技术分享|Kubernetes前沿洞察：2024年基准报告中的K8s工作负载趋势分析

前言

Gartner 预计，至 2028 年，云计算将成为维系企业竞争力的核心要素，这一预测在 Kubernetes 的普及度不断攀升中得到了印证。Kubernetes（简称 K8s）通过自动化部署、管理和扩展容器化应用，为企业实现大规模云转型提供了有力支持。随着 DevOps、平台工程和开发团队在生产环境中对 Kubernetes 的依赖加深，这些团队必须对工作负载的可靠性、安全性和成本效益进行全面审查。

自 2021 年起，Fairwinds 分析了超过 100,000 个 Kubernetes 工作负载，并在首份 Kubernetes 基准报告中公布了结果。该基准旨在识别容器管理领域需要改进的共同问题，无论是内部还是与业界同行相比。2023 年报告基于超过 150,000 个工作负载的数据，与前一年进行比较以揭示趋势。而 2024 年 Kubernetes 基准报告则以前两年为基础，审视了超过 330,000 个工作负载的数据。最新报告指出，尽管某些配置领域仍具挑战性，但数百个组织的 Kubernetes 用户在提升工作负载效率和可靠性方面已取得了显著进步。

分析表明，与 2022 年和 2021 年相比，2023 年在多个方面均有所改进。尽管 Kubernetes 的复杂性众所周知，正确配置工作负载亦非易事，特别是在缺乏有效工具的帮助下。然而，我们在以下三个领域观察到了工作负载配置方面的实质性进步：

01

根据最新的行业调查数据显示，超过半数的组织（57%）已经具备了对容器规模进行调整的能力。这是一个积极的信号，说明近三分之二的组织目前仅有不超过10%的工作负载规模需要调整。当组织将Kubernetes工作负载部署至生产环境时，云资源的使用成本自然会有所上升。因此，为了有效管理成本，组织必须确保对CPU和内存的请求与限制设置得当，这对于提升系统的可靠性或者最大化资源利用率和效率至关重要。

然而，还有43%的组织面临挑战，超过11%的工作负载规模调整频率较高。据Kubernetes基准研究报告指出，超过三成的组织面临更为严峻的挑战，他们有高达50%的工作负载需要频繁调整规模。面对这样的情况，一旦组织识别出需要特别关注的容器，就应当确保开发团队明确知道哪些调整是必要的，以及如何高效地实施这些调整。

02

随着时间的推移，越来越多的组织开始重视部署副本的重要性。去年，Fairwinds首次对工作负载是否配置了副本进行了深入分析。数据显示，2022年仅有17%的工作负载中配置了副本，而到了2023年，这一比例显著上升至30%。这一增长趋势充分表明，开发和运营团队已经深刻认识到副本在提高系统可靠性和稳定性方面的巨大价值。

在Kubernetes环境中，副本是确保系统高可用性和容错能力的关键因素。当节点发生崩溃时，如果没有配置副本，部署或ReplicaSet将无法替换失败的Pod，从而导致服务中断。因此，副本的存在对于保障系统持续稳定运行至关重要。

通过合理配置和管理副本，企业可以显著提升其云原生应用的可靠性和稳定性，从而为用户提供更加优质的服务体验。同时，这也将有助于降低因服务中断而导致的潜在成本和风险。

03

众所周知，Kubernetes因其默认配置不够安全而备受争议。这本质上要求用户对众多工作负载配置进行详尽的审查，以确保不存在可能导致潜在安全风险的设置。最新的基准数据显示，存在权限升级问题的组织数量从2023年的29%下降到了14%，这是一个显著的改善。

同样值得注意的是，仅有8%的组织其90%或更多的工作负载受到配置为在Kubernetes集群中以root用户身份运行的容器的影响。尽管这一比例比去年下降了12%，但仍不理想。理想情况下，应尽量避免让容器以root身份运行，因为大多数情况下，这种高度的访问权限是不必要的，并且可能使恶意攻击者利用root权限来破坏系统或访问受保护的信息。

因此，为了确保Kubernetes集群的安全性，建议组织继续审查和优化其工作负载配置，特别是与权限和访问控制相关的设置。通过限制不必要的root访问权限和降低权限升级的风险，可以显著提高系统的安全性，降低潜在的安全风险。

结语

通过深入解读Kubernetes基准报告，发现优化和提升的潜力领域，对于确保企业业务的安全和稳定运行至关重要。尽管容器和Kubernetes技术在推动业务创新和提升效率方面具有巨大优势，但它们的配置和管理同样伴随着复杂性和挑战。

Kubernetes作为一个高度可定制的平台，其设计复杂性允许组织根据自身需求进行灵活配置。然而，这种灵活性也意味着配置错误的风险增加，可能对业务的安全性产生重大影响。因此，了解并借鉴其他组织在配置过程中遇到的问题和改进经验，对于确保您的工作负载在可靠性、安全性和成本效率方面达到最佳状态至关重要。

安易科技介绍

安易科技专注于云原生安全领域，提供基于智能自学习的云原生安全解决方案。是目前国内唯一可以基于代理和无代理检测跨容器、Kubernetes、主机和多云服务威胁的安全厂商。自主研发的AneSec云原生安全平台，产品理念契合Gartner CNAPP理论，全链路实现了容器、K8S、微服务和API应用全生命周期识别、预防、检测与响应的全栈安全闭环。为客户提供卓越云原生安全服务，保障客户业务稳健运行。