Sangfor Kubernetes Engine (SKE) คือแพลตฟอร์มสำหรับจัดการคอนเทนเนอร์ที่สร้างขึ้นบนพื้นฐานของ Kubernetes SKE ถูกผสานเข้ากับ Sangfor HCI และบริหารจัดการผ่าน Sangfor Cloud Platform (SCP) ช่วยให้คุณใช้งานและจัดการทั้งแอปพลิเคชันแบบคอนเทนเนอร์ (โดยใช้ Kubernetes) และเครื่องคอมพิวเตอร์เสมือนจริงได้บนแพลตฟอร์มเดียว ได้ง่ายขึ้น เชื่อถือได้ และปลอดภัย
การจัดการแบบรวมศูนย์ (Unified Management)
คอนเทนเนอร์และคอมพิวเตอร์เสมือน จะทำงานร่วมกันในโครงสร้างพื้นฐานในระยะยาว เนื่องจากการจัดการแยกกันนั้นทำให้ไร้ประสิทธิภาพ
โดยการผสานรวม SKE เข้ากับ Sangfor HCI ผู้ใช้จะได้รับประโยชน์จากการจัดการแบบรวมศูนย์ของคอนเทนเนอร์และเครื่องคอมพิวเตอร์เสมือน ซึ่งรวมถึงการจัดการบัญชี การจัดการสิทธิ์ การตรวจสอบ และการแจ้งเตือน ช่วยยกระดับประสิทธิภาพการจัดการโดยรวมได้อย่างมาก
การติดตั้งคลัสเตอร์ K8s แบบอัตโนมัติ
เมื่อตั้งค่าคลัสเตอร์ K8s จำเป็นต้องมีการดำเนินการคำสั่งเบื้องหลังอย่างน้อย 8 ขั้นตอนและต้องใช้คำสั่งอีกจำนวนมาก ซึ่งทำให้กระบวนการซับซ้อนและเกิดข้อผิดพลาดได้ง่าย
ด้วย SKE ผู้ใช้สามารถสร้างคลัสเตอร์ Kubernetes ที่พร้อมใช้งานสำหรับโปรดักชั่นได้อย่างรวดเร็วภายในไม่กี่ขั้นตอน โดยทั่วไปใช้เวลาไม่เกิน 15 นาที กระบวนการนี้ช่วยลดความจำเป็นในการติดตั้งและกำหนดค่าระบบปฏิบัติการด้วยตนเอง ช่วยให้การติดตั้งใช้แอปพลิเคชันธุรกิจได้อย่างรวดเร็ว
Out-of-the-Box ส่วนประกอบที่พร้อมใช้งานสำหรับโปรดักชั่น
แพลตฟอร์มนี้ประกอบด้วยส่วนประกอบที่สร้างไว้ล่วงหน้าอย่างครบครัน ซึ่งมอบฟังก์ชันการทำงานแบบพร้อมใช้งาน (out-of-the-box) เพื่อการปรับใช้แอปพลิเคชันอย่างรวดเร็วและการตรวจสอบแบบวิชวลไลเซชันอย่างครอบคลุม สิ่งนี้รองรับการนำเวิร์คโหลดธุรกิจขึ้นใช้ได้อย่างรวดเร็ว พร้อมการดำเนินงานที่เสถียร
เพื่อช่วยในการแก้ไขปัญหา แพลตฟอร์มนี้มีประเภทของล็อก (log) ที่หลากหลาย นอกจากนี้ ยังมีโซลูชันการปรับสมดุลการทำงานที่มีประสิทธิภาพสูงในตัว ช่วยลดความซับซ้อนของการบำรุงรักษาอย่างต่อเนื่อง
ความพร้อมใช้งานสูงและความน่าเชื่อถือ
Kubernetes ขาดมาตรการที่มีประสิทธิภาพในการตรวจสอบสุขภาพที่ไม่เหมาะสมของเครื่องแม่ข่ายหรือเครื่องคอมพิวเตอร์เสมือน ซึ่งอาจก่อให้เกิดความเสี่ยงด้านความน่าเชื่อถือ
SKE อาศัยกลไกความน่าเชื่อถือและ High Availability (HA) ของ Sangfor HCI เช่น การตรวจสอบสุขภาพย่อย และ Distributed Resource Scheduler (DRS) เพื่อหลีกเลี่ยงการรันแอปพลิเคชันบนโหนดที่ไม่สมบูรณ์ ช่วยให้การดำเนินงานทางธุรกิจมีความเสถียร นอกจากนี้ การแยกโฮสต์ของโหนดคลัสเตอร์ยังช่วยให้แน่ใจว่าเครื่องเสมือนจริงที่โฮสต์โหนดคลัสเตอร์ Kubernetes ปฏิบัติตามนโยบายการแยกซึ่งกันและกันตามค่าเริ่มต้น โดยมุ่งเน้นการกระจายไปยังเครื่องโฮสต์ทางกายภาพที่แตกต่างกัน
ความปลอดภัยที่ครอบคลุม
SKE มอบความปลอดภัยที่แข็งแกร่งสำหรับคลัสเตอร์ Kubernetes โดยใช้ประโยชน์จากฟีเจอร์ความปลอดภัยในตัวของ Sangfor HCI นโยบายความปลอดภัย และการเสริมความแข็งแกร่งของระบบปฏิบัติการ เช่น การติดตั้งแพทช์ สำหรับโหนดคลัสเตอร์ จะมีการสร้างนโยบายไฟร์วอลล์แบบกระจายโดยอัตโนมัติ เพื่อบล็อกพอร์ตที่มีความเสี่ยงสูง ในขณะที่อนุญาตพอร์ตที่จำเป็นในการใช้งาน
เมื่อ Kubernetes มีการพัฒนา พารามิเตอร์จำนวนมากของระบบอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยได้ หากการกำหนดค่าไม่ปฏิบัติตามแนวทางปฏิบัติที่ดี
แนวทางปฏิบัติที่ดีที่สุด SKE สามารถตั้งนโยบายการรับเข้าใช้งาน เพื่อควบคุมการรับแอปพลิเคชันเข้าใช้งาน และบันทึกการตรวจสอบ log เพื่อระบุและติดตามการกำหนดค่าที่มีความเสี่ยงสูงได้อย่างรวดเร็ว สำหรับการดำเนินการที่ไม่ตรงตามข้อกำหนด ระบบจะเสนอแนะแนวทางแก้ไข เช่น อนุญาตพร้อมการตรวจสอบหรือบล็อก
ใช้ประโยชน์จากพื้นที่จัดเก็บแบบกระจายของ HCI
แอปพลิเคชันแบบคลาวด์เนทีฟ ต้องการพื้นที่จัดเก็บถาวรสำหรับข้อมูลประเภทต่างๆ รวมถึงข้อมูลธุรกิจ ข้อมูลแคช ข้อมูล log และข้อมูลอื่นๆ ที่จำเป็นต้องเก็บรักษาไว้ระยะยาว
ด้วย SKE แอปพลิเคชันแบบคลาวด์เนทีฟสามารถใช้พื้นที่จัดเก็บแบบกระจายของ Sangfor HCI โดยตรง โดยไม่จำเป็นต้องมีทรัพยากรพื้นที่จัดเก็บข้อมูลเพิ่มเติม วิธีการนี้มอบพื้นที่จัดเก็บระดับองค์กรประสิทธิภาพสูงและน่าเชื่อถือ ช่วยลดต้นทุนการเป็นเจ้าของทั้งหมด (Total Cost of Ownership: TCO) โซลูชันนี้ตอบสนองความต้องการของเวิร์คโหลดงานประสิทธิภาพสูง เช่น การปรับใช้ฐานข้อมูลแบบคอนเทนเนอร์
สถาปัตยกรรมเครือข่าย SKE ที่โฮสต์บน HCI
เครือข่าย SKE ถูกสร้างขึ้นบนเครือข่ายเสมือน การสื่อสารระหว่าง Pod ข้ามโฮสต์ ผ่านการประสานงานของ CNI (Container Network Interface) และการใช้ทั้งลิงค์เครือข่ายเสมือนและเครื่องโฮสต์
โหมด BPF (Berkeley Packet Filter) ของ Cilium ช่วยลดความจำเป็นในการประมวลผลแพ็กเก็ตเครือข่ายในพื้นที่ผู้ใช้ ซึ่งช่วยลดความหน่วง ความสามารถในการประมวลผลแพ็กเก็ตแบบไม่ต้องคัดลอกโดยตรงภายในเคอร์เนล สามารถบรรลุความเร็วในการทำงานที่เทียบได้กับ DPDK (Data Plane Development Kit)
การแสดงภาพการรับส่งข้อมูลเครือข่ายคอนเทนเนอร์
การเปลี่ยนไปใช้สถาปัตยกรรมแบบคลาวด์เนทีฟ ทำให้จำนวนของไมโครเซอร์วิสเพิ่มขึ้น ส่งผลให้มีความสัมพันธ์การเข้าถึงภายในและปริมาณการรับส่งข้อมูลมากขึ้น สิ่งนี้ทำให้การระบุพอร์ตที่จำเป็นสำหรับการดำเนินงานทางธุรกิจนั้นยากขึ้น ส่งผลต่อการป้องกันและควบคุมความปลอดภัย
SKE แก้ไขปัญหานี้ด้วยการแสดงภาพความสัมพันธ์การเข้าถึงสำหรับแอปพลิเคชันแบบคลาวด์เนทีฟช่วยเพิ่มประสิทธิภาพในการระบุปัญหาและการแก้ไขปัญหา
สิ่งนี้ช่วยให้ประเมินสภาพเครือข่ายคอนเทนเนอร์ได้อย่างรวดเร็วและระบุรายละเอียดของบริการที่เปิดเผย (โพรโทคอล พอร์ต) เพื่อช่วยในการรักษาความปลอดภัย
คอนเทนเนอร์และคอมพิวเตอร์เสมือน จะทำงานร่วมกันในโครงสร้างพื้นฐานในระยะยาว เนื่องจากการจัดการแยกกันนั้นทำให้ไร้ประสิทธิภาพ
โดยการผสานรวม SKE เข้ากับ Sangfor HCI ผู้ใช้จะได้รับประโยชน์จากการจัดการแบบรวมศูนย์ของคอนเทนเนอร์และเครื่องคอมพิวเตอร์เสมือน ซึ่งรวมถึงการจัดการบัญชี การจัดการสิทธิ์ การตรวจสอบ และการแจ้งเตือน ช่วยยกระดับประสิทธิภาพการจัดการโดยรวมได้อย่างมาก
เมื่อตั้งค่าคลัสเตอร์ K8s จำเป็นต้องมีการดำเนินการคำสั่งเบื้องหลังอย่างน้อย 8 ขั้นตอนและต้องใช้คำสั่งอีกจำนวนมาก ซึ่งทำให้กระบวนการซับซ้อนและเกิดข้อผิดพลาดได้ง่าย
ด้วย SKE ผู้ใช้สามารถสร้างคลัสเตอร์ Kubernetes ที่พร้อมใช้งานสำหรับโปรดักชั่นได้อย่างรวดเร็วภายในไม่กี่ขั้นตอน โดยทั่วไปใช้เวลาไม่เกิน 15 นาที กระบวนการนี้ช่วยลดความจำเป็นในการติดตั้งและกำหนดค่าระบบปฏิบัติการด้วยตนเอง ช่วยให้การติดตั้งใช้แอปพลิเคชันธุรกิจได้อย่างรวดเร็ว
แพลตฟอร์มนี้ประกอบด้วยส่วนประกอบที่สร้างไว้ล่วงหน้าอย่างครบครัน ซึ่งมอบฟังก์ชันการทำงานแบบพร้อมใช้งาน (out-of-the-box) เพื่อการปรับใช้แอปพลิเคชันอย่างรวดเร็วและการตรวจสอบแบบวิชวลไลเซชันอย่างครอบคลุม สิ่งนี้รองรับการนำเวิร์คโหลดธุรกิจขึ้นใช้ได้อย่างรวดเร็ว พร้อมการดำเนินงานที่เสถียร
เพื่อช่วยในการแก้ไขปัญหา แพลตฟอร์มนี้มีประเภทของล็อก (log) ที่หลากหลาย นอกจากนี้ ยังมีโซลูชันการปรับสมดุลการทำงานที่มีประสิทธิภาพสูงในตัว ช่วยลดความซับซ้อนของการบำรุงรักษาอย่างต่อเนื่อง
Kubernetes ขาดมาตรการที่มีประสิทธิภาพในการตรวจสอบสุขภาพที่ไม่เหมาะสมของเครื่องแม่ข่ายหรือเครื่องคอมพิวเตอร์เสมือน ซึ่งอาจก่อให้เกิดความเสี่ยงด้านความน่าเชื่อถือ
SKE อาศัยกลไกความน่าเชื่อถือและ High Availability (HA) ของ Sangfor HCI เช่น การตรวจสอบสุขภาพย่อย และ Distributed Resource Scheduler (DRS) เพื่อหลีกเลี่ยงการรันแอปพลิเคชันบนโหนดที่ไม่สมบูรณ์ ช่วยให้การดำเนินงานทางธุรกิจมีความเสถียร นอกจากนี้ การแยกโฮสต์ของโหนดคลัสเตอร์ยังช่วยให้แน่ใจว่าเครื่องเสมือนจริงที่โฮสต์โหนดคลัสเตอร์ Kubernetes ปฏิบัติตามนโยบายการแยกซึ่งกันและกันตามค่าเริ่มต้น โดยมุ่งเน้นการกระจายไปยังเครื่องโฮสต์ทางกายภาพที่แตกต่างกัน
SKE มอบความปลอดภัยที่แข็งแกร่งสำหรับคลัสเตอร์ Kubernetes โดยใช้ประโยชน์จากฟีเจอร์ความปลอดภัยในตัวของ Sangfor HCI นโยบายความปลอดภัย และการเสริมความแข็งแกร่งของระบบปฏิบัติการ เช่น การติดตั้งแพทช์ สำหรับโหนดคลัสเตอร์ จะมีการสร้างนโยบายไฟร์วอลล์แบบกระจายโดยอัตโนมัติ เพื่อบล็อกพอร์ตที่มีความเสี่ยงสูง ในขณะที่อนุญาตพอร์ตที่จำเป็นในการใช้งาน
เมื่อ Kubernetes มีการพัฒนา พารามิเตอร์จำนวนมากของระบบอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยได้ หากการกำหนดค่าไม่ปฏิบัติตามแนวทางปฏิบัติที่ดี
แนวทางปฏิบัติที่ดีที่สุด SKE สามารถตั้งนโยบายการรับเข้าใช้งาน เพื่อควบคุมการรับแอปพลิเคชันเข้าใช้งาน และบันทึกการตรวจสอบ log เพื่อระบุและติดตามการกำหนดค่าที่มีความเสี่ยงสูงได้อย่างรวดเร็ว สำหรับการดำเนินการที่ไม่ตรงตามข้อกำหนด ระบบจะเสนอแนะแนวทางแก้ไข เช่น อนุญาตพร้อมการตรวจสอบหรือบล็อก
แอปพลิเคชันแบบคลาวด์เนทีฟ ต้องการพื้นที่จัดเก็บถาวรสำหรับข้อมูลประเภทต่างๆ รวมถึงข้อมูลธุรกิจ ข้อมูลแคช ข้อมูล log และข้อมูลอื่นๆ ที่จำเป็นต้องเก็บรักษาไว้ระยะยาว
ด้วย SKE แอปพลิเคชันแบบคลาวด์เนทีฟสามารถใช้พื้นที่จัดเก็บแบบกระจายของ Sangfor HCI โดยตรง โดยไม่จำเป็นต้องมีทรัพยากรพื้นที่จัดเก็บข้อมูลเพิ่มเติม วิธีการนี้มอบพื้นที่จัดเก็บระดับองค์กรประสิทธิภาพสูงและน่าเชื่อถือ ช่วยลดต้นทุนการเป็นเจ้าของทั้งหมด (Total Cost of Ownership: TCO) โซลูชันนี้ตอบสนองความต้องการของเวิร์คโหลดงานประสิทธิภาพสูง เช่น การปรับใช้ฐานข้อมูลแบบคอนเทนเนอร์
เครือข่าย SKE ถูกสร้างขึ้นบนเครือข่ายเสมือน การสื่อสารระหว่าง Pod ข้ามโฮสต์ ผ่านการประสานงานของ CNI (Container Network Interface) และการใช้ทั้งลิงค์เครือข่ายเสมือนและเครื่องโฮสต์
โหมด BPF (Berkeley Packet Filter) ของ Cilium ช่วยลดความจำเป็นในการประมวลผลแพ็กเก็ตเครือข่ายในพื้นที่ผู้ใช้ ซึ่งช่วยลดความหน่วง ความสามารถในการประมวลผลแพ็กเก็ตแบบไม่ต้องคัดลอกโดยตรงภายในเคอร์เนล สามารถบรรลุความเร็วในการทำงานที่เทียบได้กับ DPDK (Data Plane Development Kit)
การเปลี่ยนไปใช้สถาปัตยกรรมแบบคลาวด์เนทีฟ ทำให้จำนวนของไมโครเซอร์วิสเพิ่มขึ้น ส่งผลให้มีความสัมพันธ์การเข้าถึงภายในและปริมาณการรับส่งข้อมูลมากขึ้น สิ่งนี้ทำให้การระบุพอร์ตที่จำเป็นสำหรับการดำเนินงานทางธุรกิจนั้นยากขึ้น ส่งผลต่อการป้องกันและควบคุมความปลอดภัย
SKE แก้ไขปัญหานี้ด้วยการแสดงภาพความสัมพันธ์การเข้าถึงสำหรับแอปพลิเคชันแบบคลาวด์เนทีฟช่วยเพิ่มประสิทธิภาพในการระบุปัญหาและการแก้ไขปัญหา
สิ่งนี้ช่วยให้ประเมินสภาพเครือข่ายคอนเทนเนอร์ได้อย่างรวดเร็วและระบุรายละเอียดของบริการที่เปิดเผย (โพรโทคอล พอร์ต) เพื่อช่วยในการรักษาความปลอดภัย