Ресурсы кластера на графе
Kaspersky Security для контейнеров проверяет и отображает входящие в кластер ресурсы и связи между ними. Такая проверка проводится для всех кластеров с активными агентами.
Ресурсы кластера – это сущности или объекты, которые хранятся в оркестраторе и используются для представления состояния кластера. С их помощью можно получить информацию о запущенных контейнеризированных приложениях, месте их запуска (узлах), и доступных для них ресурсах. Также объекты кластера определяют стратегии управления запущенными приложениями (например, повторный запуск или обновление).
В интерфейсе Kaspersky Security для контейнеров объектом самого высокого уровня (объектом-родителем) является кластер. Он включает в себя пространства имен, в которых запускаются приложения. В свою очередь, приложения включают в себя поды и другие объекты.
Кластер представляет собой несколько физических или виртуальных машин (узлов), которые выполняют контейнеризированные приложения. В Kubernetes выделяются следующие виды узлов:
- Мастер-узел – реализует API-объекты и используется для управления кластером и ресурсами в нем.
- Рабочий узел – используется для запуска полезной рабочей нагрузки. В состав кластера входит один или несколько рабочих узлов.
Kaspersky Security для контейнеров отображает кластер на графе с помощью значка кластера (
).
В зависимости от требуемого уровня детализации, с которой показываются ресурсы кластера, Kaspersky Security для контейнеров отображает необходимый тип графа: граф пространства имен или граф приложений. В таблице далее представлены все объекты, которые могут входить в состав кластера и показываются на графе.
Объекты в составе кластера
Объект |
Обозначение |
Описание |
|---|---|---|
Пространство имен (Namespace) |
|
Механизм изоляции ресурсов в составе кластера. В состав пространства имен входят различные объекты, необходимые для конкретного рабочего пространства (например, Deployment, Service). Kaspersky Security для контейнеров может группировать пространства имен на графе и отображать такую группу объектов с указанием количества сущностей в ней (например, |
Под (Pod) |
|
Сущность, включающая в себя один или несколько контейнеров с общими сетевыми ресурсами, а также набор правил для запуска входящих в под контейнеров. |
Приложение (Application) |
|
Группа объектов в кластере, которая в Kaspersky Security для контейнеров условно считается одной сущностью. Приложение формируется из следующих объектов:
Отдельные поды не формируют приложение. Они продолжают функционировать в составе пространства имен и на графе показываются отдельно. |
Deployment |
|
Объект, включающий в себя набор правил, которые описывают поды и запуск приложений в них, количество реплик подов, а также порядок их замены в случае изменения характеристик. |
DaemonSet |
|
Объект, отвечающий за создание и запуск подов из одного и того же образа на всех узлах кластера. В Kaspersky Security для контейнеров DaemonSet используется для размещения агента (node-agent) на каждом узле кластера для получения информации и управления процессами в подах. |
Ingress |
|
Объект, который обеспечивает внешний доступ к сервисам в кластере, как правило, с помощью протоколов HTTP и HTTPS. |
ReplicaSet |
|
Объект, который обеспечивает выполнение реплик пода. ReplicaSet поддерживает наличие определенного количества одинаковых подов. |
Secret |
|
Объект для хранения конфиденциальной информации (например, пароля, токена или ключа). Secret позволяет не хранить такие данные в коде приложения. Secret создается отдельно от подов, которые используют такие объекты для хранения конфиденциальной информации. Это снижает риск раскрытия секретов при создании, просмотре и изменении подов. |
Service |
|
Объект, описывающий сетевые возможности приложений в подах. Service объединяет поды в логические группы, перенаправляет к ним трафик, а также балансирует нагрузку между ними. |
Endpoints |
|
Список конечных точек сети, к которым обращается объект Service, чтобы определить, на какие поды можно направлять трафик. |
StatefulSet |
|
Объект рабочей нагрузки, который используется для управления приложениями с отслеживанием и сохранением их состояния. StatefulSet используется в приложениях, которые требуют следующего:
|
ConfigMap |
|
Объект для хранения неконфиденциальной информации в парах типа "ключ-значение". ConfigMap в подах используется как переменная окружения, аргумент командной строки или файл конфигурации в составе тома. Использование ConfigMap позволяет разделить заданные окружением параметры конфигурации и образы в контейнере, чтобы облегчить переносимость используемых приложений. |
Persistent volume (PV) |
|
Специально выделенный постоянный ресурс (том) для хранения данных подов в кластере. PV не зависит от подов, хранит находящуюся в нем информацию и при реализации множественного доступа дает возможность другим подам использовать эту информацию. |
Persistent volume claim (PVC) |
|
Заявка на хранение данных с указанием требований к хранилищу (PV), которую формирует пользователь. Например, в PVC может указываться необходимый объем хранилища и режим доступа к данным в нем (например, одиночный доступ для чтения или множественный доступ для чтения и записи). |
).
