ساخت زیرساخت DevOps مقیاس پذیر با Docker و Kubernetes
9دقیقه
آنچه در این مقاله میخوانید [پنهانسازی]
اگر هدف شما راه اندازی یک خط تولید نرم افزار سریع، پایدار و مقیاس پذیر است، بهترین نقطه شروع ترکیب هوشمندانه Docker و Kubernetes است. با استانداردسازی ساخت ایمیج، تعریف محیط های یکپارچه، خودکارسازی استقرار و پایش مداوم، می توانید چرخه توسعه تا عملیات را کوتاه کنید و ریسک خطا را کاهش دهید. در این راهنما نقشه راهی عملی، گام به گام و قابل اجرا ارائه می شود تا بتوانید هسته یک زیرساخت حرفه ای را روی هر کلاود یا دیتاسنتر پیاده سازی کنید.
سرفصل های مقاله
معماری و مراحل پیاده سازی
برای ساخت ستون فقرات یک سیستم تولید نرم افزار مدرن، ابتدا باید لایه ها و مرز مسئولیت ها را شفاف کنید. جداسازی دغدغه ها باعث می شود بتوانید هر بخش را به صورت مستقل بهبود دهید، جایگزین کنید یا مقیاس دهید. از مدیریت سورس کد و وابستگی ها شروع کنید، سپس ساخت ایمیج، رجیستری خصوصی، ارکستراسیون، شبکه، امنیت و پایش را به هم متصل کنید.
بهترین روش، پیشبرد کار به صورت مرحله ای و قابل سنجش است. هر مرحله باید خروجی مشخص داشته باشد؛ مثلا یک ایمیج نسخه بندی شده، یا یک دیپلویمنت سالم در کلاستر. این رویکرد ریسکی را که از چند تغییر همزمان ناشی می شود، کنترل می کند.
نکته کلیدی دیگر، تعریف استانداردهای تیمی است. قرارداد نامگذاری ایمیج ها و تگ ها، ساختار شاخه های گیت، سیاست نسخه بندی، و حداقل های امنیتی مثل اسکن آسیب پذیری باید از روز اول مشخص شوند. این قراردادها ضمانت کیفیت شما در مقیاس هستند.
- تعریف اهداف مهندسی و شاخص های کلیدی مثل زمان آماده شدن تغییر تا استقرار و نرخ شکست استقرار.
- طراحی لایه ها و انتخاب ابزارها برای هر لایه با توجه به مهارت تیم و قیود کسب و کار.
- کانتینرسازی سرویس ها با یک الگوی یکسان و تولید ایمیج سبک و امن.
- ایجاد رجیستری خصوصی و سیاست نسخه بندی ایمیج بر اساس گیت و برچسب های غیر قابل تغییر.
- راه اندازی کلاستر، تعریف نام اسپیس های محیطی مثل dev، staging و prod.
- تعریف مانفیست های استقرار با منابع، پروب ها و کانفیگ های جدا از کد.
- خودکارسازی CI برای ساخت و انتشار ایمیج با هر پوش به شاخه اصلی.
- خودکارسازی CD برای اعمال مانفیست ها و مدیریت انتشار تدریجی.
- پیاده سازی مانیتورینگ، لاگ مرکزی و هشدارهای اقدام پذیر.
- سخت سازی امنیت، کنترل دسترسی مبتنی بر نقش و سیاست های شبکه.
جدول زیر یک نقشه خلاصه از لایه ها و ابزارهای متداول ارائه می کند. هدف، ایجاد زبان مشترک در تیم برای تصمیم گیری است. شما می توانید بر اساس محدودیت ها و تجربه، جایگزین های مناسب انتخاب کنید.
| لایه زیرساخت | ابزار پیشنهادی |
|---|---|
| کانتینرسازی | Docker |
| رجیستری ایمیج | Harbor, GitHub Container Registry, ECR, GCR |
| ارکستراسیون | Kubernetes |
| CI | GitHub Actions, GitLab CI, Jenkins |
| CD | Argo CD, Flux |
| مشاهده پذیری | Prometheus, Grafana, Loki, ELK |
| امنیت | Trivy, kube-bench, OPA Gatekeeper |
| شبکه و ورود | NGINX Ingress, Traefik, cert-manager |
کانتینرسازی استاندارد و رجیستری امن
اولین بلوک ساختنی، ایمیج پایدار و سبک است. از بیس ایمیج کم حجم استفاده کنید، لایه ها را به حداقل برسانید، و وابستگی ها را قفل کنید. همواره فایل های غیر ضروری مثل تست ها و داکیومنت ها را به وسیله .dockerignore حذف کنید تا اندازه ایمیج و سطح حمله کاهش یابد.
نمونه یک Dockerfile ساده برای یک سرویس Node.js را در ادامه می بینید. این الگو با استفاده از npm ci تکرارپذیری نصب را تضمین می کند. پیشنهاد می شود کاربر غیر ریشه تعریف کنید و پورت را به صورت صریح مشخص کنید.
# Dockerfile
FROM node:20-alpine
WORKDIR /app
COPY package*.json ./
RUN npm ci --only=production
COPY . .
EXPOSE 3000
CMD ["node", "server.js"]
برای توسعه محلی و هماهنگی تیم، استفاده از docker compose بسیار کمک کننده است. با تعریف سرویس ها، شبکه داخلی و متغیرهای محیطی، می توانید تجربه نزدیک به محیط واقعی را روی لپ تاپ فراهم کنید.
# docker-compose.yml
version: "3.9"
services:
web:
build: .
ports:
- "3000:3000"
environment:
- NODE_ENV=development
volumes:
- .:/app
command: ["node", "server.js"]
redis:
image: redis:7-alpine
ports:
- "6379:6379"
پس از ساخت ایمیج، آن را با یک الگوی تگ استاندارد منتشر کنید. ترکیب نام سرویس، نسخه نرم افزار و هش کامیت شفاف است. به عنوان نمونه: registry.example.com/web:1.4.2-abc123. تگ latest برای تولید مناسب نیست چون قابل ردیابی و تکرار نیست.
امنیت را از رجیستری آغاز کنید. فعالسازی اسکن خودکار آسیب پذیری، الزام احراز هویت قوی، فعالسازی حذف محافظت شده و سیاست نگهداری نسخه ها ضروری است. دسترسی ها را حداقل لازم تعریف کنید تا هر سرویس تنها به تگ های مورد نیاز خود دسترسی داشته باشد.
پیاده سازی در کلاستر و اتوماسیون DevOps
هماهنگی Docker و Kubernetes زمانی قدرتمند می شود که اعمال تغییر از کد تا کلاستر کاملا خودکار باشد. با تعریف مانفیست های شفاف و نسخه پذیر، استقرار قابل پیش بینی می شود و بازگشت به نسخه قبل سریع خواهد بود. توصیه می شود برای هر سرویس یک فولدر k8s و فایل های جداگانه برای دیپلویمنت، سرویس و مسیرهای ورود داشته باشید.
یک نمونه Deployment کمینه که منابع، پروب سلامت و متغیرهای محیطی را مشخص می کند در ادامه آمده است. این تنظیمات از کوبیدن پادها جلوگیری می کند و به اتوسکلر اجازه می دهد تصمیم دقیق تری بگیرد.
# k8s/deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
name: web
namespace: prod
spec:
replicas: 3
selector:
matchLabels:
app: web
template:
metadata:
labels:
app: web
spec:
containers:
- name: web
image: registry.example.com/web:1.4.2-abc123
ports:
- containerPort: 3000
env:
- name: NODE_ENV
value: production
resources:
requests:
cpu: "100m"
memory: "128Mi"
limits:
cpu: "500m"
memory: "256Mi"
readinessProbe:
httpGet:
path: /health
port: 3000
initialDelaySeconds: 5
periodSeconds: 10
در کنار دیپلویمنت، یک Service از نوع ClusterIP بسازید و سپس با Ingress مسیرهای عمومی را مدیریت کنید. برای گواهی امن، cert manager را نصب کنید تا صدور خودکار TLS انجام شود. همچنین با NetworkPolicy ترافیک را محدود کنید تا هر پاد تنها به سرویس های نیازمند خود دسترسی داشته باشد.
گام بعدی، اتصال خط CI به رجیستری و کلاستر است. در این الگو با GitHub Actions هر پوش به شاخه main باعث ساخت ایمیج، انتشار در رجیستری و اعمال مانفیست ها می شود. اعتبارنامه ها را در secrets ذخیره کنید و از context های دسترسی حداقلی استفاده کنید.
# .github/workflows/ci-cd.yml
name: ci-cd
on:
push:
branches: ["main"]
jobs:
build-deploy:
runs-on: ubuntu-latest
steps:
- name: Checkout
uses: actions/checkout@v4
- name: Set image tag
id: vars
run: echo "TAG=1.4.2-${GITHUB_SHA::7}" >> $GITHUB_OUTPUT
- name: Login to registry
uses: docker/login-action@v3
with:
registry: registry.example.com
username: ${{ secrets.REGISTRY_USER }}
password: ${{ secrets.REGISTRY_PASS }}
- name: Build and push image
uses: docker/build-push-action@v6
with:
context: .
push: true
tags: registry.example.com/web:${{ steps.vars.outputs.TAG }}
- name: Setup kubectl
uses: azure/setup-kubectl@v4
with:
version: "v1.29.0"
- name: Kubeconfig
run: |
mkdir -p ~/.kube
echo "${KUBECONFIG_DATA}" | base64 -d > ~/.kube/config
env:
KUBECONFIG_DATA: ${{ secrets.KUBECONFIG_B64 }}
- name: Apply manifests
run: |
sed -i "s|IMAGE_TAG|${{ steps.vars.outputs.TAG }}|g" k8s/deployment.yaml
kubectl apply -f k8s/deployment.yaml
برای استقرار ایمن تر، استراتژی انتشار تدریجی را فعال کنید. RollingUpdate با حداکثر unavailable و surge مدیریت شده، وقفه سرویس را کم می کند. اگر نیاز به آزمایش ترافیک دارید، canary با ابزارهایی مثل Argo Rollouts مفید است.
مشاهده پذیری پایه با Prometheus و Grafana امکان رصد منابع، نرخ خطا و تاخیر را فراهم می کند. متریک های کلیدی مثل خطای 5xx، زمان پاسخ و اشباع منابع را داشبود کنید. برای لاگ، Loki یا ELK را به عنوان مخزن مرکزی راه اندازی کنید و الگوهای خطا را با هشدارهای عملیاتی ترکیب کنید.
- امنیت کلاستر را با RBAC دقیق، جداسازی نام اسپیس ها و استفاده از ServiceAccount های اختصاصی تقویت کنید.
- با PodSecurity یا معادل آن، دسترسی ریشه را ممنوع و قابلیت های غیر ضروری را حذف کنید.
- اسکن ایمیج و پادها را در CI ادغام کنید و در صورت کشف ضعف بحرانی، انتشار را متوقف کنید.
- در هر سرویس request و limit را تعیین کنید تا برنامه ریز بتواند بهینه زمان بندی کند.
- Horizontal Pod Autoscaler را با متریک های مناسب فعال کنید تا در پیک بار مقیاس پذیری خودکار انجام شود.
جمع بندی
برای ساخت یک سکوی حرفه ای، کافی است اصول ساده را پیوسته اجرا کنید: ایمیج های استاندارد، رجیستری امن، مانفیست های نسخه پذیر، استقرار خودکار، و پایش دقیق. با پیروی از این نقشه راه، تیم شما سریع تر تغییر می دهد، با اطمینان بیشتری منتشر می کند و در مواقع بحران سریع تر بازیابی می شود. ترکیب توانمندی های Docker و Kubernetes به شما امکان می دهد از لپ تاپ تا دیتاسنتر یک الگوی یکسان داشته باشید و هزینه نگهداری را در درازمدت کاهش دهید.
