Konteyner gelecek mi?
Yazar | Ian Eyberg
Çevirmen | Tanrı sıkı çalışmayı ödüllendirir Sorumlu Editör | Xu Weilong
Mühür görüntüsü | Görsel Çin'de CSDN indirme
Yazar bu tweet'i birkaç gün önce görmüş, tabiri caizse, bu makalenin konusu hakkında daha fazla düşünmemi sağladı.
Daha sonra bahsedeceğim gibi, herhangi bir şeyi ifade ederken çok mutlak olamazsınız çünkü bu başkalarından tiksinti uyandırır.
Hackernews okudum ve yorum bölümünü açmamak için çok uğraştım, ancak zaman zaman bu cazibeye kapıldım ve güvenlik, performans veya diğer nedenlerle kapları üretimden çıkardıklarından şikayet eden insanlar göreceğim. Nedeni (yalnızca 10.000 neden). Bununla birlikte, zaman zaman bu cazibeye yenik düşüyorum ve insanların, güvenlik veya performans veya başka nedenlerle kapları üretimden nasıl çıkardıklarından şikayet ettiklerini göreceğim (sadece 10.000 neden).
Ancak ilginç olan, son zamanlarda bu görüşler ifade edildiğinde, "Gerçekten merak ediyorum - başka seçenekler var mı?" Gibi sorular görmeye başladım.
Bir süredir, bu soruyu soran kişinin gerçekte ne sorduğu hakkında hiçbir fikrim yoktu. Alternatiflerle neyi kastediyorsunuz? Bir Linux makinesini açarsınız ve günlük işinizi bitirirsiniz.
O zamandan beri, bu çılgınlıkta bir nesil yazılım mühendisinin büyüdüğünü fark ettim. 2013'te 22 veya 23 yaşında olduğunuzu (sadece 7 yıl önce) hayal edin, ancak bir yazılım dünyasında bu neredeyse bir ömür. Üniversiteden mezun olup "kıdemli mühendis" unvanınızı almanız için bu kadar uzun bir süre yeterli. Başka yöntemlerin olduğunu bile bilmeden sadece 20'li yaşlarınızda konteynerleri konuşlandırabilirsiniz. Örneğin, "giriş" terimi k8s topluluğunda belirli bir ürün kategorisiymiş gibi kullanılır ve kredi-see nginx ana bileşen olarak kullanılır. İnsanların "Girmek için ne kullanacaksınız?" Gibi sorular sorduğunu göreceksiniz. Sordukları şey nginx'i ters proxy olarak nasıl yapılandıracaklarıdır.
Eğitim eksikliği var mı, pazarlamanın güneşi mi engellediğini ya da ne olduğunu bilmiyorum, ama bu mühendislere belirli becerileri öğretemediğimiz artık açık.
Özgeçmiş odaklı geliştirme
Ortaya çıkan çok ilginç bir paradoks, birçok kubernetes kullanıcısının özgeçmiş odaklı geliştirme yoluyla kubernetes kümelerini dağıtmayı öğrenmesidir ve mühendislik departmanının başkan yardımcısı ve diğer liderler, bunları tutabilmeleri ve halihazırda bir şeyler yapabilmeleri için onlara izin vermesidir. İşe alma konusunda çok zor mühendisler.
Direktörler, başkan yardımcıları ve diğer liderler aslında onlara bazı faydalar sağlıyor ve onları şirketlerinde çalışmaya devam ettiriyor - teknik / maliyet avantajlarından dolayı değil. Birçok yönetici de bunu özel olarak kabul ediyor.
Bu "ayrıcalık" yazılım mühendisliği ekosistemine önemli ölçüde zarar vermeye başladı. Kuruluş doğru yaklaşımı benimsemezse, Linux becerilerinin bu şekilde sıyrılması, gelecekte kuruluşa büyük zarar verecektir.
Simon, bunun iki yıl önce olduğunu fark edecek öngörüye sahipti.
Sanırım son zamanlarda bu ivmeyi görmeye başladık. Kabile ayrımı gerçek.
Güvenlik konteynerler için ölüm çanı mı?
Konteynerlerin ve kubernetlerin güvenlik açısından itibarı nispeten geneldir. RSA konferansındaki kubernetes'teki gelişmiş kalıcı tehditler hakkındaki son videoda gösterildiği gibi, kubernetes'in saldırganlar için beklenmedik bir hedef olduğu açıktır. Bir ana makineniz var - en küçük uygulama bile yapabilirsiniz, bunu yapabilirsiniz. Tüm altyapınız hazır.
Video adresi: https://youtu.be/CH7S5rE3j8w
Uzun yıllardır güvenliğin nihayetinde konteyner ekosistemini yok edeceğini biliyoruz. Varsayılan olarak, sadece bozuktur ve herhangi bir araç veya mimari değişiklikle onarılamaz.
Yakın tarihli bir FOSDEM videosunda Kris Nova, ne kadar kolay olduğunu göstermek için kubernetes kümesine girdi ve ardından izinsiz girişlerin nasıl denetleneceğini gösterdi:
İnsanların Twitter veya Linkedin'de "devsecops" ve güvenlik hakkında konuştuğunu duyduğunuzda, bu tam bir şaka. Kubernetes ve güvenlik hiç de aynı cümle değildir.
Eklemek gerekirse, insanların Kris'in k8s topluluğunda bir geliştirici olduğu gerçeğini gerçekten anlamaları gerektiğini düşünüyorum ve (en azından) bu, konuşmasının başlığında kubernetes'ten ikinci kez "clusterfuck" olarak bahsetti. Kendi geliştiricileri konferanslara katılırsa ve yazılımı "clusterfuck" olarak adlandırırsa, neden bu clusterfuck'ı kuruluşunuza getirsin?
-
Neden bu ClusterFuck'ı kuruluşunuza getirmek istiyorsunuz?
Buradaki sorun, konteyner ve genişletilmiş k8s mimarisinin varsayılan olarak bozuk olmasıdır. Tedarikçi ne derse desin, kubernetes kümesinin güvenliğini garanti etmenin bir yolu yoktur. Birincisi, asla güvenli olacak şekilde tasarlanmadı. Kartlarla yapılmış bir evdi, temeli kumdu ve her yerde karnavallarda satış yapan satıcılar vardı.
Aslında, bu konuşmanın son birkaç dakikasında olduğu gibi, bu yıl FOSDEM'de pek çok Twitter alıntısı var: "Çekirdek geliştiricilerinin docker topluluğuna bakışına göre, nadir durumlarda, aslında sorunu doğru bir şekilde ifade edebiliyorlar. Ve genellikle cevabı anlamazlar. "
Bütün oyunlar
Önceki paragrafı okumadığınızı varsayın. Yıllarca süren ayarlamalardan sonra, izleyicileri, kitlelerini ayarlamak için "doğru" şekilde kubernetes kümelerini sağladı ve kullandı ve büyük G şirketleri, bir sansasyon yaratan yeni fiyat değişiklikleri yaptı.
Google, yeni SLA ve Anthos'u hariç tutarak K8'in küme yönetimi ücretlerinin getirisini artırdı, ancak müşteriler memnun değil. Bu, kimsenin istemediği ve kimsenin istemediği bir dönüş:
https://www.theregister.co.uk/2020/03/05/google_reintroduces_management_fee_for_kubernetes_clusters/
Bunun GKE ilaçlarına bağımlı hale gelen şirketlerin tamamen çökmesine yol açacağı öngörülebilir. Herkesin buna neden hazırlıksız yakalandığını bilmiyorum - belki de Google bunu asla yapmayacaklarına söz verdiği içindir.
sürtünme
Sorun budur.Çoğu konteynır ve k8 kullanıcısı, altyapı paradigmasının bir parçası olarak başka herhangi bir şeyi kullanmaya karşıdır. Sorun şu ki, bu insanlar k8 efsanesi etrafında kendi kişisel markalarını oluşturmak için en az 5 yıl veya daha fazla zaman harcadılar, herkese ve annelerine Alpha ve Omega'nın bununla ilgili olduğunu söylediler.
MicroVM ve NanoVM
Hem Google hem de AWS, kapsayıcı ve kubernetlerin bozuk olduğunu bilir ve kabul eder.
Bu yüzden çalışmalarını pazarlama yoluyla iyileştirmeye çalışıyorlar. Havai fişek ve gVisor gibi "açık kaynak" demek istiyorum. Kuşkusuz, fişek yalnızca çok pahalı "çıplak metal" örneklerinde (gerçek çıplak metal değil) ve gVisor'da çalışabilir. gVisor başka bir proje. Bu projede evanjelist, Google'ın uzun yıllardır üretim ortamında çalıştığını ve üretim ortamında en bariz şekilde içindeki benzer bir şeyin yerini aldığını iddia etti.
Gerçek ve yalanlar
Açıkçası, bir süredir bu genel tasarım modelini, yani ayrı bir sanal makinede tek bir programı çalıştırarak kendi çekirdeğimizi yaratmanın gerekli olduğunu düşünmekteyiz. Şişe soketi gibi "basitleştirilmiş sistemler" hakkında pek çok konuşma yapılıyor, ancak 2020'de sanallaştırılmış dünyada sistem bileşenleri olmayan sıyırma sistem bileşenleri hakkında daha fazla konuşma var. Kullanıcılar kimler? Onlara kimin ihtiyacı var? Birden fazla işlem var mı, tek bir amacınız mı var, uzaktan etkileşimli olarak oturum açabiliyor musunuz?
Şimdi tamamen açık olmak gerekirse, tüm mühendislerimiz çok mutlu ve çok sayıda Linux kullanıcısı bunu oldukça uzun süredir kullanıyor. Bu çekirdek, Linux'un yerini alacak şekilde tasarlanmamıştır, çünkü Linux, birçok çekirdeğin çözmeye çalışmadığı birçok şey için kullanılmaktadır.
Örneğin, Nano'ları gerçek bir bilgisayarda asla doğrudan yapılandırmayacağız. Buna ssh desteği eklemeyeceğiz (yapabilsek bile). Onu masaüstü olarak çalıştırmayacağız. Bu yıl ilk yıl değil. Tek amacı, onu bir sunucu ortamında dağıtmaktır.
Konteyner gelecek mi? Her teknolojinin iki farklı sesi vardır, bir destek ve bir şüphe. Başkalarının sorgulama hakkını silemeyiz ama aynı zamanda inançlarımıza bağlı kalabilir, birbirimize tanıklık edebilir ve sonuçlarla konuşabiliriz.
Herhangi bir sorunuz veya başka bir yorumunuz varsa, lütfen yorum yapın ve bize bildirin.
Orijinal: https://www.linkedin.com/pulse/containers-future-ian-eyberg/
Bu makale bir CSDN çevirisidir, lütfen yeniden basımın kaynağını belirtin.
Sorumluluk Reddi: Bu makale, yazarın bağımsız bakış açısıdır ve CSDN'nin konumunu temsil etmez.
Sıcak makale önerisi
Yazılım sahtekarlığı sahtekarlığını ortaya çıkarmak: "günah keçisi" nasıl inşa edilir?
Eski kod kötü yazılmış, ne yapabilirim?
Python salgın sırasında küresel borsa trendini tarıyor ve gülemez ...
Programcılar kodun olmadığı bir çağda işlerini nasıl koruyabilirler?
Sıfırdan oluşturun: Yüz özelliği algılama için CNN ve TensorFlow kullanın
Başka bir ses: Konteyner gelecek mi?
Bitcoin'in benzersiz zaman zinciri, madencilik ücretleri ve tezgah üstü işlemlerin kavramlarını keşfedin
