Ресурсы Kubernetes

Автор Itworkroom
k8s

Ресурсы Kubernetes
Namespace* (ns) — позволяет организовывать ресурсы в неперекрывающиеся группы (для каждого потребителя ресурсов).

Развертывающие рабочие нагрузки
Pod (po) — основная развертываемая единица, содержащая один или более процессов в расположенных рядом контейнерах. Метки (Labels).
ReplicaSet — поддерживает одну или несколько реплик модуля.
ReplicationController (rc) [v1] – устаревший и менее функциональный эквивалент ресурса ReplicaSet.
Job — запускает модули, выполняющие завершаемую задачу.
CronJob [batch] — запускает назначаемое задание один раз или периодически.
DaemonSet (ds) — запускает одну реплику модуля в расчете на узел (на всех узлах или только на тех, которые соответствуют селектору узлов).
StatefulSet (sts) — запускает модули, имеющие внутреннее состояние, со стабильной идентичностью.
Deployment (deploy) — декларативное развертывание и обновление модулей.

Службы
Service (svc) [v1] — предоставляет доступ к одному или нескольким модулям на одной и стабильной паре IP-адреса и порта.
Endpoints (ep) — определяет, к каким модулям (или другим серверам) предоставляется доступ через службу.
NodePort — открывает сервис на том же порту каждого выбранного узла в кластере с помощью NAT. Делает сервис доступным вне кластера через :.
Ingress (ing) [extensions] — предоставляет внешним клиентам доступ к одной или нескольким службам через один доступный извне IP-адрес.

Конфигурация
ConfigMap (cm)  — словарь в формате «ключ-значение» для хранения незащищенных параметров конфигурации приложений и предоставления им доступа к ним.
Secret [v1] — словарь в формате «ключ-значение» для хранения конфиденциальных данных. (далее…)

Kubernetes (k8s) RoleBinding

Автор Itworkroom

В контексте Kubernetes (k8s) RoleBinding — это объект API, который предоставляет права, определённые в Role или ClusterRole, конкретному пользователю, группе пользователей или сервисному аккаунту в пределах определённого пространства имён (namespace).

Простыми словами: RoleBinding связывает «кто» (субъект) с «что можно делать» (роль).

Ключевые понятия

  1. Role (Роль): Набор правил, определяющих, какие действия (verbs: get, list, create, delete) разрешены над какими ресурсами (pods, services, deployments). Role действует только в рамках одного namespace.
  2. ClusterRole (Кластерная роль): Аналогична Role, но действует на уровне всего кластера. Используется для:
    • Ресурсов, не привязанных к namespace (например, nodespersistentvolumes).
    • Разрешения доступа к эндпоинтам API (например, /healthz).
    • Предоставления одинаковых прав во всех namespace сразу (если привязать через RoleBinding).
  3. RoleBinding (Привязка роли): Связывает Role с субъектами внутри одного namespace.
  4. ClusterRoleBinding (Кластерная привязка роли): Связывает ClusterRole с субъектами на уровне всего кластера.

(далее…)

Настройка RBAC через ClusterRoleBinding

Автор Itworkroom

В контексте описанной выше интеграции критически важно правильно разграничить доступ к Kubernetes-кластеру. Аутсорсинговая команда не должна иметь полный доступ ко всем неймспейсам — это риск безопасности. Используем ClusterRoleBinding и RoleBinding в связке с ServiceAccount или внешними identity-провайдерами (OIDC).

Сценарий

  • Есть аутсорсинговая DevOps-команда, которая управляет CI/CD, мониторингом и слаботочной инфраструктурой (IoT Hub).
  • Им нужен доступ только к определённым неймспейсам (monitoringiot-hubci-cd) с возможностью просмотра подов, логов, запуска отладки.
  • Доступ к нодам, secrets (кроме их собственных) и критическим компонентам (kube-system) — запрещён.

Решение: ClusterRole + ClusterRoleBinding (для глобальных прав) и RoleBinding (для неймспейс-специфичных)

Создадим ClusterRole с минимальными правами для чтения ресурсов во всём кластере (например, просмотр нод, storage classes — это бывает нужно для понимания топологии, но без права изменять). А затем через RoleBinding дадим более широкие (например, CRUD подов) только в нужных неймспейсах.
(далее…)

Как аутсорсинг, облака, слаботочные системы и DevOps/DevSecOps работают вместе

Автор Itworkroom

Любой бизнес всё чаще ищет способы сократить затраты на ИТ-инфраструктуру, повысить гибкость и безопасность. Четыре ключевых направления — ИТ-аутсорсинг, облачные решения, слаботочные системы и методологии DevOps / DevSecOps — перестали существовать изолированно. Их грамотное сочетание позволяет компаниям строить надёжную, масштабируемую и защищённую цифровую среду.

ИТ-аутсорсинг: передача сложности профессионалам

ИТ-аутсорсинг — это передача части или всех функций управления ИТ-инфраструктурой внешнему подрядчику. Сегодня он вышел за рамки простой поддержки «железа» и включает:

  • Управление облачной инфраструктурой (IaaS, PaaS, SaaS).
  • Мониторинг и администрирование серверов и сетей.
  • Поддержку пользователей (Service Desk).
  • Разработку и сопровождение ПО (в том числе по моделям DevOps).
  • Обеспечение информационной безопасности (SOC, пентесты, DevSecOps).

Плюсы: снижение CAPEX, доступ к экспертизе, фокус на основном бизнесе.
Минусы: потеря прямого контроля, риск утечки данных при неверном выборе партнёра.
(далее…)

От гаечного ключа к CI/CD: Как DevOps трансформирует ПО для мобильных техников

Автор Itworkroom

Мир технического обслуживания (Field Service) долгое время оставался «заповедником аналоговых технологий». Бумажные наряды, радиосвязь, интуиция старшего механика и «шаманство» с запчастями. Но сегодня, когда бизнес требует uptime 99.9%, а клиенты хотят знать, где находится сервисный инженер в реальном времени, на сцену выходит система для техников по обслуживанию (FSM) и ПО для мобильных сотрудников.

Но есть нюанс. Просто «оцифровать» бумажку — недостаточно. Чтобы система работала как часы, а не тормозила техника в поле, ее нужно строить по законам DevOps.

Что такое современная система для техников?

Современная FSM-система — это не просто CRM с календарем. Это сложный организм, который включает:

  1. Диспетчерский пульт (AI-планировщик): Автоматическое назначение задач с учетом навыков, геолокации и наличия запчастей.
  2. Мобильное приложение техника: Навигатор, база знаний, чек-листы, фотофиксация, сканер штрих-кодов, подпись клиента.
  3. Бэкенд и интеграции: ERP (SAP, 1С), складской учет, телеметрия оборудования (IoT).
  4. Аналитика: Время прибытия (ETA), время выполнения (TAT), First Time Fix Rate.

(далее…)