREN UND PIPELINES) . 181 6.5.7 HIGH-LEVEL-VIEW: API-VERSIONS UND API-RESOURCES VERSTEHEN UND ABFRAGEN . 181 6.5.8 KUBECTL API-VERSIONS . 183 INHALT 6.5.9 KUBECTL API-RESOURCES . 185 6.5.10 MIGRATIONEN, NEVER-ENDING STORIES: APIVERSION UND KIND-CHANGES . 186 6.5.11 KUBECTL EXPLAIN . 187 6.5.12 KUBECTL-DEBUGGING IM VERBOSE MODE . 188 6.5.13 KUBECTL: KONTEXT/NAMESPACE-SWITCHING . 188 6.6 KUBECTL-OPERATIONS . 188 6.6.1 KUBECTL GET . 189 6.6.2 KUBECTL DESCRIBE . 189 6.6.3 MULTIPLE RESSOURCEN PER KUBECTL ANLEGEN, MODIFIZIEREN UND LOESCHEN . 190 6.6.4 KUBECTL CREATE . 190 6.6.5 KUBECTL ATTACH . 191 6.6.6 LAUFENDEN POD BZW. LAUFENDE RESSOURCE EDITIEREN: KUBECTL EDIT . 191 6.6.7 KUBECTL PATCH . 191 6.6.8 KUBECTL REPLACE . 193 6.6.9 IMPERATIV VS. DEKLARATIV: KUBECTL CREATE/DELETE/REPLACE VS. KUBECTL APPLY/PATCH . 193 6.6.10 KUBECTL SET . 194 6.6.11 KUBECTL WAIT . 194 6.6.12 KUBECTL (FORCE) DELETE (UND FINALIZERS) . 195 6.6.13 LOGS VON CONTAINERN EINES PODS ABFRAGEN . 196 6.6.14 KUBECTL EXEC - REMOTE KOMMANDOS IM POD/CONTAINER AUSFUEHREN . 197 6.6.15 SERVER SIDE APPLY UND KUBECTL APPLY . 197 6.6.16 WEITERE KUBECTL-SUBKOMMANDOS . 198 6.7 DEBUGGING VON KUBERNETES-RESSOURCEN . 198 6.7.1 POD-DEBUGGING MIT KUBECTL DEBUG . 198 6.7.2 NODE-DEBUGGING MIT KUBECTL DEBUG . 199 7 KUBERNETES-CLUSTER: DAY 1 OPERATIONS - CORE-WORKLOADS 201 7.1 NAMESPACES: FOUNDATIONS. 201 7.1.1 VORBETRACHTUNGEN . 202 7.1.2 FUNKTIONALITAETEN UND REGELN BZW. VORSCHRIFTEN FUER NAMESPACES . 203 7.1.3 STANDARD-NAMESPACES IN EINEM VANILLA-KUBERNETES-CLUSTER . 204 7.1.4 UNIQUENESS PRO NAMESPACE . 205 7.1.5 OBJEKTE MIT UND OHNE NAMESPACE-ZUORDNUNG . 205 7.1.6 NAMESPACES ERZEUGEN . 205 7.1.7 NAMESPACE LOESCHEN . 206 7.1.8 WENN DIE NAMESPACE-LOESCHUNG HAENGT . 206 INHALT 7.2 NAMESPACES: MULTI-TENANCY UND SECURITY-ASPEKTE . 207 7.2.1 NAMESPACES/NETWORKING - KUNDENSPEZIFISCHE UND SYSTEM-NAMESPACES . 207 7.2.2 GETEILTE CORE-KOMPONENTEN . 208 7.2.3 PROBLEMATIKEN MIT SCHEDULING, EVICTION, PREEMPTION . 208 7.2.4 NODE-FIXING ALS LOESUNG? . 209 7.2.5 NODE SECURITY . 209 7.2.6 LOGGING/MONITORING . 209 7.2.7 WECHSELWIRKUNGEN MIT CLUSTER-AUTOSCALERN . 209 7.2.8 SECURITY-LOESUNGEN . 210 7.2.9 HAFTUNG . 210 7.2.10 FAZIT . 210 7.3 PODS UND CONTAINER . 210 7.3.1 FOUNDATIONS . 210 7.3.2 UEBERBLICK: PODS, STARTUP-ORDERINGS, INIT-CONTAINER UND DIE NONSENSE ALTLASTEN VON DOCKER, INC. 213 7.3.3 EINFACHE POD-MANIFESTE . 213 7.3.4 IMAGEPULLPOLICIES FUER CONTAINER . 215 7.3.5 SERIELLE UND PARALLELE IMAGE-PULLS . 216 7.3.6 POD/CONTAINER-PHASEN . 217 7.3.7 POD-RESTARTPOLICIES UND STARTVERZOEGERUNG . 218 7.3.8 AUSZUEGE EINIGER BEISPIELE FUER MOEGLICHE ZUSTAENDE VON PODS . 218 7.4 POD-SIDECAR-PATTERNS UND DAS APPLIKATIONS-DESIGN . 220 7.4.1 KLASSISCHER SIDECAR . 221 7.4.2 AMBASSADOR . 221 7.4.3 ADAPTER . 221 7.4.4 INITIALIZER . 221 7.5 PODS UND INIT-CONTAINER . 222 7.5.1 FUNKTIONSWEISE . 222 7.5.2 READINESS . 223 7.5.3 ANWENDUNGSMOEGLICHKEITEN FUER INIT-CONTAINER . 223 7.5.4 PHASEN DES INIT-CONTAINERS, MEHRSTUFIGES INIT-BEISPIEL . 223 7.5.5 INIT-CONTAINER UND COMPUTE-RESSOURCES . 225 7.6 POD UND CONTAINER-SECURITY . 225 7.6.1 SECURITYCONTEXT FUER CONTAINER: KERNEL-CAPABILITIES UND MEHR . 226 7.6.2 POD SECURITY ADMISSION CONTROLS . 228 7.7 POD-/CONTAINER-ATTRIBUTE UEBER UMGEBUNGSVARIABLEN NUTZEN . 231 7.7.1 POD ODER CONTAINER-VARIABLEN? . 231 7.7.2 POD-ATTRIBUTE AUSLESEN UND VARIABLEN ZUORDNEN . 231 7.7.3 ERZEUGE ORDNER IM MOUNTPATH . 233 INHALT 7.8 UEBERBLICK: CONFIGMAPS, SERVICEACCOUNTS UND SECRETS. 233 7.9 CONFIGMAPS . 234 7.9.1 FUNKTIONSWEISE . 234 7.9.2 EIN EINFACHES BEISPIEL . 235 7.9.3 VERFAHREN ZUR NUTZUNG IN EINEM POD . 236 7.9.4 CONFIGMAP IN EINEM POD NUTZEN (ENV-VARIANTE) . 236 7.9.5 CONFIGMAPS ALS VOLUMES . 238 7.9.6 SEMI-AUTO-UPDATES BEI EINGEMOUNTETEN CONFIGMAPS . 240 7.9.7 EINGEMOUNTETE CONFIGMAPS ODER LIEBER PER ENV?. 240 7.9.8 VARIANTEN ZUR ERSTELLUNG . 241 7.9.9 EXKURS: YAML-MULTILINE-ATTRIBUTE (IN CONFIGMAPS) . 242 7.9.10 ERZEUGUNG VON CONFIGMAPS AUS FILES UND BINARY DATA IN CONFIGMAPS . 243 7.9.11 RE-DEPLOY EINER RESSOURCE BEI AENDERUNG DER CONFIGMAP . 243 7.9.12 CONFIGMAPS DES CONTROLPLANES . 244 7.9.13 IMMUTABLE CONFIGMAPS . 245 7.9.14 FAZIT ZU CONFIGMAPS . 245 7.10 SERVICEACCOUNTS . 245 7.10.1 KONZEPT UND FUNKTIONSWEISE . 245 7.10.2 HANDS-ON . 246 7.10.3 OPT-OUT CREDENTIAL AUTOMOUNT . 247 7.10.4 SERVICEACCOUNTS IM SYSTEM . 248 7.10.5 SERVICEACCOUNT DIREKT MIT IMAGEPULLSECRETS AUSSTATTEN . 249 7.11 SECRETS . 249 7.11.1 SECRETS IN PODS VERWENDEN . 251 7.11.2 DOCKER-KOMPATIBLE SECRETS FUER DEN REGISTRY-ZUGRIFF . 253 7.11.3 SECRETS MIT ZERTIFIKATEN: (SECRET-)AUTO-ROTATION/UPDATE? . 254 7.11.4 REALLY SECRET SECRETS? NICHT WIRKLICH . 254 7.11.5 SECRET-SYNCHRONISATION ZWISCHEN NAMESPACES . 255 7.12 JOBS . 255 7.12.1 FAILURE-VERHALTEN . 256 7.12.2 JOB-BEISPIEL . 257 7.12.3 CRONJOBS . 258 7.13 LABEL, SELEKTOREN UND ANNOTATIONS . 260 7.13.1 LABEL UND SELEKTOREN . 260 7.13.2 LABEL FUER CONSTRAINTS . 261 7.13.3 AUFBAU . 261 7.13.4 EIN PAAR EINFACHE, PRAKTISCHE BEISPIELE . 263 7.13.5 ANNOTATIONS . 264 INHALT 7.14 DEPLOYMENTS . 265 7.14.1 DEPLOYMENT-AUFBAU UND -FEATURES . 265 7.14.2 MATCHLABELS/MATCHEXPRESSIONS AB KUBERNETES 1.16 . 267 7.14.3 DEPLOYMENT IM UEBERBLICK . 267 7.14.4 ROLLING UPDATES . 269 7.14.5 REVISIONSHISTORIE? GUTER WITZ . 270 7.14.6 KUBECTL ROLLOUT . 271 7.14.7 GENERISCHE LOG-ABFRAGE VON PODS IN DEPLOYMENTS (UND DAEMONSETS ODER STATEFULSETS) . 271 7.14.8 UMGEBUNGSVARIABLEN IN DEPLOYMENTS NUTZEN (POD-NAME-BASIERTE LOG-ORDNER) . 272 7.15 DAEMONSETS . 275 7.15.1 SCHEDULING DER PODS EINES DAEMONSETS . 275 7.15.2 DER NODE KANN NICHT MEHR? KEIN PROBLEM, DAS DAEMONSET SCHON . 276 7.15.3 DAEMONSET-BEISPIEL . 277 7.16 STATEFULSETS . 279 7.16.1 DIE KOMPONENTEN DES STATEFULSETS IN DER PRAXIS . 281 7.16.2 VOLUMECLAIMTEMPLATES FUER STATEFULSETS . 282 7.16.3 PRAXISBEISPIELE . 282 7.17 ENTSCHEIDUNGSHILFE: WANN DEPLOYMENT, WANN DAEMONSET, WANN STATEFULSET? . 282 7.17.1 LEICHTGEWICHTIGE (STATELESS-)APPLIKATIONEN IRGENDWO IM CLUSTER: DEPLOYMENTS . 282 7.17.2 NODE-BEZOGENE APPLIKATIONSINSTANZEN (GEGEBENENFALLS MIT PERSISTENZEN): DAEMONSETS . 283 7.17.3 ORDERINGS, NAMENS UND DATEN-PERSISTENZEN: STATEFULSETS . 283 7.18 UPDATE-STRATEGIEN FUER PODS IM UEBERBLICK . 284 7.18.1 ROLLING UPDATE . 284 7.18.2 CANARY (SUKZESSIVER SCHWENK/TRAFFIC WEIGHTING) . 286 7.18.3 BLUE/GREEN (GANZ ODER GAR NICHT-SCHWENK) . 288 7.18.4 FORTGESCHRITTENE BETRACHTUNGEN . 289 7.19 KUBERNETES: AUTORISIERUNG/RBAC . 289 7.19.1 VORBETRACHTUNGEN UND SCOPE . 289 7.19.2 KUBERNETES UND ABAC/RBAC . 289 7.19.3 RBAC: KONZEPTE UND OBJEKTE . 290 7.19.4 BERECHTIGUNGEN (VERBS) . 291 7.19.5 RBAC-BEISPIEL. 291 7.19.6 BERECHTIGUNGEN VERWALTEN . 292 7.19.7 USER UND SYSTEMROLLEN . 293 INHALT 7.19.8 ADMISSION-CONTROLS UND ADMISSION-CONTROLLER . 295 7.19.9 VERFUEGBARE ADMISSION-CONTROLLER UND KONTROLLPHASEN . 295 7.20 KUBERNETES-VOLUMES UND DYNAMISCHE STORAGE-PROVISIONIERUNG . 296 7.20.1 GENERELLES: RWO VS. RWX . 297 7.20.2 RWOP-READWRITEONCEPOD . 299 7.20.3 PERSISTENTE UND NICHT PERSISTENTE VOLUMES . 299 7.20.4 PERSISTENTVOLUMES UND PERSISTENTVOLUMECLAIMS . 301 7.20.5 STORAGECLASSES . 302 7.20.6 STORAGECLASSES UND RECLAIMPOLICIES . 304 7.20.7 EINE BESTIMMTE STORAGECLASS ALS DEFAULT SETZEN/LOESCHEN . 305 7.20.8 MULTIPLE DEFAULT-STORAGECLASSES? . 305 7.20.9 PROVISIONER . 306 7.20.10 CSI: CONTAINER STORAGE INTERFACE FUER KUBERNETES . 308 7.20.11 PLUGIN-SPEZIFISCHE ACCESSMODES (AUSZUEGE) . 310 7.20.12 PV/PVC-LIMITS UND ECHTE QUOTAS . 312 7.20.13 FORCIERTE LOESCHUNG VON HAENGENDEN/STUCK PVCS . 313 7.20.14 GESCHICHTLICHES: STORAGE-PROTECTION . 313 7.20.15 HANDS-ON: NFS-PROVISIONER . 314 7.20.16 WIEDERVERWENDUNG VON RECYCLED/RETAINED PVS . 318 7.20.17 SDS-VOLUMES UND CEPH . 321 7.20.18 TOPOLOGY AWARE DYNAMIC PROVISIONINGFUER PVS UND VOLUMEBINDINGMODE . 321 7.20.19 MOUNT-PROPAGATION . 323 7.21 STORAGE FUER CLOUDBASIERTES KUBERNETES: GKE, EKS UND AKS . 323 7.21.1 GKE . 323 7.21.2 EKS . 326 7.21.3 AKS . 327 7.22 SERVICES . 327 7.22.1 HIGH-LEVEL-UEBERBLICK . 327 7.22.2 DIE SERVICE-RESSOURCE. 328 7.22.3 TECHNISCHE ARBEITSWEISE DER SERVICE-RESSOURCE . 329 7.22.4 SERVICE-ENDPOINTS . 331 7.22.5 ENDPOINT-SLICES . 332 7.22.6 SERVICE FUER EIN BLUE/GREEN-DEPLOYMENT . 333 7.22.7 SERVICE-TYPEN . 335 7.22.8 SERVICES OHNE SELEKTOREN . 337 7.22.9 SERVICETYPE CLUSTERIP OHNE INTERNE IP . 337 7.22.10 DER DEFAULT-KUBERNETES-SERVICE . 338 7.22.11 METALLB: VIRTUELLER LOADBALANCER FUER DEN SERVICETYPE LOADBALANCER IN ON-PREMISES-CLUSTERN . 339 7.22.12 KUBERNETES-SERVICES UND DNS: INTERNE NAMESAUFLOESUNG . 343 INHALT 7.22.13 POD-DNS-POLICIES . 344 7.22.14 NODELOCAL DNSCACHE . 346 7.22.15 KUBERNETES-SERVICES UND PROXY-MODES (IPTABLES, IPVS) . 346 7.22.16 RUNTIME-CHANGE DES IPVS-BALANCER-MODES . 349 7.22.17 SESSION-PERSISTENZEN FUER SERVICES . 350 7.22.18 LOADBALANCERCLASS FUER SERVICES ANGEBEN (STABLE AB 1.24) . 351 7.22.19 HEADLESS SERVICES: WEICHE MIGRATION VON LEGACY-SYSTEMEN . 352 7.22.20 EGRESS UND FIREWALL-BETRACHTUNGEN (HEADLESS VS. URL VIA CONFIGMAP VS. EGRESS-IP) 355 7.22.21 EXTERNALNAME-SERVICES . 356 7.22.22 SERVICES UND DER REST DER WELT . 357 7.23 INGRESS . 358 7.23.1 GRUNDLAGEN . 358 7.23.2 VERFUEGBARE INGRESS-CONTROLLER, VERGLEICHSTABELLE . 359 7.23.3 PROTOKOLLE UND INVOLVIERTE KOMPONENTEN . 360 7.23.4 INGRESS-RESSOURCE (EXEMPLARISCH) . 360 7.23.5 INGRESS-CONTROLLER VS. API-GATEWAYS VS. SERVICE-MESHES . 363 TEIL III SKALIERBARE CONTAINER-CLUSTER MIT KUBERNETES: DAY 2 OPERATIONS 8 DAY 2 OPERATIONS: IN-CLUSTER-VOLLAUTOMATION MIT OPERATOREN - FOUNDATIONS 367 8.1 VORBETRACHTUNGEN: ZWEI OPERATOR-SPEZIFISCHE HAUPTKAPITEL . 367 8.2 CUSTOMRESOURCEDEFINITIONS . 368 8.2.1 FUNKTIONALER UEBERBLICK . 369 8.2.2 CRDS ABFRAGEN . 370 8.2.3 CRDS, OPERATOREN UND CONTROLLER . 370 8.2.4 IMPERATIV ODER DEKLARATIV? . 371 8.2.5 CRDS UND STRUCTURAL SCHEMAS . 372 8.2.6 CRDS VS. API-SERVER-AGGREGATION . 373 8.2.7 EIGENE CRDS ERSTELLEN . 374 8.2.8 DESCRIPTIONS FUER KUBECTL EXPLAIN CRD . SPEC\|STATUS . SUBATTRIBUTE . . HINTERLEGEN . 376 8.2.9 EIGENER SAMPLE-CONTROLLER MIT CRD . 378 8.2.10 MULTIPLE CRD-VERSIONEN . 380 8.2.11 CRD-LIFECYCLE . 381 INHALT 8.2.12 VERWALTEN MEHRERER CRD-VERSIONEN . 381 8.2.13 HAENGENDE CRDS LOESCHEN (FINALIZER) . 381 8.3 OPERATOREN UNTER KUBERNETES . 382 8.3.1 FULL-LIFECYCLE-AUTOMATION . 383 8.3.2 WAS IST EIN OPERATOR? . 383 8.3.3 CONTROLLER-LOOPS . 386 8.3.4 OPERATORHUB.IO UND OPENSHIFT-OPERATOREN . 386 8.4 OPERATOR-TYPEN UND MATURITAETS-LEVEL: HELM VS. ANSIBLE VS. GO . 387 8.4.1 OPERATOR-MATURITAETS-LEVEL: 1 BIS 5 . 387 8.4.2 DETAILLIERTE OPERATOR-LEVEL-EINSTUFUNG . 388 8.4.3 HELM VS. GITOPS UND OPERATOREN . 390 8.5 OPERATOR-TYPEN IM FUNKTIONALEN VERGLEICH: ANSIBLE VS. GO . 391 8.5.1 UNTERSCHIEDE VON GO UND ANSIBLE-BASIERTEN OPERATOREN . 391 8.6 OPERATOR-PREFLIGHTS: OLM - WER UEBERWACHT DIE WAECHTER? . 392 8.6.1 OLM - OPERATOR LIFECYCLE MANAGER: CRDS . 393 8.6.2 OLM - OPERATOR LIFECYCLE MANAGER: OPERATOREN UND REGISTRY . 394 8.6.3 INSTALLATION DES OLM (OPERATOR LIFECYCLE MANAGER) - NUR VANILLA KUBERNETES! . 395 8.7 OPERATOR-MANAGEMENT . 396 8.7.1 OPERATOR-MANAGEMENT PER CLI . 396 8.7.2 OLM-UNINSTALL . 398 8.7.3 SPEZIFISCHE VERSION EINES OPERATORS INSTALLIEREN UND UEBER UPGRADES BEHALTEN . 398 8.7.4 OPERATOR-UPDATES PER GRAPH . 399 8.7.5 OPERATOR-UPDATES UNTER OPENSHIFT . 399 8.8 HANDS ON: POSTGRESQL-OPERATOR (LEVEL 5) . 401 8.8.1 POSTGRES . 401 8.8.2 DER POSTGRES-OPERATOR . 401 8.8.3 VERFUEGBAREVERSIONEN . 403 8.8.4 HOCHVERFUEGBARKEIT UND DATENREPLIKATION . 403 8.8.5 SETUP . 403 8.8.6 DER ZUSTAND NACH DEM ROLLOUT . 407 8.8.7 CRASH-SIMULATION . 408 8.8.8 SKALIERUNG . 408 8.8.9 UPGRADE . 408 8.8.10 AUTOSCALING . 410 8.8.11 WAR ES DAS ZU (L5-)OPERATOREN? . 410 INHALT 9 KUBERNETES-CLUSTER: DAY 2 OPERATIONS - POD-LIFECYCLE, DE-SCHEDULING, TENANCY UND LIMITS 411 9.1 POD-LIFECYCLE UND HEALTH-CHECKS . 411 9.1.1 DIE NOTWENDIGKEIT DER PROBES . 411 9.1.2 READY? LIVE? STARTUP? - WELCHE PROBE WOFUER? . 412 9.1.3 AUSWIRKUNGEN DER LIVENESS-PROBES: CONTAINER RECREATE . 413 9.1.4 LIVENESS UND STARTUP-PROBE-NONSENS . 413 9.1.5 AUSWIRKUNG DER READINESS-PROBES: REMOVE ENDPOINT FROM SERVICE LIST . 414 9.1.6 PROBE-VERFAHREN: EXEC, TCPSOCKET, HTTPGET, GRPC . 416 9.1.7 MONITORING-INTERVALLE, TIMEOUTS UND THRESHOLDS . 418 9.1.8 FAILURE UND SUCCESS-THRESHOLDS . 418 9.1.9 TIMEOUTS, INITIAL DELAYS UND DELAYS VON INIT-CONTAINERN MIT EINKALKULIEREN . 419 9.1.10 BEISPIELE FUER EINE GENERISCHE PROBE . 419 9.1.11 UPDATE-FEHLER UND MINREADYSECONDS (DEPLOYMENTS UND DAEMONSETS, AB VERSION 1.22 AUCH FUER STATEFULSETS) . 421 9.1.12 STARTUP-PROBE . 422 9.1.13 DESIGN-FLAWS . 424 9.1.14 POD READINESS GATE . 424 9.1.15 POD-LIFECYCLE-MANAGEMENT UND POSTSTART-/PRESTOP-HOOKS . 425 9.1.16 POD NETWORK READINESS UND POD SCHEDULING READINESS . 427 9.2 (DE-)SCHEDULING: UEBERBLICK . 429 9.2.1 SCHEDULER: DEFAULT-VERTEILUNGSSTRATEGIEN . 429 9.2.2 SCHEDULER-ALGORITHMEN: PREDICATES UND PRIORITIES . 430 9.2.3 SCHEDULING-POLICIES . 431 9.2.4 SCHEDULING-PROZESS: NODE-SELECTION IM SCHEDULER . 433 9.2.5 KUBESCHEDULERCONFIGURATION . 436 9.2.6 SCHEDULER-DEEP-DIVE . 437 9.2.7 NOMINATED NODES . 437 9.3 (DE-)SCHEDULING: CONSTRAINTS - NODE-SELEKTOREN, POD TOPOLOGY SPREAD CONSTRAINTS . 438 9.3.1 NODE-SELEKTOREN . 438 9.3.2 POD TOPOLOGY SPREAD CONSTRAINTS . 440 9.4 (DE-)SCHEDULING: (ANTI-)AFFINITY, TAINTS UND TOLERATIONS . 443 9.4.1 UEBERBLICK: TAINTS, TOLERATIONS UND NODE/POD(ANTI-)AFFINITY . 443 9.4.2 MEHRERE NAMESPACES FUER PODAFFINITY: NAMESPACESELECTOR . 445 9.4.3 WELCHEN EFFEKT HABEN TAINTS UND TOLERATIONS? . 446 9.4.4 TAINTS/TOLERATIONS-BEISPIEL . 447 INHALT 9.4.5 TAINTS ABFRAGEN, LOESCHEN . 448 9.4.6 TYPISCHE ANWENDUNGSFAELLE FUER AFFINITIES, TAINTS UND TOLERATIONS: GPU-NODES, NODE-PROBLEMS . 449 9.5 (DE-)SCHEDULING: QOS-CLASSES, COMPUTE RESOURCE REQUESTS UND LIMITS . 450 9.5.1 CPU-REQUESTS UND-LIMITS . 450 9.5.2 MEMORY-REQUESTS UND -LIMITS . 452 9.5.3 GPU-LIMITS . 453 9.5.4 QOS - QUALITY-OF-SERVICE-KLASSEN IM UEBERLICK . 454 9.5.5 QOS-KLASSEN IM DETAIL . 455 9.5.6 QOS-KLASSEN UND EVICTION . 458 9.5.7 QOS-KLASSEN UND SYSTEMD-SLICES . 458 9.5.8 EXKLUSIVES CPU-PINNING . 459 9.5.9 DEFAULT-REQUESTS UND -LIMITS . 460 9.5.10 QOS FUER MEMORY-RESSOURCEN (AB V1.22) . 460 9.5.11 IN-PLACE COMPUTE-RESOURCE CHANGE (RESIZEPOLICY) - IN DER THEORIE . 461 9.5.12 PID-LIMITS (SEIT VL.14) . 463 9.5.13 (REQUESTS UND) LIMITS FUER EPHEMERAL STORAGE . 463 9.5.14 POD-OVERHEAD (COMPUTE-RESSOURCEN) PER RUNTIMECLASS . 464 9.5.15 OOM-SCORES . 467 9.5.16 DRA-DYNAMIC RESOURCE ALLOCATION . 469 9.6 (DE-)SCHEDULING: POD-PRIORITIES . 469 9.6.1 POD-PRIORITAETEN UND PREEMPTION . 469 9.6.2 WIE VERHALTEN SICH QOS-KLASSEN UND PRIORITIES ZUEINANDER? . 473 9.7 (DE-)SCHEDULING: PODDISRUPTIONBUDGETS. 474 9.7.1 PDBS IM DETAIL . 475 9.7.2 PDB BEI NODE-DRAININGS . 475 9.7.3 PDBS BEI ROLLING UPGRADES . 476 9.7.4 TECHNISCHE ARBEITSWEISE DES PDB . 476 9.7.5 BEST PRACTICES . 477 9.7.6 PRAXISBEISPIEL MIT SEPARATEM NODE-POOL (GKE) . 478 9.7.7 PDBUNDVPA . 483 9.8 (DE-)SCHEDULING: NODE-KAPAZITAETEN . 483 9.8.1 ANALYSE DER NODE-KAPAZITAET . 483 9.8.2 KORRESPONDIERENDE KUBELET-DIREKTIVEN BZW. KUBELET-CONFIG-FILE . 484 9.9 DE-SCHEDULING UND HA-ABSTINENZ: DESCHEDULER UND RE-BALANCING . 485 9.9.1 DER TEUFEL IN DEN IMMER KOMPLEXEREN DETAILS . 485 9.9.2 URSACHEN, INVOLVIERTE KOMPONENTEN UND DIE AUSWIRKUNGEN . 486 9.9.3 SIMPLER NODE-CRASH MIT STATELESS ODER STATEFUL PODS (MIT PV) . 487 9.9.4 BETRACHTUNGEN IM DETAIL UND ERNUECHTERNDE HINTERGRUENDE . 487 9.9.5 DER DESCHEDULER ALS LOESUNG? . 488 INHALT 9.9.6 NON-GRACEFUL NODE-SHUTDOWN-RECOVERY . 489 9.10 NAMESPACES UND (COMPUTE-)RESOURCE-LIMITS . 490 9.10.1 LIMITRANGES VS. RESOURCEQUOTA . 490 9.10.2 LIMITRANGES FUER NAMESPACES IN DER PRAXIS . 491 9.10.3 NODE UND POD-SPEZIFISCHE COMPUTE-RESSOURCEN ANZEIGEN (PRO NAMESPACE) . 495 9.10.4 RESOURCEQUOTAS FUER NAMESPACES . 496 9.10.5 OBJECT COUNT QUOTA . 498 9.10.6 RESOURCEQUOTA-SCOPES UND PRIORITYCLASSES . 498 9.10.7 DAS TYPISCHE PRIORITYCLASS-PROBLEM UND EINE LOESUNG PER RESOURCEQUOTA . 500 9.10.8 LIMITRANGES UND RESOURCEQUOTAS - FAZIT UND THE BIG PICTURE . 501 9.11 NAMESPACES UND NETWORKPOLICIES . 501 9.11.1 VORBETRACHTUNGEN . 502 9.11.2 POD-ISOLATION . 502 9.11.3 ACHTUNG: NAMESPACESELECTOR, PODSELECTOR UND ARRARYS MIT - FROM ODER-TO . 504 9.11.4 IPBLOCKS UND NATTING . 505 9.11.5 PERFORMANCE-IMPACT . 506 9.11.6 ACHTUNG: GKE-CLUSTER UND NETWORKPOLICIES . 506 9.11.7 TEST MIT NETWORKPOLICY . 507 9.11.8 CALICO UND GLOBALNETWORKPOLICIES . 510 9.11.9 FAZIT . 511 10 KUBERNETES-CLUSTER: DAY 2 OPERATIONS - DNS, CERTIFICATES, API-GATEWAYS 513 10.1 EXTERNALDNS FUER EXTERNE HOSTNAMENAUFLOESUNG . 513 10.1.1 FUNKTIONSWEISE . 514 10.1.2 UNTERSTUETZTE DNS-SYSTEME . 515 10.1.3 GKE-PREFLIGHT: CLUSTER-SETUP MIT SCOPES . 516 10.1.4 GKE-PREFLIGHT: CLOUD-DNS . 517 10.1.5 SETUP DES EXTERNALDNS . 518 10.2 AUTOMATISIERTE ZERTIFIKATSERZEUGUNG (ALLE PLATTFORMEN): CERT-MANAGER . 519 10.2.1 CERT-MANAGER-RELEASES UND KUBERNETES-VERSIONEN . 520 10.2.2 CERT-MANAGER-CRDS . 521 10.2.3 DIE HTTP-01-UND DNS-01-CHALLENGES . 521 10.2.4 CERT-MANAGER-WORKFLOW UND CERTIFICATE LIFECYCLE . 523 10.2.5 SETUP-PREFLIGHTS FUER DEN CERT-MANAGER (GKE) . 523 INHALT 10.2.6 SETUP DES CERT-MANAGERS FUER GOOGLE CLOUD DNS . 524 10.2.7 BEISPIEL-SETUP: INGRESS MIT EXTERNALDNS UND PER CERT-MANAGER AUSGESTELLTEM ZERTIFIKAT . 525 10.2.8 WILDCARD CERTIFICATES . 529 10.2.9 CERT-MANAGER DEBUGGEN . 531 10.2.10 CERT-MANAGER UNTER OPENSHIFT . 531 10.2.11 EXKURS: AUTOMATISIERTE ZERTIFIKATSERZEUGUNG (GKE-SPEZIFISCH) - MANAGEDCERTIFICATES . 534 10.3 GATEWAY-API . 536 10.3.1 GATEWAY-API: NUR SECHS JAHRE ZU SPAET . 537 10.3.2 FUNKTIONALES . 538 10.3.3 GATEWAY-API-KONZEPTE . 539 10.3.4 ROUTING-BEISPIELE,-GUIDES UND WEITERE DETAILS . 540 10.3.5 GKE-IMPLEMENTIERUNG DER GATEWAY-API . 540 10.4 API-GATEWAY: FOUNDATIONS . 541 10.4.1 FUNKTIONALES . 541 10.4.2 API-GATEWAY-FEATURES . 542 10.5 API-GATEWAY: BEISPIEL-SETUP (GKE) . 543 10.5.1 GKE-BEISPIEL-SETUP (SINGLE CLUSTER) . 543 10.5.2 VORBEREITENDES GCP-SETUP UND ROLLOUT DES GATEWAYS . 545 10.5.3 DEMO-ANWENDUNG . 547 10.5.4 ZUGRIFF AUF DIE BACKENDS . 549 10.5.5 ZUGRIFF UEBER EXTERNES GATEWAY . 550 10.5.6 LOESCHUNG . 551 10.6 API-GATEWAY: BEISPIEL-SETUP MIT KONG (ALLE PLATTFORMEN) . 551 10.6.1 SETUP-VORBETRACHTUNGEN . 551 10.6.2 KONG-SETUP PER HELM . 553 10.6.3 SETUP EINER EINFACHEN TEST-APPLIKATION MIT HTTPROUTE . 555 10.6.4 HTTPROUTE MIT MULTIPLEN BACKENDS UND WEIGHTS . 558 10.6.5 EXTERNALDNS UND GATEWAY-OBJEKTE . 559 10.6.6 PLUGINS (PRO ROUTE) HINZUFUEGEN . 560 10.6.7 KONG AUF OPENSHIFT . 561 11 KUBERNETES-CLUSTER: DAY 2 OPERATIONS - METRICS, MONITORING, LOGGING, APM/OBSERVABILITY, AUTOSCALER 563 11.1 KUBERNETES-STANDARD-METRIKEN: METRICS SERVER UND KUBE-METRICS . 563 11.1.1 METRICS . 563 INHALT 11.1.2 METRIKEN IM API-SERVER PER KUBECTL GET DIREKT ABFRAGEN . 565 11.2 LOG-ERFASSUNG UND MEHR UNTER KUBERNETES: ELASTIC . 566 11.2.1 ELASTICSEARCH VS. OPENSEARCH . 567 11.2.2 DER ELASTIC STACK UND ELASTICSEARCH . 567 11.2.3 BEREITSTELLUNGSVERFAHREN . 568 11.2.4 ELASTIC AGENT . 568 11.2.5 FLEET (SERVER) . 569 11.2.6 KIBANA . 570 11.2.7 ELASTIC ENTERPRISE SEARCH . 570 11.2.8 SETUP DES ELASTIC OPERATORS . 570 11.2.9 SETUP DES ELASTIC-CLUSTERS UND ZUGEHOERIGER KOMPONENTEN . 572 11.2.10 ROLLOUT DES ELASTIC-CLUSTERS . 578 11.2.11 NODE-AFFINITY UND ZONE-AWARENESS DER ELASTIC-INSTANZEN . 579 11.2.12 UPGRADES DES ES-STACKS PER OPERATOR, BUILT-IN PDBS . 581 11.2.13 HA-UEBERLEGUNGEN ZUM ES-UPGRADE . 581 11.2.14 KIBANA, APM UND ANDERE MODULE . 582 11.3 LOG-ERFASSUNG UND MEHR UNTER KUBERNETES: LOKI - GRAFANA-LOGGING . 584 11.3.1 LOKI . 584 11.3.2 FUNKTIONSWEISE UND ARCHITEKTUR . 585 11.3.3 LOKI-SETUP UNTER VANILLA KUBERNETES . 586 11.3.4 LOKI UNTER RED HAT OPENSHIFT (OCP): PREFLIGHTS . 587 11.3.5 LOKI UNTER RED HAT OPENSHIFT (OCP): SETUP . 587 11.4 CLUSTER-MONITORING MIT PROMETHEUS . 589 11.4.1 AUFBAU UND FUNKTIONSWEISE . 590 11.4.2 MESSWERTE: GAUGE, COUNTER, HISTOGRAMM UND SUMMARY . 591 11.4.3 PROMETHEUS-KOMPONENTEN IM UEBERBLICK . 592 11.4.4 PROMETHEUS-OPERATOR UND KUBE-PROMETHEUS . 594 11.4.5 PROMETHEUS-INSTALLATION UND BETRIEB-VORBETRACHTUNGEN . 595 11.4.6 SETUP PER KUBE-PROMETHEUS . 596 11.4.7 POST-ROLLOUT . 600 11.4.8 EXTERNER ZUGRIFF AUF DIE ULS . 601 11.4.9 SETUP EINER EXAMPLE-APP . 601 11.4.10 PODLNFO MIT SERVICEMONITOR . 604 11.4.11 SERVICE-MONITORE FUER INFRASTRUKTURRELEVANTE STACKS EINRICHTEN: INGRESS . 604 11.4.12 DEBUGGING DES SERVICE-MONITORS . 607 11.4.13 ALERTMANAGER UND ALERT-RECEIVERS . 608 11.4.14 EIGENE ALERTING-RULES HINZUFUEGEN . 612 11.4.15 PROMETHEUS-HA, SCALING UND SHARDING . 613 11.5 FEDERATED PROMETHEUS MIT THANOS . 615 11.5.1 THANOS . 615 INHALT 11.5.2 DIE KOMPONENTEN . 616 11.5.3 SETUP-VORBETRACHTUNGEN: SIDECAR VS. RECEIVER . 617 11.5.4 VERGLEICH DER BEIDEN ANSAETZE UND EMPFEHLUNGEN . 618 11.5.5 THANOS-SETUP (SIDECAR) . 619 11.5.6 PROMETHEUS-OPERATOR: SIDECARS UND STORAGE . 620 11.5.7 ABSCHLIESSENDE BETRACHTUNGEN . 624 11.6 TRACING MIT JAEGER . 625 11.6.1 DIE MANKOS UNTER DER HAUBE . 625 11.6.2 SETUP-VARIANTEN . 626 11.7 FULL-STACK-MONITORING: APM UND OBSERVABILITY . 627 11.7.1 MONITORING VS. ECHTE OBSERVABILITY . 628 11.7.2 DYNATRACE . 630 11.7.3 INSTANA . 636 11.7.4 NEW RELIC UND DATADOG . 638 11.7.5 HIGH-LEVEL-VERGLEICH ZWISCHEN INSTANA, DYNATRACE, DATADOG UND NEW RELIC . 639 11.8 HPA - HORIZONTALER POD-AUTOSCALER . 640 11.8.1 AUSLASTUNGSKONTROLLE . 641 11.8.2 THRESHOLDS, RESOURCE-REQUESTS UND METRIK-AUSWERTUNG . 642 11.8.3 AUTOSCALER-METRICS (CPU) IM DETAIL . 642 11.8.4 PARAMETER ZUR SELEKTIVEN STEUERUNG DES ANSPRECHVERHALTENS IM HPA-OBJEKT . 644 11.8.5 LASTGENERATOREN: AB, NGHTTP2, GATLING & CO . 644 11.8.6 HPA-SCALING UEBER CPU-LOAD MIT SCALE-UP/-DOWN-BEHAVIOR . 644 11.8.7 SCALING NACH EINZELNEN CONTAINERN PRO POD: CONTAINERRESOURCE . 647 11.8.8 HORIZONTALES AUTOSCALING UEBER CUSTOM-METRICS . 648 11.8.9 KUBERNETES-ADDON: CLUSTER PROPORTIONAL AUTOSCALING (SCALING INFRA-DEPLOYMENTS) . 648 11.9 CUSTOM-METRICS-AUTOSCALING MIT KEDA UND HPA . 650 11.9.1 VORBETRACHTUNGEN . 651 11.9.2 EVENT-DRIVEN SCALING . 653 11.9.3 KOMPONENTEN . 653 11.9.4 SCALEDOBJECTS . 654 11.9.5 SETUP . 656 11.9.6 KEDA-AUTOSCALING (QUEUE LENGTH) FUER RABBITMQ . 657 11.9.7 KEDA: HTTP-REQUESTS-TRIGGER UEBER DEN PROMETHEUS-SCALER . 661 11.9.8 PROMQL . 664 11.10 VERTICAL POD AUTOSCALER . 665 11.10.1 VORBETRACHTUNGEN . 665 11.10.2 VERTICAL POD AUTOSCALER IM DETAIL . 666 INHALT 11.10.3 LIMITIERUNGEN UND NACHTEILE . 667 11.10.4 DATENERFASSUNG, VPA-CHECKPOINTS VS. PROMETHEUS-BACKEND, POLLING-INTERVALLE . 667 11.10.5 VPA-KOMPONENTEN UND MODI . 668 11.10.6 MANUELLES SETUP . 669 11.10.7 SETUP: GKE (BUILT-IN) . 670 11.10.8 BEISPIEL-SETUP . 670 11.10.9 VPA-RECOMMENDATIONS UND LIMITRANGES . 674 H.LO.LOSINGLE-POD-DEPLOYMENTS . 675 11.10. UP ROMETHEUS ALS VPA-VERLAUFS-BACKEND . 675 11.10.12UNINSTALL . 676 11.10.13 VPA UNTER OPENSHIFT 4.12+ . 676 11.11 MULTIDIMENSIONALES POD-AUTOSCALING (GKE) . 678 11.12 CLUSTER-AUTOSCALING. 678 12 KUBERNETES-CLUSTER: DAY 2 OPERATIONS - MESHES, AUTHENTICATION, DEBUGGING, BACKUP/RECOVERY 681 12.1 SERVICE-MESHES . 681 12.1.1 UEBERBLICK . 682 12.1.2 SERVICE-MESH: KONZEPTE UND FUNKTIONSWEISE . 684 12.1.3 MESH-BENEFITS . 685 12.1.4 EVALUIERUNG . 686 12.1.5 SERVICE-MESHES VERSCHIEDENER ANBIETER IM HIGH-LEVEL-VERGLEICH . 688 12.1.6 FEATURE UND PERFORMANCE VERGLEICHEN . 690 12.1.7 MESHES-EIN FAZIT . 691 12.2 KUBERNETES: AUTHENTIFIZIERUNG UND AUTORISIERUNG (KEYCLOAK-BASIERT) . 692 12.2.1 AUTHENTIFIZIERUNG UND BENUTZER IN VANILLA KUBERNETES? NICHT WIRKLICH . 692 12.2.2 KEYCLOAK . 693 12.2.3 KEYCLOAK, OIDC, OAUTH2 (PROXY) UND KUBERNETES . 695 12.2.4 AUTHENTIFIZIERUNGS UND AUTORISIERUNGS-WORKFLOW MIT UND OHNE OAUTH PROXY . 697 12.2.5 KEYCLOAK-SETUP . 698 12.2.6 EXTERNE DATENBANK IM POSTGRES-CLUSTER . 700 12.2.7 KEYCLOAK-UL-LOGIN UND ADMINISTRATION . 701 12.2.8 KEYCLOAK ALS SINGLE-SIGN-ON-LOESUNG FUER OPENSHIFT EINRICHTEN . 703 12.2.9 EXTERNE IDP ANBINDEN . 707 12.2.10 APPLIKATION MIT RHSSO/KEYCLOAK AUTHENTIFIZIEREN . 707 INHALT 12.3 DEBUGGING UND TROUBLESHOOTING . 709 12.3.1 LINK-AUFSTELLUNG . 709 12.3.2 KUBECTL CLUSTER-INFODUMP . 710 12.4 BACKUP UND DISASTER-RECOVERY . 710 12.4.1 HIGH-LEVEL-BETRACHTUNGEN . 710 12.4.2 RESILIENZ DURCH MULTI-CLUSTER BZW. MULTI-CLOUD-STRATEGIEN . 711 12.4.3 BACKUP/DRVS. GITOPS/LAC-RECOVERY . 711 12.4.4 BACKUP-SOFTWARE FUER KUBERNETES-BASIERTE SYSTEME . 713 12.4.5 BACKUP/DR PER KASTEN . 715 12.4.6 BACKUPS FUER GKE . 719 TEIL IV VOLLAUTOMATION UND RESILIENZ MIT EIGENEN OPERATOREN 13 DAY 3 OPERATIONS: IN-CLUSTER-VOLLAUTOMATION MIT OPERATOREN - ADVANCED CONCEPTS 723 13.1 OPERATOR-SDK, OLM UND WEITERE KONZEPTE . 723 13.1.1 RED HATS OPERATOR-FRAMEWORK . 723 13.1.2 VORBETRACHTUNGEN ZUM OPERATOR-SDK . 724 13.1.3 OPERATOR-BUILD-AUTOMATION DURCH PIPELINES . 725 13.1.4 OPERATOR-BUNDLE . 725 13.1.5 CUSTOMISIERBARE FUNCTIONAL-TESTS . 726 13.1.6 VORBETRACHTUNGEN UND PREFLIGHTS ZUM OPERATOR-BUILD . 726 13.2 ANSIBLE ODER GO? . 727 13.2.1 DIE QUAL DER WAHL? NICHT IN JEDEM FALL . 727 13.2.2 GO-BASIERTER OPERATOR: UEBERBLICK . 728 13.2.3 ANSIBLE-BASIERTER OPERATOR: UEBERBLICK . 729 13.2.4 OPERATOR-SDK-SETUP . 731 13.2.5 VORBEREITUNGEN: WEITERE TASKS FUER ALLE OPERATOR-TYPEN (GO, ANSIBLE) . 732 13.3 OPERATOR-BUILD-DEMO: LEVEL-5-OPERATOR IN GO . 733 13.3.1 PREFLIGHTS . 734 13.3.2 BUILD-FOUNDATION: SCAFFOLD-ERZEUGUNG . 735 13.3.3 BUILD-FOUNDATION: SCAFFOLD-ERWEITERUNG-API-UND CONTROLLER-TEMPLATES . 737 13.3.4 TYPES-UND CONTROLLER-BIBLIOTHEK . 739 13.3.5 MAKE (GENERATE, MANIFESTS) . 739 13.3.6 OPTIONAL: QUICKRUN/TESTLAUF PER MAKE INSTALL RUN . 740 13.3.7 L5-DEMO-OPERATOR-IMAGE ERZEUGEN UND HOCHLADEN . 741 13.3.8 BUILD & PUSH . 741 13.3.9 TEST-ROLLOUT DES OPERATORS PER MAKE DEPLOY . 742 INHALT 133.10 UNDEPLOY . 745 13.4 OPERATOR-BUNDLE FUER DEN L5-OPERATOR ERZEUGEN . 745 13.4.1 OPERATOR-BUNDLES . 746 13.4.2 HANDS-ON: BUNDLE . 747 13.43 RUN BUENDLE . 748 13.5 INDEX/CATALOG (FUER L5-OPERATOR UND ANDERE) ERZEUGEN . 749 13.5.1 VORBETRACHTUNGEN . 749 13.5.2 OPM (OPERATOR PACKAGE MANAGER) . 751 13.5.3 FILE-BASED CATALOG FUER OPERATOR-BUNDLES ERZEUGEN . 751 13.5.4 EXKURS: SQLITE . 753 13.5.5 CATALOGSOURCE ERZEUGEN . 753 13.5.6 SUBSCRIPTION . 754 13.6 HANDS-ON: MEMCACHED-OPERATOR MIT ANSIBLE . 756 13.6.1 HANDS-ON: OPERATOR-IMAGE . 756 13.6.2 HANDS-ON: BUNDLE . 757 13.6.3 HANDS-ON: INDEX-IMAGE UND CATALOGSOURCE UM WEITERE OPERATOR-PACKAGES ERGAENZEN . 759 13.7 DIVERSES . 760 13.7.1 OPERATOREN IN DISCONNECTED ODER AIR-GAPPED ENVIRONMENTS . 760 13.7.2 WEITERE INFORMATIONEN ZU OPERATOREN . 761 TEIL V HIGH-LEVEL-SETUP UND ORCHESTRIERUNGS-TOOLS FUER KUBERNETES-BASIERTE CONTAINER-INFRASTRUKTUREN 14 RED HAT OPENSHIFT 765 14.1 VORBETRACHTUNGEN UND HISTORISCHES . 765 14.1.1 OPENSHIFT . 765 14.2 LIZENZIERUNG UND LIFECYCLE . 767 14.2.1 DAS KOSTENLOSE VANILLA KUBERNETES UND BILLIGE CLOUD-LOESUNGEN . 767 14.2.2 SELF-MANAGED OPENSHIFT: SLAS NACH KNOTEN-TYPEN UND OPENSHIFT-AUSSTATTUNG . 768 14.2.3 SELF-HOSTED/SELF-MANAGED OPENSHIFT - LEIDER OHNE FLEXIBLE LIZENZIERUNG . 769 14.2.4 MANAGED-OPENSHIFT-(CLOUD-)ANGEBOTE UND ON-DEMAND-ABRECHNUNG UEBERPROVIDER . 769 14.2.5 OPENSHIFT-LIFECYCLES, CRI-O UND KUBERNETES-RELEASES IM UNTERBAU . 770 INHALT 143 OPENSHIFT, DAS ENTERPRISE-KUBERNETES IN READY TO USE . 773 14.3.1 UNTERSCHIEDE UND ERGAENZUNGEN ZU KUBERNETES (AUSZUEGE) . 773 15 OPENSHIFT-SETUP 775 15.1 GENERELLE VORBETRACHTUNGEN UND VORBEREITUNGEN . 775 15.1.1 GENERELLER TOOL-HINWEIS ZU ALLEN FOLGENDEN SETUPS (AWS, VSPHERE, GCP & CO.) . 775 15.1.2 OPENSHIFT AUF BARE METAL ODER VMS INSTALLIEREN: ASSISTED BARE METAL INSTALLER . 776 15.1.3 BENOETIGTE INTERNET-ZUGRIFFE . 776 15.1.4 OPENSHIFT-VERSION (IPI) UND OC . 777 15.1.5 DER OPENSHIFT-INSTALLER: TERRAFORM INCLUDED . 777 15.1.6 UEBERBLICK: BOOTSTRAPPING UND INSTALLATIONSPROZESSE IM CLUSTER . 779 15.1.7 EXKURS: KONZEPT - RHCOS UND IGNITION . 779 15.1.8 RHEL ODER COREOS (RHCOS) . 781 15.1.9 SETUP-VARIANTEN: INTERAKTIV ODER PER INSTALL-CONFIG.YAML . 782 15.1.10 PRAEFERIERTE VARIANTE: CUSTOMISIERTES SETUP UEBER INSTALL-CONFIG.YAML . 782 15.1.11 ANPASSUNGSMOEGLICHKEITEN DER INSTALL-CONFIG.YAML . 783 15.1.12 CLUSTER-CAPABILITIES . 785 15.1.13 BEISPIELKONFIGURATION: OPENSHIFT 4.12 AUF AWS . 785 15.1.14 TEST-CLUSTER OHNE COMPUTE-/WORKER-NODES . 787 15.1.15 MASTER-NODES MANUELL ALS SCHEDULABLE KENNZEICHNEN . 787 15.1.16 FALLSTRICKE BEI DER INSTALLATION . 787 15.1.17 MACHINESETS UND CLUSTER-(AUTO-)SCALER . 788 15.1.18 (FEHLGESCHLAGENE) INSTALLATION KOMPLETT LOESCHEN . 788 15.1.19 LOESCHUNG EINES PER IPI AUSGEROLLTEN OPENSHIFT-CLUSTERS OHNE TERRAFORM-FILES . 789 15.1.20 BACKUP DER CREDENTIALS, DIE BEIM ROLLOUT ERZEUGT WERDEN . 789 15.2 SETUP VON OPENSHIFT 4.12 (IPI) AUF AWS . 789 15.2.1 DNS-SETUP . 790 15.2.2 AWS-USER UND BERECHTIGUNGEN, IAM ACCESS ANALYZER . 790 15.2.3 ACCOUNT-LIMITS UND -REQUESTS, VPCS UND IP-RANGE . 791 15.2.4 INSTANZ-TYPEN, LEISTUNGS UND KOSTENFAKTOREN, ACCELERATED COMPUTING . 792 15.2.5 CREDENTIALS, PULL-SECRETS, INSTALL-CONFIG.YAML, MULTI-CLUSTER-SETUP . 793 15.2.6 ROLLOUT . 793 153 SETUP VON OPENSHIFT 4.12 (IPI) AUF GCP . 795 15. 3.1 KONTINGENTE GEGEBENENFALLS ERHOEHEN . 795 15. 3.2 DOMAIN, DNS UND APIS . 795 INHALT 15.33 SERVICE-ACCOUNT ZUR OPENSHIFT-CLUSTER-ERZEUGUNG . 796 153.4 ANPASSUNGEN IN DER INSTALL-CONFIG.YAML . 797 15.4 SETUP VON OPENSHIFT 4.13 (IPI) AUF VSPHERE . 798 15.4.1 PREFLIGHTS FUER DAS FOLGENDE SETUP . 798 15.4.2 DNS UND DHCP . 799 15.43 VSPHERE-HA UND OPENSHIFT-INSTALL-FEHLER . 800 15.4.4 ZONES UND FAILUREDOMAINS UNTER VMWARE (AB 4.13 GA) . 800 15.4.5 INSTALL-CONFIG.YAML FUER VSPHERE-LPI-1 NSTAILATION (ZONE-AWARE) . 801 15.4.6 ROLLOUT . 804 15.4.7 AENDERUNGEN DER VSPHERE-CREDENTIALS UND KONFIGURATION NACH DEM ROLLOUT . 806 15.4.8 ZUSAETZLICHER VSPHERE-DATASTORE UEBER ZUSAETZLICHE SC . 807 15.5 POST-INSTALL TASKS UND DAY 2 OPERATIONS FUER OPENSHIFT . 808 15.5.1 BUILT-IN REGISTRY UND REGISTRY-OPERATOR . 808 15.5.2 ZERTIFIKATSROTATION EINMALIG NACH 25 STUNDEN UND PERIODISCH NACH 30 TAGEN . 809 15.5.3 MACHINESET SCALING / RHCOS TEMPLATE FIRSTBOOT ERROR "IGNITION: NO CONFIG PROVIDED BY USER" . 809 15.5.4 NODE-/HOSTNAME VON WORKERN WIRD NICHT GESETZT (FALLBACK AUF LOCALHOST) . 810 15.5.5 ZUGRIFF AUF DIE RHCOS-NODES . 810 15.5.6 SSH-KEYS DER RHCOS-NODES NACH DER INSTALLATION AENDERN ODER NEU HINZUFUEGEN . 811 15.5.7 KUBECONFIG NICHT MEHR VERFUEGBAR . 811 15.6 DISCONNECTED/AIR-GAPPED-INSTALLATION UND DER BETRIEB . 813 15.6.1 REGISTRIES . 813 15.6.2 SPIEGELUNG . 815 16 OPENSHIFT-ADMINISTRATION 819 16.1 CLI-TOOLS . 819 16.1.1 LOGIN ALS KUBEADMIN ODER SYSTEM:ADMIN . 819 16.1.2 OC-DIE OPENSHIFT-CLI . 820 16.1.3 AKTIVIERUNG DER BASH-COMPLETION FUER DIE OC--TOOLS . 821 16.1.4 DIE WICHTIGSTEN OC-KOMMANDOS IM UEBERBLICK . 821 16.2 ADMINISTRATION PER GUI . 823 16.2.1 ADMINISTRATOR-VIEW . 823 16.2.2 DEVELOPER-VIEW . 824 INHALT 16.3 OPENSHIFTS CLUSTER-OPERATOREN . 824 163.1 FUNKTION . 825 163.2 VERFUEGBARE COS . 825 1633 KONFIGURATION DER CORE-STACKS, DIE VON CLUSTER-OPERATOREN BETREUT WERDEN . 826 16.4 OPENSHIFT-NETWORKING IM UEBERBLICK . 826 16.4.1 OPENSHIFT SDN - NETWORK-PLUGINS . 826 16.4.2 NETWORK-MANAGEMENT PER OPERATOR UND NAMESPACE-ISOLATION . 828 16.5 AUTHENTIFIZIERUNG UND AUTORISIERUNG UNTER OPENSHIFT . 830 16.5.1 AUTHENTIFIZIERUNG UNTER OPENSHIFT . 830 16.5.2 DER INTEGRIERTE OAUTH-SERVER . 830 16.5.3 EXTERNE IDENTITY-PROVIDER (LDAP/AD) . 831 16.5.4 AUTOMATISCH LDAP-GRUPPEN AUS EINEM VERZEICHNISDIENST SYNCEN . 833 16.6 AUTHENTIFIZIERUNG UND AUTORISIERUNG: SECURITY CONTEXT CONSTRAINTS . 834 16.6.1 FUNKTIONSWEISE . 835 16.6.2 STRATEGIEN UND AUSWIRKUNGEN . 836 16.6.3 AUFSCHLUESSELUNG DER SCC ZUGRIFFSREGELWERKE (AUSZUEGE) . 837 16.6.4 SCC EINSETZEN . 838 16.6.5 DAS LABEL OPENSHIFT.IO/RUN-LEVEL IM NAMESPACE UND SCC-DEAKTIVIERUNG/-BYPASSING . 840 16.7 IMAGESTREAMS . 841 16.7.1 VORBETRACHTUNGEN . 841 16.7.2 IMAGESTREAMS IM DETAIL . 842 16.7.3 DER RE-DEPLOYMENT-TRIGGER . 844 16.8 OPENSHIFT-ROUTER . 845 16.8.1 FUNKTIONSWEISE . 846 16.8.2 INGRESS-CONTROLLER: ROUTEN, INGRESS UND HOST-PORTS . 847 16.9 OPENSHIFT-ROUTER: INGRESS-OPERATOR UND INGRESS-CONTROLLER. 847 16.9.1 KONFIGURATION DES ROUTERS/INGRESS-CONTROLLERS PER INGRESS-OPERATOR . 848 16.9.2 ROUTEN-TYPEN . 850 16.9.3 ROUTEN: ALTERNATE BACKENDS UND WEIGHTINGS . 851 16.9.4 ROUTEN: INGRESS-ZERTIFIKATE UND ZERTIFIKATS-WORKFLOW DES INGRESS CONTROLLERS UND -OPERATORS . 853 16.9.5 EIGENE ZERTIFIKATE FUER OPENSHIFT-ROUTER . 856 16.9.6 ROUTEN-SPEZIFISCHE ANNOTATIONS: LB-MODES, STICKINESS UND MEHR . 857 16.9.7 STICKY SESSIONS UND LB-MODES . 858 16.9.8 MANAGED ROUTES AUTOMATISCH UEBER INGRESS-OBJEKTE ERZEUGEN . 859 16.9.9 ROUTER-SHARDING . 861 INHALT 16.10 EGRESS-LIMITIERUNG UND PRIORISIERUNG. 864 16.10.1 NAMESPACE-SPEZIFISCHE EGRESS-IPS . 864 16.10.2 EGRESS-FIREWALL . 867 16.103 EGRESS-FIREWALL-POLICY KONFIGURIEREN . 868 16.10.4 EGRESS-TRAFFIC-PRIORISIERUNG MIT QOS-DSCP UND EGRESSQOS . 869 16.11 DNS-CUSTOMIZING . 870 16.11.1 UMSETZUNG . 870 16.11.2 MANAGEMENT-STATE . 870 16.12 MACHINECONFIGS, MACHINES, MACHINESETS UND SCALING . 871 16.12.1 MACHINECONFIGS . 872 16.12.2 MACHINECONFIG-OPERATOR . 873 16.12.3 KOMPONENTEN DES MCO . 873 16.12.4 MACHINECONFIGPOOL . 874 16.12.5 MACHINES, MACHINESETS: MANUELLE SKALIERUNG . 875 16.12.6 MACHINECONFIGS NACH DEM DEPLOYMENT ANPASSEN . 877 16.12.7 DEFEKTE MACHINECONFIGS ENTFERNEN UND DEBUGGEN . 879 16.13 CLUSTER-AUTOSCALER UND MACHINE-AUTOSCALER . 879 16.13.1 HIGH-IEVEL BETRACHTUNG . 880 16.13.2 MACHINE-AUTOSCALER . 880 16.13.3 CLUSTER-AUTOSCALER . 881 16.13.4 THRESHOLDS . 882 16.13.5 ZU BEACHTENDE PUNKTE . 883 16.14 CUSTOMISIERTE MACHINESETS FUER SPEZIELLE INSTANZTYPEN - (Z. B. GPU ODER STORAGE-NODES) ERZEUGEN . 884 16.14.1 MACHINECONFIGPOOL FUER GPU-NODES ERSTELLEN . 885 16.14.2 ERZEUGUNG EINES GPU-MACHINESETS . 886 16.14.3 GPU-MACHINESETS UNTER VSPHERE MIT ANGEPASSTEM RHCOS-VM-TEMPLATE . 887 16.14.4 ANGEPASSTE AWS/GCP-MACHINESETS MIT MULTIPLEN DISKS (Z. B. FUER STORAGE-CLUSTER MIT ROOK-CEPH) . 889 16.15 INFRASTRUCTURE-NODES IN OPENSHIFT . 890 16.15.1 DIE WICHTIGE ROLLE DER INFRA-NODES . 890 16.15.2 UMSETZUNG . 891 16.15.3 EINEN CUSTOM-POOL FUER DIE INFRA-NODE-TEMPLATES ERZEUGEN . 891 16.15.4 UMZUG . 893 16.16 HA FUER DAS OPENSHIFT-CONTROLPLANE MIT CONTROLPLANEMACHINESETS. 894 16.16.1 NEUE FOUNDATION UND ALTE MANKOS . 894 16.16.2 CPMS HANDS-ON . 896 16.16.3 FAZIT AUS DER PRAXIS . 896 INHALT 16.17 OPENSHIFT-UPGRADES: FOUNDATIONS . 897 16.17.1 CHANNELS UND UPDATE-KANAELE . 897 16.17.2 KOORDINIERTE CLUSTER-UPDATES UEBER OPENSHIFT-CLUSTER-MANAGEMENT UND RHACM . 898 16.17.3 GRAFISCHE AUFLOESUNG VON MOEGLICHEN UPDATE-PFADEN . 899 16.18 OPENSHIFT-UPGRADES: EUS UPGRADES . 899 16.18.1 OPENSHIFT 4.10 MIT KUBERNETES 1.23 AUF OPENSHIFT 4.12 MIT KUBERNETES 1.25 . 900 16.18.2 EUS-CHANNEL . 900 16.18.3 PREFLIGHTS UND DURCHFUEHRUNG DES UPGRADES . 900 16.19 INTERAKTIVE OPENSHIFT-WORKSHOPS. 903 TEIL VI DAY 3 OPERATIONS: CLUSTER-FEDERATION, SECURITY, CI/CD-GITOPS-SYSTEME, SDS UND MEHR 17 DAY 3 OPERATIONS: MULTI-CLUSTER-MANAGEMENT UND FEDERATED CLUSTER 907 17.1 HISTORISCHES . 907 17.1.1 SETUP UND ANDERE KOPFSCHMERZEN, FRIEDHOFSGLOCKEN UND FAZIT . 907 17.1.2 MULTI-CLUSTER = CLUSTER FEDERATION? . 908 17.2 MULTI-CLUSTER-MANAGEMENT MIT RED HAT ADVANCED CLUSTER MANAGEMENT . 909 17.2.1 HUB CLUSTER . 910 17.2.2 MANAGED CLUSTER . 910 17.2.3 CLUSTER-LIFECYCLE . 910 17.2.4 MULTICLUSTER-NETWORKING MIT SUBMARINER . 912 17.3 SETUP UND GRUNDLEGENDE CLUSTER-VERWALTUNG PER RHACM . 914 17.3.1 PREFLIGHTS . 914 17.3.2 DEN HUB CLUSTER (DIE MANAGEMENT-INSTANZ) PER RHACM-OPERATOR ERZEUGEN 914 17.3.3 SETUP DES MULTICLUSTERHUBS (MCH) . 916 17.3.4 GRAFISCHE OBERFLAECHE FUER DAS MULTICLUSTERHUB-MANAGEMENT . 918 17.3.5 CLUSTERSETS, CLUSTERPOOLS UND -CLAIMS . 918 17.3.6 CLUSTER ERZEUGEN . 919 17.3.7 IMPORT BESTEHENDER CLUSTER . 920 17.3.8 MULTI-CLUSTER-NETWORKING AKTIVIEREN, APPLICATIONSETS . 921 17.3.9 MULTICLUSTERHUB-HA, BACKUP UND DISASTER RECOVERY . 924 INHALT 17.3.10 KONZEPTIONELLE ARBEITSSCHRITTE ZUR EINRICHTUNG EINES BACKUPS (NICHT HUB-SPEZIFISCH) 925 17.4 SERVICES, INGRESS UND GATEWAYS IN MULTI-CLUSTER-UMGEBUNGEN . 927 17.4.1 GKE . 928 17.4.2 AKS UND EKS . 930 17.4.3 3RD-PARTY MULTI-CLUSTER-INGRESS: NETSCALER, F5 . 930 17.4.4 RED HAT SERVICE INTERCONNECT . 930 TEIL VII VIRTUALISIERUNG, SECURITY UND GITOPS 18 DAY 3 OPERATIONS: VMS IN KUBERNETES/ OPENSHIFT-CLUSTER EINBINDEN 935 18.1 KUBEVIRT-VMS ALS CONTAINER . 936 18.1.1 FUNKTIONSWEISE . 936 18.1.2 NESTED ODER NICHT? . 937 18.1.3 STATEFUL ODER STATELESS? . 938 18.1.4 NETZWERK . 938 18.1.5 PREFLIGHTSFUER DAS SETUP . 939 18.1.6 HYPERCONVERGED-CR AUSROLLEN . 940 18.1.7 . . . 942 18.1.8 CONNECT MIT EXTERNEN NETZEN . 945 18.1.9 IMPORT BESTEHENDER VMS . 946 19 DAY 3 OPERATIONS: CONTAINER-SECURITY - FULL-FEATURED SECURITY-STACKS 947 19.1 VORBETRACHTUNGEN ZU SECURITY-LOESUNGEN . 948 19.1.1 GRUNDSAETZLICHE ASPEKTE . 948 19.1.2 NEUVECTOR UND STACKROX . 949 19.2 NEUVECTOR . 950 19.2.1 UEBERBLICK UEBER DIE WICHTIGSTEN FEATURES . 950 19.2.2 ARCHITEKTUR . 951 19.2.3 CVE-SOURCES UND CVE-WHITELISTING . 951 19.2.4 SETUP . 952 INHALT 19.2.5 LOGIN UND VERWALTUNG . 952 19.2.6 FEDERATION-MANAGEMENT-/MULTI-CLUSTER . 955 19.3 RHACS - RED HAT ADVANCED CLUSTER SECURITY FUER OPENSHIFT . 956 19.3.1 SETUP . 956 19.3.2 CLUSTER HINZUFUEGEN . 957 19.3.3 MANAGEMENT . 958 20 DAY 3 OPERATIONS: CONTAINER-SECURITY - ADVANCED SECRET MANAGEMENT 961 20.1 ENCRYPTIONCONFIGURATION FUER SECRETS UND ANDERE OBJEKTE . 962 20.2 SECRET ENCRYPTION UNTER GKE UND EKS . 963 20.3 HASHICORP VAULT . 964 20.3.1 FUNKTIONSWEISEIMUEBERBLICK . 964 20.3.2 ALLES DURCHGAENGIG SCHOEN? SCHOEN . 965 20.3.3 AUTHENTIFZIERUNGS-UND AUTORISIERUNGS-WORKFLOW . 966 20.3.4 KERNKONZEPTE UND KOMPONENTEN (AUSZUEGE) . 967 20.3.5 SETUP-FRAGEN: VAULT EXTERN ALS VM ODER (KUBERNETES-)CLUSTER-INTERN? . 971 20.3.6 VAULT-REFERENZARCHITEKTUR, HA-ASPEKTE UND BEST PRACTICES . 971 20.4 SETUP DES VAULT CLUSTERS. 973 20.4.1 PREFLIGHTS . 973 20.4.2 SETUP . 974 20.4.3 MANUELLER VAULT-INIT UND UNSEAL . 976 20.4.4 DIEVAULT-UI . 978 20.4.5 DIE ANSAETZE . 979 20.4.6 EIN SIMPLES APP-SETUP . 980 20.4.7 VAULT AGENT SIDECAR INJECTOR . 982 20.4.8 VAULT SECRETS OPERATOR . 986 20.4.9 EXTERNAL SECRETS OPERATOR . 994 20.4.10 ARGO CD VAULT PLUGIN . 994 20.5 VAULT PKI SECRETS ENGINE . 995 20.5.1 HANDS-ON . 995 20.6 SEALED SECRETS (BITNAMI) . 998 20.6.1 SETUP . 999 20.6.2 DIE DOWNSIDES . 1002 INHALT TEIL VIII VOLLAUTOMATISIERTE CI/CD-GITOPS-PIPELINES 21 DAY 3 OPERATIONS: CL/CD-PIPELINES UND GITOPS 1005 21.1 GITOPS . 1005 21.1.1 MODELLE FUER GITOPS-PIPELINES . 1006 21.1.2 MULTIPLE STAGES UND APPLIKATIONEN . 1008 21.1.3 WEITERE TOOLS, UM GITOPS ZU IMPLEMENTIEREN . 1009 21.2 GITOPS MIT TEKTON . 1009 21.2.1 TEKTON . 1009 21.2.2 TEKTON UND GITLAB . 1010 21.2.3 TEKTON: AUFBAU UND FUNKTION . 1011 21.2.4 ABLOESUNG VON CLUSTERTASKS DURCH RESOLVER . 1013 21.2.5 TEKTON HUB UND TEKTON CATALOG REPOSITORY . 1013 21.2.6 WEBHOOKS . 1014 21.2.7 CL-PIPELINE-TRIGGER MIT TEKTON . 1014 21.2.8 TRIGGER: DIE CRD-KOMPONENTEN . 1015 21.2.9 CD-AUTOMATION . 1017 21.3 TEKTON-SETUP . 1017 21.3.1 PREFLIGHTS . 1017 21.3.2 AUFBAU UND STRUKTUR DER FOLGENDEN BEISPIELE . 1018 21.3.3 SETUP PER TEKTON-OPERATOR (GKE) . 1018 21.3.4 TROUBLESHOOTING BEI UPGRADES . 1021 21.4 BEISPIELE FUER TEKTON PIPELINE (PI-CALCULATOR, BUILD, PUSH & DEPLOY) . 1022 21.4.1 VORBETRACHTUNGEN . 1022 21.4.2 ACHTUNG: VERWENDETE REGISTRY UND DAVON ABHAENGIGE SECRET KONFIGURATION . 1024 21.4.3 START DES PIPELINERUNS . 1025 21.5 TEKTON PIPELINES UNTER OPENSHIFT (OPENSHIFT PIPELINES) . 1026 21.5.1 DIETEKTON-CLI . 1026 21.5.2 INSTALLATION DER TEKTON-PIPELINE VIA OPERATOR . 1027 21.5.3 BEISPIEL FUER DAS PIPELINE-SETUP: VOTE-API/-UI . 1027 21.5.4 START DER PIPELINERUNS . 1029 21.5.5 TEKTON-TRIGGER UND EVENTLISTENER . 1031 21.6 GITOPS MIT ARGO CD (CD-FOKUS) . 1033 21.6.1 VORBETRACHTUNGEN . 1033 21.6.2 SETUP UNTER VANILLA KUBERNETES UND GKE . 1034 21.6.3 GITOPS/ARGO CD UNTER OPENSHIFT . 1035 21.6.4 EINZELSCHRITTE DES SETUPS (OPERATOR-BASIERT) . 1035 INHALT 21.6.5 CRDS . 1036 21.6.6 GUI-LOGIN (NUR VANIILA KUBERNETES ) . 1037 21.6.7 LOGIN AUF DEM ARGO-CD-SERVER . 1038 21.6.8 REPOS UND APPS HINZUFUEGEN . 1038 21.6.9 AKUITY . 1041 21.7 ARGO ROLLOUTS . 1042 21.7.1 MOTIVATION . 1043 21.7.2 FUNKTIONSWEISE . 1044 21.7.3 INTEGRATION VON ROLLOUTS IN ARGO CD UND DAS ARGO-ROLLOUTS-DASHBOARD . 1045 21.7.4 DAS TECHNISCHE KONZEPT . 1045 21.7.5 SETUP . 1046 21.7.6 AUFBAU EINER ROLLOUT-CR (CANARY-UPGRADES) . 1048 21.7.7 SETUP UND MANAGEMENT EINES CANARY-ROLLOUTS . 1052 21.7.8 ANALYSIS . 1055 21.7.9 METRIK-ERFASSUNG DES ARGO-ROLLOUT-CONTROLLERS VIA PROMETHEUS UND SERVICEMONITOR . 1057 TEIL IX SOFTWARE-DEFINED STORAGE FUER VERTEILTE CONTAINER-INFRASTRUKTUREN 22 DAY 3 OPERATIONS: SOFTWARE-DEFINED STORAGE FUER CONTAINER-CLUSTER 1061 22.1 SDS-FUNKTIONSPRINZIPIEN . 1061 22.1.1 MULTI-PURPOSE-SDS FUER JEDEN ANWENDUNGSFALL: BLOCK, FILE, OBJECT . 1062 22.1.2 OBJECTSTOREFUERCONTAINER IM UEBERBLICK . 1063 22.1.3 OBJECTSTORAGE UND ANWENDUNGSFAELLE . 1063 22.2 CEPH . 1064 22.2.1 CEPH UND RADOS . 1065 22.2.2 LIBRADOS UND CRUSHMAPS . 1066 22.2.3 DIE CEPH-DAEMONS IM KURZUEBERBLICK: MON, OSD, MDS, MGR . 1OE66 22.3 CEPH: STORAGE-BEREITSTELLUNGSVERFAHREN FUER CONTAINER-CLUSTER. 1067 22.3.1 RBD . 1067 22.3.2 CEPHFS . 1067 22.3.3 OBJECTSTORE (RGW) . 1068 22.4 CONTAINERIZED SDS - CEPH PER ROOK . 1068 22.4.1 ARBEITSWEISE UND KONFIGURATION . 1069 INHALT 22.4.2 BEISPIELHAFTE ABLAEUFE FUER DIE BEREITSTELLUNG DER VERSCHIEDENEN STORAGE-VARIANTEN . 1071 22.4.3 ROOK, CEPH, NOOBAA - UND OPENSHIFT? . 1071 22.5 SETUP VON ROOK . 1072 22.5.1 SETUP-PREFLIGHTS: ADMISSION-CONTROLLER, RAW-DISKS VS. PVC . 1073 22.5.2 SETUP-PREFLIGHTS: COMMON RESSOURCES (CRDS, RBAC ETC.) . 1075 22.5.3 ROOK-OPERATOR: KONFIGURATION . 1076 22.5.4 SETUP-PREFLIGHTS: NODE-LABEL UND DISCOVERY . 1077 22.5.5 ROLLOUT DES OPERATORS . 1079 22.5.6 ACHTUNG - PREFLIGHTS GKE: ERHOEHUNG DER RESOURCEQUOTA FUER PODS DER PRIORITYCLASS SYSTEM--CRITICAL . 1080 22.5.7 ROLLOUT DES CEPH-CLUSTERS . 1080 22.6 ROOK-ADMINISTRATION . 1084 22.6.1 DASHBOARD . 1084 22.6.2 ROOK-TOOLBOX FUER CEPH-CLUSTER . 1086 22.6.3 DASHBOARD-SETTINGS UND ORCHESTRATOR . 1087 22.6.4 NEUE POOLS ANLEGEN . 1089 22.6.5 CEPHFS (MDS) EINRICHTEN . 1089 22.6.6 STORAGECLASSES FUER RBD UND CEPHFS EINRICHTEN . 1092 22.6.7 CEPH-OBJECTSTORE ALS STORAGE-BACKEND . 1093 22.6.8 CEPH-OBJECTSTORE: SETUP UND BETRIEB . 1095 22.6.9 OBJECTSTORE-CONSUMER ERZEUGEN . 1098 22.6.10 USER FUER DEN DIREKTEN ZUGRIFF AUF BUCKETS ANLEGEN . 1100 22.6.11 PROMETHEUS-MONITORING FUER ROOK . 1102 22.6.12 ZUGRIFF VON INNEN UND AUSSEN . 1103 22.6.13 NACHTRAEGLICHE ERWEITERUNG, ANPASSUNGEN UND UPGRADES . 1103 22.6.14 CRUSHMAPS UEBER NODE-LABEL KONFIGURIEREN . 1103 22.6.15 ROOK-CEPH-CLUSTER DEINSTALLIEREN . 1103 23 DAY 3 OPERATIONS: KOSTENKONTROLLE IN KUBERNETES/ OPENSHIFT-CLUSTERN (FINOPS) NO5 23.1 FINOPS . 1106 23.1.1 COST MANAGEMENT . 1106 23.1.2 KOSTENMANAGEMENT IN OPENSHIFT (BUILT-IN) . 1107 23.1.3 KUBECOST . 1108 INHALT 24 DAY 3 OPERATIONS: GPU-BESCHLEUNIGTE KI/ML CONTAINER-INFRASTRUKTUREN 1113 24.1 GPUS UND AUTOSKALIERBARE KI/ML-STACKS . 1113 24.1.1 DAS GROSSE GANZE . 1113 24.1.2 DIE UNERSCHOEPFLICHEN GPU-RESSOURCEN IN DER CLOUD-ODER EHER NICHT? . 1114 24.2 KONKRETE EINSATZSZENARIEN UND KOSTEN . 1115 24.2.1 VGPU . 1116 24.2.2 MIG - MULTI INSTANCE GPU . 1117 24.2.3 GPU-SHARING . 1118 24.3 NVIDIAS GPU-OPERATOR . 1118 24.3.1 DIE EINZELKOMPONENTEN DES GPU-OPERATORS IM UEBERBLICK . 1118 24.3.2 NFD-OPERATOR . 1120 24.4 GKE-CLUSTER MIT NVIDIA-ALOO-LNSTANZEN UND MIG-PARTITIONIERUNG . 1121 24.4.1 GCP-PREFLIGHTS: PASSENDE INSTANZEN/MACHINE-TYPES FUER GPUS, QUOTAS . 1121 24.4.2 SETUP DES GPU-NODE-POOLS . 1122 24.4.3 ROLLOUT DES GPU-OPERATORS . 1123 24.4.4 MANAGEMENT DER A100-GPU UND ANWENDUNG DER MIG-SCHEMATA . 1125 24.5 OPENSHIFT-CLUSTER MIT NVIDIA-ALOO-GPUS IN DER GCP . 1128 24.5.1 PREFLIGHTS FUER GCP UND OPENSHIFT . 1128 24.5.2 GPU-NODE SKALIEREN UND PARTITIONIEREN . 1129 24.6 AKS-UND EKS-CLUSTER MIT NVIDIA-GPUS. 1131 25 THE ROAD AHEAD 1133 INDEX . 1135
adam_txt	INHALT 1 CATCH-22 39 1.1 VORBEMERKUNGEN . 43 1.1.1 VERWENDETE FORMATIERUNGEN . 44 1.1.2 WEITERFUEHRENDE HINWEISE . 44 1.1.3 KLARTEXT . 44 1.2 KERNZIELE UND ROTE FAEDEN . 45 1.3 WAS DIESES BUCH SEIN SOLL UND WAS NICHT . 46 1.4 WIE DIESES BUCH ZU LESEN IST . 46 1.4.1 NEUE GLIEDERUNG UND DAY 0-1-2-3 OPERATIONS . 47 1.4.2 WENIGER DETAILSCHRITTE, LISTINGS UND OUTPUTS, MEHR AUTOMATION . 47 1.4.3 KAPITEL UND ZIELGRUPPEN IM GROBEN UEBERBLICK . 47 1.5 DOCKER-REPLACEMENT-TOOLS . 48 1.5.1 PODMAN . 48 1.5.2 BUILDAH . 48 1.5.3 SKOPEO . 49 TEIL I STRATEGISCHE VORBETRACHTUNGEN, FOUNDATIONS UND PREFLIGHTS 2 GRUNDSAETZLICHE STRATEGISCHE FRAGEN 53 2.1 WORUM GEHT ES? . 53 2.2 UEBERBLICK: CONTAINER UND INFRASTRUKTUR-KONZEPTE . 54 2.2.1 DIE LAYER . 55 2.2.2 PLATTFORMEN FUER CLUSTER-NODES MIT SCHLANKEM OS . 56 2.2.3 CONTAINER-ENGINES . 57 2.2.4 DIE GROSSE FRAGE - WELCHER ORCHESTRIEREN: VANILLA KUBERNETES? OPENSHIFT? RANCHER? TANZU? . 57 INHALT 2.3 GENERELLE INFRASTRUKTUR-FRAGEN: CLOUD VS. ON-PREM, MANAGED KUBERNETES, MANAGED SERVER, HYBRIDER MISCHBETRIEB . 58 23.1 KONZEPTIONELLER AUFBAU UND PLANUNGSSTRATEGIEN . 58 23.2 MANAGED KUBERNETES VS. SELF-DRIVEN . 59 233 IMPLEMENTIERUNGS UND KOSTENFAKTOREN IN DER CLOUD . 60 23.4 MULTI-CLOUD-IMPLEMENTIERUNGEN - VOR UND NACHTEILE . 61 23.5 EXKURS: MANAGED SERVER KLEINERER SPS ALS GUENSTIGERE CLOUD-ALTERNATIVE MIT HOEHERER FLEXIBILITAET? . 62 23.6 IMPLEMENTIERUNGS UND KOSTENFAKTOREN: SELF-HOSTED . 63 23.7 DATENSICHERHEIT . 64 23.8 STORAGE UND NETZWERK . 64 23.9 HYBRIDER ANSATZ: ON-PREMISES UND CLOUD (PAY-PER-USE) . 65 23.10 ALLES COOL? IN DER CLOUD OFT EHER NICHT: TEMPERATUR-, PERFORMANCE UND DAMIT KOSTENFRAGEN . 65 2.4 MAXIMALE VOLLAUTOMATION - LAC, OPERATOREN, GITOPS . 66 2.4.1 MAXIMALE AUTOMATION - IN ALLEN BEREICHEN . 66 2.4.2 KRITERIEN . 67 2.43 KONZEPTE: LAAS UND LAC . 68 2.4.4 TERRAFORM UND DAS KOMPLEXITAETSPROBLEM . 69 2.4.5 VOLLAUTOMATION (INFRASTRUKTUR), TEIL 1: LAAS UND LAC . 71 2.4.6 VOLLAUTOMATION (IN-CLUSTER), TEIL 2: OPERATOREN . 72 2.4.7 VOLLAUTOMATION (IN-CLUSTER), TEIL 3: GITOPS-PIPELINES . 72 2.5 REGISTRIES . 73 2.5.1 CONTAINER-IMAGE-REGISTRIES UND -REPOSITORIES . 73 2.5.2 AUSWAHLKRITERIEN . 74 2.5.3 KANDIDATEN . 75 2.6 GANZHEITLICHE SECURITY - HIGH-LEVEL VIEW . 76 2.6.1 INSEL-LOESUNGEN SIND KEINE LOESUNG . 76 2.6.2 OEFFENTLICHE REGISTRIES? NEIN . 77 2.6.3 TRUSTED IMAGES UND REGISTRIES . 78 2.6.4 RED HAT REGISTRY . 79 2.6.5 AUTOMATISCHES IMAGE SIGNING UND VERIFY . 82 2.6.6 RED HATS UNIVERSAL BASE IMAGE (UBI) . 82 2.6.7 SECCOMP-PROFILE UND KERNEL-CAPABILITIES . 84 2.6.8 BSI-RICHTLINIEN FUER CONTAINER-CLUSTER . 85 2.6.9 FAZIT . 86 INHALT TEIL II KUBERNETES-ARCHITEKTUR, CORE-CONCEPTS, WORKLOADS UND DAY 1 OPERATIONS 3 KUBERNETES 89 3.1 KUBERNETES IM UEBERBLICK . 89 3.1.1 AUFGABEN . 90 3.1.2 CONTAINER-ENGINES . 90 3.1.3 SKALIERBARKEIT . 91 3.2 VANILLA KUBERNETES UND DAS TRAURIGE THEMA LTS . 91 3.2.1 GELD VERBRENNEN? ODER BESSER DOCH NICHT? . 91 3.2.2 VANILLA KUBERNETES: RELEASES, CHANGES UND KEIN ENDE . 92 3.2.3 VANILLA KUBERNETES UND DERIVATE: LTS-MANKOS, BENOETIGTE 3RD-PARTY TOOLS, ASYNCHRONE PRODUKTZYKLEN UND MAERCHENSTUNDEN . 93 3.2.4 VANILLA KUBERNETES; FAZIT . 94 3.2.5 VMWARE, TANZU UND DAS ECKIGE, DAS DURCHS RUNDE SOLL . 95 3.2.6 AKS, EKS, GKE & CO . 96 3.2.7 OPENSHIFT . 97 3.2.8 RANCHER . 98 3.2.9 UEBERSICHT UEBER ENTERPRISE-RELEVANTE KERNFEATURES EINIGER KUBERNETES PLATTFORMEN . 99 3.2.10 FAZIT . 100 3.3 KUBERNETES-KOMPONENTEN. 100 3.3.1 HIGH-LEVEL-ARCHITEKTUR . 100 3.3.2 MASTER-BZW. CONTROLPLANE-NODES . 101 3.3.3 WORKER-NODES UND GPU-WORKER-NODES . 102 3.3.4 INFRASTRUKTUR-NODES . 102 3.4 DIENSTE AUF ALLEN NODE-TYPEN: KUBELET, CONTAINER-ENGINE, OVERLAY-NETZE, PROXIES . 103 3.4.1 HIGH-LEVEL: KUBELET UND CONTAINER-ENGINE, PROXIES, OVERLAY-NETZE . 103 3.4.2 KUBELET . 103 3.4.3 KUBELETS; HOUSEKEEPING UND NO-SWAP . 104 3.4.4 KUBE-PROXY UND ALTERNATIVEN . 105 3.5 DIENSTE AUF DEN KUBERNETES-MASTER-/CONTROLPLANE-NODES . 106 3.5.1 API-SERVER . 106 3.5.2 CONTROLLER-MANAGER . 107 3.5.3 NODE-CONTROLLER (KUBE-CONTROLLER-MANAGER) UND DIE VERFUEGBARKEIT DER WORKER-NODES . 108 3.5.4 SCHEDULER . 110 INHALT 3.5.5 CLOUD-CONTROLLER-MANAGER . 111 3.5.6 ETED . 112 3.6 ETED ALS KEY/VALUE-STORE IN KUBERNETES-BASIERTEN CLUSTERN . 112 3.6.1 FOUNDATIONS UND ARBEITSWEISE . 113 3.6.2 BACKUP-UND VERFUEGBARKEITSSTRATEGIEN . 113 3.6.3 HA-ASPEKTE . 114 3.6.4 IMPLEMENTIERUNGSDETAILS . 115 3.6.5 BEST PRACTICE - ANZAHL DER ETCD-LNSTANZEN UND FAULT-TOLERANCE . 117 3.6.6 RZ-TOPOLOGIEN . 118 3.7 NETWORKING IN KUBERNETES . 118 3.7.1 VORBETRACHTUNGEN . 118 3.7.2 ARBEITSWEISE . 119 3.7.3 KUBERNETES UND IPV6 BZW. IPV4/IPV6-DUAL-STACKS . 119 3.7.4 NETWORK-PLUGINS . 119 3.8 WINDOWS-NODES IN KUBERNETES-CLUSTERN? . 121 3.8.1 GENERELLE ASPEKTE . 122 3.8.2 LIMITATIONEN: OS-VERSION, WORKER ODER MASTER . 123 3.8.3 LIMITATIONEN: CONTAINER-ENGINE . 123 3.8.4 LIMITATIONEN: NETZWERK . 124 3.8.5 LIMITATIONEN: STORAGE PROBLEME . 125 3.8.6 FAZIT . 125 3.9 CONTAINER-ENGINES FUER KUBERNETES . 126 3.9.1 CRI - DAS CONTAINER RUNTIME INTERFACE . 126 3.9.2 CRI-0 VS. CRI-CONTAINERD VS. DOCKER . 127 3.9.3 RUNC . 127 3.9.4 CRI-0 . 127 3.9.5 CRI-CONTAINERD . 129 4 KUBERNETES-SETUP-VARIANTEN IM KOMPAKTEN UEBERBLICK 131 4.1 OPTIONEN UND GRAD DER VERWALTBARKEIT . 131 4.1.1 LOESUNGEN NACH GRAD DER EIGEN-VERWALTBARKEIT . 131 4.1.2 SETUP-TOOLS NACH PLATTFORM-DIVERSITAET . 132 4.2 SETUP-ANSAETZE (AUSZUEGE). 133 4.2.1 CLOUD-BASIERT . 133 4.2.2 OPENSHIFT . 134 INHALT 4.2.3 RANCHER . 134 4.2.4 MINIKUBE . 134 4.2.5 TERRAFORM NATIV . 135 4.2.6 KUBEADM . 135 4.2.7 KUBERMATIC . 135 4.2.8 KUBESPRAY . 136 43 ZEITSYNCHRONISATION. 137 4.4 INSTANCE SIZING . 137 4.4.1 MINDESTANFORDERUNGEN . 137 4.4.2 WENIGE GROSSE ODER VIELE KLEINE NODES? . 138 4.4.3 CLOUD-INSTANCE-CALCULATOR . 139 5 KUBERNETES-CLUSTER-SETUPS (CLOUD) 141 5.1 GKE . 142 5.1.1 GKE-GOOGLE KUBERNETES ENGINE . 142 5.1.2 REGIONEN, ZONEN UND VERFUEGBARKEITEN . 143 5.1.3 GKE-SETUP-VARIANTEN . 144 5.1.4 GKE SHIELDED NODES . 144 5.1.5 VERFUEGBARE MASCHINEN BZW. INSTANZ-TYPEN IN DER GCP . 145 5.1.6 MINDESTANGABEN FUER DAS SETUP . 145 5.1.7 GOOGLES NODE-OS-VARIANTEN . 146 5.1.8 AUSZUEGE SONSTIGER EINSTELLBARER FEATURES . 146 5.1.9 GCLOUD-CLI-BASIERTE CLUSTER-INSTALLATION . 147 5.1.10 GCLOUD INIT AUF DEM VERWALTUNGS-NODE . 148 5.1.11 INSTALLIERTE/VERFUEGBARE GCLOUD-KOMPONENTEN AUFLISTEN BZW. NACHINSTALLIEREN . 149 5.1.12 CONTAINER-API UND BILLING IM PROJEKT AKTIVIEREN . 149 5.1.13 GKE-CHANNELS (STABLE, REGULAR, RAPID) . 150 5.1.14 CLUSTER-INSTALLATION MIT ANPASSUNGEN . 152 5.1.15 GKE-CLUSTER UND NETWORKPOLICIES . 154 5.1.16 MANUELLES CIUSTER-SIZING/-SCAIING . 154 5.1.17 EINEN NODE-POOL ODER CLUSTER LOESCHEN . 155 5.1.18 AUTH-ENTRIES, KONTEXTE FETCHEN/SWITCHEN, PROJEKT SETZEN . 156 5.1.19 X509-ZERTIFIKATSFEHLER BEI DER AUSFUEHRUNG VON KUBECTL . 156 5.1.20 DIE GOOGLE-REGISTRY NUTZEN . 156 5.1.21 ZUGRIFF AUF GKE-WORKER-NODES . 157 5.2 EKS . 158 5.2.1 REGION, ZONEN UND VERFUEGBARKEITEN . 158 INHALT 5.2.2 INSTANZEN UND PREISE . 159 5.2.3 EKSCTL-CLI UND SETUP . 159 53 AKS . 160 5.3.1 REGION, ZONEN UND VERFUEGBARKEITEN . 161 5.3.2 INSTANZEN UND PREISE, SLAS. 161 5.3.3 AZURE-CLI UND SETUP . 162 5.4 VERGLEICHSTABELLE FUER . 164 6 KUBERNETES: DEPLOYMENT-TOOLS UND -KONZEPTE, API-FOUNDATIONS, MANIFEST UND CLI-HANDLING 165 6.1 UEBERBLICK: TOOLS ZUM DEPLOYMENT VON KUBERNETES-RESSOURCEN . 165 6.1.1 DIE QUAL DER WAHL? NICHT WIRKLICH . 165 6.1.2 KUBECTL . 166 6.1.3 HELM . 166 6.1.4 KUSTOMIZE . 166 6.1.5 OPERATOREN . 167 6.2 HELM UND KUSTOMIZE - THE BIG SHORT . 167 6.2.1 KUSTOMIZE . 169 6.2.2 HELM . 171 63 EDITOREN UND TOOLS: VI(M), VISUAL STUDIO CODE UND K9S . 172 6.3.1 VI(M) . 172 6.3.2 VISUAL STUDIO CODE . 173 6.3.3 K9S . 176 6.4 GRUNDLEGENDE VERFAHREN ZUM ERSTELLEN VON WORKLOADS . 176 6.4.1 MANIFESTE ERZEUGEN . 176 6.4.2 MEHRERE RESSOURCEN IN EINEM YAML-FILE . 177 6.4.3 YAML-MANIFEST-VERSIONIERUNG VIA GIT . 177 6.5 GRUNDLAGEN ZU KUBECTL . 178 6.5.1 KUBECTL-BASH-COMPLETION, KUBECTL-ALIAS UND KUBECTL-CACHING . 178 6.5.2 KUBECTL-CLIENT/SERVER-VERSIONEN . 179 6.5.3 DIE KONFIGURATION VON KUBECTL . 180 6.5.4 DIE KUBECONFIG WURDE GELOESCHT ODER IST NICHT MEHR VERFUEGBAR . 180 6.5.5 PLUGINS FUER KUBECTL . 181 6.5.6 SYNTAX-PRUEFUNGEN FUER KUBECTL UND YAML (EDITOREN UND PIPELINES) . 181 6.5.7 HIGH-LEVEL-VIEW: API-VERSIONS UND API-RESOURCES VERSTEHEN UND ABFRAGEN . 181 6.5.8 KUBECTL API-VERSIONS . 183 INHALT 6.5.9 KUBECTL API-RESOURCES . 185 6.5.10 MIGRATIONEN, NEVER-ENDING STORIES: APIVERSION UND KIND-CHANGES . 186 6.5.11 KUBECTL EXPLAIN . 187 6.5.12 KUBECTL-DEBUGGING IM VERBOSE MODE . 188 6.5.13 KUBECTL: KONTEXT/NAMESPACE-SWITCHING . 188 6.6 KUBECTL-OPERATIONS . 188 6.6.1 KUBECTL GET . 189 6.6.2 KUBECTL DESCRIBE . 189 6.6.3 MULTIPLE RESSOURCEN PER KUBECTL ANLEGEN, MODIFIZIEREN UND LOESCHEN . 190 6.6.4 KUBECTL CREATE . 190 6.6.5 KUBECTL ATTACH . 191 6.6.6 LAUFENDEN POD BZW. LAUFENDE RESSOURCE EDITIEREN: KUBECTL EDIT . 191 6.6.7 KUBECTL PATCH . 191 6.6.8 KUBECTL REPLACE . 193 6.6.9 IMPERATIV VS. DEKLARATIV: KUBECTL CREATE/DELETE/REPLACE VS. KUBECTL APPLY/PATCH . 193 6.6.10 KUBECTL SET . 194 6.6.11 KUBECTL WAIT . 194 6.6.12 KUBECTL (FORCE) DELETE (UND FINALIZERS) . 195 6.6.13 LOGS VON CONTAINERN EINES PODS ABFRAGEN . 196 6.6.14 KUBECTL EXEC - REMOTE KOMMANDOS IM POD/CONTAINER AUSFUEHREN . 197 6.6.15 SERVER SIDE APPLY UND KUBECTL APPLY . 197 6.6.16 WEITERE KUBECTL-SUBKOMMANDOS . 198 6.7 DEBUGGING VON KUBERNETES-RESSOURCEN . 198 6.7.1 POD-DEBUGGING MIT KUBECTL DEBUG . 198 6.7.2 NODE-DEBUGGING MIT KUBECTL DEBUG . 199 7 KUBERNETES-CLUSTER: DAY 1 OPERATIONS - CORE-WORKLOADS 201 7.1 NAMESPACES: FOUNDATIONS. 201 7.1.1 VORBETRACHTUNGEN . 202 7.1.2 FUNKTIONALITAETEN UND REGELN BZW. VORSCHRIFTEN FUER NAMESPACES . 203 7.1.3 STANDARD-NAMESPACES IN EINEM VANILLA-KUBERNETES-CLUSTER . 204 7.1.4 UNIQUENESS PRO NAMESPACE . 205 7.1.5 OBJEKTE MIT UND OHNE NAMESPACE-ZUORDNUNG . 205 7.1.6 NAMESPACES ERZEUGEN . 205 7.1.7 NAMESPACE LOESCHEN . 206 7.1.8 WENN DIE NAMESPACE-LOESCHUNG HAENGT . 206 INHALT 7.2 NAMESPACES: MULTI-TENANCY UND SECURITY-ASPEKTE . 207 7.2.1 NAMESPACES/NETWORKING - KUNDENSPEZIFISCHE UND SYSTEM-NAMESPACES . 207 7.2.2 GETEILTE CORE-KOMPONENTEN . 208 7.2.3 PROBLEMATIKEN MIT SCHEDULING, EVICTION, PREEMPTION . 208 7.2.4 NODE-FIXING ALS LOESUNG? . 209 7.2.5 NODE SECURITY . 209 7.2.6 LOGGING/MONITORING . 209 7.2.7 WECHSELWIRKUNGEN MIT CLUSTER-AUTOSCALERN . 209 7.2.8 SECURITY-LOESUNGEN . 210 7.2.9 HAFTUNG . 210 7.2.10 FAZIT . 210 7.3 PODS UND CONTAINER . 210 7.3.1 FOUNDATIONS . 210 7.3.2 UEBERBLICK: PODS, STARTUP-ORDERINGS, INIT-CONTAINER UND DIE NONSENSE ALTLASTEN VON DOCKER, INC. 213 7.3.3 EINFACHE POD-MANIFESTE . 213 7.3.4 IMAGEPULLPOLICIES FUER CONTAINER . 215 7.3.5 SERIELLE UND PARALLELE IMAGE-PULLS . 216 7.3.6 POD/CONTAINER-PHASEN . 217 7.3.7 POD-RESTARTPOLICIES UND STARTVERZOEGERUNG . 218 7.3.8 AUSZUEGE EINIGER BEISPIELE FUER MOEGLICHE ZUSTAENDE VON PODS . 218 7.4 POD-SIDECAR-PATTERNS UND DAS APPLIKATIONS-DESIGN . 220 7.4.1 KLASSISCHER SIDECAR . 221 7.4.2 AMBASSADOR . 221 7.4.3 ADAPTER . 221 7.4.4 INITIALIZER . 221 7.5 PODS UND INIT-CONTAINER . 222 7.5.1 FUNKTIONSWEISE . 222 7.5.2 READINESS . 223 7.5.3 ANWENDUNGSMOEGLICHKEITEN FUER INIT-CONTAINER . 223 7.5.4 PHASEN DES INIT-CONTAINERS, MEHRSTUFIGES INIT-BEISPIEL . 223 7.5.5 INIT-CONTAINER UND COMPUTE-RESSOURCES . 225 7.6 POD UND CONTAINER-SECURITY . 225 7.6.1 SECURITYCONTEXT FUER CONTAINER: KERNEL-CAPABILITIES UND MEHR . 226 7.6.2 POD SECURITY ADMISSION CONTROLS . 228 7.7 POD-/CONTAINER-ATTRIBUTE UEBER UMGEBUNGSVARIABLEN NUTZEN . 231 7.7.1 POD ODER CONTAINER-VARIABLEN? . 231 7.7.2 POD-ATTRIBUTE AUSLESEN UND VARIABLEN ZUORDNEN . 231 7.7.3 ERZEUGE ORDNER IM MOUNTPATH . 233 INHALT 7.8 UEBERBLICK: CONFIGMAPS, SERVICEACCOUNTS UND SECRETS. 233 7.9 CONFIGMAPS . 234 7.9.1 FUNKTIONSWEISE . 234 7.9.2 EIN EINFACHES BEISPIEL . 235 7.9.3 VERFAHREN ZUR NUTZUNG IN EINEM POD . 236 7.9.4 CONFIGMAP IN EINEM POD NUTZEN (ENV-VARIANTE) . 236 7.9.5 CONFIGMAPS ALS VOLUMES . 238 7.9.6 SEMI-AUTO-UPDATES BEI EINGEMOUNTETEN CONFIGMAPS . 240 7.9.7 EINGEMOUNTETE CONFIGMAPS ODER LIEBER PER ENV?. 240 7.9.8 VARIANTEN ZUR ERSTELLUNG . 241 7.9.9 EXKURS: YAML-MULTILINE-ATTRIBUTE (IN CONFIGMAPS) . 242 7.9.10 ERZEUGUNG VON CONFIGMAPS AUS FILES UND BINARY DATA IN CONFIGMAPS . 243 7.9.11 RE-DEPLOY EINER RESSOURCE BEI AENDERUNG DER CONFIGMAP . 243 7.9.12 CONFIGMAPS DES CONTROLPLANES . 244 7.9.13 IMMUTABLE CONFIGMAPS . 245 7.9.14 FAZIT ZU CONFIGMAPS . 245 7.10 SERVICEACCOUNTS . 245 7.10.1 KONZEPT UND FUNKTIONSWEISE . 245 7.10.2 HANDS-ON . 246 7.10.3 OPT-OUT CREDENTIAL AUTOMOUNT . 247 7.10.4 SERVICEACCOUNTS IM SYSTEM . 248 7.10.5 SERVICEACCOUNT DIREKT MIT IMAGEPULLSECRETS AUSSTATTEN . 249 7.11 SECRETS . 249 7.11.1 SECRETS IN PODS VERWENDEN . 251 7.11.2 DOCKER-KOMPATIBLE SECRETS FUER DEN REGISTRY-ZUGRIFF . 253 7.11.3 SECRETS MIT ZERTIFIKATEN: (SECRET-)AUTO-ROTATION/UPDATE? . 254 7.11.4 REALLY SECRET SECRETS? NICHT WIRKLICH . 254 7.11.5 SECRET-SYNCHRONISATION ZWISCHEN NAMESPACES . 255 7.12 JOBS . 255 7.12.1 FAILURE-VERHALTEN . 256 7.12.2 JOB-BEISPIEL . 257 7.12.3 CRONJOBS . 258 7.13 LABEL, SELEKTOREN UND ANNOTATIONS . 260 7.13.1 LABEL UND SELEKTOREN . 260 7.13.2 LABEL FUER CONSTRAINTS . 261 7.13.3 AUFBAU . 261 7.13.4 EIN PAAR EINFACHE, PRAKTISCHE BEISPIELE . 263 7.13.5 ANNOTATIONS . 264 INHALT 7.14 DEPLOYMENTS . 265 7.14.1 DEPLOYMENT-AUFBAU UND -FEATURES . 265 7.14.2 MATCHLABELS/MATCHEXPRESSIONS AB KUBERNETES 1.16 . 267 7.14.3 DEPLOYMENT IM UEBERBLICK . 267 7.14.4 ROLLING UPDATES . 269 7.14.5 REVISIONSHISTORIE? GUTER WITZ . 270 7.14.6 KUBECTL ROLLOUT . 271 7.14.7 GENERISCHE LOG-ABFRAGE VON PODS IN DEPLOYMENTS (UND DAEMONSETS ODER STATEFULSETS) . 271 7.14.8 UMGEBUNGSVARIABLEN IN DEPLOYMENTS NUTZEN (POD-NAME-BASIERTE LOG-ORDNER) . 272 7.15 DAEMONSETS . 275 7.15.1 SCHEDULING DER PODS EINES DAEMONSETS . 275 7.15.2 DER NODE KANN NICHT MEHR? KEIN PROBLEM, DAS DAEMONSET SCHON . 276 7.15.3 DAEMONSET-BEISPIEL . 277 7.16 STATEFULSETS . 279 7.16.1 DIE KOMPONENTEN DES STATEFULSETS IN DER PRAXIS . 281 7.16.2 VOLUMECLAIMTEMPLATES FUER STATEFULSETS . 282 7.16.3 PRAXISBEISPIELE . 282 7.17 ENTSCHEIDUNGSHILFE: WANN DEPLOYMENT, WANN DAEMONSET, WANN STATEFULSET? . 282 7.17.1 LEICHTGEWICHTIGE (STATELESS-)APPLIKATIONEN IRGENDWO IM CLUSTER: DEPLOYMENTS . 282 7.17.2 NODE-BEZOGENE APPLIKATIONSINSTANZEN (GEGEBENENFALLS MIT PERSISTENZEN): DAEMONSETS . 283 7.17.3 ORDERINGS, NAMENS UND DATEN-PERSISTENZEN: STATEFULSETS . 283 7.18 UPDATE-STRATEGIEN FUER PODS IM UEBERBLICK . 284 7.18.1 ROLLING UPDATE . 284 7.18.2 CANARY (SUKZESSIVER SCHWENK/TRAFFIC WEIGHTING) . 286 7.18.3 BLUE/GREEN (GANZ ODER GAR NICHT-SCHWENK) . 288 7.18.4 FORTGESCHRITTENE BETRACHTUNGEN . 289 7.19 KUBERNETES: AUTORISIERUNG/RBAC . 289 7.19.1 VORBETRACHTUNGEN UND SCOPE . 289 7.19.2 KUBERNETES UND ABAC/RBAC . 289 7.19.3 RBAC: KONZEPTE UND OBJEKTE . 290 7.19.4 BERECHTIGUNGEN (VERBS) . 291 7.19.5 RBAC-BEISPIEL. 291 7.19.6 BERECHTIGUNGEN VERWALTEN . 292 7.19.7 USER UND SYSTEMROLLEN . 293 INHALT 7.19.8 ADMISSION-CONTROLS UND ADMISSION-CONTROLLER . 295 7.19.9 VERFUEGBARE ADMISSION-CONTROLLER UND KONTROLLPHASEN . 295 7.20 KUBERNETES-VOLUMES UND DYNAMISCHE STORAGE-PROVISIONIERUNG . 296 7.20.1 GENERELLES: RWO VS. RWX . 297 7.20.2 RWOP-READWRITEONCEPOD . 299 7.20.3 PERSISTENTE UND NICHT PERSISTENTE VOLUMES . 299 7.20.4 PERSISTENTVOLUMES UND PERSISTENTVOLUMECLAIMS . 301 7.20.5 STORAGECLASSES . 302 7.20.6 STORAGECLASSES UND RECLAIMPOLICIES . 304 7.20.7 EINE BESTIMMTE STORAGECLASS ALS DEFAULT SETZEN/LOESCHEN . 305 7.20.8 MULTIPLE DEFAULT-STORAGECLASSES? . 305 7.20.9 PROVISIONER . 306 7.20.10 CSI: CONTAINER STORAGE INTERFACE FUER KUBERNETES . 308 7.20.11 PLUGIN-SPEZIFISCHE ACCESSMODES (AUSZUEGE) . 310 7.20.12 PV/PVC-LIMITS UND ECHTE QUOTAS . 312 7.20.13 FORCIERTE LOESCHUNG VON HAENGENDEN/STUCK PVCS . 313 7.20.14 GESCHICHTLICHES: STORAGE-PROTECTION . 313 7.20.15 HANDS-ON: NFS-PROVISIONER . 314 7.20.16 WIEDERVERWENDUNG VON RECYCLED/RETAINED PVS . 318 7.20.17 SDS-VOLUMES UND CEPH . 321 7.20.18 TOPOLOGY AWARE DYNAMIC PROVISIONINGFUER PVS UND VOLUMEBINDINGMODE . 321 7.20.19 MOUNT-PROPAGATION . 323 7.21 STORAGE FUER CLOUDBASIERTES KUBERNETES: GKE, EKS UND AKS . 323 7.21.1 GKE . 323 7.21.2 EKS . 326 7.21.3 AKS . 327 7.22 SERVICES . 327 7.22.1 HIGH-LEVEL-UEBERBLICK . 327 7.22.2 DIE SERVICE-RESSOURCE. 328 7.22.3 TECHNISCHE ARBEITSWEISE DER SERVICE-RESSOURCE . 329 7.22.4 SERVICE-ENDPOINTS . 331 7.22.5 ENDPOINT-SLICES . 332 7.22.6 SERVICE FUER EIN BLUE/GREEN-DEPLOYMENT . 333 7.22.7 SERVICE-TYPEN . 335 7.22.8 SERVICES OHNE SELEKTOREN . 337 7.22.9 SERVICETYPE CLUSTERIP OHNE INTERNE IP . 337 7.22.10 DER DEFAULT-KUBERNETES-SERVICE . 338 7.22.11 METALLB: VIRTUELLER LOADBALANCER FUER DEN SERVICETYPE LOADBALANCER IN ON-PREMISES-CLUSTERN . 339 7.22.12 KUBERNETES-SERVICES UND DNS: INTERNE NAMESAUFLOESUNG . 343 INHALT 7.22.13 POD-DNS-POLICIES . 344 7.22.14 NODELOCAL DNSCACHE . 346 7.22.15 KUBERNETES-SERVICES UND PROXY-MODES (IPTABLES, IPVS) . 346 7.22.16 RUNTIME-CHANGE DES IPVS-BALANCER-MODES . 349 7.22.17 SESSION-PERSISTENZEN FUER SERVICES . 350 7.22.18 LOADBALANCERCLASS FUER SERVICES ANGEBEN (STABLE AB 1.24) . 351 7.22.19 HEADLESS SERVICES: WEICHE MIGRATION VON LEGACY-SYSTEMEN . 352 7.22.20 EGRESS UND FIREWALL-BETRACHTUNGEN (HEADLESS VS. URL VIA CONFIGMAP VS. EGRESS-IP) 355 7.22.21 EXTERNALNAME-SERVICES . 356 7.22.22 SERVICES UND DER REST DER WELT . 357 7.23 INGRESS . 358 7.23.1 GRUNDLAGEN . 358 7.23.2 VERFUEGBARE INGRESS-CONTROLLER, VERGLEICHSTABELLE . 359 7.23.3 PROTOKOLLE UND INVOLVIERTE KOMPONENTEN . 360 7.23.4 INGRESS-RESSOURCE (EXEMPLARISCH) . 360 7.23.5 INGRESS-CONTROLLER VS. API-GATEWAYS VS. SERVICE-MESHES . 363 TEIL III SKALIERBARE CONTAINER-CLUSTER MIT KUBERNETES: DAY 2 OPERATIONS 8 DAY 2 OPERATIONS: IN-CLUSTER-VOLLAUTOMATION MIT OPERATOREN - FOUNDATIONS 367 8.1 VORBETRACHTUNGEN: ZWEI OPERATOR-SPEZIFISCHE HAUPTKAPITEL . 367 8.2 CUSTOMRESOURCEDEFINITIONS . 368 8.2.1 FUNKTIONALER UEBERBLICK . 369 8.2.2 CRDS ABFRAGEN . 370 8.2.3 CRDS, OPERATOREN UND CONTROLLER . 370 8.2.4 IMPERATIV ODER DEKLARATIV? . 371 8.2.5 CRDS UND STRUCTURAL SCHEMAS . 372 8.2.6 CRDS VS. API-SERVER-AGGREGATION . 373 8.2.7 EIGENE CRDS ERSTELLEN . 374 8.2.8 DESCRIPTIONS FUER KUBECTL EXPLAIN CRD . SPEC\|STATUS . SUBATTRIBUTE . . HINTERLEGEN . 376 8.2.9 EIGENER SAMPLE-CONTROLLER MIT CRD . 378 8.2.10 MULTIPLE CRD-VERSIONEN . 380 8.2.11 CRD-LIFECYCLE . 381 INHALT 8.2.12 VERWALTEN MEHRERER CRD-VERSIONEN . 381 8.2.13 HAENGENDE CRDS LOESCHEN (FINALIZER) . 381 8.3 OPERATOREN UNTER KUBERNETES . 382 8.3.1 FULL-LIFECYCLE-AUTOMATION . 383 8.3.2 WAS IST EIN OPERATOR? . 383 8.3.3 CONTROLLER-LOOPS . 386 8.3.4 OPERATORHUB.IO UND OPENSHIFT-OPERATOREN . 386 8.4 OPERATOR-TYPEN UND MATURITAETS-LEVEL: HELM VS. ANSIBLE VS. GO . 387 8.4.1 OPERATOR-MATURITAETS-LEVEL: 1 BIS 5 . 387 8.4.2 DETAILLIERTE OPERATOR-LEVEL-EINSTUFUNG . 388 8.4.3 HELM VS. GITOPS UND OPERATOREN . 390 8.5 OPERATOR-TYPEN IM FUNKTIONALEN VERGLEICH: ANSIBLE VS. GO . 391 8.5.1 UNTERSCHIEDE VON GO UND ANSIBLE-BASIERTEN OPERATOREN . 391 8.6 OPERATOR-PREFLIGHTS: OLM - WER UEBERWACHT DIE WAECHTER? . 392 8.6.1 OLM - OPERATOR LIFECYCLE MANAGER: CRDS . 393 8.6.2 OLM - OPERATOR LIFECYCLE MANAGER: OPERATOREN UND REGISTRY . 394 8.6.3 INSTALLATION DES OLM (OPERATOR LIFECYCLE MANAGER) - NUR VANILLA KUBERNETES! . 395 8.7 OPERATOR-MANAGEMENT . 396 8.7.1 OPERATOR-MANAGEMENT PER CLI . 396 8.7.2 OLM-UNINSTALL . 398 8.7.3 SPEZIFISCHE VERSION EINES OPERATORS INSTALLIEREN UND UEBER UPGRADES BEHALTEN . 398 8.7.4 OPERATOR-UPDATES PER GRAPH . 399 8.7.5 OPERATOR-UPDATES UNTER OPENSHIFT . 399 8.8 HANDS ON: POSTGRESQL-OPERATOR (LEVEL 5) . 401 8.8.1 POSTGRES . 401 8.8.2 DER POSTGRES-OPERATOR . 401 8.8.3 VERFUEGBAREVERSIONEN . 403 8.8.4 HOCHVERFUEGBARKEIT UND DATENREPLIKATION . 403 8.8.5 SETUP . 403 8.8.6 DER ZUSTAND NACH DEM ROLLOUT . 407 8.8.7 CRASH-SIMULATION . 408 8.8.8 SKALIERUNG . 408 8.8.9 UPGRADE . 408 8.8.10 AUTOSCALING . 410 8.8.11 WAR ES DAS ZU (L5-)OPERATOREN? . 410 INHALT 9 KUBERNETES-CLUSTER: DAY 2 OPERATIONS - POD-LIFECYCLE, DE-SCHEDULING, TENANCY UND LIMITS 411 9.1 POD-LIFECYCLE UND HEALTH-CHECKS . 411 9.1.1 DIE NOTWENDIGKEIT DER PROBES . 411 9.1.2 READY? LIVE? STARTUP? - WELCHE PROBE WOFUER? . 412 9.1.3 AUSWIRKUNGEN DER LIVENESS-PROBES: CONTAINER RECREATE . 413 9.1.4 LIVENESS UND STARTUP-PROBE-NONSENS . 413 9.1.5 AUSWIRKUNG DER READINESS-PROBES: REMOVE ENDPOINT FROM SERVICE LIST . 414 9.1.6 PROBE-VERFAHREN: EXEC, TCPSOCKET, HTTPGET, GRPC . 416 9.1.7 MONITORING-INTERVALLE, TIMEOUTS UND THRESHOLDS . 418 9.1.8 FAILURE UND SUCCESS-THRESHOLDS . 418 9.1.9 TIMEOUTS, INITIAL DELAYS UND DELAYS VON INIT-CONTAINERN MIT EINKALKULIEREN . 419 9.1.10 BEISPIELE FUER EINE GENERISCHE PROBE . 419 9.1.11 UPDATE-FEHLER UND MINREADYSECONDS (DEPLOYMENTS UND DAEMONSETS, AB VERSION 1.22 AUCH FUER STATEFULSETS) . 421 9.1.12 STARTUP-PROBE . 422 9.1.13 DESIGN-FLAWS . 424 9.1.14 POD READINESS GATE . 424 9.1.15 POD-LIFECYCLE-MANAGEMENT UND POSTSTART-/PRESTOP-HOOKS . 425 9.1.16 POD NETWORK READINESS UND POD SCHEDULING READINESS . 427 9.2 (DE-)SCHEDULING: UEBERBLICK . 429 9.2.1 SCHEDULER: DEFAULT-VERTEILUNGSSTRATEGIEN . 429 9.2.2 SCHEDULER-ALGORITHMEN: PREDICATES UND PRIORITIES . 430 9.2.3 SCHEDULING-POLICIES . 431 9.2.4 SCHEDULING-PROZESS: NODE-SELECTION IM SCHEDULER . 433 9.2.5 KUBESCHEDULERCONFIGURATION . 436 9.2.6 SCHEDULER-DEEP-DIVE . 437 9.2.7 NOMINATED NODES . 437 9.3 (DE-)SCHEDULING: CONSTRAINTS - NODE-SELEKTOREN, POD TOPOLOGY SPREAD CONSTRAINTS . 438 9.3.1 NODE-SELEKTOREN . 438 9.3.2 POD TOPOLOGY SPREAD CONSTRAINTS . 440 9.4 (DE-)SCHEDULING: (ANTI-)AFFINITY, TAINTS UND TOLERATIONS . 443 9.4.1 UEBERBLICK: TAINTS, TOLERATIONS UND NODE/POD(ANTI-)AFFINITY . 443 9.4.2 MEHRERE NAMESPACES FUER PODAFFINITY: NAMESPACESELECTOR . 445 9.4.3 WELCHEN EFFEKT HABEN TAINTS UND TOLERATIONS? . 446 9.4.4 TAINTS/TOLERATIONS-BEISPIEL . 447 INHALT 9.4.5 TAINTS ABFRAGEN, LOESCHEN . 448 9.4.6 TYPISCHE ANWENDUNGSFAELLE FUER AFFINITIES, TAINTS UND TOLERATIONS: GPU-NODES, NODE-PROBLEMS . 449 9.5 (DE-)SCHEDULING: QOS-CLASSES, COMPUTE RESOURCE REQUESTS UND LIMITS . 450 9.5.1 CPU-REQUESTS UND-LIMITS . 450 9.5.2 MEMORY-REQUESTS UND -LIMITS . 452 9.5.3 GPU-LIMITS . 453 9.5.4 QOS - QUALITY-OF-SERVICE-KLASSEN IM UEBERLICK . 454 9.5.5 QOS-KLASSEN IM DETAIL . 455 9.5.6 QOS-KLASSEN UND EVICTION . 458 9.5.7 QOS-KLASSEN UND SYSTEMD-SLICES . 458 9.5.8 EXKLUSIVES CPU-PINNING . 459 9.5.9 DEFAULT-REQUESTS UND -LIMITS . 460 9.5.10 QOS FUER MEMORY-RESSOURCEN (AB V1.22) . 460 9.5.11 IN-PLACE COMPUTE-RESOURCE CHANGE (RESIZEPOLICY) - IN DER THEORIE . 461 9.5.12 PID-LIMITS (SEIT VL.14) . 463 9.5.13 (REQUESTS UND) LIMITS FUER EPHEMERAL STORAGE . 463 9.5.14 POD-OVERHEAD (COMPUTE-RESSOURCEN) PER RUNTIMECLASS . 464 9.5.15 OOM-SCORES . 467 9.5.16 DRA-DYNAMIC RESOURCE ALLOCATION . 469 9.6 (DE-)SCHEDULING: POD-PRIORITIES . 469 9.6.1 POD-PRIORITAETEN UND PREEMPTION . 469 9.6.2 WIE VERHALTEN SICH QOS-KLASSEN UND PRIORITIES ZUEINANDER? . 473 9.7 (DE-)SCHEDULING: PODDISRUPTIONBUDGETS. 474 9.7.1 PDBS IM DETAIL . 475 9.7.2 PDB BEI NODE-DRAININGS . 475 9.7.3 PDBS BEI ROLLING UPGRADES . 476 9.7.4 TECHNISCHE ARBEITSWEISE DES PDB . 476 9.7.5 BEST PRACTICES . 477 9.7.6 PRAXISBEISPIEL MIT SEPARATEM NODE-POOL (GKE) . 478 9.7.7 PDBUNDVPA . 483 9.8 (DE-)SCHEDULING: NODE-KAPAZITAETEN . 483 9.8.1 ANALYSE DER NODE-KAPAZITAET . 483 9.8.2 KORRESPONDIERENDE KUBELET-DIREKTIVEN BZW. KUBELET-CONFIG-FILE . 484 9.9 DE-SCHEDULING UND HA-ABSTINENZ: DESCHEDULER UND RE-BALANCING . 485 9.9.1 DER TEUFEL IN DEN IMMER KOMPLEXEREN DETAILS . 485 9.9.2 URSACHEN, INVOLVIERTE KOMPONENTEN UND DIE AUSWIRKUNGEN . 486 9.9.3 SIMPLER NODE-CRASH MIT STATELESS ODER STATEFUL PODS (MIT PV) . 487 9.9.4 BETRACHTUNGEN IM DETAIL UND ERNUECHTERNDE HINTERGRUENDE . 487 9.9.5 DER DESCHEDULER ALS LOESUNG? . 488 INHALT 9.9.6 NON-GRACEFUL NODE-SHUTDOWN-RECOVERY . 489 9.10 NAMESPACES UND (COMPUTE-)RESOURCE-LIMITS . 490 9.10.1 LIMITRANGES VS. RESOURCEQUOTA . 490 9.10.2 LIMITRANGES FUER NAMESPACES IN DER PRAXIS . 491 9.10.3 NODE UND POD-SPEZIFISCHE COMPUTE-RESSOURCEN ANZEIGEN (PRO NAMESPACE) . 495 9.10.4 RESOURCEQUOTAS FUER NAMESPACES . 496 9.10.5 OBJECT COUNT QUOTA . 498 9.10.6 RESOURCEQUOTA-SCOPES UND PRIORITYCLASSES . 498 9.10.7 DAS TYPISCHE PRIORITYCLASS-PROBLEM UND EINE LOESUNG PER RESOURCEQUOTA . 500 9.10.8 LIMITRANGES UND RESOURCEQUOTAS - FAZIT UND THE BIG PICTURE . 501 9.11 NAMESPACES UND NETWORKPOLICIES . 501 9.11.1 VORBETRACHTUNGEN . 502 9.11.2 POD-ISOLATION . 502 9.11.3 ACHTUNG: NAMESPACESELECTOR, PODSELECTOR UND ARRARYS MIT - FROM ODER-TO . 504 9.11.4 IPBLOCKS UND NATTING . 505 9.11.5 PERFORMANCE-IMPACT . 506 9.11.6 ACHTUNG: GKE-CLUSTER UND NETWORKPOLICIES . 506 9.11.7 TEST MIT NETWORKPOLICY . 507 9.11.8 CALICO UND GLOBALNETWORKPOLICIES . 510 9.11.9 FAZIT . 511 10 KUBERNETES-CLUSTER: DAY 2 OPERATIONS - DNS, CERTIFICATES, API-GATEWAYS 513 10.1 EXTERNALDNS FUER EXTERNE HOSTNAMENAUFLOESUNG . 513 10.1.1 FUNKTIONSWEISE . 514 10.1.2 UNTERSTUETZTE DNS-SYSTEME . 515 10.1.3 GKE-PREFLIGHT: CLUSTER-SETUP MIT SCOPES . 516 10.1.4 GKE-PREFLIGHT: CLOUD-DNS . 517 10.1.5 SETUP DES EXTERNALDNS . 518 10.2 AUTOMATISIERTE ZERTIFIKATSERZEUGUNG (ALLE PLATTFORMEN): CERT-MANAGER . 519 10.2.1 CERT-MANAGER-RELEASES UND KUBERNETES-VERSIONEN . 520 10.2.2 CERT-MANAGER-CRDS . 521 10.2.3 DIE HTTP-01-UND DNS-01-CHALLENGES . 521 10.2.4 CERT-MANAGER-WORKFLOW UND CERTIFICATE LIFECYCLE . 523 10.2.5 SETUP-PREFLIGHTS FUER DEN CERT-MANAGER (GKE) . 523 INHALT 10.2.6 SETUP DES CERT-MANAGERS FUER GOOGLE CLOUD DNS . 524 10.2.7 BEISPIEL-SETUP: INGRESS MIT EXTERNALDNS UND PER CERT-MANAGER AUSGESTELLTEM ZERTIFIKAT . 525 10.2.8 WILDCARD CERTIFICATES . 529 10.2.9 CERT-MANAGER DEBUGGEN . 531 10.2.10 CERT-MANAGER UNTER OPENSHIFT . 531 10.2.11 EXKURS: AUTOMATISIERTE ZERTIFIKATSERZEUGUNG (GKE-SPEZIFISCH) - MANAGEDCERTIFICATES . 534 10.3 GATEWAY-API . 536 10.3.1 GATEWAY-API: NUR SECHS JAHRE ZU SPAET . 537 10.3.2 FUNKTIONALES . 538 10.3.3 GATEWAY-API-KONZEPTE . 539 10.3.4 ROUTING-BEISPIELE,-GUIDES UND WEITERE DETAILS . 540 10.3.5 GKE-IMPLEMENTIERUNG DER GATEWAY-API . 540 10.4 API-GATEWAY: FOUNDATIONS . 541 10.4.1 FUNKTIONALES . 541 10.4.2 API-GATEWAY-FEATURES . 542 10.5 API-GATEWAY: BEISPIEL-SETUP (GKE) . 543 10.5.1 GKE-BEISPIEL-SETUP (SINGLE CLUSTER) . 543 10.5.2 VORBEREITENDES GCP-SETUP UND ROLLOUT DES GATEWAYS . 545 10.5.3 DEMO-ANWENDUNG . 547 10.5.4 ZUGRIFF AUF DIE BACKENDS . 549 10.5.5 ZUGRIFF UEBER EXTERNES GATEWAY . 550 10.5.6 LOESCHUNG . 551 10.6 API-GATEWAY: BEISPIEL-SETUP MIT KONG (ALLE PLATTFORMEN) . 551 10.6.1 SETUP-VORBETRACHTUNGEN . 551 10.6.2 KONG-SETUP PER HELM . 553 10.6.3 SETUP EINER EINFACHEN TEST-APPLIKATION MIT HTTPROUTE . 555 10.6.4 HTTPROUTE MIT MULTIPLEN BACKENDS UND WEIGHTS . 558 10.6.5 EXTERNALDNS UND GATEWAY-OBJEKTE . 559 10.6.6 PLUGINS (PRO ROUTE) HINZUFUEGEN . 560 10.6.7 KONG AUF OPENSHIFT . 561 11 KUBERNETES-CLUSTER: DAY 2 OPERATIONS - METRICS, MONITORING, LOGGING, APM/OBSERVABILITY, AUTOSCALER 563 11.1 KUBERNETES-STANDARD-METRIKEN: METRICS SERVER UND KUBE-METRICS . 563 11.1.1 METRICS . 563 INHALT 11.1.2 METRIKEN IM API-SERVER PER KUBECTL GET DIREKT ABFRAGEN . 565 11.2 LOG-ERFASSUNG UND MEHR UNTER KUBERNETES: ELASTIC . 566 11.2.1 ELASTICSEARCH VS. OPENSEARCH . 567 11.2.2 DER ELASTIC STACK UND ELASTICSEARCH . 567 11.2.3 BEREITSTELLUNGSVERFAHREN . 568 11.2.4 ELASTIC AGENT . 568 11.2.5 FLEET (SERVER) . 569 11.2.6 KIBANA . 570 11.2.7 ELASTIC ENTERPRISE SEARCH . 570 11.2.8 SETUP DES ELASTIC OPERATORS . 570 11.2.9 SETUP DES ELASTIC-CLUSTERS UND ZUGEHOERIGER KOMPONENTEN . 572 11.2.10 ROLLOUT DES ELASTIC-CLUSTERS . 578 11.2.11 NODE-AFFINITY UND ZONE-AWARENESS DER ELASTIC-INSTANZEN . 579 11.2.12 UPGRADES DES ES-STACKS PER OPERATOR, BUILT-IN PDBS . 581 11.2.13 HA-UEBERLEGUNGEN ZUM ES-UPGRADE . 581 11.2.14 KIBANA, APM UND ANDERE MODULE . 582 11.3 LOG-ERFASSUNG UND MEHR UNTER KUBERNETES: LOKI - GRAFANA-LOGGING . 584 11.3.1 LOKI . 584 11.3.2 FUNKTIONSWEISE UND ARCHITEKTUR . 585 11.3.3 LOKI-SETUP UNTER VANILLA KUBERNETES . 586 11.3.4 LOKI UNTER RED HAT OPENSHIFT (OCP): PREFLIGHTS . 587 11.3.5 LOKI UNTER RED HAT OPENSHIFT (OCP): SETUP . 587 11.4 CLUSTER-MONITORING MIT PROMETHEUS . 589 11.4.1 AUFBAU UND FUNKTIONSWEISE . 590 11.4.2 MESSWERTE: GAUGE, COUNTER, HISTOGRAMM UND SUMMARY . 591 11.4.3 PROMETHEUS-KOMPONENTEN IM UEBERBLICK . 592 11.4.4 PROMETHEUS-OPERATOR UND KUBE-PROMETHEUS . 594 11.4.5 PROMETHEUS-INSTALLATION UND BETRIEB-VORBETRACHTUNGEN . 595 11.4.6 SETUP PER KUBE-PROMETHEUS . 596 11.4.7 POST-ROLLOUT . 600 11.4.8 EXTERNER ZUGRIFF AUF DIE ULS . 601 11.4.9 SETUP EINER EXAMPLE-APP . 601 11.4.10 PODLNFO MIT SERVICEMONITOR . 604 11.4.11 SERVICE-MONITORE FUER INFRASTRUKTURRELEVANTE STACKS EINRICHTEN: INGRESS . 604 11.4.12 DEBUGGING DES SERVICE-MONITORS . 607 11.4.13 ALERTMANAGER UND ALERT-RECEIVERS . 608 11.4.14 EIGENE ALERTING-RULES HINZUFUEGEN . 612 11.4.15 PROMETHEUS-HA, SCALING UND SHARDING . 613 11.5 FEDERATED PROMETHEUS MIT THANOS . 615 11.5.1 THANOS . 615 INHALT 11.5.2 DIE KOMPONENTEN . 616 11.5.3 SETUP-VORBETRACHTUNGEN: SIDECAR VS. RECEIVER . 617 11.5.4 VERGLEICH DER BEIDEN ANSAETZE UND EMPFEHLUNGEN . 618 11.5.5 THANOS-SETUP (SIDECAR) . 619 11.5.6 PROMETHEUS-OPERATOR: SIDECARS UND STORAGE . 620 11.5.7 ABSCHLIESSENDE BETRACHTUNGEN . 624 11.6 TRACING MIT JAEGER . 625 11.6.1 DIE MANKOS UNTER DER HAUBE . 625 11.6.2 SETUP-VARIANTEN . 626 11.7 FULL-STACK-MONITORING: APM UND OBSERVABILITY . 627 11.7.1 MONITORING VS. ECHTE OBSERVABILITY . 628 11.7.2 DYNATRACE . 630 11.7.3 INSTANA . 636 11.7.4 NEW RELIC UND DATADOG . 638 11.7.5 HIGH-LEVEL-VERGLEICH ZWISCHEN INSTANA, DYNATRACE, DATADOG UND NEW RELIC . 639 11.8 HPA - HORIZONTALER POD-AUTOSCALER . 640 11.8.1 AUSLASTUNGSKONTROLLE . 641 11.8.2 THRESHOLDS, RESOURCE-REQUESTS UND METRIK-AUSWERTUNG . 642 11.8.3 AUTOSCALER-METRICS (CPU) IM DETAIL . 642 11.8.4 PARAMETER ZUR SELEKTIVEN STEUERUNG DES ANSPRECHVERHALTENS IM HPA-OBJEKT . 644 11.8.5 LASTGENERATOREN: AB, NGHTTP2, GATLING & CO . 644 11.8.6 HPA-SCALING UEBER CPU-LOAD MIT SCALE-UP/-DOWN-BEHAVIOR . 644 11.8.7 SCALING NACH EINZELNEN CONTAINERN PRO POD: CONTAINERRESOURCE . 647 11.8.8 HORIZONTALES AUTOSCALING UEBER CUSTOM-METRICS . 648 11.8.9 KUBERNETES-ADDON: CLUSTER PROPORTIONAL AUTOSCALING (SCALING INFRA-DEPLOYMENTS) . 648 11.9 CUSTOM-METRICS-AUTOSCALING MIT KEDA UND HPA . 650 11.9.1 VORBETRACHTUNGEN . 651 11.9.2 EVENT-DRIVEN SCALING . 653 11.9.3 KOMPONENTEN . 653 11.9.4 SCALEDOBJECTS . 654 11.9.5 SETUP . 656 11.9.6 KEDA-AUTOSCALING (QUEUE LENGTH) FUER RABBITMQ . 657 11.9.7 KEDA: HTTP-REQUESTS-TRIGGER UEBER DEN PROMETHEUS-SCALER . 661 11.9.8 PROMQL . 664 11.10 VERTICAL POD AUTOSCALER . 665 11.10.1 VORBETRACHTUNGEN . 665 11.10.2 VERTICAL POD AUTOSCALER IM DETAIL . 666 INHALT 11.10.3 LIMITIERUNGEN UND NACHTEILE . 667 11.10.4 DATENERFASSUNG, VPA-CHECKPOINTS VS. PROMETHEUS-BACKEND, POLLING-INTERVALLE . 667 11.10.5 VPA-KOMPONENTEN UND MODI . 668 11.10.6 MANUELLES SETUP . 669 11.10.7 SETUP: GKE (BUILT-IN) . 670 11.10.8 BEISPIEL-SETUP . 670 11.10.9 VPA-RECOMMENDATIONS UND LIMITRANGES . 674 H.LO.LOSINGLE-POD-DEPLOYMENTS . 675 11.10. UP ROMETHEUS ALS VPA-VERLAUFS-BACKEND . 675 11.10.12UNINSTALL . 676 11.10.13 VPA UNTER OPENSHIFT 4.12+ . 676 11.11 MULTIDIMENSIONALES POD-AUTOSCALING (GKE) . 678 11.12 CLUSTER-AUTOSCALING. 678 12 KUBERNETES-CLUSTER: DAY 2 OPERATIONS - MESHES, AUTHENTICATION, DEBUGGING, BACKUP/RECOVERY 681 12.1 SERVICE-MESHES . 681 12.1.1 UEBERBLICK . 682 12.1.2 SERVICE-MESH: KONZEPTE UND FUNKTIONSWEISE . 684 12.1.3 MESH-BENEFITS . 685 12.1.4 EVALUIERUNG . 686 12.1.5 SERVICE-MESHES VERSCHIEDENER ANBIETER IM HIGH-LEVEL-VERGLEICH . 688 12.1.6 FEATURE UND PERFORMANCE VERGLEICHEN . 690 12.1.7 MESHES-EIN FAZIT . 691 12.2 KUBERNETES: AUTHENTIFIZIERUNG UND AUTORISIERUNG (KEYCLOAK-BASIERT) . 692 12.2.1 AUTHENTIFIZIERUNG UND BENUTZER IN VANILLA KUBERNETES? NICHT WIRKLICH . 692 12.2.2 KEYCLOAK . 693 12.2.3 KEYCLOAK, OIDC, OAUTH2 (PROXY) UND KUBERNETES . 695 12.2.4 AUTHENTIFIZIERUNGS UND AUTORISIERUNGS-WORKFLOW MIT UND OHNE OAUTH PROXY . 697 12.2.5 KEYCLOAK-SETUP . 698 12.2.6 EXTERNE DATENBANK IM POSTGRES-CLUSTER . 700 12.2.7 KEYCLOAK-UL-LOGIN UND ADMINISTRATION . 701 12.2.8 KEYCLOAK ALS SINGLE-SIGN-ON-LOESUNG FUER OPENSHIFT EINRICHTEN . 703 12.2.9 EXTERNE IDP ANBINDEN . 707 12.2.10 APPLIKATION MIT RHSSO/KEYCLOAK AUTHENTIFIZIEREN . 707 INHALT 12.3 DEBUGGING UND TROUBLESHOOTING . 709 12.3.1 LINK-AUFSTELLUNG . 709 12.3.2 KUBECTL CLUSTER-INFODUMP . 710 12.4 BACKUP UND DISASTER-RECOVERY . 710 12.4.1 HIGH-LEVEL-BETRACHTUNGEN . 710 12.4.2 RESILIENZ DURCH MULTI-CLUSTER BZW. MULTI-CLOUD-STRATEGIEN . 711 12.4.3 BACKUP/DRVS. GITOPS/LAC-RECOVERY . 711 12.4.4 BACKUP-SOFTWARE FUER KUBERNETES-BASIERTE SYSTEME . 713 12.4.5 BACKUP/DR PER KASTEN . 715 12.4.6 BACKUPS FUER GKE . 719 TEIL IV VOLLAUTOMATION UND RESILIENZ MIT EIGENEN OPERATOREN 13 DAY 3 OPERATIONS: IN-CLUSTER-VOLLAUTOMATION MIT OPERATOREN - ADVANCED CONCEPTS 723 13.1 OPERATOR-SDK, OLM UND WEITERE KONZEPTE . 723 13.1.1 RED HATS OPERATOR-FRAMEWORK . 723 13.1.2 VORBETRACHTUNGEN ZUM OPERATOR-SDK . 724 13.1.3 OPERATOR-BUILD-AUTOMATION DURCH PIPELINES . 725 13.1.4 OPERATOR-BUNDLE . 725 13.1.5 CUSTOMISIERBARE FUNCTIONAL-TESTS . 726 13.1.6 VORBETRACHTUNGEN UND PREFLIGHTS ZUM OPERATOR-BUILD . 726 13.2 ANSIBLE ODER GO? . 727 13.2.1 DIE QUAL DER WAHL? NICHT IN JEDEM FALL . 727 13.2.2 GO-BASIERTER OPERATOR: UEBERBLICK . 728 13.2.3 ANSIBLE-BASIERTER OPERATOR: UEBERBLICK . 729 13.2.4 OPERATOR-SDK-SETUP . 731 13.2.5 VORBEREITUNGEN: WEITERE TASKS FUER ALLE OPERATOR-TYPEN (GO, ANSIBLE) . 732 13.3 OPERATOR-BUILD-DEMO: LEVEL-5-OPERATOR IN GO . 733 13.3.1 PREFLIGHTS . 734 13.3.2 BUILD-FOUNDATION: SCAFFOLD-ERZEUGUNG . 735 13.3.3 BUILD-FOUNDATION: SCAFFOLD-ERWEITERUNG-API-UND CONTROLLER-TEMPLATES . 737 13.3.4 TYPES-UND CONTROLLER-BIBLIOTHEK . 739 13.3.5 MAKE (GENERATE, MANIFESTS) . 739 13.3.6 OPTIONAL: QUICKRUN/TESTLAUF PER MAKE INSTALL RUN . 740 13.3.7 L5-DEMO-OPERATOR-IMAGE ERZEUGEN UND HOCHLADEN . 741 13.3.8 BUILD & PUSH . 741 13.3.9 TEST-ROLLOUT DES OPERATORS PER MAKE DEPLOY . 742 INHALT 133.10 UNDEPLOY . 745 13.4 OPERATOR-BUNDLE FUER DEN L5-OPERATOR ERZEUGEN . 745 13.4.1 OPERATOR-BUNDLES . 746 13.4.2 HANDS-ON: BUNDLE . 747 13.43 RUN BUENDLE . 748 13.5 INDEX/CATALOG (FUER L5-OPERATOR UND ANDERE) ERZEUGEN . 749 13.5.1 VORBETRACHTUNGEN . 749 13.5.2 OPM (OPERATOR PACKAGE MANAGER) . 751 13.5.3 FILE-BASED CATALOG FUER OPERATOR-BUNDLES ERZEUGEN . 751 13.5.4 EXKURS: SQLITE . 753 13.5.5 CATALOGSOURCE ERZEUGEN . 753 13.5.6 SUBSCRIPTION . 754 13.6 HANDS-ON: MEMCACHED-OPERATOR MIT ANSIBLE . 756 13.6.1 HANDS-ON: OPERATOR-IMAGE . 756 13.6.2 HANDS-ON: BUNDLE . 757 13.6.3 HANDS-ON: INDEX-IMAGE UND CATALOGSOURCE UM WEITERE OPERATOR-PACKAGES ERGAENZEN . 759 13.7 DIVERSES . 760 13.7.1 OPERATOREN IN DISCONNECTED ODER AIR-GAPPED ENVIRONMENTS . 760 13.7.2 WEITERE INFORMATIONEN ZU OPERATOREN . 761 TEIL V HIGH-LEVEL-SETUP UND ORCHESTRIERUNGS-TOOLS FUER KUBERNETES-BASIERTE CONTAINER-INFRASTRUKTUREN 14 RED HAT OPENSHIFT 765 14.1 VORBETRACHTUNGEN UND HISTORISCHES . 765 14.1.1 OPENSHIFT . 765 14.2 LIZENZIERUNG UND LIFECYCLE . 767 14.2.1 DAS KOSTENLOSE VANILLA KUBERNETES UND BILLIGE CLOUD-LOESUNGEN . 767 14.2.2 SELF-MANAGED OPENSHIFT: SLAS NACH KNOTEN-TYPEN UND OPENSHIFT-AUSSTATTUNG . 768 14.2.3 SELF-HOSTED/SELF-MANAGED OPENSHIFT - LEIDER OHNE FLEXIBLE LIZENZIERUNG . 769 14.2.4 MANAGED-OPENSHIFT-(CLOUD-)ANGEBOTE UND ON-DEMAND-ABRECHNUNG UEBERPROVIDER . 769 14.2.5 OPENSHIFT-LIFECYCLES, CRI-O UND KUBERNETES-RELEASES IM UNTERBAU . 770 INHALT 143 OPENSHIFT, DAS ENTERPRISE-KUBERNETES IN READY TO USE . 773 14.3.1 UNTERSCHIEDE UND ERGAENZUNGEN ZU KUBERNETES (AUSZUEGE) . 773 15 OPENSHIFT-SETUP 775 15.1 GENERELLE VORBETRACHTUNGEN UND VORBEREITUNGEN . 775 15.1.1 GENERELLER TOOL-HINWEIS ZU ALLEN FOLGENDEN SETUPS (AWS, VSPHERE, GCP & CO.) . 775 15.1.2 OPENSHIFT AUF BARE METAL ODER VMS INSTALLIEREN: ASSISTED BARE METAL INSTALLER . 776 15.1.3 BENOETIGTE INTERNET-ZUGRIFFE . 776 15.1.4 OPENSHIFT-VERSION (IPI) UND OC . 777 15.1.5 DER OPENSHIFT-INSTALLER: TERRAFORM INCLUDED . 777 15.1.6 UEBERBLICK: BOOTSTRAPPING UND INSTALLATIONSPROZESSE IM CLUSTER . 779 15.1.7 EXKURS: KONZEPT - RHCOS UND IGNITION . 779 15.1.8 RHEL ODER COREOS (RHCOS) . 781 15.1.9 SETUP-VARIANTEN: INTERAKTIV ODER PER INSTALL-CONFIG.YAML . 782 15.1.10 PRAEFERIERTE VARIANTE: CUSTOMISIERTES SETUP UEBER INSTALL-CONFIG.YAML . 782 15.1.11 ANPASSUNGSMOEGLICHKEITEN DER INSTALL-CONFIG.YAML . 783 15.1.12 CLUSTER-CAPABILITIES . 785 15.1.13 BEISPIELKONFIGURATION: OPENSHIFT 4.12 AUF AWS . 785 15.1.14 TEST-CLUSTER OHNE COMPUTE-/WORKER-NODES . 787 15.1.15 MASTER-NODES MANUELL ALS SCHEDULABLE KENNZEICHNEN . 787 15.1.16 FALLSTRICKE BEI DER INSTALLATION . 787 15.1.17 MACHINESETS UND CLUSTER-(AUTO-)SCALER . 788 15.1.18 (FEHLGESCHLAGENE) INSTALLATION KOMPLETT LOESCHEN . 788 15.1.19 LOESCHUNG EINES PER IPI AUSGEROLLTEN OPENSHIFT-CLUSTERS OHNE TERRAFORM-FILES . 789 15.1.20 BACKUP DER CREDENTIALS, DIE BEIM ROLLOUT ERZEUGT WERDEN . 789 15.2 SETUP VON OPENSHIFT 4.12 (IPI) AUF AWS . 789 15.2.1 DNS-SETUP . 790 15.2.2 AWS-USER UND BERECHTIGUNGEN, IAM ACCESS ANALYZER . 790 15.2.3 ACCOUNT-LIMITS UND -REQUESTS, VPCS UND IP-RANGE . 791 15.2.4 INSTANZ-TYPEN, LEISTUNGS UND KOSTENFAKTOREN, ACCELERATED COMPUTING . 792 15.2.5 CREDENTIALS, PULL-SECRETS, INSTALL-CONFIG.YAML, MULTI-CLUSTER-SETUP . 793 15.2.6 ROLLOUT . 793 153 SETUP VON OPENSHIFT 4.12 (IPI) AUF GCP . 795 15. 3.1 KONTINGENTE GEGEBENENFALLS ERHOEHEN . 795 15. 3.2 DOMAIN, DNS UND APIS . 795 INHALT 15.33 SERVICE-ACCOUNT ZUR OPENSHIFT-CLUSTER-ERZEUGUNG . 796 153.4 ANPASSUNGEN IN DER INSTALL-CONFIG.YAML . 797 15.4 SETUP VON OPENSHIFT 4.13 (IPI) AUF VSPHERE . 798 15.4.1 PREFLIGHTS FUER DAS FOLGENDE SETUP . 798 15.4.2 DNS UND DHCP . 799 15.43 VSPHERE-HA UND OPENSHIFT-INSTALL-FEHLER . 800 15.4.4 ZONES UND FAILUREDOMAINS UNTER VMWARE (AB 4.13 GA) . 800 15.4.5 INSTALL-CONFIG.YAML FUER VSPHERE-LPI-1 NSTAILATION (ZONE-AWARE) . 801 15.4.6 ROLLOUT . 804 15.4.7 AENDERUNGEN DER VSPHERE-CREDENTIALS UND KONFIGURATION NACH DEM ROLLOUT . 806 15.4.8 ZUSAETZLICHER VSPHERE-DATASTORE UEBER ZUSAETZLICHE SC . 807 15.5 POST-INSTALL TASKS UND DAY 2 OPERATIONS FUER OPENSHIFT . 808 15.5.1 BUILT-IN REGISTRY UND REGISTRY-OPERATOR . 808 15.5.2 ZERTIFIKATSROTATION EINMALIG NACH 25 STUNDEN UND PERIODISCH NACH 30 TAGEN . 809 15.5.3 MACHINESET SCALING / RHCOS TEMPLATE FIRSTBOOT ERROR "IGNITION: NO CONFIG PROVIDED BY USER" . 809 15.5.4 NODE-/HOSTNAME VON WORKERN WIRD NICHT GESETZT (FALLBACK AUF LOCALHOST) . 810 15.5.5 ZUGRIFF AUF DIE RHCOS-NODES . 810 15.5.6 SSH-KEYS DER RHCOS-NODES NACH DER INSTALLATION AENDERN ODER NEU HINZUFUEGEN . 811 15.5.7 KUBECONFIG NICHT MEHR VERFUEGBAR . 811 15.6 DISCONNECTED/AIR-GAPPED-INSTALLATION UND DER BETRIEB . 813 15.6.1 REGISTRIES . 813 15.6.2 SPIEGELUNG . 815 16 OPENSHIFT-ADMINISTRATION 819 16.1 CLI-TOOLS . 819 16.1.1 LOGIN ALS KUBEADMIN ODER SYSTEM:ADMIN . 819 16.1.2 OC-DIE OPENSHIFT-CLI . 820 16.1.3 AKTIVIERUNG DER BASH-COMPLETION FUER DIE OC--TOOLS . 821 16.1.4 DIE WICHTIGSTEN OC-KOMMANDOS IM UEBERBLICK . 821 16.2 ADMINISTRATION PER GUI . 823 16.2.1 ADMINISTRATOR-VIEW . 823 16.2.2 DEVELOPER-VIEW . 824 INHALT 16.3 OPENSHIFTS CLUSTER-OPERATOREN . 824 163.1 FUNKTION . 825 163.2 VERFUEGBARE COS . 825 1633 KONFIGURATION DER CORE-STACKS, DIE VON CLUSTER-OPERATOREN BETREUT WERDEN . 826 16.4 OPENSHIFT-NETWORKING IM UEBERBLICK . 826 16.4.1 OPENSHIFT SDN - NETWORK-PLUGINS . 826 16.4.2 NETWORK-MANAGEMENT PER OPERATOR UND NAMESPACE-ISOLATION . 828 16.5 AUTHENTIFIZIERUNG UND AUTORISIERUNG UNTER OPENSHIFT . 830 16.5.1 AUTHENTIFIZIERUNG UNTER OPENSHIFT . 830 16.5.2 DER INTEGRIERTE OAUTH-SERVER . 830 16.5.3 EXTERNE IDENTITY-PROVIDER (LDAP/AD) . 831 16.5.4 AUTOMATISCH LDAP-GRUPPEN AUS EINEM VERZEICHNISDIENST SYNCEN . 833 16.6 AUTHENTIFIZIERUNG UND AUTORISIERUNG: SECURITY CONTEXT CONSTRAINTS . 834 16.6.1 FUNKTIONSWEISE . 835 16.6.2 STRATEGIEN UND AUSWIRKUNGEN . 836 16.6.3 AUFSCHLUESSELUNG DER SCC ZUGRIFFSREGELWERKE (AUSZUEGE) . 837 16.6.4 SCC EINSETZEN . 838 16.6.5 DAS LABEL OPENSHIFT.IO/RUN-LEVEL IM NAMESPACE UND SCC-DEAKTIVIERUNG/-BYPASSING . 840 16.7 IMAGESTREAMS . 841 16.7.1 VORBETRACHTUNGEN . 841 16.7.2 IMAGESTREAMS IM DETAIL . 842 16.7.3 DER RE-DEPLOYMENT-TRIGGER . 844 16.8 OPENSHIFT-ROUTER . 845 16.8.1 FUNKTIONSWEISE . 846 16.8.2 INGRESS-CONTROLLER: ROUTEN, INGRESS UND HOST-PORTS . 847 16.9 OPENSHIFT-ROUTER: INGRESS-OPERATOR UND INGRESS-CONTROLLER. 847 16.9.1 KONFIGURATION DES ROUTERS/INGRESS-CONTROLLERS PER INGRESS-OPERATOR . 848 16.9.2 ROUTEN-TYPEN . 850 16.9.3 ROUTEN: ALTERNATE BACKENDS UND WEIGHTINGS . 851 16.9.4 ROUTEN: INGRESS-ZERTIFIKATE UND ZERTIFIKATS-WORKFLOW DES INGRESS CONTROLLERS UND -OPERATORS . 853 16.9.5 EIGENE ZERTIFIKATE FUER OPENSHIFT-ROUTER . 856 16.9.6 ROUTEN-SPEZIFISCHE ANNOTATIONS: LB-MODES, STICKINESS UND MEHR . 857 16.9.7 STICKY SESSIONS UND LB-MODES . 858 16.9.8 MANAGED ROUTES AUTOMATISCH UEBER INGRESS-OBJEKTE ERZEUGEN . 859 16.9.9 ROUTER-SHARDING . 861 INHALT 16.10 EGRESS-LIMITIERUNG UND PRIORISIERUNG. 864 16.10.1 NAMESPACE-SPEZIFISCHE EGRESS-IPS . 864 16.10.2 EGRESS-FIREWALL . 867 16.103 EGRESS-FIREWALL-POLICY KONFIGURIEREN . 868 16.10.4 EGRESS-TRAFFIC-PRIORISIERUNG MIT QOS-DSCP UND EGRESSQOS . 869 16.11 DNS-CUSTOMIZING . 870 16.11.1 UMSETZUNG . 870 16.11.2 MANAGEMENT-STATE . 870 16.12 MACHINECONFIGS, MACHINES, MACHINESETS UND SCALING . 871 16.12.1 MACHINECONFIGS . 872 16.12.2 MACHINECONFIG-OPERATOR . 873 16.12.3 KOMPONENTEN DES MCO . 873 16.12.4 MACHINECONFIGPOOL . 874 16.12.5 MACHINES, MACHINESETS: MANUELLE SKALIERUNG . 875 16.12.6 MACHINECONFIGS NACH DEM DEPLOYMENT ANPASSEN . 877 16.12.7 DEFEKTE MACHINECONFIGS ENTFERNEN UND DEBUGGEN . 879 16.13 CLUSTER-AUTOSCALER UND MACHINE-AUTOSCALER . 879 16.13.1 HIGH-IEVEL BETRACHTUNG . 880 16.13.2 MACHINE-AUTOSCALER . 880 16.13.3 CLUSTER-AUTOSCALER . 881 16.13.4 THRESHOLDS . 882 16.13.5 ZU BEACHTENDE PUNKTE . 883 16.14 CUSTOMISIERTE MACHINESETS FUER SPEZIELLE INSTANZTYPEN - (Z. B. GPU ODER STORAGE-NODES) ERZEUGEN . 884 16.14.1 MACHINECONFIGPOOL FUER GPU-NODES ERSTELLEN . 885 16.14.2 ERZEUGUNG EINES GPU-MACHINESETS . 886 16.14.3 GPU-MACHINESETS UNTER VSPHERE MIT ANGEPASSTEM RHCOS-VM-TEMPLATE . 887 16.14.4 ANGEPASSTE AWS/GCP-MACHINESETS MIT MULTIPLEN DISKS (Z. B. FUER STORAGE-CLUSTER MIT ROOK-CEPH) . 889 16.15 INFRASTRUCTURE-NODES IN OPENSHIFT . 890 16.15.1 DIE WICHTIGE ROLLE DER INFRA-NODES . 890 16.15.2 UMSETZUNG . 891 16.15.3 EINEN CUSTOM-POOL FUER DIE INFRA-NODE-TEMPLATES ERZEUGEN . 891 16.15.4 UMZUG . 893 16.16 HA FUER DAS OPENSHIFT-CONTROLPLANE MIT CONTROLPLANEMACHINESETS. 894 16.16.1 NEUE FOUNDATION UND ALTE MANKOS . 894 16.16.2 CPMS HANDS-ON . 896 16.16.3 FAZIT AUS DER PRAXIS . 896 INHALT 16.17 OPENSHIFT-UPGRADES: FOUNDATIONS . 897 16.17.1 CHANNELS UND UPDATE-KANAELE . 897 16.17.2 KOORDINIERTE CLUSTER-UPDATES UEBER OPENSHIFT-CLUSTER-MANAGEMENT UND RHACM . 898 16.17.3 GRAFISCHE AUFLOESUNG VON MOEGLICHEN UPDATE-PFADEN . 899 16.18 OPENSHIFT-UPGRADES: EUS UPGRADES . 899 16.18.1 OPENSHIFT 4.10 MIT KUBERNETES 1.23 AUF OPENSHIFT 4.12 MIT KUBERNETES 1.25 . 900 16.18.2 EUS-CHANNEL . 900 16.18.3 PREFLIGHTS UND DURCHFUEHRUNG DES UPGRADES . 900 16.19 INTERAKTIVE OPENSHIFT-WORKSHOPS. 903 TEIL VI DAY 3 OPERATIONS: CLUSTER-FEDERATION, SECURITY, CI/CD-GITOPS-SYSTEME, SDS UND MEHR 17 DAY 3 OPERATIONS: MULTI-CLUSTER-MANAGEMENT UND FEDERATED CLUSTER 907 17.1 HISTORISCHES . 907 17.1.1 SETUP UND ANDERE KOPFSCHMERZEN, FRIEDHOFSGLOCKEN UND FAZIT . 907 17.1.2 MULTI-CLUSTER = CLUSTER FEDERATION? . 908 17.2 MULTI-CLUSTER-MANAGEMENT MIT RED HAT ADVANCED CLUSTER MANAGEMENT . 909 17.2.1 HUB CLUSTER . 910 17.2.2 MANAGED CLUSTER . 910 17.2.3 CLUSTER-LIFECYCLE . 910 17.2.4 MULTICLUSTER-NETWORKING MIT SUBMARINER . 912 17.3 SETUP UND GRUNDLEGENDE CLUSTER-VERWALTUNG PER RHACM . 914 17.3.1 PREFLIGHTS . 914 17.3.2 DEN HUB CLUSTER (DIE MANAGEMENT-INSTANZ) PER RHACM-OPERATOR ERZEUGEN 914 17.3.3 SETUP DES MULTICLUSTERHUBS (MCH) . 916 17.3.4 GRAFISCHE OBERFLAECHE FUER DAS MULTICLUSTERHUB-MANAGEMENT . 918 17.3.5 CLUSTERSETS, CLUSTERPOOLS UND -CLAIMS . 918 17.3.6 CLUSTER ERZEUGEN . 919 17.3.7 IMPORT BESTEHENDER CLUSTER . 920 17.3.8 MULTI-CLUSTER-NETWORKING AKTIVIEREN, APPLICATIONSETS . 921 17.3.9 MULTICLUSTERHUB-HA, BACKUP UND DISASTER RECOVERY . 924 INHALT 17.3.10 KONZEPTIONELLE ARBEITSSCHRITTE ZUR EINRICHTUNG EINES BACKUPS (NICHT HUB-SPEZIFISCH) 925 17.4 SERVICES, INGRESS UND GATEWAYS IN MULTI-CLUSTER-UMGEBUNGEN . 927 17.4.1 GKE . 928 17.4.2 AKS UND EKS . 930 17.4.3 3RD-PARTY MULTI-CLUSTER-INGRESS: NETSCALER, F5 . 930 17.4.4 RED HAT SERVICE INTERCONNECT . 930 TEIL VII VIRTUALISIERUNG, SECURITY UND GITOPS 18 DAY 3 OPERATIONS: VMS IN KUBERNETES/ OPENSHIFT-CLUSTER EINBINDEN 935 18.1 KUBEVIRT-VMS ALS CONTAINER . 936 18.1.1 FUNKTIONSWEISE . 936 18.1.2 NESTED ODER NICHT? . 937 18.1.3 STATEFUL ODER STATELESS? . 938 18.1.4 NETZWERK . 938 18.1.5 PREFLIGHTSFUER DAS SETUP . 939 18.1.6 HYPERCONVERGED-CR AUSROLLEN . 940 18.1.7 . . . 942 18.1.8 CONNECT MIT EXTERNEN NETZEN . 945 18.1.9 IMPORT BESTEHENDER VMS . 946 19 DAY 3 OPERATIONS: CONTAINER-SECURITY - FULL-FEATURED SECURITY-STACKS 947 19.1 VORBETRACHTUNGEN ZU SECURITY-LOESUNGEN . 948 19.1.1 GRUNDSAETZLICHE ASPEKTE . 948 19.1.2 NEUVECTOR UND STACKROX . 949 19.2 NEUVECTOR . 950 19.2.1 UEBERBLICK UEBER DIE WICHTIGSTEN FEATURES . 950 19.2.2 ARCHITEKTUR . 951 19.2.3 CVE-SOURCES UND CVE-WHITELISTING . 951 19.2.4 SETUP . 952 INHALT 19.2.5 LOGIN UND VERWALTUNG . 952 19.2.6 FEDERATION-MANAGEMENT-/MULTI-CLUSTER . 955 19.3 RHACS - RED HAT ADVANCED CLUSTER SECURITY FUER OPENSHIFT . 956 19.3.1 SETUP . 956 19.3.2 CLUSTER HINZUFUEGEN . 957 19.3.3 MANAGEMENT . 958 20 DAY 3 OPERATIONS: CONTAINER-SECURITY - ADVANCED SECRET MANAGEMENT 961 20.1 ENCRYPTIONCONFIGURATION FUER SECRETS UND ANDERE OBJEKTE . 962 20.2 SECRET ENCRYPTION UNTER GKE UND EKS . 963 20.3 HASHICORP VAULT . 964 20.3.1 FUNKTIONSWEISEIMUEBERBLICK . 964 20.3.2 ALLES DURCHGAENGIG SCHOEN? SCHOEN . 965 20.3.3 AUTHENTIFZIERUNGS-UND AUTORISIERUNGS-WORKFLOW . 966 20.3.4 KERNKONZEPTE UND KOMPONENTEN (AUSZUEGE) . 967 20.3.5 SETUP-FRAGEN: VAULT EXTERN ALS VM ODER (KUBERNETES-)CLUSTER-INTERN? . 971 20.3.6 VAULT-REFERENZARCHITEKTUR, HA-ASPEKTE UND BEST PRACTICES . 971 20.4 SETUP DES VAULT CLUSTERS. 973 20.4.1 PREFLIGHTS . 973 20.4.2 SETUP . 974 20.4.3 MANUELLER VAULT-INIT UND UNSEAL . 976 20.4.4 DIEVAULT-UI . 978 20.4.5 DIE ANSAETZE . 979 20.4.6 EIN SIMPLES APP-SETUP . 980 20.4.7 VAULT AGENT SIDECAR INJECTOR . 982 20.4.8 VAULT SECRETS OPERATOR . 986 20.4.9 EXTERNAL SECRETS OPERATOR . 994 20.4.10 ARGO CD VAULT PLUGIN . 994 20.5 VAULT PKI SECRETS ENGINE . 995 20.5.1 HANDS-ON . 995 20.6 SEALED SECRETS (BITNAMI) . 998 20.6.1 SETUP . 999 20.6.2 DIE DOWNSIDES . 1002 INHALT TEIL VIII VOLLAUTOMATISIERTE CI/CD-GITOPS-PIPELINES 21 DAY 3 OPERATIONS: CL/CD-PIPELINES UND GITOPS 1005 21.1 GITOPS . 1005 21.1.1 MODELLE FUER GITOPS-PIPELINES . 1006 21.1.2 MULTIPLE STAGES UND APPLIKATIONEN . 1008 21.1.3 WEITERE TOOLS, UM GITOPS ZU IMPLEMENTIEREN . 1009 21.2 GITOPS MIT TEKTON . 1009 21.2.1 TEKTON . 1009 21.2.2 TEKTON UND GITLAB . 1010 21.2.3 TEKTON: AUFBAU UND FUNKTION . 1011 21.2.4 ABLOESUNG VON CLUSTERTASKS DURCH RESOLVER . 1013 21.2.5 TEKTON HUB UND TEKTON CATALOG REPOSITORY . 1013 21.2.6 WEBHOOKS . 1014 21.2.7 CL-PIPELINE-TRIGGER MIT TEKTON . 1014 21.2.8 TRIGGER: DIE CRD-KOMPONENTEN . 1015 21.2.9 CD-AUTOMATION . 1017 21.3 TEKTON-SETUP . 1017 21.3.1 PREFLIGHTS . 1017 21.3.2 AUFBAU UND STRUKTUR DER FOLGENDEN BEISPIELE . 1018 21.3.3 SETUP PER TEKTON-OPERATOR (GKE) . 1018 21.3.4 TROUBLESHOOTING BEI UPGRADES . 1021 21.4 BEISPIELE FUER TEKTON PIPELINE (PI-CALCULATOR, BUILD, PUSH & DEPLOY) . 1022 21.4.1 VORBETRACHTUNGEN . 1022 21.4.2 ACHTUNG: VERWENDETE REGISTRY UND DAVON ABHAENGIGE SECRET KONFIGURATION . 1024 21.4.3 START DES PIPELINERUNS . 1025 21.5 TEKTON PIPELINES UNTER OPENSHIFT (OPENSHIFT PIPELINES) . 1026 21.5.1 DIETEKTON-CLI . 1026 21.5.2 INSTALLATION DER TEKTON-PIPELINE VIA OPERATOR . 1027 21.5.3 BEISPIEL FUER DAS PIPELINE-SETUP: VOTE-API/-UI . 1027 21.5.4 START DER PIPELINERUNS . 1029 21.5.5 TEKTON-TRIGGER UND EVENTLISTENER . 1031 21.6 GITOPS MIT ARGO CD (CD-FOKUS) . 1033 21.6.1 VORBETRACHTUNGEN . 1033 21.6.2 SETUP UNTER VANILLA KUBERNETES UND GKE . 1034 21.6.3 GITOPS/ARGO CD UNTER OPENSHIFT . 1035 21.6.4 EINZELSCHRITTE DES SETUPS (OPERATOR-BASIERT) . 1035 INHALT 21.6.5 CRDS . 1036 21.6.6 GUI-LOGIN (NUR VANIILA KUBERNETES ) . 1037 21.6.7 LOGIN AUF DEM ARGO-CD-SERVER . 1038 21.6.8 REPOS UND APPS HINZUFUEGEN . 1038 21.6.9 AKUITY . 1041 21.7 ARGO ROLLOUTS . 1042 21.7.1 MOTIVATION . 1043 21.7.2 FUNKTIONSWEISE . 1044 21.7.3 INTEGRATION VON ROLLOUTS IN ARGO CD UND DAS ARGO-ROLLOUTS-DASHBOARD . 1045 21.7.4 DAS TECHNISCHE KONZEPT . 1045 21.7.5 SETUP . 1046 21.7.6 AUFBAU EINER ROLLOUT-CR (CANARY-UPGRADES) . 1048 21.7.7 SETUP UND MANAGEMENT EINES CANARY-ROLLOUTS . 1052 21.7.8 ANALYSIS . 1055 21.7.9 METRIK-ERFASSUNG DES ARGO-ROLLOUT-CONTROLLERS VIA PROMETHEUS UND SERVICEMONITOR . 1057 TEIL IX SOFTWARE-DEFINED STORAGE FUER VERTEILTE CONTAINER-INFRASTRUKTUREN 22 DAY 3 OPERATIONS: SOFTWARE-DEFINED STORAGE FUER CONTAINER-CLUSTER 1061 22.1 SDS-FUNKTIONSPRINZIPIEN . 1061 22.1.1 MULTI-PURPOSE-SDS FUER JEDEN ANWENDUNGSFALL: BLOCK, FILE, OBJECT . 1062 22.1.2 OBJECTSTOREFUERCONTAINER IM UEBERBLICK . 1063 22.1.3 OBJECTSTORAGE UND ANWENDUNGSFAELLE . 1063 22.2 CEPH . 1064 22.2.1 CEPH UND RADOS . 1065 22.2.2 LIBRADOS UND CRUSHMAPS . 1066 22.2.3 DIE CEPH-DAEMONS IM KURZUEBERBLICK: MON, OSD, MDS, MGR . 1OE66 22.3 CEPH: STORAGE-BEREITSTELLUNGSVERFAHREN FUER CONTAINER-CLUSTER. 1067 22.3.1 RBD . 1067 22.3.2 CEPHFS . 1067 22.3.3 OBJECTSTORE (RGW) . 1068 22.4 CONTAINERIZED SDS - CEPH PER ROOK . 1068 22.4.1 ARBEITSWEISE UND KONFIGURATION . 1069 INHALT 22.4.2 BEISPIELHAFTE ABLAEUFE FUER DIE BEREITSTELLUNG DER VERSCHIEDENEN STORAGE-VARIANTEN . 1071 22.4.3 ROOK, CEPH, NOOBAA - UND OPENSHIFT? . 1071 22.5 SETUP VON ROOK . 1072 22.5.1 SETUP-PREFLIGHTS: ADMISSION-CONTROLLER, RAW-DISKS VS. PVC . 1073 22.5.2 SETUP-PREFLIGHTS: COMMON RESSOURCES (CRDS, RBAC ETC.) . 1075 22.5.3 ROOK-OPERATOR: KONFIGURATION . 1076 22.5.4 SETUP-PREFLIGHTS: NODE-LABEL UND DISCOVERY . 1077 22.5.5 ROLLOUT DES OPERATORS . 1079 22.5.6 ACHTUNG - PREFLIGHTS GKE: ERHOEHUNG DER RESOURCEQUOTA FUER PODS DER PRIORITYCLASS SYSTEM--CRITICAL . 1080 22.5.7 ROLLOUT DES CEPH-CLUSTERS . 1080 22.6 ROOK-ADMINISTRATION . 1084 22.6.1 DASHBOARD . 1084 22.6.2 ROOK-TOOLBOX FUER CEPH-CLUSTER . 1086 22.6.3 DASHBOARD-SETTINGS UND ORCHESTRATOR . 1087 22.6.4 NEUE POOLS ANLEGEN . 1089 22.6.5 CEPHFS (MDS) EINRICHTEN . 1089 22.6.6 STORAGECLASSES FUER RBD UND CEPHFS EINRICHTEN . 1092 22.6.7 CEPH-OBJECTSTORE ALS STORAGE-BACKEND . 1093 22.6.8 CEPH-OBJECTSTORE: SETUP UND BETRIEB . 1095 22.6.9 OBJECTSTORE-CONSUMER ERZEUGEN . 1098 22.6.10 USER FUER DEN DIREKTEN ZUGRIFF AUF BUCKETS ANLEGEN . 1100 22.6.11 PROMETHEUS-MONITORING FUER ROOK . 1102 22.6.12 ZUGRIFF VON INNEN UND AUSSEN . 1103 22.6.13 NACHTRAEGLICHE ERWEITERUNG, ANPASSUNGEN UND UPGRADES . 1103 22.6.14 CRUSHMAPS UEBER NODE-LABEL KONFIGURIEREN . 1103 22.6.15 ROOK-CEPH-CLUSTER DEINSTALLIEREN . 1103 23 DAY 3 OPERATIONS: KOSTENKONTROLLE IN KUBERNETES/ OPENSHIFT-CLUSTERN (FINOPS) NO5 23.1 FINOPS . 1106 23.1.1 COST MANAGEMENT . 1106 23.1.2 KOSTENMANAGEMENT IN OPENSHIFT (BUILT-IN) . 1107 23.1.3 KUBECOST . 1108 INHALT 24 DAY 3 OPERATIONS: GPU-BESCHLEUNIGTE KI/ML CONTAINER-INFRASTRUKTUREN 1113 24.1 GPUS UND AUTOSKALIERBARE KI/ML-STACKS . 1113 24.1.1 DAS GROSSE GANZE . 1113 24.1.2 DIE UNERSCHOEPFLICHEN GPU-RESSOURCEN IN DER CLOUD-ODER EHER NICHT? . 1114 24.2 KONKRETE EINSATZSZENARIEN UND KOSTEN . 1115 24.2.1 VGPU . 1116 24.2.2 MIG - MULTI INSTANCE GPU . 1117 24.2.3 GPU-SHARING . 1118 24.3 NVIDIAS GPU-OPERATOR . 1118 24.3.1 DIE EINZELKOMPONENTEN DES GPU-OPERATORS IM UEBERBLICK . 1118 24.3.2 NFD-OPERATOR . 1120 24.4 GKE-CLUSTER MIT NVIDIA-ALOO-LNSTANZEN UND MIG-PARTITIONIERUNG . 1121 24.4.1 GCP-PREFLIGHTS: PASSENDE INSTANZEN/MACHINE-TYPES FUER GPUS, QUOTAS . 1121 24.4.2 SETUP DES GPU-NODE-POOLS . 1122 24.4.3 ROLLOUT DES GPU-OPERATORS . 1123 24.4.4 MANAGEMENT DER A100-GPU UND ANWENDUNG DER MIG-SCHEMATA . 1125 24.5 OPENSHIFT-CLUSTER MIT NVIDIA-ALOO-GPUS IN DER GCP . 1128 24.5.1 PREFLIGHTS FUER GCP UND OPENSHIFT . 1128 24.5.2 GPU-NODE SKALIEREN UND PARTITIONIEREN . 1129 24.6 AKS-UND EKS-CLUSTER MIT NVIDIA-GPUS. 1131 25 THE ROAD AHEAD 1133 INDEX . 1135
any_adam_object	1
any_adam_object_boolean	1
author	Liebel, Oliver
author_GND	(DE-588)1042738157
author_facet	Liebel, Oliver
author_role	aut
author_sort	Liebel, Oliver
author_variant	o l ol
building	Verbundindex
bvnumber	BV049097475
classification_rvk	ST 230 ST 260
ctrlnum	(OCoLC)1414557677 (DE-599)DNB1296727807
discipline	Informatik
discipline_str_mv	Informatik
edition	4., aktualisierte Auflage
format	Book
fullrecord	<?xml version="1.0" encoding="UTF-8"?><collection xmlns="http://www.loc.gov/MARC21/slim"><record><leader>00000nam a22000008c 4500</leader><controlfield tag="001">BV049097475</controlfield><controlfield tag="003">DE-604</controlfield><controlfield tag="005">20240807</controlfield><controlfield tag="007">t</controlfield><controlfield tag="008">230810s2024 gw a\|\|\| \|\|\|\| 00\|\|\| ger d</controlfield><datafield tag="015" ind1=" " ind2=" "><subfield code="a">23,N30</subfield><subfield code="2">dnb</subfield></datafield><datafield tag="016" ind1="7" ind2=" "><subfield code="a">1296727807</subfield><subfield code="2">DE-101</subfield></datafield><datafield tag="020" ind1=" " ind2=" "><subfield code="a">9783836297530</subfield><subfield code="c">: EUR 79.90 (DE), EUR 82.20 (AT), CHF 102.90 (freier Preis)</subfield><subfield code="9">978-3-8362-9753-0</subfield></datafield><datafield tag="020" ind1=" " ind2=" "><subfield code="a">3836297531</subfield><subfield code="9">3-8362-9753-1</subfield></datafield><datafield tag="024" ind1="3" ind2=" "><subfield code="a">9783836297530</subfield></datafield><datafield tag="028" ind1="5" ind2="2"><subfield code="a">Bestellnummer: 459/09753</subfield></datafield><datafield tag="035" ind1=" " ind2=" "><subfield code="a">(OCoLC)1414557677</subfield></datafield><datafield tag="035" ind1=" " ind2=" "><subfield code="a">(DE-599)DNB1296727807</subfield></datafield><datafield tag="040" ind1=" " ind2=" "><subfield code="a">DE-604</subfield><subfield code="b">ger</subfield><subfield code="e">rda</subfield></datafield><datafield tag="041" ind1="0" ind2=" "><subfield code="a">ger</subfield></datafield><datafield tag="044" ind1=" " ind2=" "><subfield code="a">gw</subfield><subfield code="c">XA-DE-NW</subfield></datafield><datafield tag="049" ind1=" " ind2=" "><subfield code="a">DE-M347</subfield><subfield code="a">DE-898</subfield><subfield code="a">DE-1102</subfield><subfield code="a">DE-29T</subfield><subfield code="a">DE-739</subfield><subfield code="a">DE-573</subfield></datafield><datafield tag="084" ind1=" " ind2=" "><subfield code="a">ST 230</subfield><subfield code="0">(DE-625)143617:</subfield><subfield code="2">rvk</subfield></datafield><datafield tag="084" ind1=" " ind2=" "><subfield code="a">ST 260</subfield><subfield code="0">(DE-625)143632:</subfield><subfield code="2">rvk</subfield></datafield><datafield tag="084" ind1=" " ind2=" "><subfield code="8">1\p</subfield><subfield code="a">004</subfield><subfield code="2">23sdnb</subfield></datafield><datafield tag="100" ind1="1" ind2=" "><subfield code="a">Liebel, Oliver</subfield><subfield code="e">Verfasser</subfield><subfield code="0">(DE-588)1042738157</subfield><subfield code="4">aut</subfield></datafield><datafield tag="245" ind1="1" ind2="0"><subfield code="a">Skalierbare Container-Infrastrukturen</subfield><subfield code="b">das Handbuch für Planung und Administration</subfield><subfield code="c">Oliver Liebel</subfield></datafield><datafield tag="250" ind1=" " ind2=" "><subfield code="a">4., aktualisierte Auflage</subfield></datafield><datafield tag="264" ind1=" " ind2="1"><subfield code="a">Bonn</subfield><subfield code="b">Rheinwerk</subfield><subfield code="c">2024</subfield></datafield><datafield tag="300" ind1=" " ind2=" "><subfield code="a">1148 Seiten</subfield><subfield code="b">Illustrationen, Diagramme</subfield><subfield code="c">24 cm x 19 cm</subfield></datafield><datafield tag="336" ind1=" " ind2=" "><subfield code="b">txt</subfield><subfield code="2">rdacontent</subfield></datafield><datafield tag="337" ind1=" " ind2=" "><subfield code="b">n</subfield><subfield code="2">rdamedia</subfield></datafield><datafield tag="338" ind1=" " ind2=" "><subfield code="b">nc</subfield><subfield code="2">rdacarrier</subfield></datafield><datafield tag="490" ind1="0" ind2=" "><subfield code="a">Rheinwerk Computing</subfield></datafield><datafield tag="500" ind1=" " ind2=" "><subfield code="a">Auf dem Cover: Architektur, Setup, strategischer Background, Best Practices. Professionelle Orchestrierung mit Kubernetes und OpenShift. IaC, Operatoren, GitOps, Security, Federated Cluster, GPU-Cluster, API-Gateways, Software-Defined Storage, IDM, Autoscaler. Alle Beispielkonfigurationen zum Download</subfield></datafield><datafield tag="650" ind1="0" ind2="7"><subfield code="a">Softwareproduktionsumgebung</subfield><subfield code="0">(DE-588)4138444-1</subfield><subfield code="2">gnd</subfield><subfield code="9">rswk-swf</subfield></datafield><datafield tag="650" ind1="0" ind2="7"><subfield code="a">Container</subfield><subfield code="g">Informatik</subfield><subfield code="0">(DE-588)1116639513</subfield><subfield code="2">gnd</subfield><subfield code="9">rswk-swf</subfield></datafield><datafield tag="650" ind1="0" ind2="7"><subfield code="a">Kubernetes</subfield><subfield code="0">(DE-588)1153019000</subfield><subfield code="2">gnd</subfield><subfield code="9">rswk-swf</subfield></datafield><datafield tag="650" ind1="0" ind2="7"><subfield code="a">Docker</subfield><subfield code="g">Software</subfield><subfield code="0">(DE-588)1173644687</subfield><subfield code="2">gnd</subfield><subfield code="9">rswk-swf</subfield></datafield><datafield tag="650" ind1="0" ind2="7"><subfield code="a">Skalierbarkeit</subfield><subfield code="0">(DE-588)4520890-6</subfield><subfield code="2">gnd</subfield><subfield code="9">rswk-swf</subfield></datafield><datafield tag="650" ind1="0" ind2="7"><subfield code="a">Virtualisierung</subfield><subfield code="0">(DE-588)4839180-3</subfield><subfield code="2">gnd</subfield><subfield code="9">rswk-swf</subfield></datafield><datafield tag="650" ind1="0" ind2="7"><subfield code="a">Docker 1.12</subfield><subfield code="0">(DE-588)1116737825</subfield><subfield code="2">gnd</subfield><subfield code="9">rswk-swf</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Suse Red-Hat</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Docker Buildah</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Hochverfügbarkeit HA</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Microservices</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Container-Cluster</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">OpenShift</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Continuous Delivery</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Deployment</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Ansible</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">GitOps</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Podman</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Orchestrierung</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Hand-Buch Lesen E-Book Lernen Anleitung Wissen</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">CoreOS</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Suse</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Administration</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Security</subfield></datafield><datafield tag="653" ind1=" " ind2=" "><subfield code="a">Governance</subfield></datafield><datafield tag="689" ind1="0" ind2="0"><subfield code="a">Container</subfield><subfield code="g">Informatik</subfield><subfield code="0">(DE-588)1116639513</subfield><subfield code="D">s</subfield></datafield><datafield tag="689" ind1="0" ind2="1"><subfield code="a">Virtualisierung</subfield><subfield code="0">(DE-588)4839180-3</subfield><subfield code="D">s</subfield></datafield><datafield tag="689" ind1="0" ind2="2"><subfield code="a">Skalierbarkeit</subfield><subfield code="0">(DE-588)4520890-6</subfield><subfield code="D">s</subfield></datafield><datafield tag="689" ind1="0" ind2="3"><subfield code="a">Softwareproduktionsumgebung</subfield><subfield code="0">(DE-588)4138444-1</subfield><subfield code="D">s</subfield></datafield><datafield tag="689" ind1="0" ind2="4"><subfield code="a">Docker 1.12</subfield><subfield code="0">(DE-588)1116737825</subfield><subfield code="D">s</subfield></datafield><datafield tag="689" ind1="0" ind2=" "><subfield code="5">DE-604</subfield></datafield><datafield tag="689" ind1="1" ind2="0"><subfield code="a">Container</subfield><subfield code="g">Informatik</subfield><subfield code="0">(DE-588)1116639513</subfield><subfield code="D">s</subfield></datafield><datafield tag="689" ind1="1" ind2="1"><subfield code="a">Virtualisierung</subfield><subfield code="0">(DE-588)4839180-3</subfield><subfield code="D">s</subfield></datafield><datafield tag="689" ind1="1" ind2="2"><subfield code="a">Skalierbarkeit</subfield><subfield code="0">(DE-588)4520890-6</subfield><subfield code="D">s</subfield></datafield><datafield tag="689" ind1="1" ind2="3"><subfield code="a">Softwareproduktionsumgebung</subfield><subfield code="0">(DE-588)4138444-1</subfield><subfield code="D">s</subfield></datafield><datafield tag="689" ind1="1" ind2="4"><subfield code="a">Docker</subfield><subfield code="g">Software</subfield><subfield code="0">(DE-588)1173644687</subfield><subfield code="D">s</subfield></datafield><datafield tag="689" ind1="1" ind2="5"><subfield code="a">Kubernetes</subfield><subfield code="0">(DE-588)1153019000</subfield><subfield code="D">s</subfield></datafield><datafield tag="689" ind1="1" ind2=" "><subfield code="5">DE-604</subfield></datafield><datafield tag="710" ind1="2" ind2=" "><subfield code="a">Rheinwerk Verlag</subfield><subfield code="0">(DE-588)1081738405</subfield><subfield code="4">pbl</subfield></datafield><datafield tag="856" ind1="4" ind2="2"><subfield code="m">X:MVB</subfield><subfield code="q">text/html</subfield><subfield code="u">http://deposit.dnb.de/cgi-bin/dokserv?id=499e9485f6d54b32bd62f76a63bd9a21&prov=M&dok_var=1&dok_ext=htm</subfield><subfield code="3">Inhaltstext</subfield></datafield><datafield tag="856" ind1="4" ind2="2"><subfield code="m">DNB Datenaustausch</subfield><subfield code="q">application/pdf</subfield><subfield code="u">http://bvbr.bib-bvb.de:8991/F?func=service&doc_library=BVB01&local_base=BVB01&doc_number=034359070&sequence=000001&line_number=0001&func_code=DB_RECORDS&service_type=MEDIA</subfield><subfield code="3">Inhaltsverzeichnis</subfield></datafield><datafield tag="883" ind1="1" ind2=" "><subfield code="8">1\p</subfield><subfield code="a">vlb</subfield><subfield code="d">20230720</subfield><subfield code="q">DE-101</subfield><subfield code="u">https://d-nb.info/provenance/plan#vlb</subfield></datafield><datafield tag="943" ind1="1" ind2=" "><subfield code="a">oai:aleph.bib-bvb.de:BVB01-034359070</subfield></datafield></record></collection>
id	DE-604.BV049097475
illustrated	Illustrated
index_date	2024-07-03T22:31:42Z
indexdate	2024-08-08T00:11:44Z
institution	BVB
institution_GND	(DE-588)1081738405
isbn	9783836297530 3836297531
language	German
oai_aleph_id	oai:aleph.bib-bvb.de:BVB01-034359070
oclc_num	1414557677
open_access_boolean
owner	DE-M347 DE-898 DE-BY-UBR DE-1102 DE-29T DE-739 DE-573
owner_facet	DE-M347 DE-898 DE-BY-UBR DE-1102 DE-29T DE-739 DE-573
physical	1148 Seiten Illustrationen, Diagramme 24 cm x 19 cm
publishDate	2024
publishDateSearch	2024
publishDateSort	2024
publisher	Rheinwerk
record_format	marc
series2	Rheinwerk Computing
spelling	Liebel, Oliver Verfasser (DE-588)1042738157 aut Skalierbare Container-Infrastrukturen das Handbuch für Planung und Administration Oliver Liebel 4., aktualisierte Auflage Bonn Rheinwerk 2024 1148 Seiten Illustrationen, Diagramme 24 cm x 19 cm txt rdacontent n rdamedia nc rdacarrier Rheinwerk Computing Auf dem Cover: Architektur, Setup, strategischer Background, Best Practices. Professionelle Orchestrierung mit Kubernetes und OpenShift. IaC, Operatoren, GitOps, Security, Federated Cluster, GPU-Cluster, API-Gateways, Software-Defined Storage, IDM, Autoscaler. Alle Beispielkonfigurationen zum Download Softwareproduktionsumgebung (DE-588)4138444-1 gnd rswk-swf Container Informatik (DE-588)1116639513 gnd rswk-swf Kubernetes (DE-588)1153019000 gnd rswk-swf Docker Software (DE-588)1173644687 gnd rswk-swf Skalierbarkeit (DE-588)4520890-6 gnd rswk-swf Virtualisierung (DE-588)4839180-3 gnd rswk-swf Docker 1.12 (DE-588)1116737825 gnd rswk-swf Suse Red-Hat Docker Buildah Hochverfügbarkeit HA Microservices Container-Cluster OpenShift Continuous Delivery Deployment Ansible GitOps Podman Orchestrierung Hand-Buch Lesen E-Book Lernen Anleitung Wissen CoreOS Suse Administration Security Governance Container Informatik (DE-588)1116639513 s Virtualisierung (DE-588)4839180-3 s Skalierbarkeit (DE-588)4520890-6 s Softwareproduktionsumgebung (DE-588)4138444-1 s Docker 1.12 (DE-588)1116737825 s DE-604 Docker Software (DE-588)1173644687 s Kubernetes (DE-588)1153019000 s Rheinwerk Verlag (DE-588)1081738405 pbl X:MVB text/html http://deposit.dnb.de/cgi-bin/dokserv?id=499e9485f6d54b32bd62f76a63bd9a21&prov=M&dok_var=1&dok_ext=htm Inhaltstext DNB Datenaustausch application/pdf http://bvbr.bib-bvb.de:8991/F?func=service&doc_library=BVB01&local_base=BVB01&doc_number=034359070&sequence=000001&line_number=0001&func_code=DB_RECORDS&service_type=MEDIA Inhaltsverzeichnis 1\p vlb 20230720 DE-101 https://d-nb.info/provenance/plan#vlb
spellingShingle	Liebel, Oliver Skalierbare Container-Infrastrukturen das Handbuch für Planung und Administration Softwareproduktionsumgebung (DE-588)4138444-1 gnd Container Informatik (DE-588)1116639513 gnd Kubernetes (DE-588)1153019000 gnd Docker Software (DE-588)1173644687 gnd Skalierbarkeit (DE-588)4520890-6 gnd Virtualisierung (DE-588)4839180-3 gnd Docker 1.12 (DE-588)1116737825 gnd
subject_GND	(DE-588)4138444-1 (DE-588)1116639513 (DE-588)1153019000 (DE-588)1173644687 (DE-588)4520890-6 (DE-588)4839180-3 (DE-588)1116737825
title	Skalierbare Container-Infrastrukturen das Handbuch für Planung und Administration
title_auth	Skalierbare Container-Infrastrukturen das Handbuch für Planung und Administration
title_exact_search	Skalierbare Container-Infrastrukturen das Handbuch für Planung und Administration
title_exact_search_txtP	Skalierbare Container-Infrastrukturen das Handbuch für Planung und Administration. [Architektur, Setup, strategischer Background, Best Practices. Professionelle Orchestrierung mit Kubernetes und OpenShift. IaC, Operatoren, GitOps, Security, Federated Cluster, GPU-Cluster, API-Gateways, Software-Defined Storage, IDM, Autoscaler. Alle Beispielkonfigurationen zum Download]
title_full	Skalierbare Container-Infrastrukturen das Handbuch für Planung und Administration Oliver Liebel
title_fullStr	Skalierbare Container-Infrastrukturen das Handbuch für Planung und Administration Oliver Liebel
title_full_unstemmed	Skalierbare Container-Infrastrukturen das Handbuch für Planung und Administration Oliver Liebel
title_short	Skalierbare Container-Infrastrukturen
title_sort	skalierbare container infrastrukturen das handbuch fur planung und administration
title_sub	das Handbuch für Planung und Administration
topic	Softwareproduktionsumgebung (DE-588)4138444-1 gnd Container Informatik (DE-588)1116639513 gnd Kubernetes (DE-588)1153019000 gnd Docker Software (DE-588)1173644687 gnd Skalierbarkeit (DE-588)4520890-6 gnd Virtualisierung (DE-588)4839180-3 gnd Docker 1.12 (DE-588)1116737825 gnd
topic_facet	Softwareproduktionsumgebung Container Informatik Kubernetes Docker Software Skalierbarkeit Virtualisierung Docker 1.12
url	http://deposit.dnb.de/cgi-bin/dokserv?id=499e9485f6d54b32bd62f76a63bd9a21&prov=M&dok_var=1&dok_ext=htm http://bvbr.bib-bvb.de:8991/F?func=service&doc_library=BVB01&local_base=BVB01&doc_number=034359070&sequence=000001&line_number=0001&func_code=DB_RECORDS&service_type=MEDIA
work_keys_str_mv	AT liebeloliver skalierbarecontainerinfrastrukturendashandbuchfurplanungundadministration AT rheinwerkverlag skalierbarecontainerinfrastrukturendashandbuchfurplanungundadministration

Verfügbarkeit

Es ist kein Print-Exemplar vorhanden.

Fernleihe Bestellen Achtung: Nicht im THWS-Bestand! Beschreibung

MARC

Datensatz im Suchindex

Es ist kein Print-Exemplar vorhanden.

Ähnliche Einträge