Техподдержка 24/7

Внедряем и настраиваем DevOps решения, поддерживаем разработку и IT-бизнес круглосуточно и без выходных

DevOps сопровождение проектов

DevOps сопровождение проектов

Внедрим CI/CD и настроим мониторинг, обеспечим бесперебойную работу IT инфраструктуры и отчетность, чтобы у вас не болела голова
DevOps инженеры и поддержка

SRE as a service

Повысим надёжность и доступность ваших систем. Оптимизируем инфраструктуру для минимизации простоев и лучшего пользовательского опыта
DevOps инженеры и поддержка

DevOps инженеры и поддержка

У наших инженеров максимальный спектр возможностей для поддержки рутинных задач — дайте разработчикам заниматься только разработкой
DevOps инженеры и поддержка

Настройка CI/CD и pipeline

Автоматизируем разработку и развертывание. Ускорим выпуск функций, уменьшим количество ошибок и обеспечим непрерывное обновление

Аудиты систем

Экспертно проанализируем любую систему и дадим подробный отчет за короткие сроки

Аудит ГТС

Аудит Kubernetes

Проверим стабильность работы кластеров, оптимизируем их и поможем масштабироваться
Аудит ГТС

Аудит CI/CD

Исправим то, что тормозит доставку обновлений, улучшим деплой и сократим time-to-market
Аудит мониторинга

Аудит мониторинга

Выявим потенциальные проблемы и сократим затраты на службы мониторинга за 1 месяц
Аудит PCI DSS 4.0

Аудит PCI DSS 4.0

Поможем пройти ежегодную сертификацию, чтобы вы работали с платежными данными — внедрим все требования аудитора
Аудит ГТС

Аудит ГТС

Подготовим системы к испытаниям ГТС для 100% соответствия требованиям информационной безопасности

Высокие нагрузки

Экспертно проанализируем любую систему и дадим подробный отчет за короткие сроки

Поддержка высоконагруженных систем

Поддержка высоконагруженных систем

Оптимизируем highload системы и возьмем на поддержку — обеспечим высокую отказоустойчивость 24/7
Нагрузочное тестирование

Нагрузочное тестирование

Проверим системы на производительность при высокой нагрузке, чтобы ничего не «упало» в важные моменты

Миграция в облако

Бережно перенесем ваши системы на облачные мощности или отговорим от этого решения в пользу «железа»

Миграция инфраструктуры

Миграция инфраструктуры

Перенесем виртуальные сервера, сети и базы данных, чтобы сократить затраты на физическое оборудования
Миграция приложений и данных

Миграция приложений и данных

Улучшим доступность и производительность, обеспечим защиту и упростим управление приложений и баз данных
Миграция платформы

Миграция платформы

Упростим процесс развертывания, перенеся разработку и тестирование в облако
Миграция рабочих процессов

Миграция рабочих процессов

Переведем CRM, ERP и другие системы на облачные мощности и интегрируем с другими сервисами

Kubernetes

Бережно перевезем ваши приложения в микросервисы, поддержим и модернизируем

Внедрение Kubernetes и Docker

Внедрение Kubernetes и Docker

Упакуем приложения в контейнеры и настроим развертывания Kubernetes — инфраструктура станет портативной и легко масштабируемой
Поддержка Kubernetes

Поддержка Kubernetes

Организуем поддержку кластеров 24/7 с прикрепленным менеджером и скоростью реакции на запросы до 15 минут — построим партнерство с вашей командой
DevOps инженеры и поддержка

Kubernetes для 1C Bitrix

Настроим отказоустойчивые кластеры для ваших сервисов на 1С Битрикс и возьмем на поддержку 24/7

AI и Big Data

Внедрим передовые технологии для работы с данными

DataOps

DataOps

Поддержим и ускорим процессы обработки данных — забудете про сбои и нехватку ресурсов в инфраструктуре
MLOps

MLOps

Интегрируем модели машинного обучения, чтобы решать бизнес-задачи обработки огромных объемов данных
MLOps

AI Engineering

Настроим, оптимизируем и возьмем на поддержку инфраструктуру для AI и ML проектов под ваши нужды

Web 3.0

Построим децентрализованные и безопасные системы на основе блокчейн и поможем разработать смарт-контракты для логики приложений

Помощь стартапам

Компенсируем МСБ и стартапам часть расходов — и реализуем на них наши услуги. ЕБРР субсидирует проекты на сумму до 10 000 евро: 50% оплачивает ЕБРР, 50% — клиент

Субсидии ЕБРР

Субсидии на DevOps

Только для стартапов — вернем до 50% стоимости на наши услуги и предложим экономически выгодные решения
Скидка на наши услуги от Astana Hub

Скидка на наши услуги от Astana Hub

DevOps услуги для бизнеса от Core 24/7 доступны со скидкой 25% на Astana Hub — действует на весь наш арсенал

Облачные вычисления

Настроим, оптимизируем и возьмем на поддержку облачные решения для бизнеса

AWS

AWS

Мировой лидер облачных решений для проектов с высокими требованиями к гибкости и масштабируемости
AWS

Yandex Cloud

Российское облако для СНГ проектов и локальным присутствием в Казахстане. Акцент на инструментах для анализа данных и разработки AI/ML
AWS

VK Cloud

Российская облачная платформа для СНГ проектов и локальным присутствием в Казахстане. Акцент на мощность и надежность
AWS

Google Cloud Platform

Лидер в инновациях облачных решений для создания гибких и мастштабируемых проектов
AWS

Microsoft Azure

Крупнейший поставщик облачных решений для сложных бизнес-задач и большой производительности
Oracle

Oracle Cloud

Гибридная облачная платформа мирового уровня с акцентом на высокую производительность, безопасность и корпоративные решения

Разработка и DevOps

Усилим вашу разработку мощными инструментами. Core 24/7 — официальный партнер вендоров ПО в Казахстане

GitLab

GitLab

Незаменимый инструмент для совместной разработки ПО, хранения и управления версиями кода. Реализуем, настроим и сократим time-to-market
Atlassian

Atlassian

Jira Software, Compass, Bitbucket и другие Аgile-инструменты для поддержки эффективной разработки

Автоматизация IT и бизнеса

Автоматизируем процессы и внедряем IT решения для повышения эффективности бизнеса.

Red Hat

Red Hat

Red Hat Enterprise Linux, OpenShift, Ansible и другие корпоративные программные решения для автоматизации IT-процессов
Atlassian

Atlassian

Jira, Confluence, Jira Align и другие Аgile-инструменты для ведения и ускорения бизнес-процессов
SUSE

SUSE

k3s, Rancher, Harverster и другие решения для защиты и ускорения IT-трека, оптимизации нагрузок и непрерывности бизнеса

Безопасность

Обеспечиваем безопасность на всех этапах разработки и эксплуатации ПО.

Nexus от Sonatype

Sonatype

Решения для управления безопасностью и жизненным циклом ПО: Nexus Repository, Firewall, Lifecycle
GitLab

GitLab

Незаменимый инструмент для совместной разработки ПО, хранения и управления версиями кода. Реализуем, настроим и сократим time-to-market
Red Hat

Red Hat

Red Hat Enterprise Linux, OpenShift, Ansible и другие корпоративные программные решения для автоматизации IT-процессов
JFrog

JFrog

JFrog Artifactory, Pipelines, Xray и другие решения для непрерывного управления выпусками ПО
SonarQube

SonarSource

Платформа, с которой ваш код на 25+ языках станет эффективнее, чище и безопаснее
SonarQube

CloudFlare

Инструменты для безопасности, производительности и надежности: защита от DDoS-атак, CDN для ускорения доставки контента, WAF для защиты веб-приложений и так далее

Data Processing Platform

Мощная платформа для сбора, обработки и хранения больших данных. Будьте на шаг впереди конкурентов

Помощь стартапам

Компенсируем МСБ и стартапам часть расходов — и реализуем на них наши услуги. ЕБРР субсидирует проекты на сумму до 10 000 евро: 50% оплачивает ЕБРР, 50% — клиент

Субсидии ЕБРР

Субсидии на DevOps

Только для стартапов — вернем до 50% стоимости на наши услуги и предложим экономически выгодные решения
Скидка на наши услуги от Astana Hub

Скидка на наши услуги от Astana Hub

DevOps услуги для бизнеса от Core 24/7 доступны со скидкой 25% на Astana Hub — действует на весь наш арсенал
Комьюнити DevOps

Оптимизация памяти в OPA:
переход на Kyverno для масштабирования Kubernetes

Многопользовательским кластерам Kubernetes нужны высокие требования к управлению политиками, чтобы гарантировать безопасность, соответствие нормативам и эффективное распределение ресурсов между всеми арендаторами.

Долгое время Open Policy Agent (OPA) служил основой политики безопасности платформы Kubernetes SCHIP, даже во время начального этапа перехода на Kyverno.

Однако по мере роста числа кластеров и арендаторов команда столкнулась с вызовами управления памятью, что подтолкнуло изменить подход.

В этой статье расскажем про функцию синхронизации данных в OPA, её влияние на потребление памяти и уроки, извлечённые из миграции на Kyverno. Сможете принимать более взвешенные решения о масштабировании и управлении политиками.
Ситуация
При развертывании множества кластеров и арендаторов стало практически невозможно создавать политики, не учитывая состояние других объектов.

OPA предлагает мощную функцию синхронизации внешних данных, что позволяет использовать дополнительный контекст из различных ресурсов Kubernetes. Однако активация этой функции увеличивает нагрузку на ресурсы, особенно в плане потребления памяти.

Цель — не отговорить вас от использования продвинутых функций OPA, но показать важность последствий.
Простая политика OPA
Простая политика OPA может работать с контекстом, предоставленным самим проверяемым объектом. Ниже приведён пример политики, которая проверяет поле host в объекте ingress, подлежащем валидации:
package policy.ingress_without_host

violation[{"msg": msg}] {
   ingress := input.review.object.spec.rules[_]
   not ingress.host
   msg := "Недопустимый ingress. Пожалуйста, добавьте host к ingress"
}
Однако реальные политики часто требуют доступа к другим объектам в кластере. Например, проверка уникальности метки среди всех подов и пространств имён невозможна, если политика не видит эти ресурсы.
Синхронизация OPA для сложных политик
Чтобы решить эту задачу, Open Policy Agent (OPA) позволяет синхронизировать данные объектов в клиент, чтобы ConstraintTemplates могли их использовать.

Gatekeeper предоставляет способ включения этой функции через конфигурацию синхронизации, как показано ниже:
apiVersion: config.gatekeeper.sh/v1alpha1
kind: Config
metadata:
  name: config
spec:
  sync:
    syncOnly:
      - group: ""
        version: "v1"
        kind: "Namespace"
      - group: ""
        version: "v1"
        kind: "Pod"
Также можно использовать SyncSet для достижения аналогичных результатов. После активации политики могут ссылаться на синхронизированные данные с помощью data.inventory.

Например, можно получить доступ к синхронизированной информации через data.inventory следующим образом:
data.inventory.namespace[ns][_]["RoleBinding"]
Эта функция чрезвычайно полезна и хорошо работала, пока команда не столкнулась с проблемами производительности.
Проблемы производительности
OPA стала тормозить, появились случайные OOMKills (Out-Of-Memory Kills) в нескольких кластерах. Хотя VerticalPodAutoscaler (VPA) помогал динамически корректировать распределение ресурсов, уведомления стали слишком шумными и мешали работе.

Расследование скачков использования памяти

При более детальном анализе обнаружили, что кластеры с высокой изменчивостью подов — где количество подов быстро увеличивается и уменьшается — были основными источниками проблем. Это типично для:

  • Кластеров с частыми деплоями, особенно полным перезапуском кластера.
  • Кластеров с большим количеством CronJobs.
Корреляция с использованием памяти

Команда наблюдала значительные колебания использования памяти в подах Gatekeeper-controller, часто на несколько гигабайт. По причине, что синхронизировали данные подов в инвентарь Gatekeeper, и это приводило к чрезмерному потреблению памяти при резком увеличении числа подов.
Как видно на графике, использование памяти колеблется в пределах гигабайт из-за изменений в количестве подов.
В нашем случае это связано с использованием информации о подах в инвентаре:
apiVersion: config.gatekeeper.sh/v1alpha1
kind: Config
metadata:
  name: config
spec:
  sync:
    syncOnly:
      - group: ""
        kind: Namespace
        version: v1
      - group: "networking.k8s.io"
        version: "v1"
        kind: "Ingress"
      - group: ""
        kind: Pod
        version: v1
      - group: "rbac.authorization.k8s.io"
        version: "v1"
        kind: "RoleBinding"
Оптимизация миграции для повышения эффективности
Учитывая ограничения, решили сначала перенести политики, использующие data.inventory, особенно те, что работают с объектами с большим объёмом данных, такими как поды.

Результаты миграции

После миграции политик, использующих data.inventory подов на Kyverno, команда исключила поды из конфигурации синхронизации Gatekeeper. Это сократило использование памяти с 8 ГБ до 2.7 ГБ — всего одной конфигурационной правкой в одном кластере.

Это значительный результат в среде с более чем 30 кластерами, каждый из которых запускает 3+ пода контроллера.
Удаляем Pod из конфигурации синхронизации
Использование памяти сократилось с 8 ГБ до 2,7 ГБ
Влияние на Kyverno
Kyverno не полагается на предварительно синхронизированный инвентарь, а вместо этого динамически извлекает данные через вызовы API.

Пример того, как Kyverno получает информацию о подах:
context:
  - name: pods-access
    apiCall:
      urlPath: "/api/v1/namespaces/{{request.object.metadata.name}}/pods"
      jmesPath: "items[? !starts_with(metadata.name, 'system')].metadata.name"
Баланс между памятью и нагрузкой на API
Этот подход снижает потребление памяти, но увеличивает нагрузку на сервер API Kubernetes. Чтобы смягчить это:

  • Мониторинг нагрузки на сервер API: убедитесь, что дополнительные запросы не перегружают сервер API
  • Использование специфичных предусловий: сократите ненужные проверки
preconditions:
- key: "{{ request.operation }}"
  operator: Equals
  value: "DELETE"
Итоговые мысли
Эта статья не ставит целью критиковать функцию синхронизации инвентаря Gatekeeper, которая остаётся чрезвычайно полезной. Однако важно проявлять осторожность при её включении, так как чрезмерное потребление памяти может повлиять на стабильность Gatekeeper — вплоть до блокировки новых деплоев и создания подов.

Применяя описанный подход, можно добиться значительного сокращения использования памяти, улучшить стабильность и снизить операционный шум — без ущерба для соблюдения политик.
Ответим на все вопросы по переносу, сборке, оркестрации и развертывании.
Настроим ваш Kubernetes
Узнать больше