Перейти к содержанию

Kubernetes — обзор

Kubernetes — целевой сценарий промышленной эксплуатации AppSec.AIGate. В отличие от пилота на Docker Compose, кластерное развёртывание даёт горизонтальное масштабирование, отказоустойчивость, управление секретами и стандартную наблюдаемость (ServiceMonitor / Prometheus Operator).

Архитектура развёртывания

Каждый микросервис разворачивается как Deployment + Service; ML-сервисы (threat-detector, content-safety, translation-service) — на GPU-узлах. Внутри кластера сервисы общаются по Service DNS (имя сервиса в namespace), без публикации портов на хост. Внешний вход управляется моделью exposure (Gateway API / Ingress) — см. Ingress, TLS и аутентификация.

Отличия от Docker Compose

Аспект Docker Compose (пилот) Kubernetes (production)
Единица развёртывания контейнер в compose Deployment / StatefulSet
Связь сервисов имя сервиса compose Service DNS кластера
Внешний вход публикация портов на хост Ingress / Gateway API
Конфигурация .env ConfigMap + Secret / Helm values
Секреты .env Secrets / внешний vault
Масштабирование вручную реплики, HPA
GPU deploy.resources nodeSelector/tolerations + GPU Operator
Наблюдаемость Prometheus scrape вручную ServiceMonitor (Prometheus Operator)

Способы установки

  • Установка через Wizard — рекомендуемый способ. Wizard — Go-инсталлер в Docker-образе: задаёт минимум вопросов, генерирует values.yaml и выкатывает все компоненты по фазам в правильном порядке (namespace → pull-secret → инфраструктура → продуктовые сервисы). Может запускаться как с рабочей машины (docker run), так и внутри кластера через Kubernetes Job (in-cluster установка из CI/CD или bastion-пода).
  • Ручная установка по компонентамhelm install отдельных чартов или подключение их к собственному GitOps (ArgoCD / Flux / Helmfile). Подходит тем, у кого уже есть пайплайн доставки: секретыинфраструктурапродуктовые сервисыIngress.

Порядок развёртывания

  1. Требования к кластеру
  2. Секреты
  3. Инфраструктура: PostgreSQL, Redis, MinIO, OPA, Keycloak
  4. Продуктовые сервисы
  5. Ingress / TLS / аутентификация
  6. Наблюдаемость
  7. Проверка работоспособности, обновление, резервное копирование