Kubernetes插件或擴展是Kubernetes堆棧的重要組成部分，可幫助滿足各種需求并增強使用體驗，為了支持生產級的部署，Kubernetes需要許多可擴展的組件，比如日志記錄和監控功能，安全治理等等。那么到底需要在哪些方面進行擴展，選擇哪些插件呢?

1. 覆蓋網絡插件

容器必須以某種方式進行通信，所以覆蓋網絡(Overlay network)插件十分重要。盡管集群可以獨立于覆蓋網絡運行，但使用此覆蓋網絡的擴展，將大大提升靈活性。

覆蓋網絡插件的有不少，比如Calico，Weave，Flannel，Canal(Calico + Flannel)和Kube Router。每個集群可以手動安裝，也可以針對每個集群分別安裝。但是，這可能很耗時，并且限制縮放比例。由于覆蓋網絡是Kubernetes集群的關鍵部分，因此請確保它是自動化的，并且是Kubernetes管理平臺的一部分。

2. 云原生存儲擴展

大多數用戶，開始使用無狀態應用程序進行Kubernetes時，但很快便涉足有狀態應用程序領域。此時，需要一種使用特定擴展來管理云原生存儲的方法。

Kubernetes提供基本的本地存儲功能。但是，它們可能在諸如存儲配置，訪問管理或針對不同存儲類型的SLA等方面不足。盡管可以通過半手動方式解決這些問題，但這給運營團隊帶來了負擔，并帶來了可伸縮性問題。

為了通過狀態應用程序支持，可擴展的Kubernetes集群，需要自動執行云原生存儲管理，操作和治理。這幾個選項是不錯的選擇，比如Portworx，Storage OS和Robin。開源項目還可以選擇Ceph和Rook。

所以在選擇構建自己的云原生存儲，利用商業產品(或具有商業支持的開源產品)，或使用Kubernetes擴展云原生存儲功能。這三種選擇，第一種方法顯然不可行，因為構建自己的所需的工作和資源對大多數企業來說，都成本高昂的;最好考慮使用供應商提供的現有云本地存儲框架，或使用Kubernetes內置的存儲功能。

3. CI/CD管道插件

可以選擇各種持續集成和持續交付(CI/CD)擴展。有些是特定于云原生的，而另一些是通用的，可以與Kubernetes或其他部署工具一起使用。這些工具中的每一個都有不同程度的可定制性。有些包裝與預配置的管道打包在一起，這限制了自定義，而另一些限制較少，但需要更多的設置工作。

在查看選項時，請考慮開發團隊正在使用的工具及其體驗?？梢酝ㄟ^插件，將CI/CD管道與Kubernetes和云原生堆棧集成在一起。如果沒有，請考慮使用開源工具，如Jenkins，Spinnaker或兩者的組合。

4. 安全管理和治理框架擴展

安全管理和治理框架對于企業至關重要，挑戰也在所難免。通過不同的框架實現不同的治理規則，并且這些擴展可能與現有的安全框架重疊。如果沒有一個能夠滿足所有治理需求的綜合工具，可能需要混合搭配以最大程度地覆蓋范圍，而又不會過度使用治理框架的數量和給運營團隊帶來負擔。

由于不同的企業的安全要求不同，因此安全插件也面臨類似的挑戰。首先，定義你的要求并確定正確的擴展;其次，在使覆蓋范圍最大化的同時，最小化所需的框架。

一些安全框架將與覆蓋網絡擴展集成，或者可以利用某些Kubernetes安全功能，包括網絡策略，pod安全策略等。對于自動化而言，如NeuVector之類的解決方案可以在集群，環境和應用程序中應用通用策略。

5. 入口管理擴展

入口管理可以將Kubernetes集群服務提供給外部用戶。為此，可以利用集群中的入口控制器。但是，更復雜的場景可能需要多個入口控制器并與API管理系統(如NGINX或Kong)集成。這兩個工具都與Kubernetes，云原生工具和不同的API管理系統集成在一起。

6. 運行時框架

有許多應用程序運行時擴展可供選擇。無服務器框架和服務網格通常與Kubernetes一起使用，并且能夠在每個集群中自動部署這些框架的功能非常有用。特別是對于開發和質量保證。使用這些工具時，請務必注意，它們會從應用程序中收集其他指標維度，并應與Kubernetes日志收集和監控集成。例如，服務網格可以為監控和解決各種問題，提供有價值的跟蹤信息。

鏡像注冊表是Kubernetes的另一個重要擴展。鏡像管理或構建庫管理遠遠超出了托管構建二進制文件，Helm軟件包或Docker鏡像的范圍。它支持應用程序恢復以及Kubernetes重啟Pod的能力，使其既具有部署時間又具有運行時依賴性。還必須考慮與這些構件庫相關的治理規則，例如誰可以在每個存儲庫中發布，并將這些規則與安全框架集成。

總結

Kubernetes插件或擴展是任何Kubernetes堆棧的重要組成部分。對于某些功能，例如覆蓋網絡，云本地存儲或CI/CD框架，選擇很簡單。但是，安全和治理帶來了復雜的問題。當你將各種工具組合在一起時，缺少單個綜合工具就需要對安全性要求進行深入思考和考慮，這并非易事。

那么可能需要考慮使用企業級Kubernetes平臺，例如Kublr，它通過默認設置關鍵擴展來解決Kubernetes的安全和治理挑戰。此類平臺還與身份管理系統和RBAC集成。