增添容器OS安全遵循与OVN网路红帽OpenShift迈入4.6版
在企业级容器平台拥有众多客户的红帽,他们发展的Red Hat OpenShift Container Platform,继今年7月发表4.5版之后,10月底再度推出4.6版更新,该公司在11月中发布的新闻稿里面,也强调这一版的两大亮点:一是具备强大的边缘运算新功能,也就是增加「远端工作节点(Remote Worker Node)」,可藉此将运算力延伸至空间受到局限的环境,让IT单位可以将系统规模扩展至远端环境,却又能兼顾集中维运与管理的需求;另一是支援公部门的Kubernetes部署,例如,可用于AWS与Azure政府公有云,并且获取重要的功能,例如,延伸OpenSCAP这类系统安全与标準遵循工具的支援。
正式支援两大政府公有云环境的安装,以及在裸机环境之上的K8s丛集部署以政府公有云服务的使用支援而言,企业可在AWS提供给美国政府使用的GovCloud区域当中,安装Kubernetes丛集;也可以在Azure针对美国政府的云端区域Microsoft Azure Government(MAG),安装Kubernetes丛集。
OpenShift 4.6採用的Kubernetes版本,也换成8月释出的1.19版,能让OpenShift用户获得与执行最新的Kubernetes功能,而在公有云、私有云、边缘运算等环境建构开放式混合云。
若要在裸机环境的节点上,执行完整堆叠自动化安装(Full Stack Automation Installation),也就是Installer-Provisioned Infrastructure(IPI)这类部署上,OpenShift 4.6现在正式提供支援,可运用上述方式来安装Kubernetes丛集,而有了这样的部署机制,企业可将OpenShift执行在任何代管平台之上,不需要云端服务来建立,或是虚拟机器代管与其他中介技术的帮忙,而能在最底层的部分使用OpenShift。
关于在裸机环境的简化维运套装机制,OpenShift 4.6新增了Bare Metal Operator,能有效準备与揭露实体兹节点的状态资讯,将其提供给OpenShift安装程式,以便让其管理多种功能,像是针对节点,进行与Red Hat Enterprise Linux CoreOS的开机绑定(bootstraping),以及OpenShift安装,以便部署一套运行当中的丛集,为支援工作负载做好準备。而这项功能运用了Metal3这项开放原始码的软体专案,用户可透过IPI、Redfish这类标準管理介面,控管裸机伺服器的电力使用与自动化处理,同时,也能搭配标準DHCP/PXE这类标準协定,或其他虚拟你媒体介面来建立节点。
此外,在VMware伺服器虚拟化平台vSphere当中,原本需使用到6.5版,方可安装Kubernetes丛集,现在可支援今年推出的7.0版vSphere。
至于远端工作节点,则是用于边缘运算端的新部署方式,可结合OpenShift 4.5正式提供的3节点部署架构。
远端工作节点的拓朴架构,是由控制节点与工作节点所组成,但在实体位置的规画上,是与大型站点(区域资料中心或中央资料中心)的控制节点,以及横跨多个小型边缘站点的工作节点,相互区隔开来。基于这样的配置,能让控制节点同时管理数千个边缘位置的节点,可共享这些运算核心,使边缘端执行更多工作负载。
在哪些场景可运用远端工作节点?红帽表示,如何在密集的区域,提供电信5G网路服务,就是很典型的例子──5G无线存取网路部署时,会运用中央单元(CU)控制两千台分散单元(DU),CU与DU之间的网路连线会有备援机制,数量相当充足,而维运人员会希望尽可能部署最多核心来支撑工作负载,为了避免调动本地站点控制层的多核心资源,此时若能透过数千台边缘节点的多层分散处理,将可协助业者运用这种具成本效益的方式,因应严格的服务水準要求。
提供宣告式资安遵循功能在开发安全维运(DevSecOps)的应用实务支援上,OpenShift 4.6增设Compliance Operator,当中运用了OpenSCAP这套工具,可让企业描述他们的安全性要求,透过宣告式的组态设定来指明OpenShift丛集的安全遵循要求,并了解达到这些目标的程度,他们能让Operator扫描丛集当中的节点组态,将这些资讯呈现给负责与稽核的人员,检查他们的部署是否遵循资安标準,并能得到矫正这些问题的方法。
OpenShift系统管理员可在此描述所要的丛集遵循状态,并且运用OpenSCAP来扫描与强制施行资安政策,而能检视现行系统安全程度与整体资安防护要求之间的落差,以及了解到该如何矫正。而这里能够评估的标準遵循範围,也相当广泛,包含了上层的OpenShift Container Platform/Kubernetes的API资源,以及底层丛集当中执行的节点。
不过,关于这项系统安全性检查机制,红帽是先从Red Hat CoreOS开始着手,目前仅能针对这套作业系统的部署,该公司也承诺未来将会支援更多系统。
正式支援开放式虚拟网路,Service Mesh升级至2.0版在网路应用的部份,先前于OpenShift 4.3推出技术预览版本的Open Virtual Network(OVN),到了最新发表的4.6版,终于成为正式功能。
就运用形式而言,OVN会以Kubernetes容器网路介面(CNI)的外挂机制来实作,能帮OpenShift搭配既有开放虚拟交换器(OVS),以及其他软体定义网路(SDN)技术时的不足,增添原生的虚拟网路抽象化处理支援。红帽表示,他们已订定OVN的发展蓝图,希望能够在OVN-Kubernetes这样的整合网路应用环境当中,开发出全新的功能。
因此,在OpenShift 4.6当中,在预设容器网路介面的供应者设定上,目前可支援既有的OpenShift SDN,以及OVN-Kubernetes,以这样的虚拟化网路环境来连接Pod与服务之间。
另一个与网路应用有关的特色是服务网格(Service Mesh)。一般而言,这项技术是指微服务之间的网路,能促成採用分散式微服务架构的应用程式,以及这些微服务之间的各种互动行为,而随着应用程式规模与複杂度提高,维运人员会越来难以理解与管理服务网格。
而OpenShift Service Mesh主要是基于开放原始码的软体Istio,红帽从4.1版OpenShift开始提供1.0版的OpenShift Service Mesh,能让企业在既有分散式应用程式中,增加透明的处理层级,而且不需要修改程式码。在实际使用时,企业能部署特製的Proxy来拦截微服务之间的所有网路通讯,并运用控制层的功能来设定与管理服务网格。
在开放原始码软体的搭配上,OpenShift Service Mesh 1.0包含了Istio 1.1.11,以及Jaeger 1.13.1、Kiali 1.0.5、3scale Istio Adapter 1.0。
到了4.6版OpenShift,红帽开始提供2.0版OpenShift Service Mesh,包含的软体元件,有Istio 1.6.5、Jaeger 1.20.0、Kiali 1.24.2、3scale Istio Adapter 2.0.0。Service Mesh在控制层也重新调整架构,以减少複杂度与提升可靠度。原本控制层的3个元件──Pilot、Citadel、Galley,整併为二进位的服务常驻执行元件istiod,可简化Istio的设定、安装、升级、管理,并且减少系统资源耗用量、启动时间,以及不同元件之间的网路协调作业。
同时,它也能支援Envoy这套开放原始码软体Proxy的Secret Discovery Service(SDS),从而改善Proxy之间的金钥与凭证配发与轮流使用。先前OpenShift Service Mesh 1.1.x之前是採用Kubernetes Secrets,将金钥与凭证直接挂载到Proxy容器里面,但这么做已有不少资安风险,也会在轮流使用凭证时,造成效能冲击──因Proxy容器须重新部署已启动新的凭证。而如今若能搭配Envoy的SDS,可透过一台集中式处理的伺服器,将凭证直接推送至Envoy的Proxy,而且立即可套用、无需重新部署。
在控制层引擎的部份,OpenShift Service Mesh 2.0也予以更新,提供第二版ServiceMeshControlPlane resource资源配置,能够简化控制层的安装、设定与管理。
远端监测的功能上,OpenShift Service Mesh支援Istio的Telemetry v2架构,能减少量测资料收集的延迟。Telemetry v2预设会编译到Istio的Proxy过滤器,而同样的过滤器还可编译为WebAssembly型态的外挂模组,以提升效能。
搭配容器虚拟化平台2.5版在此同时,红帽也改善了这套系统内含的容器化虚拟平台,也就是OpenShift Virtualization,OpenShift 4.6搭配的是OpenShift Virtualization 2.5。而在作业系统的认证上,这个版本的OpenShift Virtualization,和先前释出的2.4版、2.3版一样,不仅通过微软Windows Server伺服器验证计画(SVVP)的认证,而且在SVP型录当中,也列出「Red Hat OpenShift Container Platform 4 on RHEL CoreOS 8」的项目,也支援英特尔与AMD处理器的运算平台。
OpenShift Virtualization 2.5版的推出,增加多个功能,像是基于範本、可一键完成的虚拟机器建立,并针对Windows虚拟机器的工作负载,提供最佳化的执行效能与规模扩展力。
产品资讯
Red Hat OpenShift Container Platform 4.6
●原厂:Red Hat
●建议售价:厂商未提供
●搭配Kubernetes版本:1.19
●支援Linux版本:Red Hat Enterprise Linux 7.7、Red Hat Enterprise Linux CoreOS 4.6
●安装方式:AWS、Azure、GCP、IBM Z/LinuxONE、IBM Power Systems、OpenStack、RHV、vSphere、裸机
●丛集部署需要的主机:1台Bootstrap节点、3台Control plane或Master节点、2台运算节点
●主机系统需求:Red Hat Enterprise Linux CoreOS、4颗vCPU、16GB记忆体、120GB储存空间
【注:规格与价格由厂商提供,因时有异动,正确资讯请洽厂商】
免责声明:本文由用户上传,如有侵权请联系删除!
猜你喜欢
- 郦志隆降压表怎么样(郦志隆降压表)
- 可以逗大家开心的节目(逗笑与逗乐是个怎样的节目)
- 世界杯比分最悬殊的比赛(世界杯上最大的逆转是哪一场比赛)
- 电视剧里有李佳萱(李佳萱是什么电视剧中的人物简介介绍)
- 中国人可以在泰国租车吗(去泰国可以在当地租车自驾吗)
- 广州珠江新城花城大道附近酒店(广州天河中学珠江新城校区附近有什么酒店)
- 辽宁足球俱乐部重建(辽宁足球俱乐部官网)
- 关于焦油的(松焦油的作用简介介绍)
- 东北财经大学和东北师范大学哪个好(二本东北财经营口校区和辽宁师范大学哪个好)
- new(balance1400中底是什么材质)
- 笔记本要怎么连接打印机(笔记本怎么连接打印机设备简介介绍)
- 他喜欢的明星是(有哪些明星艺人是你自始至终一直非常喜欢的)
最新文章
- 中国好声音如果没有你李昊瀚(山野中国好声音李昊瀚唱的那么好为什么淘汰)
- 被套的尺寸是多少(被套尺寸一般是多少简介介绍)
- 怪物x联盟复刻版攻略(怪物x联盟复刻祥云马)
- 阳历是快的还是慢得(快的和慢的哪个是阳历简介介绍)
- 英雄联盟赵信特战先锋(特战先锋德邦总管赵信)
- 凤凰传奇有一首歌叫什么(凤凰传奇有一首歌歌词有)
- 为什么腾讯视频看不了直播(腾讯lpl视频看不了怎么办)
- Blue(Da(Ba Dee) 歌词)
- 联想z475开机黑屏(联想Z475开机超慢怎么回事)
- 吴建豪舞林大会跳的舞(2011舞林大会吴建豪怎么没有看见进复赛)
- 海清结婚了吗现在怎么样了(海清结婚了吗)
- 开十字绣店到哪里进货(开十字绣店在哪里进货怎么进货呢)
- 卫庄大战六剑奴是哪一集(卫庄哪集说的六剑奴是值得一战的对手)
- 微信六年来第一次开始“变脸”为什么
- iphone怎么看已连接wifi密码(iPhone怎么越狱啊)
- 求K233次列车(15车厢的座位号)
- 能链综合能源港里的充电站为何成为香饽饽
- 鸡蛋怎么做比较有营养(鸡蛋怎么做比较好吃)
- lol手游霞怎么出装(LOL新英雄霞与洛逆羽霞如何出装霞怎么出装)
- 穿越火线什么时候上架(穿越火线什么时候能玩)
- 北比臼舅怎么读(北比臼日怎么读)
- 创世之柱任务有什么用(创世之柱任务怎么做)
- 徐磊的歌曲(写给你的歌 徐磊乐演唱作品)
- 广州市经济适用住房准购证明怎么办理(如何取得广州市经济适用住房准购证明)