Manja aquele desafio gostoso que seu chefe te propôs no começo do ano para melhorar Segurança, Visibilidade, Acesso da galera do fundão. Pois é vou te dar a dica
USE O RANCHER!
É lindão, você consegue personalizar o logo, cor, página inicial, quem pode acessar e o que pode acessar, dar direitos e delegar a governança de partes de um cluster. O que vou te dar são argumentos para usar contra quem quer instalar um lens ou qualquer outra coisa monolítica, monocluster, monocromática, mono qualquer coisa, sem sal nem açúcar. Este artigo faz parte de uma série onde o time da Getup abordou as interfaces mais importantes do ecossistema, não perca nenhuma e escolha a que mais se encaixa em suas necessidades.
Vamos para os pontos principais que sempre gosto de evangelizar:
1. Simplificando a Complexidade do Kubernetes:
O Kubernetes, por sua natureza robusta, pode apresentar "certa complexidade" para usuários iniciantes. O Rancher atua como uma camada de abstração, mascarando as peripécias do Kubernetes e fornecendo uma interface intuitiva que facilita o gerenciamento de clusters, implantação de aplicações e visualização de recursos.
2. Interface Unificada para Múltiplos Clusters:
O Rancher centraliza o gerenciamento de diversos clusters Kubernetes, sejam eles locais, em nuvem híbrida ou multi-cloud. Através de uma única interface, é possível visualizar o estado geral dos clusters, monitorar o desempenho das aplicações e realizar tarefas administrativas de forma unificada, eliminando a necessidade de alternar entre diferentes consoles.
3. Provisionamento Automatizado de Infraestrutura:
O Rancher simplifica o provisionamento de infraestrutura para clusters Kubernetes, automatizando a criação e o dimensionamento de recursos em diversos provedores de nuvem, como Amazon Web Services (AWS), Google Cloud Platform (GCP) e Microsoft Azure, VMware (olha aí que boiada). Essa automação elimina tarefas manuais repetitivas, otimizando o tempo e a produtividade das equipes.
4. Marketplace de Aplicativos e Catálogo de Serviços:
Ele tem um “helm installer” embutido, eu particularmente não gosto, porque sou a favor de GitOps Full, mas tá lá, se você tem dúvidas de como usar o Helm, nada como uma arrastada de mouse para acelerar uma instalação não?
5. Segurança Aprimorada e Governança Granular:
Ele reforça a segurança dos clusters Kubernetes através de controles de acesso granular, autenticação integrada e ferramentas de auditoria. Permite a definição de políticas de segurança abrangentes, garantindo que apenas usuários autorizados acessem recursos específicos, protegendo seus dados e aplicações contra acessos indevidos.
6. Monitoramento e Observabilidade Abrangentes:
Embora ele tenha disponível uma monitoração chamada Rancher Monitoring, que nada mais é que um fork do kube-prometheus-stack da prometheus-community, e as integrações com a UI web do Rancher, se realmente está com preguiça de estudar e subir o prometheus, alertmanager, grafana, kube-state-metrics, node-exporter, thanos, entre outros, sabendo o que está fazendo, então usa ele; vai te facilitar a visualização das coisas. Depois de um tempo você vai querer fazer sua personalização dessa instalação
7. Integração Contínua e Implementação Automática:
O Rancher facilita a integração com ferramentas de integração contínua (CI) e entrega contínua (CD), automatizando a implantação de novas versões de aplicações em clusters Kubernetes. Essa automação garante que as aplicações sejam sempre atualizadas com as últimas funcionalidades e correções de bugs, minimizando o tempo de inatividade e otimizando o fluxo de trabalho de desenvolvimento.
Nesse ponto, ele tem um GitOps até legalzinho FleetManager, mas ainda prefiro Flux e Argo com um CI por trás.
8. Multi-tenant e Suporte a Ambientes Híbridos:
O Rancher oferece suporte nativo para ambientes multi cloud e on premisse, permitindo o isolamento de clusters Kubernetes para diferentes equipes ou projetos. Essa funcionalidade é bem legal para organizações que precisam gerenciar diversos clusters em um único ambiente, garantindo segurança, autonomia e controle granular.
Essa é a parte que faz o time de Segurança chorar de felicidade, você segrega os acessos de forma granular, a pessoa dev só vai ver o log do deploy, não pode ver secret, configmap, disco. O gerente ou PM dele vai ter permissão para adicionar pessoas no projeto dele que abrange alguns namespaces e de alguns clusters, olha aí que legal.
9. Comunidade Vibrante e Suporte Abrangente:
O Rancher conta com uma comunidade ativa e em constante crescimento, que oferece suporte técnico e compartilha conhecimentos através de fóruns, documentação e eventos. Além disso, a turma aqui na Getup te ajuda a implementar, manter, descobrir, quebrar e arrumar o Rancher, chama a gente.
Agora vamos para os pontos do contra, aqueles argumentos que podem te fazer montar um plano de implantação e um estratégia de ciclo de vida;
Ele instala agentes no seu cluster
Cria serviceaccounts, namespaces, objetos de sobrenome cattle, então fique de olho
Os helm parecem fáceis de instalar via interface, mas não se engane pode não funcionar.
Tem várias maneiras e estratégias que podem ser usadas para implementá-lo, o mais óbvio é via helm, mas existem alguns pré-requisitos;
Um ingress controller;
De preferência cert-manager, nem que seja para um certificado autoassinado;
Então num cluster Kubernetes você pode;
Se você não quiser instalar no cluster, pode subir via docker na sua máquina para testar;
Mais opções e maneiras de instalar você encontra na documentação em https://ranchermanager.docs.rancher.com/ .
Nesse exemplo temos o próprio Rancher, como local e um cluster on-promise. E ainda podemos gerenciar vários outros de providers distintos.
Um exemplo de configuração de autenticação via OpenLDAP apontando para um ActiveDirectory, lembrando que, é possível manter e permitir mais de 1 método de autenticação ex. OpenLDAP + Google Workspace.
Lista de usuários e sua origem.
Dicas finais:
O Rancher instala agents no cluster que vai gerenciar. Verdade; ele instala agents que são obviamente necessários e dão as permissões que você vai delegar, dar, instalar, etc. Então observe principalmente os resources utilizados.
Ele cria objetos no cluster, sim, CRDs a vontade pra seguir te ajudando;
Instale num cluster dedicado para ele ou num conceito de cluster de tools, ou de infra. São vários objetos e namespaces criados que podem te deixar confuso.
Cuidado com as instalações de helm, os packages, se não forem bem configurados e você não souber o que está fazendo pode ser frustrante e pode te causar problemas.
Para fechar, não deixe de acompanhar nosso blog, estamos sempre compartilhando conteúdos interessantes e ouça também o Kubicast, o podcast que traz conhecimento em um formato diferente.