Formation Kubernetes Avancé : Administration en Production

PROGRAMME DE NOTRE FORMATION KUBERNETES AVANCÉE

ADMINISTRATION DE KUBERNETES EN PRODUCTION

• Configuration avancée de kubeadm
• Mise en place automatisée d’un cluster Kubernetes On-Premise
• Sécurisation d’un cluster Kubernetes On-Premise pour la production
• Mise en place de la haute disponibilité pour le Control-Plane
• Mise à jour automatisée en mode Rolling Update du Control-Plane et des noeuds Kubernetes
• Virtuosité dans l’utilisation de kubectl pour la CKAD
• Intégration continue dans le Cloud avec kind
• CRI: crictl, Docker et Containerd

ARCHITECTURE DE KUBERNETES

• Les composants du Control Plane et des noeuds de travail:
• Philosophie Unix des composants
• Fonctionnement de la boucle de réconciliation et du Controller Kubernetes
• Fonctionnement de etcd en mode haute-disponibilité
• Fonctionnement interne de l’API server: authentification, autorisation et Admission Control
• Gestion des contrôleurs d’admission
• Extension du cycle de vie du serveur d’API avec les MutatingAdmissionWebhook et les ValidatingAdmissionWebhook
• Description de l’algorithme du Scheduler Kubernetes, prédicats et priorités
• Configuration déclarative
• Groupement implicite ou dynamique
• Interactions pilotées par les API
• Cinématique de création d’un Pod à partir d’un Deployment
• Kube-proxy: fonctionnement avancé du réseau virtuel des Services
• Service discovery avec CoreDNS
• Description de la structure interne d’un Pod et du conteneur d’infrastructure

GESTION DES UTILISATEURS ET DROITS D’ACCÈS

• Authentification: certificats, tokens, et Dex
• Paramétrage du fichier Kubeconfig avec les Configuration Contexts
• Gestion des ServiceAccounts
• Sécuriser le pilotage du cluster avec les autorisations RBAC
• Role et ClusterRole, RoleBinding et ClusterRoleBinding
• Création de RBAC simples et génériques pour piloter un cluster de production

SÉCURITÉ

• Sécuriser l’exécution des processus Unix dans les Pods
• SecurityContext: Mode privileged, Linux Capabilities, sécurisation des processus Unix
• Industrialiser la sécurité des Pods avec les PodSecurityPolicies
• Choix d’un plug-in réseau CNI sécurisé et performant
• Industrialiser la sécurité du réseau (L4) avec les NetworkPolicies (ingress et egress)

QUALITÉ DE SERVICE

• Utilisation optimale des ressources matérielles grâce aux Requests et Limits
• Classes de QoS: Guaranteed, Burstable et BestEffort
• Contrôle d’allocation des ressources par Namespace avec les ResourceQuota
• Contrôle d’allocation des ressources par Pod avec les LimitRange

OPTIMISATION DU SCHEDULER

• Contrôle de la planification avec les Labels et les Affinités
• NodeSelector, NodeAffinity, PodAffinity, PodAntiAffinity
• Taints and Tolerations

MONITORING

• Objectifs de surveillance et de journalisation
• Automatiser le monitoring avec l’opérateur Prometheus
• Obtenir et agréger les métriques de votre cluster et de vos applications
• AlertManager: gestion et routage des alertes
• Visualiser et interagir avec vos données avec Grafana

Operators, Helm & EFK (+1 jour)

• Présentation des méthodes d’extension de Kubernetes : les Operators
• Ajouter des API customisées à Kubernetes: les CustomResourceDefinitions
• Créer ses opérateurs avec l’Operator-Framework et l’Operator-SDK
• Helm 2 et Helm 3
• Gestion des logs avec la pile EFK (ElasticSearch, Fluentd, Kibana)

INTRODUCTION À ISTIO & LINKERD (+1 jour – uniquement sur demande en équipe)

• Service Mesh
• ISTIO
• LINKERD2 (Conduit)
• Harbor

Modules Cloud Complémentaires

Préparer la production (1 journée)

• Pipeline de CI/CD: théorie et mise en oeuvre (GihubActions/ArgoCD)
• Les Services Mesh: fonctionnement et cas pratique avec Istio
• Ingress: fonctionnement et cas pratique avec nginx-controller

Services de gestion de conteneurs du Cloud public ou Multi-Cloud: les exemples de Google Kubernetes Engine et de Rancher (½ journée)

Outils avancés de déploiement pour Kubernetes (½ journée)

• Les Operators
• Ajouter des API customisées à Kubernetes: les CustomResourceDefinitions
• Créer ses opérateurs avec l’Operator-Framework et l’Operator-SDK
• Helm: présentation et exemple avec la gestion des logs EFK (ElasticSearch, Fluentd, Kibana)

Accompagnement et conseil sur des cas pratiques proposés par les stagiaires (½ journée à 1 jour)