2023年 Kubernetes 最佳实践

作为容器编排平台，Kubernetes（K8s）具有诸多优势。例如，K8s 在工作负载发现、自我修复和应用容器化扩展等方面具备很强的自动化能力。

然而，在经过一些调整后，Kubernetes 并不总是适用于生产环境。

本文向您分享了一些重要的 Kubernetes 最佳实践，以提高您的 K8s 安全性、性能和成本。

1. 保持最稳定版本

一般是将您的 K8s 更新到最新的稳定版本。此版本很可能已经针对任何安全或性能问题进行了修补。基本上也会有更多基于社区版本或供应商提供的支持。最后，K8s 最佳实践可以让您避免出现一些可能危及服务交付的安全、性能和成本异常。

2. 整理清单

也许您发现 YAML 很难用。那么你可以使用 yamllint，它可以在一个文件中处理多个文档。

此外也有 Kubernetes 特定的 linters 可用：

• 您可以使用 kube-score 整理您的清单并遵循最佳实践。

• Kubeval 也会检查你的清单。但是，它只检查有效性。

• Kubernetes 1.13 中 kubectl 的 dry-run 选项允许 Kubernetes 检查但不应用您的清单。此功能将验证 K8s 的 YAML 文件。

3. 管理好配置文件的版本控制

将所有配置文件（例如 deployment、services 和 ingress）存储在版本控制系统中。GitHub 是目前最流行的开源分布式版本控制平台，其他平台还包括 GitLab、BitBucket 和 SourceForge。

在将您的代码推送到集群之前执行此操作，使您能够跟踪源代码变更以及谁进行了变更。必要时，您可以快速回滚变更、重新创建或恢复集群，以确保稳定性和安全性。

4. Git 工作流是应该选择的方法

GitOps 或基于 Git 的工作流，是一个用于自动化所有任务的优秀模型，包括 CI/CD 管道把 Git 托管作为事实的独立源头。。除了提高生产力之外，GitOps 框架还可以通过以下方式为您提供帮助：

1. 加速部署

2. 增强错误跟踪能力

3. CI/CD 流程自动化

总之，使用 GitOps 方法可以简化集群管理并加快应用程序开发。

5. 利用声明式 YAML 文件

编写声明式的 YAML 文件，而不是使用诸如 kubectl run 等命令。之后，使用 kubectl apply 命令，您可以将它们添加到集群中。声明式方法允许您指定所需的状态， Kubernetes 也能够处理。

所有对象以及代码都可以存储在 YAML 文件中并进行版本控制。如果出现问题，您可以通过恢复较早的 YAML 文件并重新应用它来实现轻松回滚。此外，此模式可确保您的团队可以看到集群的当前状态，以及从时间线上看到对其所做的更改。

6. 指定资源请求和限制

当定义 CPU 和内存的资源限制和请求时，CPU和内存的单位通常会使用千分比核数和字节或兆字节。需要注意的是，容器运行时会禁止容器使用超出所设置资源限制的资源。

当资源稀缺时，生产集群可能会在没有资源限制和请求的情况下失败。集群中的 Pod 可能会消耗过多的资源，从而增加您的 Kubernetes 成本。此外，如果 pod 消耗太多 CPU 或内存并且调度程序无法添加新的 pod，节点可能会崩溃。

7. 将 Pods 与Deployments, ReplicaSets, 和 Jobs绑定

尽可能不要使用独立的 Pod（即未绑定到 ReplicaSet 或 Deployment 的 Pod）。如果节点发生故障，将不会重新调度这些独立的 Pod。

deployment 能够实现两个目标：

1. 创建一个 ReplicaSet 来确保预期个数的 Pod 始终可用

2. 指定替换 Pod 的策略，例如 RollingUpdate

除了一些显式的 restartPolicy: Never 场景外，Deployment 通常比直接创建 Pod 要好得多。

8. 清晰标记 K8s 资源

标签是可帮助您识别 Kubernetes 集群中资源特性的键/值对。标签还允许您使用 kubectl 过滤和选择对象，让您可以根据特定特征快速识别对象。

即使您认为您当前不会使用它们，给您的对象贴上标签也是极好的。此外，尽可能多地使用描述性标签来区分您的团队将使用的资源。对象可以按所有者、版本、实例、组件、管理者、项目、团队、保密级别、合规性和其他标准进行标记。

9. 运行存活探测（在其他探测之后）

存活探测定期检查 pod 的健康状况，防止 Kubernetes 将流量路由到不健康的 pod。Kubernetes（kubelet 默认策略）会重启未通过健康检查的 pod，确保应用程序的可用性。

探针向 pod 发送 ping 以查看是否能收到响应。无响应则表示您的应用程序未在该 pod 上运行，进而启动新的 pod 并在那里运行应用程序。

还有一点。您必须先运行启动探测，这是第三种类型的探测，它会在 pod 的启动阶段完成时向 K8s 发出警报。如果 pod 的启动探测不完整，则 存活探针 和 就绪态探针 也不会再去探测。

10. 通过命名空间简化资源管理

命名空间可帮助您的团队在逻辑上将一个集群划分为多个子集群。当您想同时在多个项目或团队之间共享 Kubernetes 集群时，这尤其有用。命名空间允许开发、测试和生产团队在同一集群内协作，而不会覆盖或干扰彼此的项目。

Kubernetes 附带三个命名空间：default、kube-system 和 kube-public。一个集群可以支持多个逻辑上独立但可以相互通信的命名空间。

11. 保持无状态

无状态应用程序通常比有状态应用程序更易于管理，尽管随着 Kubernetes Operators 越来越受欢迎，这种情况正在发生变化。

对于不熟悉 Kubernetes 的团队来说，无状态后端消除了维持长期连接的可扩展性限制。

无状态应用程序还可以更轻松地按需迁移和扩展。

更重要的是，保持工作负载无状态，您就可以使用临时实例。

使用临时实例的一个缺点是 AWS 和 Azure 等提供商经常需要您在短时间内返还这些廉价的计算资源，这可能会中断您的工作负载。您可以通过使您的应用程序无状态来规避此问题。

12. 建立网络策略

Kubernetes 中的网络策略指的是哪些流量被允许，哪些不被允许。这类似于在 Kubernetes 集群中的 pod 之间放置防火墙。无论流量如何在您环境中的 pod 之间流动，只有在您的网络策略认可的情况下流量才会被允许。

在创建网络策略之前，您必须定义授权连接并指定该策略应用于哪些 pod。这能帮助您过滤掉任何不符合条件的流量。

您可以在此找到 Kubernetes 网络策略的各种示例和示例 YAML 文件。

13. 设置基于角色的访问控制

先看以下数据。

RedHat 在 2022 年对 300 多名 DevOps 专业人员的调查中发现了以下内容：

• 对于 55% 的受访者来说，安全问题会延后应用程序发布。

• 在持续使用 Kubernetes 和容器方面，59% 的人认为安全是主要障碍。

• 31% 表示安全漏洞导致了收入或客户流失。

• 几乎所有人 (94%) 在前一年至少发生过一次 Kubernetes 安全事件。

您可以使用 RBAC 指定哪些用户可以访问哪些 Kubernetes 资源，例如他们可以访问哪些集群、谁可以进行更改以及他们可以更改到什么程度。

可以通过两种方式配置 RBAC 权限：

• 如果你希望定义集群范围的角色，应该使用 ClusterRole。

• 如果你希望在名字空间内定义角色，应该使用 by Role。

14. 为 Kubernetes 环境设置防火墙

这是另外一种重要的 Kubernetes 安全最佳实践。

在集群前面设置防火墙以限制外部请求到达 API 服务器，此外还设置网络策略来控制集群内的内部流量。可以通过使用常规或端口防火墙规则来完成。

此外，需要确保 IP 地址已列入白名单并且设置开放端口限制。

15. 镜像越小越好

使您的镜像小而分层。因为镜像越小，构建速度越快，所需的存储空间也越少。通过有效地分层可以显着减小镜像的大小。通过从零开始构建，也可以优化镜像大小。

如果做呢？

如果您需要许多不同的组件，请在单个 Dockerfile 中使用多个 FROM 语句。该设置将根据 FROM 命令从已部署的容器中提取每一层。

在生成阶段，每个部分都引用不同的基本镜像。这样生成的 Docker 容器更小，因为它不再包含前面的层，只包含您需要的组件。

在我的下一篇文章中见！

原文地址：https://myhistoryfeed.medium.com/best-practices-for-kubernetes-in-2023-bd0aaada1f72 原文作者：MyHistoryFeed 本文永久链接：https://github.com/gocn/translator/blob/master/2022/w48_Best_Practices_for_Kubernetes_in_2023.md 译者：lsj1342

校对：cvley ***

往期推荐

「每周译Go」如何在Go中编写 Switch 语句

深入理解golang的互斥锁

Go runtime:4年之后的变化

想要了解Go更多内容，欢迎扫描下方关注公众号，回复关键词 [实战群]  ,就有机会进群和我们进行交流

分享、在看与点赞Go