クリプトカジノ
トレントギア
IGamingでのDockerとKubernetes:展開戦略
1) iGamingコンテキスト: プラットフォーム要件
リアルタイム(ライブゲーム、ベット、トーナメントイベント)→厳密なp95 API/WS。
トラフィックピーク(ストリーム/プロモーション)→コールドスタートなしで高速オートスケール。
お金とコンプライアンス→ループ分離、リリースのトレーサビリティ、アクセス制御と監査。
複数の管轄/ブランド→tenas(名前空間/プロジェクト)、ネットワークおよびリソースの分離ポリシー。
主なSLO: login ≥ 99。9%、預金≥ 99。85%、 p95 API ≤ 250-400ミリ秒、p95 WS RTT ≤ 120ミリ秒。
2) Kubernetesの基本アーキテクチャ
レイヤー:入力/エッジ→API/ゲートウェイ→サービス(ウォレット、プロファイル、プロモーション、不正防止)→キュー/ストリーム→ストレージ。
分離:ブランド/市場の'名前空間'または地域別の「セル」;個々のNodePools(公開API/バッチ/ws-realtime)。
ネットワークポリシー:「デフォルトで拒否」ベースの「NetworkPolicy」で、PSP/KYC/ゲームプロバイダに個別のエグレスポリシーを設定します。
ストレージ:ゾーン/リージョン内でのレプリケーションを含む'StorageClass'、データベース/キャッシュのオペレータ(Postgres/MySQL、 Redis、 Kafka)。
3)容器のイメージ: 質および安全
マルチアーチ(amd64/arm64)、ディストロレスまたはスリムベース、必要なバイナリのみ。
SBOMおよび脆弱性スキャン、画像署名(Cosign)、受信ポリシー('ImagePolicyWebhook')。
Immutable-tagging: 'sha256'によるリリース。「最新」は禁止されています。
実行時プロファイル:'readOnlyRootFilesystem'、 'runAsNonRoot'、 'seccomp/AppArmor'、最小限の機能。
4)リリース戦略: いつ、何を選択するか
RollingUpdate(デフォルト)
ダウンタイムなし;ほとんどのAPIで使用できます。
準備/生活/起動プローブ、maxUnavailable/maxSurgeによる制御。
ブルーグリーン
平行スタック青と緑;Ingress/Serviceレベルでのトラフィック切り替え。
大規模なスキーマ/構成変更に適しています。速いロールバック。
Canary(カナリア)
トラフィックの割合を徐々に含める(5→10→25→50→100)。
Trigerim SLOゲート:p95、エラー率、預金/レートの異常。
オプション:サービスメッシュ(Istio/Linkerd)、カナリアアノテーション付きのIngressコントローラ。
A/Bシャドウ
影:ユーザー(純粋なテレメトリー)に応答せずに、新しいリリースにトラフィックの一部をミラーします。
A/B:フラグ(feature-flags)とプレーヤー/マーケットのセグメンテーションを用いた機能実験。
5) GitOpsと構成管理
GitOps (Argo CD/Flux):クラスタはGitから目的の状態を読み取ります。PRとレビューを通してすべての変更。
テンプレート:単一のチャートライブラリであるHelm/Kustomize。
秘密:外部マネージャ(Vault/Cloud SM)、 'ExternalSecrets'/'Secrets Store CSI';KMSキーと回転。
パイプライン(簡略化):1.CIは、署名された画像→レジスタへのプッシュを収集します。
2.PRはimage version/config→GitOpsが適用されます。
3.SLOゲート→自動プロモーションまたは自動ロールバック付きカナリアロールアウト。
6)ピークおよびWSの負荷のためのAutoscaling
CPU/RAMだけでなく、アプリケーションメトリック(RPS、 p95レイテンシ、キューラグ)によるHPA。
イベントスケール用KEDA (Kafka、 RabbitMQ、 Redis、 HTTP-queue)。
リクエスト/制限の毎日の編集のためのVPA。
クラスタオートスケーラー+プロモーション/トーナメントの期間中、ノードのウォームプール(事前プロビジョニング)。
WebSocketの詳細:- Ingress/Meshを介したソフトアップデート、スティッキールート(Session Affinity)のための個々のNodePools(より多くのネットワーク記述子)、'PodDisruptionBudget'。
7) Stateful輪郭: 財布、データベース、キュー
演算子(Postgres/MySQL、 Redis Sentinel/Cluster、 Kafka Operator):宣言的レプリケーション、'PITR'、自動バックアップ。
RPO/RTOポリシー:ゾーン内の同期レプリケーション、DRリージョンへの非同期。
入金/支払いのためのIdempotency/outbox、 PSP Webhookおよびゲームプロバイダの受信トレイのパターン。
高速IOPSを備えたStorageClass;ウォレット-ローカルSSD(およびレプリケーション)を持つ別のクラスとノード。
8)ネットワーク層およびゲートウェイ
入力(Nginx/Envoy/HAProxy/ALB)、バックエンド、HTTP/2/3、 HSTS、レート制限へのmTLS。
サービスメッシュ:カナリアルート、リトレイ/タイムアウト、サーキットブレーカ、デフォルトではクラスタ内のTLS。
出力ゲートウェイ:PSP/KYC/プロバイダ、 DNSおよびIP制御へのホワイトリスト化。
9)観察可能性およびSLOの解放ゲート
OpenTelemetry:前面をトレース→API→platyozh/igrovoyプロバイダ;100%エラーと「遅い」スパン。
RED/USEメトリクス+ビジネスSLI(デポジット/ベット/アウトプット成功)。
JSONは'trace_id'でログを記録します。
Release-gates: SLOがテストシェアで緑色の場合のみプロモートします。
10)セキュリティ: サプライチェーンからランタイムまで
コードとしてのポリシー:OPA/Gatekeeper/Kyverno(禁止権限、要件'runAsNonRoot'、制限、署名のプルチェック)。
秘密と鍵:シークレットマネージャーからのみ;'envFrom'は、サイドカーインジェクションの秘密を最小化します。
プロバイダのWebhooks/Webhook: HMAC署名、idempotency、 egressゲートウェイ。
コンプライアンス:リリース、アーティファクト、アクセス(RBAC/MFA)の監査、CCPアーティファクト/ログの地理的分離されたストレージ。
11)複数の地域、フェイルオーバーおよびDR
アクティブなスタンバイ領域(ウォレット/ログイン/支払いの最小)。
トラフィックルーティング:GSLB/Anycast;SLIによる健康チェック(ログイン/デポジット/レート)。
壊滅的なスイッチング:DRカットオーバーボタン(フリーズ書き込み→DBのプロモート→キャッシュのウォームアップ→トラフィックの段階的なロール)。
練習:四半期ごとにPSP、ゾーン、ゲームプロバイダ「落ちる」とGameDay。
12)構成および特徴管理
Feature-flags (ConfigMap/External Configの設定)-事故時に重い機能を無効にします。
バージョン設定(ハッシュ、Pod上のチェックサム注釈)、カナリア構成ロールアウト。
Runtimeは、メッシュ/Ingressレベル(タイムアウト、再試行ポリシー)でリバイルイメージなしでオーバーライドします。
13)経済と生産性
割り当てによるNodePools: RPS-API、 WS-realtime、 batch/ETL。
スポット/プリエンプチブルバッチ/ETL-'PodPriority'-'PodDisruptionBudget'。
バッチコンパイルとウォームアップ(JIT/テンプレートキャッシュ)によるコールドスタートの削減。
リソース予算:リクエスト/リミット、VPA推奨、データベース/PSPへの接続制限、接続プール。
14)マニフェストテンプレート(フラグメント)
Ingressアノテーションによるカナリアでの展開:yaml apiVersion: apps/v1 kind:展開メタデータ:
name: payment-api spec:
レプリカ:6つの戦略:
type: RollingUpdate rollingUpdate: {maxSurge: 2、 maxUnavailable: 1}
テンプレート:
メタデータ:
labels: {app: payment-api、 version: v2}
スペック:
securityContext: {runAsNonRoot: true}
コンテナ:
-名前:アプリイメージ:registry/payments@sha256:……
ポート:[{containerPort: 8080}]
リソース:
リクエスト:{cpu: 「300m」、メモリ:「512Mi」}
limits: {cpu: 「1」、 memory: 「1Gi」}
readinessProbe:
httpGet: {path :/healthz、 port: 8080}
periodSeconds: 5yaml apiVersion: autoscaling/v2 kind: HorizontalPodAutoscalerメタデータ:{name: payments-api}
スペック:
scaleTargetRef: {apiVersion: apps/v1、 kind:展開、名前:payments-api}
minReplicas: 6 maxReplicas: 60メトリック:
-タイプ:ポッドポッド:
メトリック:
名前:ターゲットのrps_per_pod:
type: AverageValueValue: 「120」yaml apiVersion:ネットワーキング。k8s。io/v1の種類:NetworkPolicyメタデータ:{name: payment-restrict}
スペック:
podSelector: {matchLabels: {app: payment-api}}
policyTypes: [「Ingress「、」Egress」]
ingress:
-from: [{namespaceSelector: {matchLabels: {gw: ingress}}}]
egress:
-to: [{ipBlock: {cidr: 10。0.0.0/8}}]#内部サービス
-[{namespaceSelector: {matchLabels: {svc: psp-egress}}}]15)リリースチェックリスト(prod-ready)
- 画像署名、SBOM収集、脆弱性の許容レベル。
- パスポリシーチェック(Kyverno/OPA)、最小権限をマニフェストします。
- 準備/スタートアッププローブが正しい;'PDB'と'PodPriority'を設定しました。
- カナリアプラン:5%→10%→25%→50%→100% SLOゲートと自動ロールバック。
- HPA/KEDA+クラスタオートスケーラー;イベントのウォームプールノード。
- Vault/SMからの秘密;configsはバージョン管理されています。フィーチャーフラグは劣化の準備ができています。
- e2eトレースが有効になっています。SLIのアラート(入金/レート/出金)。
- DR-planと「ボタン」カットオーバーはスタンドでチェックされます。バックアップ/PITRテスト済み。
- ドキュメンテーション:ロールバックする方法、PSP/ゲームプロバイダを切り替える方法、夜間に電話をかける人。
16)反回帰およびタイプトラップ
猶予期間の準備が短すぎる→ロールアウト時の初期5xx。
接続の雪崩の場合には→制限のない単一のDBプール。
回転→漏れのない環境変数の秘密。
制限/タイムアウトのないメッシュ→プロバイダの劣化でフリーズします。
HPAはCPU→WS/APIのみでスケールする時間がありません。
履歴書のサマリー
iGamingでの展開戦略は、信頼性の高いコンテナプラクティスの組み合わせです (安全な画像、アクセスポリシー)、スマートリリース(SLOゲート付きカナリア/ブルーグリーン)、右のオートスケール (ピークのためのHPA/KEDA+ウォームノード)、ステートフルループのオペレータ、およびマルチリージョンのDRR Add GitOps、決済およびゲームプロバイダを通じたトレース、専用のNodePoolsを通じたネットワークポリシーと節約-そしてあなたのリリースは、お金とプレーヤーのために高速かつ安全に予測可能になります。