Ресурсы кластера на графе
03 июля 2024
ID 273534
Kaspersky Security для контейнеров проверяет и отображает входящие в кластер ресурсы и связи между ними. Такая проверка проводится для всех кластеров с активными агентами.
Ресурсы кластера – это сущности или объекты, которые хранятся в оркестраторе и используются для представления состояния кластера. С их помощью можно получить информацию о запущенных контейнеризированных приложениях, месте их запуска (узлах), и доступных для них ресурсах. Также объекты кластера определяют стратегии управления запущенными приложениями (например, повторный запуск или обновление).
В интерфейсе Kaspersky Security для контейнеров объектом самого высокого уровня (объектом-родителем) является кластер. Он включает в себя пространства имен, в которых запускаются приложения. В свою очередь, приложения включают в себя поды и другие объекты.
Кластер представляет собой несколько физических или виртуальных машин (узлов), которые выполняют контейнеризированные приложения. В Kubernetes выделяются следующие виды узлов:
- Мастер-узел – реализует API-объекты и используется для управления кластером и ресурсами в нем.
- Рабочий узел – используется для запуска полезной рабочей нагрузки. В состав кластера входит один или несколько рабочих узлов.
Kaspersky Security для контейнеров отображает кластер на графе с помощью значка кластера ().
В зависимости от требуемого уровня детализации, с которой показываются ресурсы кластера, Kaspersky Security для контейнеров отображает необходимый тип графа: граф пространства имен или граф приложений. В таблице далее представлены все объекты, которые могут входить в состав кластера и показываются на графе.
Объекты в составе кластера
Объект | Обозначение | Описание |
---|---|---|
Пространство имен (Namespace) | Механизм изоляции ресурсов в составе кластера. В состав пространства имен входят различные объекты, необходимые для конкретного рабочего пространства (например, Deployment, Service). Kaspersky Security для контейнеров может группировать пространства имен на графе и отображать такую группу объектов с указанием количества сущностей в ней (например, | |
Под (Pod) | Сущность, включающая в себя один или несколько контейнеров с общими сетевыми ресурсами, а также набор правил для запуска входящих в под контейнеров. | |
Приложение (Application) | Группа объектов в кластере, которая в Kaspersky Security для контейнеров условно считается одной сущностью. Приложение формируется из следующих объектов:
Отдельные поды не формируют приложение. Они продолжают функционировать в составе пространства имен и на графе показываются отдельно. | |
Deployment | Объект, включающий в себя набор правил, которые описывают поды и запуск приложений в них, количество реплик подов, а также порядок их замены в случае изменения характеристик. | |
DaemonSet | Объект, отвечающий за создание и запуск подов из одного и того же образа на всех узлах кластера. В Kaspersky Security для контейнеров DaemonSet используется для размещения агента (node-agent) на каждом узле кластера для получения информации и управления процессами в подах. | |
Ingress | Объект, который обеспечивает внешний доступ к сервисам в кластере, как правило, с помощью протоколов HTTP и HTTPS. | |
ReplicaSet | Объект, который обеспечивает выполнение реплик пода. ReplicaSet поддерживает наличие определенного количества одинаковых подов. | |
Secret | Объект для хранения конфиденциальной информации (например, пароля, токена или ключа). Secret позволяет не хранить такие данные в коде приложения. Secret создается отдельно от подов, которые используют такие объекты для хранения конфиденциальной информации. Это снижает риск раскрытия секретов при создании, просмотре и изменении подов. | |
Service | Объект, описывающий сетевые возможности приложений в подах. Service объединяет поды в логические группы, перенаправляет к ним трафик, а также балансирует нагрузку между ними. | |
Endpoints | Список конечных точек сети, к которым обращается объект Service, чтобы определить, на какие поды можно направлять трафик. | |
StatefulSet | Объект рабочей нагрузки, который используется для управления приложениями с отслеживанием и сохранением их состояния. StatefulSet используется в приложениях, которые требуют следующего:
| |
ConfigMap | Объект для хранения неконфиденциальной информации в парах типа "ключ-значение". ConfigMap в подах используется как переменная окружения, аргумент командной строки или файл конфигурации в составе тома. Использование ConfigMap позволяет разделить заданные окружением параметры конфигурации и образы в контейнере, чтобы облегчить переносимость используемых приложений. | |
Persistent volume (PV) | Специально выделенный постоянный ресурс (том) для хранения данных подов в кластере. PV не зависит от подов, хранит находящуюся в нем информацию и при реализации множественного доступа дает возможность другим подам использовать эту информацию. | |
Persistent volume claim (PVC) | Заявка на хранение данных с указанием требований к хранилищу (PV), которую формирует пользователь. Например, в PVC может указываться необходимый объем хранилища и режим доступа к данным в нем (например, одиночный доступ для чтения или множественный доступ для чтения и записи). |