Seminar Docker und Kubernetes

Administration von Docker Containern

Erstellen / Verwalten von Images und Containern

Container-Grundlagen und Administration

• Container vs. VM: Einsatzgebiete, Vor- und Nachteile, Portabilität
• Kontinuierliche Integration/kontinuierliche Bereitstellung, Microservices
• Dedizierte Container-Plattformen wie Red Hats RHCOS und SUSEs CaaS vs. Full-Featured VMs
• Container-Engines: CRI-O vs. Docker, Container- und Image-Obsolescitism Tools abseits von Docker: Podman, Buildah, Skopeo
• Funktionaler Überblick: Verstehen, Lesen und Setzen von Containern und Kernel-Namespaces, Kernel-Fähigkeiten
• Images ziehen, inspizieren und verwalten
• Starten und Verwalten von Container-Instanzen, Begrenzen derselben
• Eigene "vertrauenswürdige" Images erstellen: Dockerfile, BuildDirectives, und Build-Prozess
• Red Hats Container-Katalog, Red Hats Universal Base Image (UBI), UBI-init Container

Container-Sicherheit

• Grundlegende Überlegungen zur Sicherheit
• SSL/TLS
• Vertrauenswürdige Registry
• Nexus Repository (NRM)
• Bilder: Scannen auf Schwachstellen (CVE), Signieren und Verifizieren von Bildern. Host-Sicherheit
• Registry-Authentifizierung über LDAP / AD
• Konzeptueller Überblick: Rollen und Privilegien / RBAC-Modelle

Container-Cluster / Orchestrierung

Konzeptionelle Überlegungen

• Designansätze, Konzepte und Orchestrierungswerkzeuge für Container-Cluster
• Vanilla Kubernetes vs. OpenShift, Cloud vs. on-premise
• Monitoring/HA-Mechanismen und Ansätze
• Service-Erkennung und Key/Value Stores, Quorum, RAFT
• Microservices und ID-Mapping-Probleme in Container-Clustern, zentralisierte Lösungen mit SSSD und LDAP/Active Directory

Container-Cluster mit Kubernetes (K8s)

• Kubernetes-Komponenten und Architektur: Master + Worker, Nodes, etcd als Key Value Store, Vernetzung mit weave, alternative Netzwerk-Plugins
• Control-Plane-Komponenten und wie Sie arbeiten: API-Server, Controller-Manager, Scheduler, etcd, Kubelets
• Aufbau eines Multi-Master-K8s-Clusters
• Strategien für produktionssystemtaugliche Hochverfügbarkeit der Kernkomponenten von K8
• HA für Pod-basierte Kontrollpläne von Kubernetes >= 1.15
• Überblick: Rollout-Varianten: Bare Metal / VM, Pod-basiert per kubeadm, Alternativen
• Management-Tools: Management des Clusters über kubectl, k9s, grafische UI's (Kubernetes Dashboard)
• K8s und RBAC: Benutzer- und Systemrollen, Authentifizierung und Autorisierung, Rollen und RoleBindings, Kontexte, Zugriffslimits, NetworkPolicies und mehr
• API-Schemata/Versionen und K8s-Ressourcen/Workloads
• Verstehen und Bearbeiten von YAML-Manifesten, Editoren
• Container, Pods, Replica-Sets, Deployments, DaemonSets, ConfigMaps, Namespaces, Services, Ingress und mehr
• Pod-Auto-Reload bei ConfigMap-Änderung
• Deployment? DaemonSet? Oder StatefulSet?
• Service-Netze: Wie es funktioniert und implementiert wird. Istio Komponenten, Envoy Proxies, Komplexität vs. Nutzen
• Praktische Mesh-Beispiele mit Istio: Routing / Traffic-Verschiebung, Tracing
• Servless Computing mit Istio und Knative
• Health-Checks: Liveness und Readiness Probes, Best Practices
• Dienste, die der Außenwelt ausgesetzt sind, Diensttypen, Headless Services, Labels und Selektoren
• MetalLB: containerisierter LoadBalancer für On-Premise-Systeme
• Auto-Respawning und Skalierbarkeit: Scale-up/Out und Scale-Down
• HPA: Horizontaler Pod-Autoscaler
• VPA: Vertical Pod Autoscaler - automatische Anpassung von Limits und Requests zur effizienteren Nutzung von Worker Nodes
• Rolling Updates / Rollbacks, Revisionshistorie
• Operator-Ressourcen: Der intelligente Admin im Container, Ressourcen im Operator Hub
• Überwachung und Metriken: kube-metrics/metrics-server, Prometheus und Grafana, der Prometheus-Operator
• Logging mit zentralem EFK (ElasticSearch/Fluentd/Kibana) Stack
• Scheduler und Placement-Strategien: Limits Requests, Quotas, QoS-Klassen, PDBs, Prioritäten
• Speicherkonzepte für Container-Cluster: Blöcke vs. Datei
• Konzeptueller Überblick: Softwaredefinierte Speicher-Backends für Container-Cluster
• Persistente und dynamische Speicher-Volumes, automatische Bereitstellung über Persistent Volume Claims, Storage Classes und Auto-Provisioner
• Containerisiertes SDS (Ceph) mit Rook