Formation Kubernetes Avancé : Administration en Production
LINUX FOUNDATION REVENDEUR OFFICIEL - ACHETER VOS CERTIFICATIONS
2390€ HT / personne |
3 jours (21 heures) |
PROGRAMME DE NOTRE FORMATION KUBERNETES AVANCÉE
LES COMPOSANTS DU CONTROL PLANE ET DES NŒUDS DE TRAVAIL
- Architecture globale Kubernetes
- Composants du Control Plane
- API Server (kube-apiserver)
- etcd
- Scheduler (kube-scheduler)
- Controller Manager (kube-controller-manager)
- Cloud Controller Manager (cloud-controller-manager)
- Composants des Nodes
- kubelet
- kube-proxy
- Container Runtime
- Addons
- Boucle de réconciliation, fonctionnement des controllers
- Fonctionnement interne de l’API Server : Authentification, Autorisation et contrôleurs d’admission
- Fonctionnement interne de l’API Server
- Gestion des contrôleurs d’admission
- Extension du cycle de vie du serveur d’API avec les Webhooks d’admission (mutating / validating)
- Configuration déclarative et dynamique (selectors, groupements)
- Cinématique de création d’un Pod à partir d’un Deployment
- Kube-proxy, fonctionnement avancé du réseau virtuel des services
- Service discovery avec CoreDNS
ADMINISTRATION DE KUBERNETES EN PRODUCTION
- Kubeadm : Un outil de déploiement Kubernetes
- Qu’est-ce que Kubeadm ?
- Autres outils pour déployer Kubernetes (kind, K3s, RKE…)
- Autres outils pour déployer Kubernetes (kind, K3s, RKE…)
- Déploiement d’un cluster Kubernetes à haute disponibilité
- Sécurisation d’un cluster Kubernetes On-Premise pour la production
- Principes de HA, rolling upgrade, node management
- Exploration pratique des composants
- Les runtimes : Containerd, kubelet
- Via CLI kubectl (explain, dry-run, edit …), crictl
GESTION DES ACCÈS AVEC RBAC ET UTILISATEURS
- Introduction à RBAC
- Qu’est-ce que RBAC ?
- Pourquoi utiliser RBAC ?
- Concepts de RBAC dans Kubernetes
- Role, ClusterRole, RoleBinding et ClusterRoleBinding
- API groups, Ressources et verbes
- Gestion des utilisateurs et RBAC
- Création d’utilisateurs/serviceAccount
- Autorisations: RBAC
- Authentification : certificats clients X.509, tokens
- Tester les utilisateurs
- Revue des accès & autorisations
- Outils CLI utiles : rakkess, kubectl-who-can, rbac-lookup
LIMITRANGE ET RESOURCEQUOTA DANS KUBERNETES
- Introduction aux Namespaces dans Kubernetes
- Les namespaces offrent les avantages suivants
- Gestion des LimitRange
- Qu’est-ce que LimitRange ?
- Configuration d’un LimitRange
- Gestion des ResourceQuota
- Qu’est-ce que ResourceQuota ?
- Limitation des ressources par utilisateurs : Contexte et Solutions
- Utilisation de ResourceQuotaScopes avec des labels
- Scopes dans Kubernetes
- Types de Scopes disponibles
- Utilisation des scopes
- Utilisation de scopeSelector
- PriorityClass dans Kubernetes
- Fonctionnalité de PriorityClass
- Configuration de PriorityClass
- Utilisation de PriorityClass dans les Pods
- Préemption avec PriorityClass
- TP : LimitRange, resourcequota
SÉCURITÉ
- SecurityContext : utilisateur, capabilities, runAs, readOnlyRootFS
- Mode privileged et Linux capabilities
- PodSecurity standards (en remplacement de PSP)
- **Admission controllers **
- Kyverno, OPA/Gatekeeper
- Observer, Evaluer les politiques de sécurité avec Policy Reporter
- **Sécurité runtime **
- Falco (surveillance comportementale)
- Trivy (scan d’image container)
- Contrôler et sécuriser les flux dans le cluster avec les Network Policies
LES NETWORK POLICIES DANS KUBERNETES
- Introduction aux Network Policies
- Qu’est-ce qu’une Network Policy ?
- Composants d’une Network Policy
- Syntaxe de base d’une Network Policy
- Utiliser les Network Policies L3/L4 pour contrôler, isoler les flux
- NetworkPolicies L7 En fonction du choix du CNI, ex: Cilium
INGRESS, GATEWAYS ET CONTRÔLE DE L’ACCÈS HTTP
- Qu’est-ce qu’un Ingress Controller ?
- Fonctionnement d’un Ingress Controller vs Service LoadBalancer/NodePort
- NGINX Ingress Controller
- Fonctionnalités principales du NGINX Ingress Controller: TLS, path routing, multi-host …
- Installation et configuration du NGINX Ingress Controller
- Déploiement de NGINX Ingress Controller (via Helm)
- Introduction à Gateway API: Gateway, TLSRoute, HTTPRoute, GRPCRoute
OPTIMISATION DU SCHEDULING
- Contrôle de la planification avec les Labels et les Affinités
- NodeSelector, NodeAffinity, PodAffinity, PodAntiAffinity
- Taints and Tolerations
QUALITÉ DE SERVICE
- Utilisation optimale des ressources matérielles grâce aux Requests et Limits
- Classes de QoS:
- Guaranteed
- Burstable
- BestEffort
- Contrôle d’allocation des ressources par Namespace avec les ResourceQuota
- Contrôle d’allocation des ressources par Pod avec les LimitRange
GESTION DU STOCKAGE EN PRODUCTION
- Présentation du modèle CSI (Container Storage Interface)
- StorageClass, volumes statiques vs dynamiques
- Cas cloud (EBS, GCE PD) vs on-prem (OpenEBS, Longhorn, NFS)
- Déploiement d’OpenEBS pour fournir des volumes persistants (PVs) aux applications
MONITORING
- Objectifs de l’observabilité dans Kubernetes
- Automatiser le monitoring avec l’opérateur Prometheus
- Obtenir et agréger les métriques de votre cluster et de vos applications
- Visualiser et interagir avec vos données avec Grafana
MAINTENANCE & MISE À JOUR DU CLUSTER (optionnel selon le temps)
- Rotation de certificats TLS Kubernetes
- Upgrade du cluster via kubeadm (control-plane et nœuds)
- Gestion de l’obsolescence des versions et cycle de vie
INFRASTRUCTURE AS CODE, GITOPS (bonus selon le temps)
- Rappels sur IaC : manifestes, templating
- Helm (structure, valeurs, dépendances), Kustomize (overlays, patch)
- GitOps : principes, ArgoCD vs Flux (aperçu introductif)
- **TP** : installation d’ArgoCD + déploiement d’une app Git (en démonstration rapide)
OPERATORS, HELM & EFK (+1 JOUR)
- Présentation des méthodes d’extension de Kubernetes : les Operators
- Ajouter des API customisées à Kubernetes: les CustomResourceDefinitions
- Créer ses opérateurs avec l’Operator-Framework et l’Operator-SDK
- Helm 2 et Helm 3
- Gestion des logs avec la pile EFK (ElasticSearch, Fluentd, Kibana)
INTRODUCTION À ISTIO & LINKERD (+1 jour – uniquement sur demande en équipe)
- Service Mesh
- ISTIO
- LINKERD2 (Conduit)
Modules Cloud Complémentaires
Préparer la production (1 journée)
- Pipeline de CI/CD: théorie et mise en œuvre (GihubActions/ArgoCD)
- Les Services Mesh: fonctionnement et cas pratique avec Istio
- Ingress: fonctionnement et cas pratique avec nginx-controller
Services de gestion de conteneurs du Cloud public ou Multi-Cloud: les exemples de Google Kubernetes Engine et de Rancher (½ journée)
Outils avancés de déploiement pour Kubernetes (½ journée)
- Les Operators
- Ajouter des API customisées à Kubernetes: les CustomResourceDefinitions
- Créer ses opérateurs avec l’Operator-Framework et l’Operator-SDK
- Helm: présentation et exemple avec la gestion des logs EFK (ElasticSearch, Fluentd, Kibana)
Accompagnement et conseil sur des cas pratiques proposés par les stagiaires (½ journée à 1 jour)
FAQ – QUESTIONS / RÉPONSES
Quels sont les objectifs de la formation ?
Cette formation vous permettra de maîtriser les concepts avancés de Kubernetes, comme la gestion des réseaux, la sécurité, l’optimisation des clusters et la haute disponibilité des applications.
Quels sont les outils de monitoring abordés dans cette formation ?
La formation inclut des outils comme Prometheus, Grafana et Loki pour surveiller les métriques, logs et alertes d’un clusters Kubernetes.
Comment optimiser la gestion des ressources dans Kubernetes ?
La formation enseigne comment configurer les Request et Limits pour éviter les surcharges et garantir une bonne utilisation des ressources.
Quels types de clusters Kubernetes sont abordés ?
- Multi-clusters, clusters hybrides (on-premise et cloud), et leur gestion via des outils comme kubeadem et Kubespray.
La formation inclut-elle des bonnes pratiques de sécurité ?
Mentionnez si des sujets comme le chiffrement des secrets, la gestion politiques réseau et les contrôle d’accès via RBCA sont couverts.
Comment la formation aborde t-elle le trouble-shooting de clusters ?
Décrivez si des méthodes avancées pour diagnostiquer les problèmes (logs, métriques et outils comme kubectl-debug) sont enseignées.
Pour aller plus loin
Formation Kubernetes
Formation Cilium avec Kubernetes
Formation Calico avec Kubernetes
Certification CKAD
Certification CKA
Certification CKS
Formation OpenShift
Formation Docker
Formation OpenShift Administrateur
Langues et Lieux disponibles
Langues
- Français
- Anglais / English
Lieux
-
France entière
- Paris
- Lille
- Reims
- Lyon
- Toulouse
- Bordeaux
- Montpellier
- Nice
- Sophia Antipolis
- Marseille
- Aix-en-Provence
- Nantes
- Rennes
- Strasbourg
- Grenoble
- Dijon
- Tours
- Saint-Étienne
- Toulon
- Angers
-
Belgique
- Bruxelles
- Liège
-
Suisse
- Genève
- Zurich
- Lausanne
-
Luxembourg
Nos Formateurs Référents
Fabrice
Ingénieur de recherche CNRS et responsable français de la base de données du télescope LSST (https://github.com/lsst/qserv). Cette base de données, destinée à stocker le plus grand catalogue d’objets célestes jamais réalisé (plusieurs PetaOctets) est développée par ~10 ingénieurs de l’université de Stanford ainsi que Fabrice. Elle est déployée de manière continue via Kubernetes et s’appuie sur une procédure conçue par Fabrice, notre formateur référent.
Life on Mars? (Podcast)
Témoignages
Les + : Benjamin est un excellent formateur
Afficher tous les témoignages
Les + : Benjamin est un excellent formateur
Les + : Le programme, le formateur, l’équilibre entre théorie et pratique
Les – : RAS
Je souhaite suivre : Les autres formations liées aux certifications Kubernetes
Je recommande la formation
Je recommande la formation
Les + : Ecoute du formateur, question réponse
Les – : Il faisait froid dans la salle 🙂
Les + : J’ai apprécié car j’ai vraiment eu l’impression d’un groupe de travail entre la bonne répartition théorie, pratique, échanges avec le formateur.
Merci au formateur
En synthèse : Formation réalisée dans nos locaux
Les + : Très bon support, très détaillée, intéractions avec le formateur
Les – : Manque de workshop (mais à revoir en pratique par la suite)
Je recommande la formation
Les + : la pratique
Les – : le support
Je souhaite suivre : Redhat AMQ
Je recommande la formation
Les + : La grande expérience de Fabrice ainsi que sa capacité à répondre aux questions même pointues ou hors du cadre de la formation.
Les – : Ce serait intéressant d’enlver les points obsolètes (ex: PodSEcurityPolicy) et de les remplacer par les concepts récents (ex: PodDisruptionBudget)
Les + : Les travaux pratiques
Une explication claire et précis du formateur
Les – : Je n’ai pas remarqué de point faible.
Navigation Site Reviews
Noter la formation
2390€ HT / personne |
3 jours (21 heures) |