Problemzonen aufspüren

von Martin Loschwitz

Kubernetes ist aus der IT nicht mehr wegzudenken, doch Administratoren beklagen dessen Komplexität – besonders dann, wenn es um viele verschiedene Workloads in diversen Kubernetes-Instanzen geht. Fairwinds Insights schickt sich an, IT-Verantwortlichen unter die Arme zu greifen, indem es sich wie eine Klammer um die Instanzen legt und zentrale Verwaltung, Sicherheit sowie das Überwachen aller Aktivitäten ermöglicht.

Die Idee von Kubernetes, einzelne Anwendungen in autarke Container zu verpacken und mittels Verwaltungssoftware in riesigen Computing-Pools automatisiert zu betreiben, ist implizit auch das Versprechen, mit lästiger Systemverwaltung und Paketverwaltern wie RPM oder Dpkg in Zukunft deutlich weniger zu tun zu haben. Das führt selbst dann, wenn etwas schief geht, zu deutlich schnelleren Wiederanlaufzeiten – zumindest in der Theorie. In der Praxis ächzen viele Admins und Entwickler heute unter der immer größer werdenden Kubernetes-Komplexität. OpenStack, quasi der indirekte Kubernetes-Vorgänger in Sachen Private Cloud, muss sich bis heute den Vorwurf gefallen lassen, schwierig in der Installation und der Handhabung zu sein.

Fairwinds will Kubernetes vereinfachen

Kubernetes hat auch eine neue Applikationsart ermöglicht, die zentralisierten Verwalter für verschiedene Kubernetes-Instanzen. Cloudmanagement-Software existiert am Markt heute in fast jeder denkbaren Ausprägung, auch und gerade für Kubernetes. Ein Werkzeug, das Admins von Kubernetes-Systemen erhebliche Verbesserungen verspricht, ist Fairwinds Insights. Nicht weniger als eine zentrale Kommandozeile für verschiedene Kubernetes-Instanzen will das Tool sein. Es versteht sich als Plattform-agnostisch und beherrscht beispielsweise sowohl den Umgang mit "lokalen" Kubernetes-Clustern als auch jenen mit den Kubernetes-Diensten der großen Hyperscaler, wie EKS alias Amazon Elastic Kubernetes Service. Grund genug, dem Tool auf den Zahn zu fühlen, und zwar anhand von fünf Kategorien.

Zunächst geht es um die Grundfunktionalität. Was bietet Fairwinds Insights dem Admin in Sachen Basisfunktionalität, welche Überwachungs- und Deployment-Features stehen bereit? Das zweite Kapitel dreht sich dann um eine Untermenge der Grundfunktionen und legt den Fokus auf die Themen Sicherheit und Compliance. Hier verspricht Fairwinds eine ganze Menge, doch wird das Produkt den wortreichen Ankündigungen gerecht? Das muss es zeigen, bevor es im Abschnitt drei um die Integrationen mit anderen Werkzeugen geht. Kubernetes läuft auch heute schließlich nur selten komplett alleine – doch wie gut versteht sich das Tool mit anderen Diensten, etwa Prometheus? Aspekt vier dreht sich um das Thema Kosten, wo Fairwinds behauptet, den Administrator aktiv bei der Optimierung unterstützen zu können. Funktioniert das, worauf achtet das Programm und sparen Admins am Ende wirklich Geld? Kriterium Nummer fünf dreht sich schließlich um die Themen Automation und Orchestrierung. Wie gut beherrscht die Software das automatische Verwalten, wie zuverlässig greift es in bestehende Workloads ein und wieviel Aufwand erspart dies dem Administrator tatsächlich?

Mächtige Grundfunktionen

Insights ist ein cloudbasierter Dienst, der sich nicht lokal im Rechenzentrum einer Firma installieren lässt. Hier entsteht für viele Unternehmen bereits ein Problem, denn Compliance-Richtlinien untersagen vielerorts das Bereitstellen von Daten, wenn diese dazu den Geltungsbereich der DSGVO verlassen. Fairwinds betreibt als amerikanische Firma seine Server in den USA, sodass auch der notorische Widerspruch zwischen DSGVO und CLOUD Act zum Problem werden kann.

Unternehmen, die dies tolerieren können, haben grundsätzlich drei Wege, Daten aus ihren Kubernetes-Instanzen in Fairwinds zu packen. Der gängigste ist die Installation des Insights-Agenten in jeder laufenden Kubernetes-Instanz. Der fungiert als Datensammler einerseits und übermittelt andererseits Befehle, die der Admin über die Fairwinds-GUI erteilt, an die Kubernetes-Instanz zurück.

Der "Admission Controller" dient zusätzlich als eine Art Türsteher. Hierfür bietet Kubernetes eine eigene Art Schnittstelle: Ressourcen, die nicht den festgelegten Regeln eines Unternehmens entsprechen, lassen sich beim Einsatz eines solchen Controllers nicht in Kubernetes ausrollen. Per GUI über das Fairwinds-Kontrollzentrum legt der Admin diese Regeln fest, allerdings muss in jeder Kubernetes-Instanz, die diese erzwingen soll, Fairwinds dann auch als Admission Controller konfiguriert sein.

Schließlich kann die Software auch als Continuous-Integration-Überwachung arbeiten. Dann kombiniert sie eine Vielzahl eigener Tools und Bibliotheken, um die Ausgabe von Deployment-Befehlen in einem Kubernetes-Cluster zu untersuchen und zu analysieren. Findet Fairwinds dabei gängige Fehler oder Fehlkonfigurationen, schlägt es per GUI entsprechend Alarm.

Endlich ein Kubernetes-GUI

Schnell fällt auf, dass die Fairwinds-GUI eine ganz erhebliche Bedeutung hat. Nicht von ungefähr, denn einer der zentralen Kritikpunkte an Kubernetes ist, dass es gänzlich ohne offizielle grafische Schnittstelle daherkommt. Eingefleischte Kommandozeilenjockeys werden die Notwendigkeit, eine solche überhaupt zu haben, freilich bestreiten. Fakt ist aber auch: Wer sich mit riesigen Kubernetes-Clustern herumschlägt, findet eine klickbare GUI mit sinnvoller Benutzerschnittstelle oft angenehmer als die Shell. Um so mehr gilt das für Stresssituationen, in denen der Administrator zunächst so schnell wie irgendwie möglich eine Übersicht darüber benötigt, was eigentlich los ist. Auch wenn die Shell-Profis es nicht gern hören, kann eine sinnvoll designte grafische Schnittstelle über Hervorhebungen und Pop-ups dem Administrator schneller einen Einblick liefern.

Genau hier setzt die GUI an: Es bereitet die von den zuvor beschriebenen Tools im Hintergrund gesammelten Daten auf, stellt sie grafisch dar, analysiert sie zugleich aber auch und leitet daraus Handlungsempfehlungen ab, die sie dem Admin im nächsten Schritt anzeigt. An dieser Stelle wird allerdings auch ein augenscheinlicher Widerspruch erkennbar: Zwar nennt das Produkt sich "Fairwinds Insights", was auf eine reine Analyse- und Interpretationslösung schließen lässt, doch im Untertitel bezeichnet das Programm sich dann aber als geeignet, um auch "Governance and Guardrails" zu implementieren. Und das geht durch bloßes Zuschauen kaum. Fakt ist also, dass Fairwinds über seine beschriebenen Agenten auch Änderungen an Kubernetes-Clustern erzwingen und bestimmte Funktionen einschränken kann. Auch diese Features lassen sich mittels der GUI steuern.

Erfolgreiche Kostenbremse

Weil Fairwinds Insights seine Fähigkeiten im Hinblick auf Security und Compliance im zweiten Abschnitt dieses Tests separat unter Beweis stellt, bleiben beim Punkt Grundfunktionen zur Analyse über die GUI hinaus nur jene Features, die mit Security und Compliance nichts zu tun haben. Ein wichtiger Faktor ist dabei die Kostenoptimierung. Manchem Einfaltspinsel ist es in der Vergangenheit passiert, dass ein eigentlich nur zu Testzwecken gestartetes Setup auf AWS in Vergessenheit geriet. Die böse Überraschung kommt dann in Form der Monatsrechnung, die schnell auch mal vierstellig sein kann.

Insights schiebt diesem Problem einen Riegel vor und mittels eines eigenen Systems zur Rechteverwaltung konnten wir einerseits Berechtigungen für Nutzer vergeben, was das Starten von Ressourcen in Zielplattformen angeht. Und andererseits erlaubte uns die Software, dank einer eigenen Übersichtsseite stets den Überblick über die gerade laufenden Ressourcen zu behalten. Dass Dienste also über Wochen und Monate aktiv sind, ohne dass sie irgendjemandem auffallen, lässt sich somit gut verhindern. Diese Funktionen überzeugen vor allem deshalb, weil sie in dieser Zusammenstellung am Markt bisher einzigartig sind.

Umfassende Überwachung

Nun wandten wir uns quasi dem Herzstück von Fairwinds zu, nämlich den Themen Security und Compliance. Fast alle Funktionen des Werkzeugs sind um diese Features herum konstruiert, und tatsächlich bietet das Programm hier einiges, das es am Markt bis dato so nicht gibt. Das macht sich beim Thema Governance unmittelbar bemerkbar. Insights ermöglichte es uns, bestehende Setups in Kubernetes-Installationen zu überwachen und automatisiert im Hinblick auf verschiedene Faktoren abzuklopfen. So gab es ein "Self-Assesment" für die SOC-2-Zertifizierung ebenso wie einen automatisierten Benchmark nach den Sicherheitsregeln des CIS. Eine eigene Policy-Bibliothek in Insights erleichterte es uns, Regeln zu definieren und in Kubernetes-Setups zu erzwingen. Ebenfalls unterstützte das Tool Policy-Regeln nach den Standards des Open Policy Agents. Das ist besonders praktisch, wenn Administratoren im Netz verfügbare Policies verwenden wollen – denn die kommen oft im OPA-Format daher.

Darüber hinaus lässt sich Insights vollständig in CI/CD-Pipelines integrieren. Starteten wir also Kubernetes aus einer Entwicklungsumgebung heraus, stellte Insights sicher, dass definierte Compliance-Regeln gelten und erzwungen wurden. Auf die weitere CI/CD-Integration geht dieser Test beim Kriterium fünf noch genauer ein.

Automatische Sicherheitsscans melden Lücken

Auch in Sachen Sicherheit haben sich die Fairwinds-Entwickler einige schlaue Features überlegt. Wer CI/CD-Umgebungen zum Ausrollen nutzt und seine Infrastruktur entsprechend als "Infrastructure-as-Code" in Form von Ressourcenanweisungen für Kubernetes definiert hat, kann diese in Insights einem automatischen Test unterziehen. Das funktioniert im Prinzip so wie etwa InSpec auf der Kommandozeile: Fairwinds geht die Definitionen durch und schlägt Alarm, wenn es problematische Stellen findet. Das klappt übrigens auch innerhalb von Git-Ops-Umgebungen, die automatische Änderungen an Templates und erneute automatische Prüfungen vorsehen.

Laufen Container bereits, ist das für Insights kein Grund, die Finger von ihnen zu lassen. Denn Insights integriert gleich mehrere Werkzeuge, die laufende Container im Hinblick auf bekannte Sicherheitslücken untersuchen. Damit begegnet die Software einer immer wieder geäußerten Kritik an Kubernetes- und Container-Workloads im Allgemeinen, nämlich, dass diese nach dem ersten Start häufig zu einer Art "Blackbox" würden, deren Inhalt niemand nachvollziehen kann. Insights hingegen schafft Klarheit und erkannte im Test selbst sehr aktuelle Sicherheitslücken zuverlässig. In der GUI zeigte das Werkzeug dann eine entsprechende Warnung an.

Darüber hinaus bot uns die Software eine komplett eigenständige Benutzerverwaltung samt RBAC-basierter Rechteverwaltung – anders wäre sie allerdings auch kaum zu implementieren. Denn ein zentrales Versprechen des Herstellers besteht darin, dieselben Compliance-Regeln für dieselben Benutzer über alle Kubernetes-Installationen, die Insights verwaltet, äquivalent zu implementieren. Und das wiederum ist nicht denkbar, wenn die Benut- zerzugänge nicht allerorten identisch sind. Zur Anmeldung fanden wir im Test verschiedene SSO- oder SAML-Ansätze, sodass sich Insights auch an externe Benutzerverzeichnisse, etwa per Keycloak, anbinden ließ.

Weitreichende Verzahnung mit anderer Software

Es liegt auf der Hand, dass eine Software wie Insights einerseits zwar viel Arbeit selbst erledigt, andererseits aber mit weiterer Infrastruktur gut integrierbar sein muss. Fällt dem Vulnerability-Scanner von Insights etwa ein Problem auf, berichtet er über dieses zwar brav in seiner grafischen Oberfläche. Viele Administratoren werden die Insights-GUI im Alltag aber möglicherweise gar nicht regelmäßig nutzen. Was durchaus ein Kompliment für Insights wäre, denn wenn das GUI-Login nicht notwendig ist, funktioniert das Tool ja offensichtlich gut. Allerdings bekäme der Administrator von eventuellen Problemen dann auch nichts mit, wenn sie ihren Weg aus der Anwendung heraus nicht zu anderen Diensten fänden.

Dieses Problem umgeht Insights mit einer Vielzahl der gängigsten Tools – proprietäre sowie Open Source. Wer etwa GitHub oder GitLab nutzt, um seine Pod-Definitionen zu verwalten, und diese per Jenkins dann in der Produktion ausrollt, kann sowohl die Quelltextverwaltung als auch Jenkins nativ mit Insights integrieren. Verschiedene cloudbasierte Helpdesk-Systeme stehen ebenfalls auf der Liste der Dienste mit Integration. Eine gefundene Schwachstelle in einem Container kann so die automatische Erstellung eines Tickets auslösen. Oder soll es stattdessen lieber eine Nachricht in einen Chat-Kanal geben? Das funktionierte in unserem Test mittels der Slack-Integration ebenfalls.

Wer verschiedene Metriken aus Insights mit Prometheus überwachen und mit Grafana optisch aufbereitet darstellen möchte, hat dazu ebenfalls die Gelegenheit. Und natürlich lässt sich Fairwinds mit GitLab so kombinieren, dass als defekt erkannter Quellcode erst gar nicht ausgerollt wird. In Summe verbindet sich unsere Testsoftware mit dem Gros der relevanten Tools am Markt und gehört damit zu den "Best of Breed"-Lösungen dieser Kategorie.

Kostenbremse mit Tuning

Zwar haben wir das Thema Kostenoptimierung zuvor bereits aufgegriffen, es schadet aber nicht, sich das Kriterium nochmals genauer anzusehen. Einerseits kann Insights nämlich ganz banal vor ausufernden Kosten warnen, sollte mal ein Deployment auf AWS und Co. in Vergessenheit geraten. Darüber hinaus hat die Software aber auch einen Analysemodus, der dem Administrator möglicherweise bares Geld spart. Denn weil Insights alle verwalteten Setups kennt, weiß es, welche Ressourcen aktuell benötigt werden, wo welche Ressourcen noch zur Verfügung stehen, welche Querverstrebungen es zwischen den Systemen gibt und so weiter. So kann es etwa vorkommen, dass eine gerade noch auf AWS laufende Container-Infrastruktur vielleicht besser in einer privaten Umgebung liefe, die weniger Kosten produziert.

Auch die Struktur von Kubernetes-Deployments selbst konnten wir analysieren. Laufen etwa irgendwo 20 Container für den Betrieb einer Anwendung, die allesamt nichts zu tun haben, warnte uns die Software und schlug vor, die jeweilige Container-Umgebung entsprechend zu verkleinern.

Im Regelfall lag Insights mit seinen Analysen bei sinnvoll konstruierten Kubernetes-Workloads richtig. Vergleichbare Werkzeuge gibt es am Markt zwar, aber nicht mit diesem Funktionsumfang. Denn die einzelnen Insights-Teile sind sinnvoll miteinander verwoben: So fanden wir einmal ein viel zu großes und nicht ausgelastetes Kubernetes und konnten dieses aus der Software heraus nicht nur verkleinern, sondern zugleich auch Compliance-Regeln definieren, die die Reduktion der Container beim nächsten Mal völlig automatisch vornehmen.

Vorbildliche Automatisierung

Fairwinds kommt unter der Haube mit einer großen Menge an schlauen Workflows, um verschiedene Compliance- und Sicherheitsprobleme automatisch zu erkennen und den Administrator zu warnen. Zugleich ist es mit einer Vielzahl an Entwicklungs- und Überwachungswerkzeugen so gut verzahnt, dass es aus einmal gewonnenen Erkenntnissen quasi sofort und vollautomatisch sinnvolle Compliance-Regeln entwickeln kann.

Und auch bei der eigenen Infrastruktur braucht Insights sich im Hinblick auf Automatisierung und Orchestrierung keine Vorwürfe gefallen zu lassen. Sämtliche Komponenten konnten sich in bestehende Kubernetes-Infrastrukturen integrieren. Offizielle Container-Abbilder und die nötige Kubernetes-Integration bietet der Anbieter dafür selbst im Netz an – das ist vorbildlich.

Fazit

Fairwinds Insights richtet sich vor allem an Administratoren, die auf den Kubernetes-Zug irgendwie aufgesprungen sind und mittlerweile den Wald vor lauter Bäumen nicht mehr sehen. Kommen dann noch andere Faktoren wie der Betrieb in AWS mit seinen eigenen APIs hinzu, können selbst erfahrene IT-Profis ins Schleudern kommen. Ihnen wirft die Software eine Art Rettungsanker ins Wasser. Das Fairwinds-Dashboard liefert eine Übersicht über den Zustand verschiedener Kubernetes-Umgebungen, wie es sie seitens des Kubernetes-Projekts plattformübergreifend längst geben sollte.

Wer Insights allerdings auf seine GUI reduziert, tut dem Produkt unrecht. Denn die wahre Magie des Werkzeugs steckt eigentlich eher in der Integration mit etlichen externen Diensten, der eigenen Policy-Engine sowie der Fähigkeit, verschiedene lose Enden in etlichen Kubernetes-Setups sinnvoll miteinander zu verbinden. Wer bis dato eine Reihe von Containern in verschiedenen Plattformen betreibt und sich über uneinheitliche Benutzerverzeichnisse ärgert, findet in Insights eine gute Antwort auf die damit verbundenen Probleme. Auch ein über alle Benutzer hinweg einheitliches Regelwerk für sämtliche Zielplattformen lässt sich erzwingen. Zudem ermöglicht die Software verschiedene Automatismen, um gängigen Problemen wie unentdeckten Sicherheitslecks auf die Spur zu kommen. Als Steuer- und Kommandozentrale für Kubernetes leistet Insights von Fairwinds beste Dienste.

Produkt	Software zur Verwaltung von Kubernetes-Instanzen.
Hersteller	Fairwinds https://www.fairwinds.com/
Preis	Ein kostenloser Cluster mit bis zu fünf Knoten gilt als "Trial" und lässt sich dauerhaft betreiben. Für die Vollversion ist die Anzahl der Knoten die Abrechnungsbasis: So fallen für 200 Knoten rund 70.000 US-Dollar pro Jahr an. Allgemein gilt ein Volumentarif – je mehr Knoten zum Einsatz kommen, desto weniger Kosten entstehen pro zusätzlichem Knoten.
Systemanforderungen	Praktisch keine, denn die Insights-Dienste in den Zielumgebungen benötigen pro Dienst lediglich wenige MByte RAM und wenige CPU-Zyklen.
Technische Daten	https://www.it-administrator.de/downloads/datenblaetter/