Formation Kubernetes Avancé : Administration en Production

PROGRAMME DE NOTRE FORMATION KUBERNETES AVANCÉE

LES COMPOSANTS DU CONTROL PLANE ET DES NŒUDS DE TRAVAIL

• Architecture globale Kubernetes
• Composants du Control Plane
  • API Server (kube-apiserver)
  • etcd
  • Scheduler (kube-scheduler)
  • Controller Manager (kube-controller-manager)
  • Cloud Controller Manager (cloud-controller-manager)
• Composants des Nodes
  • kubelet
  • kube-proxy
  • Container Runtime
  • Addons
• Boucle de réconciliation, fonctionnement des controllers
• Fonctionnement interne de l’API Server : Authentification, Autorisation et contrôleurs d’admission
  • Fonctionnement interne de l’API Server
  • Gestion des contrôleurs d’admission
• Extension du cycle de vie du serveur d’API avec les Webhooks d’admission (mutating / validating)
• Configuration déclarative et dynamique (selectors, groupements)
• Cinématique de création d’un Pod à partir d’un Deployment
• Kube-proxy, fonctionnement avancé du réseau virtuel des services
• Service discovery avec CoreDNS

ADMINISTRATION DE KUBERNETES EN PRODUCTION

• Kubeadm : Un outil de déploiement Kubernetes
  • Qu’est-ce que Kubeadm ?
  • Autres outils pour déployer Kubernetes (kind, K3s, RKE…)
• Autres outils pour déployer Kubernetes (kind, K3s, RKE…)
• Déploiement d’un cluster Kubernetes à haute disponibilité
• Sécurisation d’un cluster Kubernetes On-Premise pour la production
• Principes de HA, rolling upgrade, node management
• Exploration pratique des composants
  • Les runtimes : Containerd, kubelet
  • Via CLI kubectl (explain, dry-run, edit …), crictl

GESTION DES ACCÈS AVEC RBAC ET UTILISATEURS

• Introduction à RBAC
  • Qu’est-ce que RBAC ?
  • Pourquoi utiliser RBAC ?
• Concepts de RBAC dans Kubernetes
  • Role, ClusterRole, RoleBinding et ClusterRoleBinding
  • API groups, Ressources et verbes
• Gestion des utilisateurs et RBAC
  • Création d’utilisateurs/serviceAccount
  • Autorisations: RBAC
  • Authentification : certificats clients X.509, tokens
  • Tester les utilisateurs
• Revue des accès & autorisations
  • Outils CLI utiles : rakkess, kubectl-who-can, rbac-lookup

LIMITRANGE ET RESOURCEQUOTA DANS KUBERNETES

• Introduction aux Namespaces dans Kubernetes
  • Les namespaces offrent les avantages suivants
• Gestion des LimitRange
  • Qu’est-ce que LimitRange ?
  • Configuration d’un LimitRange
• Gestion des ResourceQuota
  • Qu’est-ce que ResourceQuota ?
• Limitation des ressources par utilisateurs : Contexte et Solutions
  • Utilisation de ResourceQuotaScopes avec des labels
• Scopes dans Kubernetes
  • Types de Scopes disponibles
  • Utilisation des scopes
  • Utilisation de scopeSelector
• PriorityClass dans Kubernetes
  • Fonctionnalité de PriorityClass
  • Configuration de PriorityClass
  • Utilisation de PriorityClass dans les Pods
  • Préemption avec PriorityClass
• TP : LimitRange, resourcequota

SÉCURITÉ

• SecurityContext : utilisateur, capabilities, runAs, readOnlyRootFS
• Mode privileged et Linux capabilities
• PodSecurity standards (en remplacement de PSP)
• **Admission controllers **
  • Kyverno, OPA/Gatekeeper
• Observer, Evaluer les politiques de sécurité avec Policy Reporter
• **Sécurité runtime **
  • Falco (surveillance comportementale)
  • Trivy (scan d’image container)
• Contrôler et sécuriser les flux dans le cluster avec les Network Policies

LES NETWORK POLICIES DANS KUBERNETES

• Introduction aux Network Policies
  • Qu’est-ce qu’une Network Policy ?
  • Composants d’une Network Policy
  • Syntaxe de base d’une Network Policy
• Utiliser les Network Policies L3/L4 pour contrôler, isoler les flux
• NetworkPolicies L7 En fonction du choix du CNI, ex: Cilium

INGRESS, GATEWAYS ET CONTRÔLE DE L’ACCÈS HTTP

• Qu’est-ce qu’un Ingress Controller ?
  • Fonctionnement d’un Ingress Controller vs Service LoadBalancer/NodePort
• NGINX Ingress Controller
  • Fonctionnalités principales du NGINX Ingress Controller: TLS, path routing, multi-host …
  • Installation et configuration du NGINX Ingress Controller
  • Déploiement de NGINX Ingress Controller (via Helm)
• Introduction à Gateway API: Gateway, TLSRoute, HTTPRoute, GRPCRoute

OPTIMISATION DU SCHEDULING

•  Contrôle de la planification avec les Labels et les Affinités
• NodeSelector, NodeAffinity, PodAffinity, PodAntiAffinity
• Taints and Tolerations

QUALITÉ DE SERVICE

• Utilisation optimale des ressources matérielles grâce aux Requests et Limits
• Classes de QoS:
  • Guaranteed
  • Burstable
  • BestEffort
• Contrôle d’allocation des ressources par Namespace avec les ResourceQuota
• Contrôle d’allocation des ressources par Pod avec les LimitRange

GESTION DU STOCKAGE EN PRODUCTION

• Présentation du modèle CSI (Container Storage Interface)
• StorageClass, volumes statiques vs dynamiques
• Cas cloud (EBS, GCE PD) vs on-prem (OpenEBS, Longhorn, NFS)
• Déploiement d’OpenEBS pour fournir des volumes persistants (PVs) aux applications

MONITORING

• Objectifs de l’observabilité dans Kubernetes
• Automatiser le monitoring avec l’opérateur Prometheus
• Obtenir et agréger les métriques de votre cluster et de vos applications
• Visualiser et interagir avec vos données avec Grafana

MAINTENANCE & MISE À JOUR DU CLUSTER (optionnel selon le temps)

• Rotation de certificats TLS Kubernetes
• Upgrade du cluster via kubeadm (control-plane et nœuds)
• Gestion de l’obsolescence des versions et cycle de vie

INFRASTRUCTURE AS CODE, GITOPS (bonus selon le temps)

• Rappels sur IaC : manifestes, templating
• Helm (structure, valeurs, dépendances), Kustomize (overlays, patch)
• GitOps : principes, ArgoCD vs Flux (aperçu introductif)
• **TP** : installation d’ArgoCD + déploiement d’une app Git (en démonstration rapide)

OPERATORS, HELM & EFK (+1 JOUR)

• Présentation des méthodes d’extension de Kubernetes : les Operators
• Ajouter des API customisées à Kubernetes: les CustomResourceDefinitions
• Créer ses opérateurs avec l’Operator-Framework et l’Operator-SDK
• Helm 2 et Helm 3
• Gestion des logs avec la pile EFK (ElasticSearch, Fluentd, Kibana)

INTRODUCTION À ISTIO & LINKERD (+1 jour – uniquement sur demande en équipe)

• Service Mesh
• ISTIO
• LINKERD2 (Conduit)

Modules Cloud Complémentaires

Préparer la production (1 journée)

• Pipeline de CI/CD: théorie et mise en œuvre (GihubActions/ArgoCD)
• Les Services Mesh: fonctionnement et cas pratique avec Istio
• Ingress: fonctionnement et cas pratique avec nginx-controller

Services de gestion de conteneurs du Cloud public ou Multi-Cloud: les exemples de Google Kubernetes Engine et de Rancher (½ journée)

Outils avancés de déploiement pour Kubernetes (½ journée)

• Les Operators
• Ajouter des API customisées à Kubernetes: les CustomResourceDefinitions
• Créer ses opérateurs avec l’Operator-Framework et l’Operator-SDK
• Helm: présentation et exemple avec la gestion des logs EFK (ElasticSearch, Fluentd, Kibana)

Accompagnement et conseil sur des cas pratiques proposés par les stagiaires (½ journée à 1 jour)