您的位置:首页 >要闻 >

增添容器OS安全遵循与OVN网路红帽OpenShift迈入4.6版

时间:2022-09-12 10:31:40 来源:[db:来源]

原标题:增添容器OS安全遵循与OVN网路红帽OpenShift迈入4.6版

在企业级容器平台拥有众多客户的红帽,他们发展的Red Hat OpenShift Container Platform,继今年7月发表4.5版之后,10月底再度推出4.6版更新,该公司在11月中发布的新闻稿里面,也强调这一版的两大亮点:一是具备强大的边缘运算新功能,也就是增加「远端工作节点(Remote Worker Node)」,可藉此将运算力延伸至空间受到局限的环境,让IT单位可以将系统规模扩展至远端环境,却又能兼顾集中维运与管理的需求;另一是支援公部门的Kubernetes部署,例如,可用于AWS与Azure政府公有云,并且获取重要的功能,例如,延伸OpenSCAP这类系统安全与标準遵循工具的支援。

正式支援两大政府公有云环境的安装,以及在裸机环境之上的K8s丛集部署

以政府公有云服务的使用支援而言,企业可在AWS提供给美国政府使用的GovCloud区域当中,安装Kubernetes丛集;也可以在Azure针对美国政府的云端区域Microsoft Azure Government(MAG),安装Kubernetes丛集。

OpenShift 4.6採用的Kubernetes版本,也换成8月释出的1.19版,能让OpenShift用户获得与执行最新的Kubernetes功能,而在公有云、私有云、边缘运算等环境建构开放式混合云。

若要在裸机环境的节点上,执行完整堆叠自动化安装(Full Stack Automation Installation),也就是Installer-Provisioned Infrastructure(IPI)这类部署上,OpenShift 4.6现在正式提供支援,可运用上述方式来安装Kubernetes丛集,而有了这样的部署机制,企业可将OpenShift执行在任何代管平台之上,不需要云端服务来建立,或是虚拟机器代管与其他中介技术的帮忙,而能在最底层的部分使用OpenShift。

关于在裸机环境的简化维运套装机制,OpenShift 4.6新增了Bare Metal Operator,能有效準备与揭露实体兹节点的状态资讯,将其提供给OpenShift安装程式,以便让其管理多种功能,像是针对节点,进行与Red Hat Enterprise Linux CoreOS的开机绑定(bootstraping),以及OpenShift安装,以便部署一套运行当中的丛集,为支援工作负载做好準备。而这项功能运用了Metal3这项开放原始码的软体专案,用户可透过IPI、Redfish这类标準管理介面,控管裸机伺服器的电力使用与自动化处理,同时,也能搭配标準DHCP/PXE这类标準协定,或其他虚拟你媒体介面来建立节点。

此外,在VMware伺服器虚拟化平台vSphere当中,原本需使用到6.5版,方可安装Kubernetes丛集,现在可支援今年推出的7.0版vSphere。

至于远端工作节点,则是用于边缘运算端的新部署方式,可结合OpenShift 4.5正式提供的3节点部署架构。

远端工作节点的拓朴架构,是由控制节点与工作节点所组成,但在实体位置的规画上,是与大型站点(区域资料中心或中央资料中心)的控制节点,以及横跨多个小型边缘站点的工作节点,相互区隔开来。基于这样的配置,能让控制节点同时管理数千个边缘位置的节点,可共享这些运算核心,使边缘端执行更多工作负载。

在哪些场景可运用远端工作节点?红帽表示,如何在密集的区域,提供电信5G网路服务,就是很典型的例子──5G无线存取网路部署时,会运用中央单元(CU)控制两千台分散单元(DU),CU与DU之间的网路连线会有备援机制,数量相当充足,而维运人员会希望尽可能部署最多核心来支撑工作负载,为了避免调动本地站点控制层的多核心资源,此时若能透过数千台边缘节点的多层分散处理,将可协助业者运用这种具成本效益的方式,因应严格的服务水準要求。

提供宣告式资安遵循功能

在开发安全维运(DevSecOps)的应用实务支援上,OpenShift 4.6增设Compliance Operator,当中运用了OpenSCAP这套工具,可让企业描述他们的安全性要求,透过宣告式的组态设定来指明OpenShift丛集的安全遵循要求,并了解达到这些目标的程度,他们能让Operator扫描丛集当中的节点组态,将这些资讯呈现给负责与稽核的人员,检查他们的部署是否遵循资安标準,并能得到矫正这些问题的方法。

OpenShift系统管理员可在此描述所要的丛集遵循状态,并且运用OpenSCAP来扫描与强制施行资安政策,而能检视现行系统安全程度与整体资安防护要求之间的落差,以及了解到该如何矫正。而这里能够评估的标準遵循範围,也相当广泛,包含了上层的OpenShift Container Platform/Kubernetes的API资源,以及底层丛集当中执行的节点。

不过,关于这项系统安全性检查机制,红帽是先从Red Hat CoreOS开始着手,目前仅能针对这套作业系统的部署,该公司也承诺未来将会支援更多系统。

正式支援开放式虚拟网路,Service Mesh升级至2.0版

在网路应用的部份,先前于OpenShift 4.3推出技术预览版本的Open Virtual Network(OVN),到了最新发表的4.6版,终于成为正式功能。

就运用形式而言,OVN会以Kubernetes容器网路介面(CNI)的外挂机制来实作,能帮OpenShift搭配既有开放虚拟交换器(OVS),以及其他软体定义网路(SDN)技术时的不足,增添原生的虚拟网路抽象化处理支援。红帽表示,他们已订定OVN的发展蓝图,希望能够在OVN-Kubernetes这样的整合网路应用环境当中,开发出全新的功能。

因此,在OpenShift 4.6当中,在预设容器网路介面的供应者设定上,目前可支援既有的OpenShift SDN,以及OVN-Kubernetes,以这样的虚拟化网路环境来连接Pod与服务之间。

另一个与网路应用有关的特色是服务网格(Service Mesh)。一般而言,这项技术是指微服务之间的网路,能促成採用分散式微服务架构的应用程式,以及这些微服务之间的各种互动行为,而随着应用程式规模与複杂度提高,维运人员会越来难以理解与管理服务网格。

而OpenShift Service Mesh主要是基于开放原始码的软体Istio,红帽从4.1版OpenShift开始提供1.0版的OpenShift Service Mesh,能让企业在既有分散式应用程式中,增加透明的处理层级,而且不需要修改程式码。在实际使用时,企业能部署特製的Proxy来拦截微服务之间的所有网路通讯,并运用控制层的功能来设定与管理服务网格。

在开放原始码软体的搭配上,OpenShift Service Mesh 1.0包含了Istio 1.1.11,以及Jaeger 1.13.1、Kiali 1.0.5、3scale Istio Adapter 1.0。

到了4.6版OpenShift,红帽开始提供2.0版OpenShift Service Mesh,包含的软体元件,有Istio 1.6.5、Jaeger 1.20.0、Kiali 1.24.2、3scale Istio Adapter 2.0.0。Service Mesh在控制层也重新调整架构,以减少複杂度与提升可靠度。原本控制层的3个元件──Pilot、Citadel、Galley,整併为二进位的服务常驻执行元件istiod,可简化Istio的设定、安装、升级、管理,并且减少系统资源耗用量、启动时间,以及不同元件之间的网路协调作业。

同时,它也能支援Envoy这套开放原始码软体Proxy的Secret Discovery Service(SDS),从而改善Proxy之间的金钥与凭证配发与轮流使用。先前OpenShift Service Mesh 1.1.x之前是採用Kubernetes Secrets,将金钥与凭证直接挂载到Proxy容器里面,但这么做已有不少资安风险,也会在轮流使用凭证时,造成效能冲击──因Proxy容器须重新部署已启动新的凭证。而如今若能搭配Envoy的SDS,可透过一台集中式处理的伺服器,将凭证直接推送至Envoy的Proxy,而且立即可套用、无需重新部署。

在控制层引擎的部份,OpenShift Service Mesh 2.0也予以更新,提供第二版ServiceMeshControlPlane resource资源配置,能够简化控制层的安装、设定与管理。

远端监测的功能上,OpenShift Service Mesh支援Istio的Telemetry v2架构,能减少量测资料收集的延迟。Telemetry v2预设会编译到Istio的Proxy过滤器,而同样的过滤器还可编译为WebAssembly型态的外挂模组,以提升效能。

搭配容器虚拟化平台2.5版

在此同时,红帽也改善了这套系统内含的容器化虚拟平台,也就是OpenShift Virtualization,OpenShift 4.6搭配的是OpenShift Virtualization 2.5。而在作业系统的认证上,这个版本的OpenShift Virtualization,和先前释出的2.4版、2.3版一样,不仅通过微软Windows Server伺服器验证计画(SVVP)的认证,而且在SVP型录当中,也列出「Red Hat OpenShift Container Platform 4 on RHEL CoreOS 8」的项目,也支援英特尔与AMD处理器的运算平台。

OpenShift Virtualization 2.5版的推出,增加多个功能,像是基于範本、可一键完成的虚拟机器建立,并针对Windows虚拟机器的工作负载,提供最佳化的执行效能与规模扩展力。

产品资讯

Red Hat OpenShift Container Platform 4.6●原厂:Red Hat●建议售价:厂商未提供●搭配Kubernetes版本:1.19●支援Linux版本:Red Hat Enterprise Linux 7.7、Red Hat Enterprise Linux CoreOS 4.6●安装方式:AWS、Azure、GCP、IBM Z/LinuxONE、IBM Power Systems、OpenStack、RHV、vSphere、裸机●丛集部署需要的主机:1台Bootstrap节点、3台Control plane或Master节点、2台运算节点●主机系统需求:Red Hat Enterprise Linux CoreOS、4颗vCPU、16GB记忆体、120GB储存空间

【注:规格与价格由厂商提供,因时有异动,正确资讯请洽厂商】

 


郑重声明:文章仅代表原作者观点,不代表本站立场;如有侵权、违规,可直接反馈本站,我们将会作修改或删除处理。