:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/7e/5b/7e5b4bed22568661f357f4a0dcd9a739/0114219395.jpeg "Das Ergebnis ist ein schmucker Blindtext-Generator per Shortcode, der praktisch aber wenig sinnvoll ist. (Bild: Rentrop)")
:quality(80)/p7i.vogel.de/wcms/0a/96/0a96a5466d57862cf0bc9c8f96ec187e/0114288251.jpeg "In der EMEA-Region sind Software-Schwachstellen offenbar häufiger und kritischer als in anderen Regionen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/63/d2/63d2f4e43c55e2140ec3bd9b96d19d5c/0114247757.jpeg "Zumindest in der jetzigen Form wird künstliche Intelligenz keine Jobs vernichten, sondern vielmehr ergänzen. (Bild: <a href=https://pixabay.com/de/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/2e/25/2e255287e57b5c4fd0deade8cd8e58b7/0114431948.jpeg "Wie weit Unternehmen bei der DevOps-Automatisierung vorangeschritten sind, hat Dynatrace genauer untersucht. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/4c/c64c6a3dba991b444c94fd5d178865c1/0114305357.jpeg "Die europäische Ausgabe der Progress ChefConf gastiert dieses Jahr in München. (Bild: Progress)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c30840530ef2f3d100c3ff2c5ef95/0114190148.jpeg "Immer mehr Developer haben angesichts des Stresses mit Burnout-Symptomen zu kämpfen, Clean Coding kann Abhilfe schaffen. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/14/92/149229c3cdb94b319e006f52423c09db/0114168289.jpeg "Eine Kombination aus Rust und Python – oder Python und Rust – kann die Vorteiler beider Programmiersprachen vereinen. (Bild: <a href=https://pixabay.com/users/artdemarta-6006022/>Marta Bellés</a>)")
:quality(80)/p7i.vogel.de/wcms/45/93/45930907cccf8cb2ca621cb6555cf717/0114183021.jpeg "SQL-Datenbanken lassen sich unproblematisch hin zu PostgreSQL migrieren, Unternehmen sollten diesen Schritt trotzdem gut vorbereiten. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Security spielt die erste Geige Kubernetes 1.22 erfüllt die Anforderungen der Branche
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
„Kubernetes 1.22“ ist seit wenigen Wochen verfügbar. Grund genug, einen Blick auf die neueste Version der Open-Source-Container-Orchestrierung zu werfen. Wie reagiert sie auf die Herausforderungen des Datacenter-Multicloud-alles-sicher-Anspruchsdenkens?
Mitte des Jahres widmete sich der „Kubernetes and Cloud Native Operations Report“ genau diesem Thema. Für den Bericht wurden 1.200 IT-Profis und sieben Branchenexperten zu Cloud native befragt. Es ging im Einzelnen um Nutzungsgewohnheiten, Herausforderungen, Ziele und Wünsche der Anwender und Unternehmen bei dieser noch recht neuen Methode, Software zu entwickeln und bereitzustellen.
Diese Kubernetes-Version setzt ein klares Signal hin zu mehr Sicherheit. Drei der wichtigsten neuen Funktionen widmen sich der Sicherheit.
Ein kurzer Blick in den Bericht zeigt, dass dies den Bedürfnissen der Anwender entspricht. In erster Linie treibt sie die Sorge um die Sicherheit um: 46 Prozent sind der Meinung, dass die Sicherheit für DevOps-Entwickler, die mit nativen Cloud-Technologien arbeiten, ganz oben stehen sollte. Auch bei der Entwicklung von Containern beziehungsweise der Implementierung einer Edge-Strategie hat Security mit 56 beziehungsweise 49 Prozent die oberste Priorität.
Sicherheit von Kubernetes steht an erster Stelle
Diese neuen Kubernetes-Sicherheitsfunktionen sollten dem Wunsch der Entwickler entgegenkommen:
- 1. Cluster-weites seccomp-Profil: In Kubernetes 1.22 ist jetzt ein Cluster-weites seccomp-Profil standardmäßig enthalten. Seccomp hat im Linux-Kernel die Aufgabe, Prozesse an eine sehr begrenzte Anzahl von Systemaufrufen zu binden. Vor 1.22 erlaubte Kubernetes zwar bereits die Ausführung von Containern unter Verwendung eines seccomp-Profils. Die Funktion läuft immerhin schon seit Kubernetes 1.19 stabil, musste aber bisher optional über ein ‚Opt-in‘ aktiviert werden. Als Standardeinstellung kann die Funktion nunmehr verhindern, dass Hacker eine Vielzahl von bekannten Schwachstellen und Sicherheitsrisiken (CVEs) und Zero-Day-Schwachstellen ausnutzen.
- 2. Container im Rootless-Modus: Das Ausführen von Containern als Nicht-Root-Benutzer ist die wichtigste Best Practice für die Containersicherheit. Kubernetes 1.22 nutzt dieses Konzept in vollem Umfang genutzt, so dass die K8s-Steuerungsebene im Benutzerbereich ausgeführt werden kann.
Insbesondere kann kubeadm nun bei Bedarf nicht als root betrieben werden, indem die Steuerungsebene mit niedrigeren Rechten ausgeführt wird. Die übrigen Komponenten des Kubernetes-Knotens können versuchsweise auch nicht als root arbeiten. Das macht es Angreifern bei einem kompromittierten Kubernetes-Cluster deutlich schwerer, die zugrunde liegende Infrastruktur zu attackieren.
- 3. PodSecurity-Zulassung zur Ersetzung von PodSecurityPolicy: Eine neue Funktion zum Zulassen von PodSecurity ist nun enthalten. Sie soll die seit Kubernetes 1.21 veraltete PodSecurityPolicy ersetzen. Der PodSecurity Admission Controller setzt Pod-Sicherheitsstandards auf der Ebene von Namensbereichen durch. Dem Bericht zufolge ist diese Methode der de facto-Weg zum Isolieren von Anwendungen in Kubernetes.
Der Admission Controller verfügt über drei Stufen zum Durchsetzen der Richtlinien:
- Enforce – Richtlinienverstöße führen zur Ablehnung des Pods.
- Audit – Richtlinienverstöße lösen einen Audit-Vermerk aus, sind aber ansonsten zulässig.
- Warn – Richtlinienverstöße lösen eine Warnung für den Benutzer aus, sind aber ansonsten zulässig.
Das Öffnen von Windows für neue Welten
Zahllose Unternehmen haben in der Vergangenheit Software für „Microsoft Windows“ entwickelt und betrieben. Das Betriebssystem hat zwar noch eine gewisse Wegstrecke vor sich, bevor es ein „erstklassiger Bewohner der Kubernetes-Plattform“ geworden ist. Kubernetes 1.22 kommt aber mit ein paar Verbesserungen und Erleichterungen für das Erstellen und Betreiben von Containern in großem Maßstab unter Windows daher.
So werden privilegierte Container, die bereits unter Linux verfügbar sind, nun auch unter Windows unterstützt. Sie haben direkten Host-Zugriff und sind für Verwaltungs-, Sicherheits- und Überwachungszwecke recht nützlich, auch wenn sie nicht für alle Workloads geeignet sind.
Im Rahmen der Neuerungen für Windows sind mit der Version 1.22 außerdem neue Entwickler-Tools veröffentlicht worden. Sie unterstützen verschiedenen CNI-Anbieter und sind auf mehreren Plattformen lauffähig. Über das manuelle Erstellen von Windows-Binärdateien für „Kubelet“ und „Kube-Proxy“ ermöglichen sie es auch, Early-Support Kubernetes-Funktionen unter Windows zu testen. Schließlich ist die CSI-Unterstützung für Windows, die zunächst als Alpha-Funktion in Kubernetes 1.16 veröffentlicht wurde, nun allgemein verfügbar.
Absichtsbezogene Konfiguration
Eine der von Canonical entwickelten Technologien, die auch Teil der CNCF-Landkarte ist, ist das Charmed Operator Framework. Dieses Cloud Native Landscape Project der Cloud Native Computing Foundation (CNCF) soll das bisher unerforschte Terrain der Cloud Native Technologien kartieren und die meisten Projekte und Produktangebote im Bereich der Cloud Native-Technologien zu kategorisieren.
Das Framework erlaubt es Benutzern vom Konfigurations-Management zum Anwendungs-Management überzugehen, indem sie die Geschäftsziele in einem Modell erfassen. Bei der Auswertung des Berichts zeigte es sich, dass die meisten Befragten, obwohl sie sich noch in einem frühen Stadium ihrer K8s-Reise befinden, Charmed Operators unbedingt ausprobieren wollten.
Es gibt noch viel zu tun, um das gesamte Management des Kubernetes-Lebenszyklus zu verbessern; die Einführung der Operator-Pattern ist dabei eine wichtige Etappe. Aktuell ergänzt Kubernetes mit Erweiterungen, die es den Benutzern ermöglichen, Cluster und Implementierungen intuitiver zu konfigurieren.
Auch der Schritt von Server-side Apply in den stabilen Modus in der Version 1.22 ist wichtig. Diese Funktion erlaubt es, Ressourcen über deklarative Konfigurationen zu verwalten. Änderungen an einer Ressource können Feld für Feld nachverfolgt werden, wobei ein fein abgestuftes Berechtigungsmodell implementiert wird.
Server-side Apply soll den Befehl kubectl apply ersetzen; der Mechanismus erleichtert es Benutzern und Controllern durch das Spezifizieren ihrer Absicht, Änderungen an ihren Konfigurationen vorzunehmen. Die neue Logik ist in den Kubernetes-API-Server implementiert, um die meisten Fallstricke von kubectl apply zu beheben und die Operationen direkt über die K8s-API zugänglich zu machen.
* Alex Chalkias ist Produktmanager für Datacenter bei Canonical.
(ID:47812584)
:quality(80)/p7i.vogel.de/wcms/9a/45/9a4595327043bb1e15e16cc743704ccd/0106938563.jpeg "Der Operating Sytem Manager ist mit Version 2.21 der Kubermatic Kubernetes Platform fertig für Produktionsumgebungen. (Bild: Kubermatic)")
:quality(80)/p7i.vogel.de/wcms/71/a5/71a51643ccdb8261396103e508ecd63c/0103827662.jpeg "Kalt erwischt: Runtimes wie CRI-O, die das für Kubernetes erstellte Container Runtime Interface verwenden, verdrängen Docker zunehmend. (Bild: aaronburden)")