Terugblik op de Kubernetes meetup @ CINQ ICT

CINQ / DevOps  / Terugblik op de Kubernetes meetup @ CINQ ICT

Terugblik op de Kubernetes meetup @ CINQ ICT

De “Dutch Kubernetes / cloud native meetup” is één van de wereldwijd vele door CNCF gesteunde communities waar enthousiastelingen van de cloudnative wereld bij elkaar komen. Eens per maand wordt op een wisselende locatie in Amsterdam en omstreken een meetup georganiseerd door deze community – op 13 maart was het aan ons!

Azure Kubernetes Services

Na de ontvangst met pizza mocht onze eigen DevOps engineer Thijs het spits afbijten met zijn presentatie. “The right way to expose Azure Kubernetes Services”, een verslag van het onderzoek dat hij samen met andere CINQ collega’s bij één van onze opdrachtgevers heeft uitgevoerd.

Thijs aan het woord

De opdracht van de klant:

Geef ons de mogelijkheid om Kubernetes op Azure te gebruiken, op een manier die makkelijk te beheren is, makkelijk is voor developers en die by default secure is.

Makkelijker gezegd dan gedaan. Een nadeel van Azure Kubernetes Services is dat er automatisch gebruik wordt gemaakt van een public IP en public API, een nog groter nadeel is dat deze public exposure niet makkelijk te limiteren valt in AKS zelf.

Er zijn verschillende opties om dit op te lossen, zoals de Azure NGINX ingress controller, gebruik van de Azure Application Gateway en de in beta versie van azure-ingress.

De oplossing

Uiteindelijk is gekozen voor een custom load balancer appliance, de F5 BIG-IP Logical traffic manager. De grote voordelen hiervan zijn dat je het public IP kunt instellen en https kunt enforcen, controle hebt over poorten, en het heeft een REST API waarmee je gebruikers via self-service een bepaalde mate van controle kunt geven.
Nadelen hiervan zijn de mogelijk hoge kosten (licensie is afhankelijk van hoeveelheid bandbreedte) en je moet wat extra codewerk verrichten om het goed ingericht te krijgen. Voor een grote enterprise omgeving, in dit geval bij een semi-overheidsinstelling, een mooie oplossing!

Kubernetes event log

Sessie #2 werd gegeven door Mateo Burillo van Sysdig. Zijn presentatie met de titel “Detecting activity in the Kubernetes event log” was in een mooie demo van een nieuw open source project genaamd Falco. Inmiddels is Falco een CNCF sandbox project geworden.

Wat is Falco?

Met Falco kun je een set aan regels instellen die vervolgens, op basis van de activiteiten in het Kubernetes event log, realtime notificaties en waarschuwingen kan geven. Hiermee krijg je inzicht in het gedrag van je containers en cluster.

Falco beschikt over een grote set aan standaard regels, maar je kunt ook zelf instellen wat jij normaal gedrag vindt voor je containers – en voor elke afwijking een alert maken. Deze alerts kun je vervolgens in bijvoorbeeld Slack of Fluentd laten weergeven.

Falco in actie:

Falco in actie

Meer informatie over Falco vind je op de website van Sysdig.

No Comments
Post a Comment