Tipps zur Einrichtung von Containern

Wenn möglich, sollten Sie versuchen, sich auf ein gängiges Basis-Betriebssystem für Container zu standardisieren.

Kleinere Distributionen wie Alpine und BusyBox reduzieren die Größe des Container-Images und weisen im Allgemeinen eine kleinere Angriffsfläche bzw. Schwachstellenoberfläche auf.

Beliebte Distributionen wie Ubuntu, Fedora und CentOS sind erprobter und bieten mehr Funktionalität.

Wenn Ihr Mikrodienst ein eigenständiges statisches Binary ist, sollten Sie einen FROM scratch-Container verwenden.

Der FROM scratch-Container ist ein offizielles Docker-Image, das leer ist, sodass Sie es verwenden können, um minimale Images zu entwerfen.

Dies wird die kleinste Angriffsfläche und die kleinste Imagegröße aufweisen.

Wenn möglich, verwenden Sie einen nicht privilegierten Benutzer, wenn Sie Prozesse innerhalb Ihres Containers ausführen. Obwohl Container-Laufzeiten Isolation bieten, sind Schwachstellen und Angriffe weiterhin möglich. Unbeabsichtigte oder versehentliche Host-Mounts können ebenfalls betroffen sein, wenn der Container als Root ausgeführt wird. Für Details zur Konfiguration eines Sicherheitskontexts für einen Pod oder einen Container verweisen Sie auf die Kubernetes-Dokumentation.

Wenden Sie CPU- und Speicherlimits auf Ihre Pods an. Dies kann helfen, die Ressourcen auf Ihren Arbeitsknoten zu verwalten und zu vermeiden, dass ein fehlerhafter Mikrodienst andere Mikrodienste beeinträchtigt.

In standard Kubernetes können Sie Ressourcengrenzen auf Namespace-Ebene festlegen. In Rancher können Sie Ressourcengrenzen auf Projektebene festlegen, und diese werden auf alle Namespaces innerhalb des Projekts propagiert. Für Details siehe die Rancher-Dokumentation.

Beim Festlegen von Ressourcenquoten sollten Sie, wenn Sie auf einem Projekt oder Namespace Einstellungen bezüglich CPU oder Speicher (d.h. Limits oder Reservierungen) vornehmen, sicherstellen, dass bei der Erstellung jedes Containers das entsprechende CPU- oder Speicherfeld gesetzt wird. Um zu vermeiden, dass diese Limits bei jeder Containererstellung festgelegt werden, kann ein Standard-Ressourcengrenzwert für Container auf dem Namespace festgelegt werden.

Die Kubernetes-Dokumentation enthält weitere Informationen dazu, wie Ressourcengrenzen auf der Container-Ebene und der Namespace-Ebene festgelegt werden können.

Sie sollten CPU- und Speicheranforderungen für Ihre Pods anwenden. Dies ist entscheidend, um dem Scheduler mitzuteilen, auf welchem Typ von Rechenknoten Ihr Pod platziert werden muss, und um sicherzustellen, dass dieser Knoten nicht überprovisioniert wird. In Kubernetes können Sie eine Ressourcenanforderung festlegen, indem Sie resources.requests im Feld für Ressourcenanforderungen in der Container-Spezifikation eines Pods definieren. Für Details siehe die Kubernetes-Dokumentation.

Es wird empfohlen, Ressourcenanforderungen auf Container-Ebene zu definieren, da der Scheduler andernfalls Annahmen trifft, die wahrscheinlich nicht hilfreich für Ihre Anwendung sind, wenn der Cluster unter Last steht.

Richten Sie Liveness- und Readiness-Probes für Ihren Container ein. Sofern Ihr Container nicht vollständig abstürzt, erkennt Kubernetes nicht, dass er nicht funktionsfähig ist, es sei denn, Sie erstellen einen Endpunkt oder Mechanismus, der den Status des Containers melden kann. Alternativ stellen Sie sicher, dass Ihr Container anhält und abstürzt, wenn er ungesund ist.

Die Kubernetes-Dokumentation zeigt, wie Sie Liveness- und Readiness-Probes für Container konfigurieren.