• 1
行業資訊|幾分鐘搞定安全的多租戶Kubernetes,不是夢 【2018-04-03】

前 言

Pivotal Container Service (PKS)現已正式發布。PKS旨在簡化企業基于任何云部署、運行和管理Kubernetes的過程。PKS可作為Pivotal Cloud Foundry的一部分提供,也可作為單行版產品。
       容器如風暴般席卷了IT領域。然后,Kubernetes容器運行和編排方式迅速風靡。
       現在,各個企業都希望在生產環境中運行容器。很多高管都在問:“如何在我的數據中心內部署Kubernetes?我需要哪些其他功能?其安全性如何?”
       PKS通過針對企業需求量身定制的功能集回答了這些問題。本文介紹了是什么讓PKS成為了適用于生產Kubernetes工作負載的完整解決方案。下圖是使用PKS CLI管理Kubernetes群集:


PKS與Kubernetes


具有持續兼容性的純開源Kubernetes

PKS包含Kubernetes 1.9.2版。開發人員使用標準Kubernetes命令。沒有任何專有擴展會阻礙容器工作流。此外,PKS還與最新的Kubernetes項目穩定版持續兼容。這意味著開發團隊始終有權訪問新功能。

最重要的是,您可以使用PKS API和命令行界面(CLI)創建、擴展和管理Kubernetes群集。

按需調配。PKS可以在數分鐘內為開發人員提供企業就緒型Kubernetes群集。如果貴公司正為自制容器項目問題爭執不休,敏捷調配將會是不錯的選擇。


PKS的基本安全功能

每個人都喜歡容器。但在投入生產前,您需要落實安全和監管機制。而這正是PKS的強項。該產品隨附以下控制機制:

 • 針對CVE提供快速修復。當CVE攻擊時,Pivotal會發布修補程序并主動通知客戶。之后,平臺工程師便可在不停機的情況下快速將更新應用到Kubernetes群集。(使用構建流水線或隨附的Operations Manager工具。)更新系統只需數小時,而非數天!

 • 與NSX-T集成。PKS包含NSX-T網絡虛擬化,能以編程方式管理和保護基于軟件的虛擬網絡。NSX-T支持安全的多租戶群集,以及動態負載均衡、網絡微分段和策略管理。這意味著信息安全團隊可根據需要輕松應用和強制實施企業網絡策略,并對群集分段。

 • 企業級容器注冊。PKS隨附VMware Harbor,后者是一種可存儲和分發Docker鏡像的注冊服務器。大型企業鐘愛Harbor,因為它具有漏洞掃描和身份管理功能,可提高容器鏡像的安全性。

 • CredHub。此服務可管理Cloud Foundry生態系統(包括PKS)的憑證生成、存儲和訪問。此外,CredHub還可以實施全面的訪問和狀態更改日志記錄,從而提高安全性和審核合規性。

 • 多租戶。這始終是一個棘手的問題。如果沒有多租戶,容器及其各自的網絡流量將亂作一團。這會增加發生安全違規事件的風險。(在“煩心的鄰居”的影響下,性能也會降低。)那么,PKS如何可靠地實施多租戶呢?它如何確保容器保持隔離與合規呢?方法有兩種:使用單個群集和網絡分段;通過多個群集。

首先,我們介紹單個群集這一方法。PKS使用NSX-T通過網絡分段和高級策略保護不同的Kubernetes命名空間。每個租戶均可自動獲取自己的命名空間、隔離子網和邏輯交換機。這樣,租戶的流量便可與其鄰居的完全隔離。在您應用網絡策略后,NSX-T會針對容器和底層虛擬機強制實施它。結果:全面的安全模型。

其次,PKS還允許直接通過PKS CLI或API創建多個Kubernetes群集。這種方法可在租戶間實現最大程度的隔離。每個租戶均會收到完全獨立的群集。另一優勢:您可以使用同一組工具(PKS CLI和API)管理Kubernetes群集。


全自動運維

自動化是提高運維效率和開發人員工作效率的關鍵。為此,您可以借助PKS在系統中輕松部署、擴展、修補和升級Kubernetes群集,而無需停機(多虧了BOSH。。


多層高可用性(HA)

PKS可通過以下三層高可用性確保容器始終在線并正常運行:

1. 容器層。PKS可根據需要依賴其Kubernetes核心重新調度出現故障的單元及關聯容器。

2. 進程層。PKS可監控所有Kubernetes進程,包括主節點中運行的進程。它會自動重啟所有出現故障的進程。

3. 虛擬機層。當然,PKS可以在虛擬機上運行。它還可跟蹤虛擬機的健康狀況。它會自動恢復所有出現故障的虛擬機。

 


PKS深入了解
產品詳情

PKS包含的內容

1. Kubernetes 1.9.2。PKS始終包含最新的Kubernetes穩定版。Kubernetes 1.10將于三月發布,我們將在新版本發布后很快為其提供支持。另一優勢:Kubernetes工具和附加功能集可與PKS配合使用。

2. 服務控制平面 - PKS API和CLI。運維人員安裝PKS后,開發人員可以使用PKS CLI(和API)執行以下操作:

 • create-cluster:創建Kubernetes群集、請求群集名稱和外部主機名

 • delete-cluster:刪除Kubernetes群集、請求群集名稱

 • get-credentials:允許您連接到群集并使用Kubectl

 • help:提供有關任何命令的幫助

 • clusters:顯示使用PKS創建的所有群集

 • plans:查看可用的預配置計劃

 • resize:增加群集的工作節點數量

 • cluster:查看群集的詳細信息

 • login:登錄PKS

 • logout:使用戶從PKS API注銷

3. 容器注冊。VMware Harbor是一種用于存儲和分發容器鏡像的企業級注冊服務器。借助Harbor,您可以存儲和管理鏡像,以與Pivotal Container Service (PKS)配合使用。Harbor可為Docker鏡像提供漏洞掃描和身份管理功能,并支持多個注冊表。與PKS環境同時部署注冊表還可提高鏡像傳輸效率。

4. NSX-T。Kubernetes扁平網絡本身不足以支撐生產部署。因此,我們與VMware合作,添加了軟件定義的現代網絡和動態負載均衡。管理員可以即時創建網絡、配置網絡微分段、定義網絡策略并隔離不同的租戶等。NSX-T還有助于使用動態負載均衡顯示部署。

5. 三臺虛擬機即可完成基礎安裝。PKS的空間占用非常小。(這也是它能夠快速設置的原因之一。)一臺虛擬機用于Pivotal Ops Manager;另一臺虛擬機用作PKS控制平面,第三臺虛擬機用作BOSH Director。部署好這些虛擬機后,您便可以使用PKS控制平面通過BOSH按需調配Kubernetes群集。群集將擁有熟悉的etcd、master和worker組件。用戶可以在調配時選擇每個群集的規模。Harbor和NSX-T各需要一臺額外的虛擬機。


群集生命周期:使用PKS

企業團隊如何使用PKS測試和運行Elasticsearch。步驟如下:
1. 平臺運維人員Claire執行了PKS的初始安裝。(PKS在NSX-T上部署,以簡化網絡配置)。
2. 工程師Reggie在PKS中調配了一個新的Kubernetes群集,用于測試場景。他調整了群集的規模以滿足測試要求。
3. 然后,Reggie將Elasticsearch容器鏡像從Harbor(容器注冊表)推送到新Kubernetes群集。此外,他還部署了標準Kubernetes網絡策略和負載均衡器,從而使容器可供外部訪問。NSX-T發現了Kubernetes中部署的對象,并繼續以動態方式部署必要的網絡元素。
4. 另一位工程師Kim部署了產品目錄微服務,將其與現有Elasticsearch容器綁定。她加載了測試數據并運行了集成測試。
5. Reggie觀察到負載在增加,然后根據增加的負載擴展了Elasticsearch群集。
6. Claire將針對最新CVE的補丁程序版本應用到Kubernetes群集,同時未對正在運行的工作負載造成任何停機。
7. Claire在PKS中調配了一個規模更大的新Kubernetes群集,用于生產。
8. Reggie和Kim將現有工作負載遷移到新生產群集中。他們可以直接將kubectl指向新的群集端點。
9. Claire縮減了測試群集。

工程師可以專注于完成工作,而無需操心與Kubernetes相關的一切繁瑣事項;PKS將為您執行一切操作。


PKS是企業就緒型Kubernetes

評估企業的軟件產品組合時,您需要應用平臺、容器和函數。當然,您還需要大量Kubernetes群集組合,F在,您要做的是為團隊提供一個穩定、安全的Kubernetes正常運行條件,也就是Pivotal Container Service。使用它,您可以構建任何內容。


PS:本文轉載自“ Pivotal”公眾號

藏品能赚钱吗