اليوم ، يسرنا تقديم تقرير استخدام حاوية Sysdig لعام 2019 ( تقرير استخدام حاوية Sysdig 2019 ). تواصل Kubernetes اكتساب الزخم ، وتستكشف معماريات السحابة بشكل متزايد ، وكل هذا يتغير ليس فقط أنماط الاستخدام ، ولكن أيضًا العمليات والهياكل التنظيمية. والمثير للدهشة أن عدد الحاويات تضاعف هذا العام ، ولا يتجاوز عمرها 5 دقائق. كلما أصبحت الخدمات أكثر ديناميكية ، أدركت الفرق السحابية الأفضل الحاجة إلى دمج الأمان في عمليات DevOps. كجزء من تقرير الاستخدام لعام 2019 ، نستكشف تفاصيل الأمان والتوافق لأول مرة ، بالإضافة إلى عدد من التفاصيل حول كيفية استخدام العملاء للحاويات و Kubernetes والمزيد.
موقف Sysdig فريدة من نوعها
يوفر Sysdig Secure DevOps Platform منظورا حقيقيا للبنية التحتية والتطبيقات والحاويات. يغطي تقريرنا الشركات في جميع أنحاء العالم وفي العديد من المجالات. قمنا هذا العام بتضمين تفاصيل حول كل من SaaS و Sysdig المستخدمين المحليين لتزويدك صورة للاستخدام التجاري لمليوني حاوية تم نشرها.
المزيد عن النتائج.
في تقريرنا لعام 2018 ، وصفنا كيف ساعدت مبادرة الحاويات المفتوحة (OCI) في تقديم بيئات إطلاق الحاويات البديلة. في عام 2019 ، حدث هذا على نطاق واسع: استحوذ مشروع Containerd على حصة كبيرة قدرها 18 ٪. في الإنصاف ، تجدر الإشارة إلى أن containerd يستخدم من قبل Docker. في السابق ، نفذ محركها وظائف عالية المستوى ومنخفضة المستوى لبيئة الإطلاق. الآن يتم تقسيمهم إلى مشروعين منفصلين: containerd و runc.
لاول مرة CRI-O هذا العام. من بين أمور أخرى ، فوجئنا بمستوى التنمية المنخفض اليوم. ظهرت CRI-O ، وقت تشغيل Kubernetes الخفيف الوزن ، على Red Hat في عام 2016 وتم قبولها في CNCF © في عام 2019. نعتقد أن مستوى التطوير سيزداد بمجرد ترحيل مستخدمي Red Hat OpenShift من الإصدار v3 إلى الإصدار v4 ، حيث يحل CRI-O محل محرك Docker المعتمد مسبقًا.
كثافة الحاويات على الخادم الفعلي تنمو بنسبة 100 ٪
على مدار العام الماضي ، ارتفع متوسط عدد الحاويات لكل خادم فعلي إلى 30 ، حيث تضاعف مقارنة بـ 15 في عام 2018 و 10 في عام 2017.
نعتقد أن هذا الرقم سيزيد بناءً على عدة عوامل:
- زيادة في عدد التطبيقات التي يتم ترحيلها إلى البنية التحتية السحابية ؛
- تضمين بيانات من عملاء Sysdig المحليين يشغلون مجموعات أكبر وأكثر كثافة ؛
- نمو الحوسبة "حصانا" ، مما يتيح المزيد من الحاويات للعمل على كل خادم.
في عام 2019 ، كانت الكثافة القصوى للحاوية لكل عقدة 250 ، وهذه زيادة بنسبة 38 في المائة مقارنة بعام 2018.
أوركسترا الحاوية: Kubernetes تهيمن
ليس من المستغرب أن Kubernetes كأداة فعلية للتنسيق ، استحوذ على ما يصل إلى 77 ٪ من حصة الأوركسترا المستخدمة. سيرتفع هذا الرقم إلى 89٪ إذا أضفت Red Hat OpenShift و Rancher - كلاهما مبني على Kubernetes. وهنا الوضع الحالي بالأرقام:
إذا قمت بفصل بيانات الشركات التي تنشر نظام Sysdig محليًا ، فإن صورة التزامن تتغير بشكل كبير. في هذا القطاع ، تتصدر منصة Red Hat OpenShift Container Platform . السبب الرئيسي هو أن منظمات المستخدمين ، عادة ما تكون كبيرة وحذرة ، تريد الاستفادة من Kubernetes ، لكنها تفضل القيام بذلك من خلال الحلول المحلية المدعومة تجاريًا مثل Platform as a Service (PaaS) ، مثل OpenShift.
أيضًا في تقرير 2019 ، ندرس الإحصاءات المتعلقة باستخدام السحب العامة. قم بتنزيله للحصول على التفاصيل .
السلامة والامتثال
"تطبيق الأمن مقدما" أصبح عبارة هوس. يصف النهج الذي يتم فيه تضمين الأمان في المراحل المبكرة من دورة حياة التطوير. بشكل عام ، تفهم مؤسسات الحاويات كيفية دمج الأمان والامتثال في سير عمل DevOps. لاكتساب نظرة ثاقبة على الأمان والامتثال في الحاويات و Kubernetes ، نقوم بتحليل البيانات من مناطق المسح بحثًا عن نقاط الضعف وأمن بيئة بدء التشغيل وامتثال CIS.
إدارة الثغرات الأمنية
يقوم العملاء بمسح الصور لاكتشاف ثغرات الحاوية في خطوط أنابيب CI / CD وسجلات الحاوية ومنعها والقضاء عليها. في التقرير الكامل ، ننظر إلى السجلات المستخدمة ، والنسبة المئوية للصور المستخرجة من المستودعات العامة والخاصة. نقدم أيضًا نسبة المسح الناجح / غير الناجح للصور بحثًا عن نقاط الضعف. وهنا بعض الاستنتاجات.
استخراج الصور: العامة مقابل المستودعات الخاصة
ما عدد الحاويات التي يتم استردادها من المستودعات العامة أو الخاصة؟ وجدنا أن 40 ٪ من الصور تأتي من مصادر متاحة للجمهور.
يعد استخدام صور الحاوية من المستودعات المفتوحة أمرًا محفوفًا بالمخاطر - لأن عددًا قليلاً منها يفي بالمعايير أو يتم التحقق من وجود ثغرات أمنية فيه. خذ على سبيل المثال ، Docker Hub : الصور المصنفة "معتمد" و "رسمي" و "ناشر تم التحقق منه" أكثر جدارة بالثقة. ومع ذلك ، من بين ثلاثة ملايين صورة تم استضافتها على الخادم ، فإن أقل من 1 ٪ لديها مثل هذه التسميات. لتخفيف المخاطر ، تقوم فرق السحابة بإنشاء سياسات لتحديد سجلات الحاويات التي يمكن اعتمادها للاستخدام في مؤسساتها.
مسح الصور
بغض النظر عن المصدر ، يعد فحص صورة عن الثغرات المعروفة قبل نشرها في بيئة إنتاج أفضل ممارسة لا يمكن إهمالها. لتقييم مدى المخاطر أو نقاط الضعف ، أخذنا عينات من الصور التي مرت وفشلت المسح ، تم مسحها ضوئيًا على مدار 5 أيام. لم ينجح أكثر من نصف الصور في الاختبار ، مما يعني أنه تم التعرف على نقاط الضعف المعروفة بدرجة عالية وعالية جدًا من الخطر.
المخاطر الأمنية
بعد أن يعالج المطورون المشكلات المعروفة ، يجب أن تنشئ فرق السحابة سياسات تحدد السلوك غير الطبيعي وتفرض تنبيهًا أمنيًا ليتم تشغيله في بيئة الإنتاج. تعد بيئة بدء تشغيل الأمان لـ Kubernetes أمرًا جديدًا للشركات ، لكنها تفهم ما الذي يتم بسرعة. خلال العام الماضي ، ساهمت Falco ، مشروع الأمان المفتوح المصدر لـ CNCF من أجل إطلاق أمن البيئة ، في Sysdig من Docker Hub 6.7 مليون مرة. هذا هو 252 ٪ أكثر مما كانت عليه في العام السابق.
لقد بحثنا في انتهاك للسياسة في سياق حجم التنبيهات التي تلقاها العملاء من Sysdig Secure ، والتي تعمل تلقائيًا على حماية بيئة الإطلاق باستخدام سياسات Falco. يحدد أنواع مخاطر الأمان الأكثر شيوعًا التي يواجهها مستخدمو الحاوية. من بينها ، الأكثر شيوعا هي:
1 - محاولات للوصول إلى وحدات التخزين أو الدلائل أو الملفات الحساسة ؛ 2 - البدء بالكثير من الأذونات أو محاولات توسيع الامتيازات ؛ 3 - إطلاق قذيفة الأوامر من محطة المرفقة
في تقرير كامل عن الاستخدام ، ندرس بالتفصيل 10 انتهاكات ، ونقوم بتصنيفها حسب التكرار ، وفي نفس الوقت وصف كل منها ، لشرح التهديد المحتمل.
الامتثال
لتقليل المخاطر وتلبية معايير الامتثال ، بما في ذلك PCI-DSS و HIPAA و GDPR ، يجب على المؤسسات مراجعة الخوادم والحاويات بانتظام باستخدام أفضل الممارسات. توضح عمليات التدقيق التي تم إجراؤها باستخدام معايير CIS المدمجة في اختبارات Docker في Sysdig Secure أنه لا يزال هناك مجال للتحسين. على سبيل المثال ، اكتشفنا أنه عادةً ما توجد على خوادم الحاويات:
أفضل 10 حلول مفتوحة المصدر للحاويات
لقد غير المصدر المفتوح وجه معالجة البيانات على مستوى المؤسسة. إنه لا يقود الابتكار في البنية التحتية بأكملها فحسب ، بل أيضًا في تطوير التطبيقات. تفتح Sysdig تلقائيًا العمليات داخل الحاويات لمعرفة الحلول التي تشكل الخدمات السحابية التي يديرها عملاؤنا في بيئة الإنتاج. وهنا العشرة الأوائل منهم:
من بين المنتجات الجديدة هذا العام Node.js and Go (aka golang) ، والتي تتفوق على Java من حيث الاستخدام. تعتبر جافا واحدة من لغات البرمجة المتميزة بجدارة. يبدو أن DevOps وفرق السحابة يفضلون الخيارات الأحدث ، مثل Go ، التي أنشأها مهندسو Google ، ويعزى ذلك جزئيًا إلى سهولة استخدامها. على سبيل المثال ، Node.js ، إطار عمل JavaScript ، يجعل من السهل كتابة التعليمات البرمجية التي تعمل بشكل جيد على قدم المساواة على كل من الخوادم والمتصفحات. كما أنه مناسب تمامًا لجيل جديد من قواعد البيانات مثل CouchDB و MongoDB التي تدعم الاستعلامات المكتوبة باستخدام جافا سكريبت.
حاوية الحياة
معلمات كم من الوقت (أو كم هو قليل) الحاويات ، تعد صور وخدمات الحاويات إحدى أكثر الموضوعات شيوعًا في تقريرنا لعام 2018. إنه يعكس مدى حيوية التطبيقات الحديثة ، سواء من حيث التطوير أو من حيث وقت التشغيل.
حياة حاوية قصيرة
وبمقارنة سنة بعد سنة من عمر الحاويات ، وجدنا أن عدد الحاويات التي تعيش أقل من 10 ثوان تضاعف وبلغ 22٪. في الوقت نفسه ، تضاعف أيضًا عدد الحاويات التي تعيش 5 دقائق أو أقل.
تتطلب العديد من الحاويات عمرًا قصيرًا للوفاء بالوظيفة والتدمير الذاتي فورًا. الثواني ، على ما يبدو ، ليست كافية ، ولكن بالنسبة لبعض العمليات ، هناك حاجة إلى المزيد. نحن نعتقد أن زيادة استخدام Kubernetes Jobs ، التي تدير مهام نهائية مثل الوظائف دفعة واحدة ، ساهمت في هذا النمو. لنقول أكثر من ذلك ، نحن نتوقع زيادة في عدد الحاويات منخفضة المعيشة ، خاصة على المنصات الخالية من الخوادم المناسبة تمامًا لتشغيل المهام قصيرة الأجل.
الطبيعة المؤقتة للحاويات هي واحدة من المزايا الفريدة للتكنولوجيا. في الوقت نفسه ، فإنه يعقد المهام إلى حد كبير مثل "رؤية مشاكل الأمن والأداء والأداء". تعد أدوات المراقبة والأمن والامتثال في الوقت الفعلي التي توفر إمكانية مراقبة في الوقت الفعلي في ضوء العمليات القصيرة العمر هي مفتاح العمليات الناجحة.
التطوير المستمر وعمر الصور
الحاويات هي الرفيق المثالي لسرعة الحركة. فهي تساعد على تسريع عملية تطوير وإصدار الكود ، وغالبًا ما تكون على شكل تمديدات دقيقة في حاويات. لقد وجدنا أن أكثر من نصف صور الحاوية يتم استبدالها - أو مراجعتها - في غضون أسبوع أو أقل. هذا هو مؤشر على كيفية تقصير الوقت بين إصدارات التعليمات البرمجية. علاوة على ذلك ، يشير هذا إلى أن خطوط أنابيب CI / CD تساعد فرق التطوير على تقديم تحديثات البرامج بوتيرة سريعة غير عادية.
مقاييس الكود الخاص
تسمح مقاييس الكود الخاصة لمطوري وفرق DevOps بتخصيص الكود لجمع مقاييس فريدة. من بين الحلول الأساسية الثلاثة: JMX و StatsD و Prometheus ، على مدار العام الماضي ، برزت بروميثيوس كرائدة من حيث قابليتها للاستخدام. في الواقع ، على مر السنين ، ازداد استخدام مقاييس بروميثيوس لعملائنا الذين يستخدمون مقاييس مخصصة بنسبة 130٪. يتم استخدام مقاييس JMX (لتطبيقات Java) و StatsD بشكل أقل وأقل (45٪ و 17٪ على التوالي هذا العام) مع تزايد استخدام أطر البرمجة الجديدة التي تدعم Prometheus.
للحصول على أفضل مقاييس ومصدري Prometheus المستخدمة من قبل عملاء Sysdig ، راجع التقرير الكامل.
أعلى إعدادات الطوارئ
توضح إعدادات الطوارئ لدى عملاء Sysdig بوضوح ما هي الأوامر السحابية التي تمثل أكبر تهديدات لعمليات الحاويات. تحولت إعدادات الطوارئ الأكثر شيوعًا لصالح البنية التحتية لـ Kubernetes ، مع الاستمرار في التركيز على استخدام الموارد ووقت التشغيل. فيما يلي أهم 3 من بين أكثر من 800 من إعدادات الطوارئ الفريدة الموزعة على عملاء Sysdig:
بالإضافة إلى ذلك ، يمكن تكوين التنبيهات للعلامات المحددة أو اختصارات السحابة / Kubernetes. لنقل أنه باستخدام المثال الوارد في التنبيهات أعلاه ، يمكنك ربط التنبيه cpu.used.percent بمساحة اسم فردية من النوع "istio-system" ، أو باسم "Pod" محدد من النوع "envoy" داخل مساحة الاسم. راجع ارتباطات التنبيه العلوي في التقرير الكامل.
أنماط استخدام Kubernetes
كم عدد المجموعات التي يديرها المستخدمون؟ كم قرنة على كل عقدة؟ هل يستخدم أي شخص وظائف Kubernetes؟ يجيب تقرير 2019 على هذه الأسئلة وغيرها. فيما يلي مثال على ما ينشره العملاء مع Kubernetes.
يقوم بعض العملاء بتثبيت عدد قليل فقط من المجموعات - واحدة أكبر وأصغر قليلاً - في حين أن البعض الآخر لديه أسطول مثير للإعجاب يضم العديد من المجموعات ذات الأحجام المختلفة. توضح الجداول أدناه توزيع عدد الكتل وعدد العقد لكل كتلة لعملاء النظام الأساسي Sysdig:
يشير عدد كبير من العملاء الذين يديرون مجموعة واحدة أو عدد قليل منهم إلى أن العديد من الشركات بدأت للتو في تطوير Kubernetes. تأثرت نتيجة الملاحظة أيضًا باستخدام خدمات Kubernet المدارة في السحب العامة. مع خدمات مثل Amazon Elastic Kubernetes Service (EKS) ، و Google Kubernetes Engine (GKE) ، و Azure Kubernetes Service (AKS) ، و IBM Cloud Kubernetes Service (IKS) ، يمكن للمستخدمين الدوران و تقسيم المجموعات بالسرعة التي يريدونها.
عدد القرون لكل كتلة
السنفات هي أصغر كائن قابل للنشر في Kubernetes. وهي تتكون من حاوية واحدة أو أكثر مع تخزين وشبكة مشتركة ، بالإضافة إلى مواصفات حول كيفية بدء الحاويات. فيما يلي تحليل لمستخدمي منصة Sysdig:
! المهم تم تحديث هذا الجدول لتصحيح الخطأ في الصورة الأصلية. شكرا جزيلا لكريس كولينز - ويعرف أيضا باسم ChrisInDurham - على ملاحظة المشكلة!
عدد القرون لكل خادم فعلي
يوجد Pod على الخادم الفعلي حتى يتم الانتهاء من جميع عملياته ، ولكن يمكن حذفه عند الانتقال إلى خادم آخر في حالة عدم كفاية الموارد أو فشل الخادم الفعلي. فيما يلي لقطة لتوزيع Pods على الخادم لمستخدمي النظام الأساسي Sysdig:
تتوفر معلومات حول عدد مساحات أسماء Kubernetes وعمليات النشر و StatefulSets والمهام في التقرير الكامل.
النتائج
منذ تقرير الاستخدام الأخير ، تضاعفت كثافة الحاوية ، ومن الواضح أن سرعة التطوير تزداد كلما اعتدت على ذلك. تؤكد النتائج الرئيسية الواردة في تقريرنا السنوي الثالث على ضرورة قيام الشركات باتخاذ خطوات للتحضير للنمو السريع المتوقع:
- يجب على المؤسسات الاستثمار في أدوات Kubernetes لتبسيط العمليات القابلة للتطوير.
- تعد المراقبة في الوقت الفعلي ، وتوفير سجلات مفصّلة للمراجعة والتحليل للحاويات منخفضة المعيشة ، أمرًا بالغ الأهمية لأمن العمليات.
- للتغلب على المخاطر التي تهدد وقت التشغيل ، يجب أن تعمل فرق السحابة الآن - وأن تدمج الأمان في DevOps.
- نظرًا لأن Prometheus يعزز مكانته كرائد في معايير جمع مقاييس التطبيقات السحابية ، يجب أن يتعلم المستخدمون كيفية استخدامها مع توفير الموثوقية وقابلية التوسع.
لمعرفة كل التفاصيل ، قم بتنزيل تقرير Sysdig Usage Report الكامل لعام 2019 .