Sangfor Kubernetes Engine (SKE) là một nền tảng quản lý container được xây dựng trên Kubernetes. Nó được tích hợp vào Sangfor HCI và được quản lý bởi Nền tảng Đám mây Sangfor (SCP). SKE cung cấp một nền tảng thống nhất để chạy và quản lý các container và máy ảo với sự đơn giản, độ tin cậy và bảo mật.
Quản lý Thống nhất
Các container và máy ảo sẽ tồn tại cùng nhau trong hạ tầng trong dài hạn, vì việc quản lý chúng riêng biệt là không hiệu quả. Bằng cách tích hợp SKE với Sangfor HCI, người dùng được hưởng lợi từ việc quản lý thống nhất các container và máy ảo. Điều này bao gồm quản lý tập trung các tài khoản, quyền truy cập, giám sát và cảnh báo, cải thiện đáng kể hiệu quả quản lý tổng thể.
Triển khai Tự động Cụm K8s
Khi thiết lập một cụm K8s, ít nhất tám hoạt động phía sau và hàng chục lệnh cần phải được thực hiện, khiến quy trình trở nên phức tạp và dễ xảy ra lỗi. Với SKE, người dùng có thể nhanh chóng tạo ra một cụm Kubernetes sẵn sàng sản xuất chỉ trong vài bước đơn giản, thường trong vòng 15 phút. Quy trình này loại bỏ nhu cầu cài đặt và cấu hình hệ điều hành thủ công, đảm bảo triển khai nhanh chóng các ứng dụng doanh nghiệp.
Các Thành phần Sẵn sàng Sản xuất Ngay Từ Đầu
Nền tảng bao gồm một bộ thành phần được xây dựng sẵn phong phú, cung cấp chức năng ngay từ đầu cho việc triển khai ứng dụng nhanh chóng và giám sát trực quan toàn diện. Điều này hỗ trợ việc đưa nhanh khối lượng công việc doanh nghiệp vào hoạt động với các hoạt động chạy ổn định. Để hỗ trợ việc khắc phục sự cố, nền tảng cung cấp nhiều loại nhật ký khác nhau. Ngoài ra, nó còn có giải pháp cân bằng tải hiệu suất cao tích hợp, giảm thiểu độ phức tạp của việc bảo trì liên tục.
Tính Sẵn sàng và Độ Tin cậy Cao
Kubernetes thiếu các biện pháp hiệu quả để phát hiện tình trạng sức khỏe không tối ưu ở các máy vật lý hoặc máy ảo cơ bản, điều này có thể gây ra rủi ro về độ tin cậy. SKE tận dụng độ tin cậy và các cơ chế Tính Sẵn sàng Cao (HA) của Sangfor HCI, như giám sát tình trạng sức khỏe và Lập lịch Tài nguyên Phân tán (DRS), để tránh chạy ứng dụng trên các nút không khỏe mạnh, đảm bảo các hoạt động kinh doanh ổn định. Ngoài ra, việc loại trừ máy chủ nút cụm đảm bảo rằng các máy ảo lưu trữ các nút cụm Kubernetes tuân theo chính sách loại trừ mặc định, ưu tiên phân phối trên các máy chủ vật lý khác nhau.
Bảo mật Toàn diện
SKE cung cấp bảo mật mạnh mẽ cho các cụm Kubernetes bằng cách tận dụng các tính năng bảo mật tích hợp của Sangfor HCI, chính sách bảo mật và tăng cường hệ điều hành, chẳng hạn như vá lỗi. Đối với các nút cụm, một chính sách tường lửa phân tán tự động được tạo ra để chặn các cổng có rủi ro cao trong khi vẫn cho phép các cổng cần thiết. Khi Kubernetes phát triển, nhiều tham số của nó có thể tạo ra rủi ro bảo mật nếu các cấu hình không tuân theo các thực tiễn tốt nhất. SKE cung cấp các chính sách tiếp nhận tích hợp để kiểm soát việc tiếp nhận ứng dụng và sử dụng nhật ký kiểm tra để nhanh chóng xác định và truy tìm các cấu hình có rủi ro cao. Đối với các hành động không tuân thủ, hệ thống cung cấp các đề xuất khắc phục, chẳng hạn như cho phép kèm theo kiểm tra hoặc chặn lại.
Chia sẻ Lưu trữ Phân tán của HCI
Các ứng dụng đám mây gốc cần lưu trữ liên tục cho nhiều loại dữ liệu khác nhau, bao gồm dữ liệu doanh nghiệp, dữ liệu bộ nhớ đệm, dữ liệu nhật ký và các dữ liệu khác cần được giữ lại theo thời gian. Với SKE, các ứng dụng đám mây gốc có thể trực tiếp sử dụng lưu trữ phân tán của Sangfor HCI mà không cần một nguồn tài nguyên lưu trữ bổ sung. Cách tiếp cận này cung cấp lưu trữ doanh nghiệp hiệu suất cao và đáng tin cậy, giảm tổng chi phí sở hữu (TCO). Giải pháp đáp ứng các yêu cầu của các khối lượng công việc hiệu suất cao, chẳng hạn như triển khai cơ sở dữ liệu container.
Kiến trúc Mạng SKE Được Tổ chức trên HCI
Mạng SKE được xây dựng trên một mạng ảo. Giao tiếp Pod-to-Pod giữa các máy chủ vật lý được thực hiện thông qua việc tích hợp CNI (Container Network Interface) và việc sử dụng cả liên kết mạng ảo và vật lý. Chế độ BPF (Berkeley Packet Filter) của Cilium giảm thiểu nhu cầu xử lý gói mạng trong không gian người dùng, điều này làm giảm độ trễ. Các khả năng xử lý gói trực tiếp trong nhân không sao chép của nó có thể đạt được tốc độ hiệu suất tương đương với DPDK (Data Plane Development Kit).
Hình ảnh hóa Lưu lượng Mạng Container
Sự chuyển đổi sang kiến trúc đám mây gốc đã làm tăng số lượng microservices, dẫn đến nhiều mối quan hệ truy cập nội bộ hơn và lưu lượng truy cập. Điều này khiến việc xác định các cổng cần thiết cho hoạt động doanh nghiệp trở nên khó khăn, làm phức tạp bảo vệ và kiểm soát an ninh. SKE giải quyết vấn đề này bằng cách hình ảnh hóa các mối quan hệ truy cập cho các ứng dụng đám mây gốc, nâng cao khả năng xác định vấn đề và hiệu quả khắc phục sự cố. Điều này cho phép đánh giá nhanh chóng điều kiện mạng container và xác định chi tiết dịch vụ bị lộ (giao thức, cổng) để hỗ trợ các biện pháp an ninh.
Các container và máy ảo sẽ tồn tại cùng nhau trong hạ tầng trong dài hạn, vì việc quản lý chúng riêng biệt là không hiệu quả. Bằng cách tích hợp SKE với Sangfor HCI, người dùng được hưởng lợi từ việc quản lý thống nhất các container và máy ảo. Điều này bao gồm quản lý tập trung các tài khoản, quyền truy cập, giám sát và cảnh báo, cải thiện đáng kể hiệu quả quản lý tổng thể.
Khi thiết lập một cụm K8s, ít nhất tám hoạt động phía sau và hàng chục lệnh cần phải được thực hiện, khiến quy trình trở nên phức tạp và dễ xảy ra lỗi. Với SKE, người dùng có thể nhanh chóng tạo ra một cụm Kubernetes sẵn sàng sản xuất chỉ trong vài bước đơn giản, thường trong vòng 15 phút. Quy trình này loại bỏ nhu cầu cài đặt và cấu hình hệ điều hành thủ công, đảm bảo triển khai nhanh chóng các ứng dụng doanh nghiệp.
Nền tảng bao gồm một bộ thành phần được xây dựng sẵn phong phú, cung cấp chức năng ngay từ đầu cho việc triển khai ứng dụng nhanh chóng và giám sát trực quan toàn diện. Điều này hỗ trợ việc đưa nhanh khối lượng công việc doanh nghiệp vào hoạt động với các hoạt động chạy ổn định. Để hỗ trợ việc khắc phục sự cố, nền tảng cung cấp nhiều loại nhật ký khác nhau. Ngoài ra, nó còn có giải pháp cân bằng tải hiệu suất cao tích hợp, giảm thiểu độ phức tạp của việc bảo trì liên tục.
Kubernetes thiếu các biện pháp hiệu quả để phát hiện tình trạng sức khỏe không tối ưu ở các máy vật lý hoặc máy ảo cơ bản, điều này có thể gây ra rủi ro về độ tin cậy. SKE tận dụng độ tin cậy và các cơ chế Tính Sẵn sàng Cao (HA) của Sangfor HCI, như giám sát tình trạng sức khỏe và Lập lịch Tài nguyên Phân tán (DRS), để tránh chạy ứng dụng trên các nút không khỏe mạnh, đảm bảo các hoạt động kinh doanh ổn định. Ngoài ra, việc loại trừ máy chủ nút cụm đảm bảo rằng các máy ảo lưu trữ các nút cụm Kubernetes tuân theo chính sách loại trừ mặc định, ưu tiên phân phối trên các máy chủ vật lý khác nhau.
SKE cung cấp bảo mật mạnh mẽ cho các cụm Kubernetes bằng cách tận dụng các tính năng bảo mật tích hợp của Sangfor HCI, chính sách bảo mật và tăng cường hệ điều hành, chẳng hạn như vá lỗi. Đối với các nút cụm, một chính sách tường lửa phân tán tự động được tạo ra để chặn các cổng có rủi ro cao trong khi vẫn cho phép các cổng cần thiết. Khi Kubernetes phát triển, nhiều tham số của nó có thể tạo ra rủi ro bảo mật nếu các cấu hình không tuân theo các thực tiễn tốt nhất. SKE cung cấp các chính sách tiếp nhận tích hợp để kiểm soát việc tiếp nhận ứng dụng và sử dụng nhật ký kiểm tra để nhanh chóng xác định và truy tìm các cấu hình có rủi ro cao. Đối với các hành động không tuân thủ, hệ thống cung cấp các đề xuất khắc phục, chẳng hạn như cho phép kèm theo kiểm tra hoặc chặn lại.
Các ứng dụng đám mây gốc cần lưu trữ liên tục cho nhiều loại dữ liệu khác nhau, bao gồm dữ liệu doanh nghiệp, dữ liệu bộ nhớ đệm, dữ liệu nhật ký và các dữ liệu khác cần được giữ lại theo thời gian. Với SKE, các ứng dụng đám mây gốc có thể trực tiếp sử dụng lưu trữ phân tán của Sangfor HCI mà không cần một nguồn tài nguyên lưu trữ bổ sung. Cách tiếp cận này cung cấp lưu trữ doanh nghiệp hiệu suất cao và đáng tin cậy, giảm tổng chi phí sở hữu (TCO). Giải pháp đáp ứng các yêu cầu của các khối lượng công việc hiệu suất cao, chẳng hạn như triển khai cơ sở dữ liệu container.
Mạng SKE được xây dựng trên một mạng ảo. Giao tiếp Pod-to-Pod giữa các máy chủ vật lý được thực hiện thông qua việc tích hợp CNI (Container Network Interface) và việc sử dụng cả liên kết mạng ảo và vật lý. Chế độ BPF (Berkeley Packet Filter) của Cilium giảm thiểu nhu cầu xử lý gói mạng trong không gian người dùng, điều này làm giảm độ trễ. Các khả năng xử lý gói trực tiếp trong nhân không sao chép của nó có thể đạt được tốc độ hiệu suất tương đương với DPDK (Data Plane Development Kit).
Sự chuyển đổi sang kiến trúc đám mây gốc đã làm tăng số lượng microservices, dẫn đến nhiều mối quan hệ truy cập nội bộ hơn và lưu lượng truy cập. Điều này khiến việc xác định các cổng cần thiết cho hoạt động doanh nghiệp trở nên khó khăn, làm phức tạp bảo vệ và kiểm soát an ninh. SKE giải quyết vấn đề này bằng cách hình ảnh hóa các mối quan hệ truy cập cho các ứng dụng đám mây gốc, nâng cao khả năng xác định vấn đề và hiệu quả khắc phục sự cố. Điều này cho phép đánh giá nhanh chóng điều kiện mạng container và xác định chi tiết dịch vụ bị lộ (giao thức, cổng) để hỗ trợ các biện pháp an ninh.