Wdrożenie rozwiązania Kubernetes w przedsiębiorstwach przy użyciu VMware Pivotal Container Service

Dodane 20/02/2018 by blogsadmin
OŚWIADCZENIE: ten artykuł jest starszy niż jeden rok i może nie być aktualny w przypadku ostatnich wydarzeń lub nowo dostępnych informacji.

Roch Norwa, Lead System Engineer, End User Computing Specialist, VMware

Usługa Pivotal Container Service (PKS) dla klientów poszukujących rozwiązania Kubernetes klasy enterprise jest  wstępnie dostępna od połowy grudnia 2017. PKS jest wyspecjalizowanym produktem dla przedsiębiorstw i dostawców usług, służącym do operacjonalizowania rozwiązania Kubernetes i znacząco upraszczającym wdrażanie klastrów Kubernetes oraz zarządzanie nimi. Usługa PKS, którą będzie można implementować w centrum danych opartym na vSphere oraz platformie Google Cloud Platform, otrzymała niedawno certyfikat programu Kubernetes Software Conformance Certification organizacji Cloud Native Computing Foundation.

Najważniejsze cechy PKS:

  • Najnowsza stabilna wersja oprogramowania open-source Kuberneteswstępne wydanie będzie zawierać oprogramowanie Kubernetes 1.8. Programiści będą mieli bez systemowych rozszerzeń pełen dostęp do API Kubernetes.
  • Zaawansowane funkcje sieciowe i bezpieczeństwo kontenerów – możliwość tworzenia sieci kontenerów (pod-level) przy użyciu rozwiązania NSX-T i mikrosegmentacji, obsługa load balancingu i polityk bezpieczeństwa.
  • Bezpieczny rejestr kontenerów – lepsze zabezpieczanie obciążeń kontenerowych poprzez takie funkcjonalności, jak: skanowanie podatności, podpisywanie obrazów i audyty.
  • Natychmiastowy provisioning – programiści będą mogli błyskawicznie tworzyć klastry Kubernetes w trybie na żądanie.
  • Wysoka dostępność – PKS została stworzona z myślą o niezawodności, więc klastry Kubernetes będą monitorowane i zarządzane pod kątem wysokiej dostępności – od infrastruktury po aplikacje.
  • Dostęp do usług Google Cloud Platform (GCP) – programiści będą mieli łatwy dostęp do usług GCP dzięki zintegrowanej funkcjonalności GCP Service Broker.
  • Pamięć trwała – PKS umożliwi wdrażanie klastrów Kubernetes dla aplikacji zarówno bezstanowych, jak i stanowych.

Rysunek 1: Pivotal Container Service

Usługa PKS, stworzona dla środowisk wielochmurowych z natywnymi API Kubernetes, jest rozwijana równolegle do głównego wydania Kubernetes, przy zachowaniu kompatybilności z Google Kubernetes Engine (GKE). Tym samym programiści mają dostęp do bieżącego stabilnego wydania Kubernetes. Poprzez wykorzystanie środowiska Cloud Foundry Container Runtime (CFCR), znanego wcześniej jako Kubernetes on BOSH albo Kubo, PKS rozwiąże problemy związane z fazami Day 1 (wdrożenie) i Day 2 (operacje). Wykorzystując BOSH, usługa PKS nie tylko upraszcza wdrażanie klastrów Kubernetes przez automatyzację i orkiestrację, ale także zapewnia funkcje identyfikacji błędów i samonaprawy w infrastrukturze produkcyjnych wdrożeń o wysokiej dostępności.

Przy użyciu BOSH usługa PKS zautomatyzuje całą konfigurację sieciową wymaganą przez klastry Kubernetes. Automatyzacja eliminuje ryzyko wystąpienia błędów ręcznej konfiguracji, które mogą prowadzić do problemów wydajnościowych albo – co gorsze – do powstawania luk w zabezpieczeniach.

Sieć z NSX-T

PKS będzie zawierać rozwiązanie VMware NSX-T, które oferuje zaawansowane funkcje sieciowe i bezpieczeństwo dla kontenerów w klastrach Kubernetes. NSX-T zapewnia pełen zestaw usług sieciowych od warstwy 2 do 7, niezbędnych w obsłudze kontenerów i sieci z poziomu pod-level. Dzięki integracji NSX-T z usługą PKS przedsiębiorstwa będą mogły szybko wdrażać sieci z mikrosegmentacją oraz wirtualizację sieciową na żądanie, bez zakłócania cyklu rozwoju.

Przy użyciu PKS zespoły IT będą mogły dostarczać pełen stos certyfikowanej przez CNCF usługi kontenerowej Kubernetes, która obejmuje usługi sieciowe i pamięciowe, bezpieczny rejestr kontenerów oraz funkcjonalność service brokera.

PKS zapewni uprawnienia licencyjne, wsparcie produkcyjne oraz ścisłą integrację z rozwiązaniem VMware NSX-T.

Dzięki NSX-T klienci zyskają wszystkie funkcje sieciowe wymagane przez Kubernetes, w tym: obsługę sieciową pod level, dostęp do usług oraz równoważenie obciążeń pomiędzy wieloma zestawami replikacyjnymi. Oprócz podstawowych funkcji sieciowych Kubernetes do dyspozycji będą także funkcje zaawansowane, takie jak obsługa sieciowych polityk bezpieczeństwa oraz izolowanie na poziomie dzierżawcy (tenant) przy użyciu wielowarstwowego modelu routingu NSX-T.

Kluczowym założeniem integracji NSX-T z usługą PKS jest przypisanie unikalnego logicznego przełącznika do każdej przestrzeni nazw Kubernetes. Daje to możliwość segmentacji ruchu dla każdej przestrzeni nazw w danym klastrze Kubernetes. By zabezpieczyć swoje obciążenia, zespoły programistów będą mogły skorzystać z dedykowanej przestrzeni nazw Kubernetes w ramach współdzielonego klastra.

Rysunek 2: NSX-T zapewni funkcje sieciowe z izolacją sieci i równoważeniem obciążeń

Bezpieczny rejestr kontenerów

Harbor jest przeznaczonym dla przedsiębiorstw serwerem open source rejestru kontenerów, który przechowuje i dystrybuuje obrazy kontenerów. Zapewnia uwierzytelnianie klasy produkcyjnej i oparty na rolach dostęp przy wypychaniu (push) i ściąganiu (pull) obrazów. Udostępnia także kluczowe usługi rejestru, takie jak zintegrowane skanowanie podatności, usługi zaufania i replikacji obrazów.

Przy użyciu serwera Harbor obrazy kontenerów mogą być bezpiecznie pobierane do klastrów Kubernetes przy wdrażaniu aplikacji. Rejestr Harbor zapewnia repozytoria klasy produkcyjnej dla potoków CI/CD. Klienci mogą bezpiecznie wypychać obrazy kontenerów do serwera Harbor w ramach swoich procesów automatyzacji wydań aplikacji. Zanim obrazy te będą mogły być ściągnięte do klastrów Kubernetes w procesie wdrażania obciążeń aplikacyjnych, zostaną przeskanowane pod kątem podatności, zyskując  walidowane przez Harbor podpisy.

W ten sposób zespoły programistyczne otrzymują platformę do szybkiego uruchamiania aplikacji, a działy IT mogą wciąż dbać o to, by wdrażane obrazy kontenerów spełniały korporacyjne standardy bezpieczeństwa.

Rysunek 3: Serwer Harbor jest wykorzystywany do wdrażania obrazów w zarządzanych przez PKS klastrach Kubernetes

Chociaż rekomendujemy użycie zintegrowanego rejestru kontenerów Harbor, usługa PKS umożliwi wykorzystanie także innych rejestrów kontenerów.

Trwała pamięć masowa z wtyczką vSphere Cloud Provider

PKS umożliwi wdrażanie klastrów Kubernetes zarówno dla aplikacji bezstanowych jak i stanowych. Będzie obsługiwać plugin VMware vSphere Storage for Kubernetes, który jest częścią rozwiązania Kubernetes w ramach projektu Hatchway. Dzięki wtyczce PKS może obsługiwać podstawowe funkcje pamięciowe Kubernetes w pamięci masowej vSphere; funkcje te obejmują: woluminy, trwałe woluminy, żądania trwałych woluminów, klasy pamięci masowej oraz zestawy stanowe. Plugin pamięci masowej oferuje także funkcjonalności klasy enterprise – wykorzystując VMware vSAN, można np. rozszerzać oparte na politykach zarządzanie pamięcią na aplikacje uruchomione w klastrze Kubernetes.

Mechanizm GCP Service Broker

W PKS będzie także dostępny mechanizm brokera usług, który zapewni natychmiastowy dostęp do usług GCP.  Przy jego użyciu operator będzie udostępniał wybrane usługi GCP po to, by zespoły programistyczne mogły dostarczać je i konsumować poprzez tworzenie “instancji usługowych” przy użyciu interfejsów kubectl CLI lub API. Mechanizm GCP Service Broker umożliwia oferowanie subskrypcyjnych usług GCP, takich jak Google Cloud Storage, Google BigQuery i Google Stackdriver. Usługi będą mogły być konsumowane przez aplikacje uruchamiane lokalnie albo na platformie GCP.

Wsparcie dla PKS

Użytkownicy PKS będą mieli dostęp do wsparcia na poziomie produkcyjnym. Zarówno Pivotal, jak i VMware zapewnią światowej klasy usługi wsparcia, które będą zaspokajać potrzeby najbardziej wymagających środowisk produkcyjnych. Należy zwrócić uwagę, że PKS wymaga vSphere 6.5.

Więcej informacji o usłudze Pivotal Container Service (PKS)

Dodatkowe informacje o Pivotal Container Service na stronie: https://cloud.vmware.com/pivotal-container-service

Więcej na temat wydania NSX-T 2.1: http://vmwareblog-staging.b2ldigital.com/networkvirtualization/2017/11/nsx-t-2-1.html/

Informacje o Pivotal Cloud Foundry 2.0: https://content.pivotal.io/announcements/pivotal-unveils-expansion-of-pivotal-cloud-foundry-and-announces-serverless-computing-product

Przeczytaj inne posty Rocha Norwy >

 

Kategoria: SDDC, Virtualization

Tagi: , , , , ,

Podobne artykuły

Innowacyjne zabezpieczenia sieciowe wspierają rozwój giganta ubezpieczeniowego
Dodane 17/04/2019 przez msalanski

Innowacyjne zabezpieczenia sieciowe wspierają rozwój giganta ubezpieczeniowego

Przejęcie jest zwykle postrzegane jako czynnik wspierający rozwój firmy. Może ono jednak również stanowić inspirację do innych, fundamentalnych zmian. Co by się stało gdyby przejęcie potraktować jako szansę na całkowitą zmianę biznesowych priorytetów i kształt prowadzonej działalności? Helvetia to jedna z wiodących firm ubezpieczeniowych w Szwajcarii. W 2014 r. przejęła konkurującą firmę Nationale Suisse, co pozwoliło […]

Czytaj dalej
Dodane 07/03/2019 przez msalanski

Poznaj swoje dane, a zrozumiesz jak działa cyberbezpieczeństwo

Dane są dosłownie wszędzie. Generują je nasze telefony, pojedyncze kliknięcie w Internecie, urządzenia medyczne w szpitalach, fabryczne czujniki IoT. Ich liczba rośnie w zastraszającym tempie, a znaczenie jest niezwykle ważne, ponieważ to właśnie one stanowią fundament cyfrowej rewolucji, która pozwala nam rozwijać się jak nigdy wcześniej w historii. Zapewnienie bezpieczeństwa tym danym nigdy nie było […]

Czytaj dalej
Dodane 12/12/2016 przez blogsadmin

Mit bezpieczeństwa w środowisku wirtualnym

Piotr Jabłoński, Senior Systems Engineer, VMware Podczas spotkań z osobami zarządzającymi infrastrukturą Data Center często omawiamy wpływ wirtualizacji na bezpieczeństwo. Spotykam się wówczas z argumentem, że fizyczny firewall, który chroni ruch między VLAN-ami oraz na zewnątrz jest wystarczający do ochrony środowiska Data Center. Potrzebna jest w zasadzie tylko odpowiednia segmentacja przy użyciu VLAN-ów tak, aby […]

Czytaj dalej

Komentarze

Brak komentarzy

Dodaj komentarz

Your email address will not be published.

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy