במאמר הקודם שכתבתי על קונטיינרים ומכונות VM, דיברתי על עניין אבטחת מידע, וכיצד כלי כמו CRI-O יכול להחליף את Docker ובאותו זמן גם לאפשר לנו להריץ קונטיינרים שאיננו בוטחים בהם (Untrusted) בתוך QEMU. צורת עבודה זו מאפשרת לנו להנות מ-2 העולמות: לא צריכים לבנות את הקונטיינרים מחדש, ומצד שני האבטחה הרבה יותר רצינית.
הפעם נדבר על דבר הפוך וחדש.
לפני מס' חודשים השתתפתי בישיבה אצל חברה פיננסית גדולה מאוד ומוכרת. מטרת הישיבה – שיחה על מעבר עתידי לתצורת עבודה של Devops, שימוש ב-CI/CD, קונטיינרים, מתודות וכו'. בדרך כלל בישיבה כזו אני מבקש לדעת מה הכלים שבהם משתמשים כרגע, כמו שרתי אפליקציות, קומפיילרים, מערכות הפעלה וכלים אחרים, ולפי זה ניתן להעריך בהערכה גסה מה יהיה קל להעביר לקונטיינרים ול-Micro Services. במקרה של אותה חברה, היו כמה דברים שלהעביר אותם לקונטיינרים יהיה סיפור סופר-מורכב, ובחלק מהמקרים כנראה שלא אפשרי מכל מיני סיבות שלא אכנס אליהם. אלו הדברים שבדרך כלל אני רושם לעצמי בצד כדי לבדוק מה ניתן לעשות עבור הלקוח.
אצל חברות רבות (במיוחד אצל הגדולות) יש אלפי מכונות וירטואליות שמריצות דברים שונים, שלא קל להעביר או שאין תקציב/כח אדם להעביר לקונטיינרים, או שלא ממש אפשרי: מה עושים שהאפליקציה רצה כמכונת Windows וירטואלית עם 1001 תלויות לדוגמא? מה אם מדובר ב-VM שאין לאף אחד קוד להעביר לקונטיינר? אלו אינן בעיות תיאורטיות אלא בעיות אמיתיות שמקשות מאוד על מעבר לקונטיינרים. אחרי הכל, אף חברה גדולה לא הולכת לזרוק את תשתית הוירטואליזציה ולעבור לקונטיינרים.
כאן נכנס לתמונה כלי חדש של רד-האט שנקרא Kubevirt.
Kubevirt בעקרון עושה משהו הפוך ממה ש-CRI-O עם Kata containers עושה: עם CRI-O אנחנו מריצים קונטיינרים בתוך VM מינימלי, ואילו Kubevirt מריץ מכונה וירטואלית בתוך POD, וכן, אני מדבר על המכונה הוירטואלית המלאה – עם OS ואפליקציות משלה, שמתורגמת ישירות מ-VMWare או מ-OVA.
במילים אחרות – אנחנו נריץ VM כ-קונטיינר! (וכן, נקבל את האבטחה המלאה של ה-VM).
כך ניתן בעצם עם Kubevirt לקחת את אותן מכונות וירטואליות שלא ניתן להמיר לקונטיינרים, להריץ אותן ישירות בתוך Kubernetes או OpenShift ובדרך להינות מדברים כמו Scaling ועוד פיצ'רים שמערכת Kubernetes/OpenShift מספקת, מבלי שנהיה תקועים עם דברים שאי אפשר להמיר לקונטיינרים. כך לדוגמא אצל אותה חברה פיננסית גדולה, כל מה שאצטרך לעשות זה להמיר את ה-VM (ליתר דיוק את הדיסק) ל-Persistent Volume ובקובץ ה-YAML להשתמש ב-PVC על מנת "לחבר" את ה"דיסק") לאותו VM.
נכון לגרסה הנוכחית ישנן מספר מגבלות:
• אפשר להשתמש רק בדיסק קשיח יחיד
• יש רק כרטיס רשת אחד, וגם איתו אי אפשר לשחק הרבה הואיל והמערכת מבצעת Proxy בין ה-VM לתקשורת של ה-POD.
רד-האט, מפתחת Kubevirt, פרסמה לאחרונה פוסט בנושא.
לפניכם וידאו מעמיק על הטכנולוגיה, במהלכו אציג מה קורה "מבפנים":
למעוניינים, באתר Kubevirt יש מספר דוגמאות איך ניתן להשתמש בכלי עם Minikube, בתוך Cluster של Kubernetes, בתוך AWS, ובתוך GCP.
הערה: הכלי נמצא במצב Preview והוא עדיין בפיתוח.
,מאת: חץ בן חמו
http://linvirtstor.net
?DevOps רוצים להתעדכן בתכנים נוספים בנושאי
הירשמו עכשיו לניוזלטר שלנו ותמיד תישארו בעניינים > להרשמה
במאמר הקודם שכתבתי על קונטיינרים ומכונות VM, דיברתי על עניין אבטחת מידע, וכיצד כלי כמו CRI-O יכול להחליף את Docker ובאותו זמן גם לאפשר לנו להריץ קונטיינרים שאיננו בוטחים בהם (Untrusted) בתוך QEMU. צורת עבודה זו מאפשרת לנו להנות מ-2 העולמות: לא צריכים לבנות את הקונטיינרים מחדש, ומצד שני האבטחה הרבה יותר רצינית.
הפעם נדבר על דבר הפוך וחדש.
לפני מס' חודשים השתתפתי בישיבה אצל חברה פיננסית גדולה מאוד ומוכרת. מטרת הישיבה – שיחה על מעבר עתידי לתצורת עבודה של Devops, שימוש ב-CI/CD, קונטיינרים, מתודות וכו'. בדרך כלל בישיבה כזו אני מבקש לדעת מה הכלים שבהם משתמשים כרגע, כמו שרתי אפליקציות, קומפיילרים, מערכות הפעלה וכלים אחרים, ולפי זה ניתן להעריך בהערכה גסה מה יהיה קל להעביר לקונטיינרים ול-Micro Services. במקרה של אותה חברה, היו כמה דברים שלהעביר אותם לקונטיינרים יהיה סיפור סופר-מורכב, ובחלק מהמקרים כנראה שלא אפשרי מכל מיני סיבות שלא אכנס אליהם. אלו הדברים שבדרך כלל אני רושם לעצמי בצד כדי לבדוק מה ניתן לעשות עבור הלקוח.
אצל חברות רבות (במיוחד אצל הגדולות) יש אלפי מכונות וירטואליות שמריצות דברים שונים, שלא קל להעביר או שאין תקציב/כח אדם להעביר לקונטיינרים, או שלא ממש אפשרי: מה עושים שהאפליקציה רצה כמכונת Windows וירטואלית עם 1001 תלויות לדוגמא? מה אם מדובר ב-VM שאין לאף אחד קוד להעביר לקונטיינר? אלו אינן בעיות תיאורטיות אלא בעיות אמיתיות שמקשות מאוד על מעבר לקונטיינרים. אחרי הכל, אף חברה גדולה לא הולכת לזרוק את תשתית הוירטואליזציה ולעבור לקונטיינרים.
כאן נכנס לתמונה כלי חדש של רד-האט שנקרא Kubevirt.
Kubevirt בעקרון עושה משהו הפוך ממה ש-CRI-O עם Kata containers עושה: עם CRI-O אנחנו מריצים קונטיינרים בתוך VM מינימלי, ואילו Kubevirt מריץ מכונה וירטואלית בתוך POD, וכן, אני מדבר על המכונה הוירטואלית המלאה – עם OS ואפליקציות משלה, שמתורגמת ישירות מ-VMWare או מ-OVA.
במילים אחרות – אנחנו נריץ VM כ-קונטיינר! (וכן, נקבל את האבטחה המלאה של ה-VM).
כך ניתן בעצם עם Kubevirt לקחת את אותן מכונות וירטואליות שלא ניתן להמיר לקונטיינרים, להריץ אותן ישירות בתוך Kubernetes או OpenShift ובדרך להינות מדברים כמו Scaling ועוד פיצ'רים שמערכת Kubernetes/OpenShift מספקת, מבלי שנהיה תקועים עם דברים שאי אפשר להמיר לקונטיינרים. כך לדוגמא אצל אותה חברה פיננסית גדולה, כל מה שאצטרך לעשות זה להמיר את ה-VM (ליתר דיוק את הדיסק) ל-Persistent Volume ובקובץ ה-YAML להשתמש ב-PVC על מנת "לחבר" את ה"דיסק") לאותו VM.
נכון לגרסה הנוכחית ישנן מספר מגבלות:
• אפשר להשתמש רק בדיסק קשיח יחיד
• יש רק כרטיס רשת אחד, וגם איתו אי אפשר לשחק הרבה הואיל והמערכת מבצעת Proxy בין ה-VM לתקשורת של ה-POD.
רד-האט, מפתחת Kubevirt, פרסמה לאחרונה פוסט בנושא.
לפניכם וידאו מעמיק על הטכנולוגיה, במהלכו אציג מה קורה "מבפנים":
למעוניינים, באתר Kubevirt יש מספר דוגמאות איך ניתן להשתמש בכלי עם Minikube, בתוך Cluster של Kubernetes, בתוך AWS, ובתוך GCP.
הערה: הכלי נמצא במצב Preview והוא עדיין בפיתוח.
,מאת: חץ בן חמו
http://linvirtstor.net
?DevOps רוצים להתעדכן בתכנים נוספים בנושאי
הירשמו עכשיו לניוזלטר שלנו ותמיד תישארו בעניינים > להרשמה
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר