Estamos tratando de encontrar una manera de tener periódicamente parches de seguridad del sistema para nuestro clúster K8, para mantener nuestro sistema seguro y cumplir con los requisitos de seguridad.
Nuestros clústeres K8 se ejecutan en diferentes nubes, AWS, Azure, Bare metal, etc.
para las nubes, podemos cambiar nuestra imagen de IAM para actualizarla a la última, reemplazar la imagen anterior, iniciar nuevos nodos y drenar los nodos antiguos. Para uno de metal desnudo, necesitamos drenar los nodos antiguos, luego parchearlos y agregarlos nuevamente.
No estoy seguro de si hay alguna otra forma de hacerlo automáticamente. No queremos hacer este trabajo todos los meses en cada nube. ¿Quizás haya una mejor solución?
Respuesta1
Packer de HashiCorp es una herramienta gratuita para automatizar la creación de imágenes de máquinas.
Packer puede crear imágenes de máquinas para diferentes nubes, incluidas AWS, Azure y plataformas de virtualización autohospedadas como VMware.
Con Packer, puede consumir máquinas de referencia publicadas (AMI publicadas por Amazon, por ejemplo), automatizar la instalación de parches, actualizaciones y cualquier configuración personalizada, antes de publicar la imagen parcheada nuevamente en su plataforma en la nube, lista para ser consumida.
Packer también se puede utilizar para incorporar herramientas de gestión de configuración estándar en imágenes de nube. Por ejemplo, realice ejecuciones de ansible o de títeres, y/o configure la configuración necesaria para que se ejecuten cuando se inicie una instancia.
Terraform (disponible de forma gratuita), también de HashiCorp, le permite automatizar la configuración de plataformas informáticas, como AWS/Azure/VMware, lo que le permite actualizar la configuración automáticamente.
Si desea implementar o actualizar la AMI utilizada por los nodos en un clúster de Kubernetes en ejecución, probablemente podría hacerlo creando una nueva configuración de lanzamiento que apunte a la nueva imagen creada por Packer, utilizando Terraform.
Una forma de reducir potencialmente la cantidad de trabajo es modificar el script de arranque (inicio de la nube/datos de usuario) del grupo de instancias para ejecutar algo como una 'actualización yum' en el arranque. De esta manera, podría utilizar las imágenes prediseñadas y simplemente necesitará actualizar el ID de AMI a la última versión cada vez que se publiquen. Probablemente esto podría hacerse usando Terraform.