Wie funktioniert eine containerbasierte Plattform?

IBM Cloud™ Kubernetes Services ist ein vollständig verwalteter Container-Service für Docker-Container (OCI), mit dem Kunden containerisierte Anwendungen in einem Pool mit Rechenhosts bereitstellen und diese Container anschließend verwalten können. Container werden automatisch zeitlich geplant und basierend auf den von Ihnen definierten Anforderungen und der Verfügbarkeit im Cluster auf den verfügbaren Rechenhosts bereitgestellt. Die integrierte Kubernetes-Infrastruktur unterstützt Sie bei der Verwaltung von Containern mit einer isolierten und sicheren App-Plattform, die portierbar, erweiterbar und in Failoversituationen sogar selbstheilend ist.

→ Erste Schritte mit einem Kubernetes-Lernprogramm

Wie wird der Kubernetes-basierte Container-Service verwaltet?

Jeder Cluster wird mit einem Kubernetes-Master bereitgestellt, der von IBM betrieben und verwaltet wird. Hinzu kommen Workerknoten, die in der kundeneigenen Infrastruktur bereitgestellt werden. Ihre Workerknoten sind Single-Tenant-Knoten und Ihnen als Kunde zugeordnet. Sie sind für die Verwaltung Ihrer Workerknoten selbst verantwortlich. Hierfür stehen von IBM bereitgestellte Tools für die Implementierung von Betriebssystempatches, Container-Runtime-Updates und neuen Kubernetes-Versionen zur Verfügung.

→ Mehr über die Technologie hinter IBM Cloud Kubernetes Service erfahren

Wie kann ich Docker-Container in meiner eigenen Infrastruktur ausführen?

Mit dem IBM Cloud Kubernetes Service können Sie Docker-Container in Pods bereitstellen, die auf Ihren Workerknoten ausgeführt werden. Die Workerknoten verfügen über eine Reihe von Add-on-Pods, die Sie bei der Verwaltung Ihrer Container unterstützen. Sie können auch weitere Add-Ons installieren, z. B. über Helm, einen Kubernetes Package Manager. Durch diese Add-ons können Sie Ihre Apps mit Dashboards, Protokollierungs-, Überwachungs-, Speicher- und Netzressourcen sowie mit IBM Cloud und IBM Watson® Services erweitern.

→ Mehr über Docker- und IBM Cloud Kubernetes-Technologie erfahren

Wie funktioniert die automatische Skalierung für meine Docker-Container in Kubernetes?

Im IBM Cloud Kubernetes Service können Sie die horizontale automatische Skalierung für Pods (Horizontal Pod Autoscaling) aktivieren, um Ihre App-Pods je nach Workloadanforderung automatisch zu erhöhen oder zu verringern.

→ So werden Kubernetes-native Apps in Clustern bereitgestellt

Wie wird das Container-Hosting verwaltet, wenn Service-Provider-Instanzen verwendet werden?

Als Unternehmenskunde möchten Sie Steuerung und Zugriff auf die IT-Infrastruktur, auf der Ihre containerisierten Workloads ausgeführt werden, selbst übernehmen. So können Sie sicherstellen, dass Ihre App die Ressourcen erhält, die sie benötigt. Sie wollen aber auch eine stabile Umgebung für Ihre Apps und den Wartungsaufwand verringern. Der IBM Cloud Kubernetes Service verwaltet Ihren Master, sodass Sie keine Verwaltungsaufgaben für das Hostbetriebssystem, die Containerlaufzeitkomponente und die Aktualisierung der Kubernetes-Version übernehmen müssen. Da die Apps auf Workerknoten bereitgestellt werden, den Berechnungsinstanzen in Ihrem Infrastrukturkonto, können Sie auf Ihre Workloadressourcen zugreifen und diese steuern.

→ Mehr über Cluster-Management-Zuständigkeiten erfahren

Kann ich Blockspeicher in meine Apps integrieren?

Sie können Blockspeicher für Ihren Cluster bereitstellen und den Speicher Ihrer App als persistenten Datenspeicher verwenden. Der IBM Cloud Kubernetes Service stellt vordefinierte Kubernetes-Speicherklassen zur Verfügung, mit denen Sie die Blockspeicherkapazität und die Leistungsmerkmale auswählen können, die Ihren App-Anforderungen entsprechen.

→ So werden Daten im IBM Cloud-Blockspeicher gespeichert

Wie funktioniert der Netzbetrieb in einem Cluster?

Der IBM Cloud Kubernetes Service wird vollständig in die IP-Adressierung, das Netzrouting, die ACL, den Lastausgleich und die Firewallfunktionen der IBM Cloud-Plattform integriert. Wenn Sie Standardcluster implementieren, können Sie das virtuelle Netz für Ihre Workerknoten angeben, die die Netzsegmentierungs- und Isolationsfunktionen für Ihre Teams und Projekte bereitstellen. Jeder Cluster wird mit vordefinierten Netzrichtlinien konfiguriert, die die öffentliche Netzschnittstelle der Workerknoten steuern. Sie können die Netzrichtlinien anpassen, eine zusätzliche Sicherheitsebene mit Firewalls hinzufügen oder Ihre Workerknoten in der Cloud mit Instanzen in Ihrem lokalen Rechenzentrum verbinden, indem Sie sichere VPN-Tunnels verwenden.

→ So erstellen Sie einen Cluster

Wie werden Sicherheitsmaßnahmen integriert?

Jeder Cluster ist als Single-Tenant-Cluster konfiguriert, der nur für Sie dediziert ist. Um die Kommunikation zwischen dem Kubernetes API-Server und Ihren Workerknoten zu sichern, verwendet der IBM Cloud Kubernetes Service einen OpenVPN-Tunnel und TLS-Zertifikate. Zudem überwacht der Service das Masternetz, um böswillige Angriffe zu erkennen und zu beheben. Sie können den Benutzerzugriff auf Clusterressourcen mit IBM Identity and Access Manager, Kubernetes Role-based Access Control (RBAC) und Kubernetes Admission Controllern steuern.  

Alle Cluster werden mit Standardnetzrichtlinien eingerichtet, um öffentliche Schnittstellen zu sichern, die Sie an die Anforderungen Ihrer Apps anpassen können. Um das Risiko potenzieller Attacken zu minimieren, können Sie Edge-Knoten einrichten und diese Knoten nur dem öffentlichen Netz zugänglich machen. Alle anderen Knoten und Ihre App-Workloads verbleiben dann im privaten Netz. Daten, die in einer persistenten Datei oder im Blockspeicher gespeichert sind, werden als ruhende Daten auf LUKS-geschützten Platten verschlüsselt. Sensible Daten wie Berechtigungsnachweise, die in geheimen Kubernetes-Schlüssel gespeichert sind, werden automatisch vom IBM Cloud Kubernetes Service verschlüsselt.

→ Mehr über Sicherheit für IBM Cloud Kubernetes Service erfahren

Wie speichere ich Docker-Images in der Cloud?

Der Kunde kann eine private Docker-Image-Registry als Service innerhalb der Plattform abrufen. Jeder Tenant in der IBM Cloud Container Registry verfügt über eine private gehostete Registry, die mithilfe der Open-Source-Docker-v2-Registry erstellt wurde. Dadurch wird eine sichere Speicherung von Docker-Images in der Cloud ermöglicht. Der integrierte Vulnerability Advisor scannt nicht nur Images mit IBM X-Force® Exchange Insights. Über die servicespezifische ISO27k-Richtlinie werden auch Live-Container und Pakete gescannt.

Sie können Ihren eigenen Namespace in der IBM Cloud Container Registry einrichten, um Ihre Docker-Images in einer Multi-Tenant-basierten, nicht öffentlichen Image-Registry zu erstellen, sicher zu speichern und gemeinsam zu nutzen. Der integrierte Vulnerability Advisor scannt nicht nur Ihre Images anhand von IBM X-Force Exchange Insights, sondern scannt auch kontinuierlich bereitgestellte Container und Pakete gemäß ISO27k-Standards. Sie können zudem die Sicherheit von Images erzwingen, indem Sie Images als vertrauenswürdige Inhalte signieren und angeben, dass Bereitstellungen nur vertrauenswürdige Images verwenden dürfen, die die Schwachstellensuche erfolgreich durchlaufen.

Erste Schritte mit dem datashield-barbican-Image

Kann ich meinen eigenen Kubernetes-Scheduler einrichten, um Container in einem Cluster zu platzieren?

Mit dem IBM Cloud Kubernetes Service haben Sie die Kontrolle über Ihren Cluster und können dadurch Ihre eigene Kubernetes-Scheduler- und Affinitätslogik für Ihre Kubernetes-Bereitstellungen implementieren.

→ So werden Kubernetes-native Apps in Clustern bereitgestellt

Einstieg in IBM Cloud Container Service in wenigen Minuten

Verwalten Sie hoch verfügbare Apps in Docker-Containern und IBM Cloud-Kubernetes-Service-Clustern in der IBM Cloud.