基于容器的平台如何工作?

IBM Cloud™ Kubernetes Services 为 Docker (OCI) 容器提供完全托管的容器服务,允许客户将容器化应用部署到计算主机池中,然后管理这些容器。可根据您定义的需求和集群中的可用性,自动调度这些容器并将它们放置到可用的计算主机上。集成的 Kubernetes 基础架构通过独立且安全的应用平台帮助您管理容器,该平台在发生故障时可移植、可扩展且可进行自我复原。

→ 学习 Kubernetes 教程,快速入门

基于 Kubernetes 的容器服务如何管理?

每个集群配备一个由 IBM 操作和管理的 Kubernetes 主节点和多个部署到客户拥有的基础结构中的工作节点。您的工作节点是单租户节点,也是您作为客户的专用节点。您负责使用 IBM 提供的工具来管理工作节点,这些工具可用于操作系统补丁部署、容器运行时更新和 Kubernettes 新版本。

→ 了解 IBM Cloud Kubernetes Service 服务背后的技术

我如何在自己的基础架构上运行 Docker 容器?

通过 IBM Cloud Kubernetes Service,您可以将 Docker 容器部署到在工作节点上运行的 pod 中。工作节点随附一组附加 pod 来帮助您管理容器,您还可以通过比如 Helm (Kubernetes Package Manager) 安装更多的附加组件。这些附加组件可以通过仪表板、日志记录、监视、存储和网络资源以及 IBM Cloud 和 IBM Watson® 服务来扩展您的应用。

→ 了解 Docker 和 IBM Cloud Kubernetes 技术

Kubernetes 中的自动扩展功能如何为我的 Docker 容器工作?

在 IBM Cloud Kubernetes Service 中,您可以启用 pod 水平自动扩展功能,以自动增加或减少应用 Pod 来响应工作负载需求。

→ 了解如何在集群中部署 Kubernetes 原生应用

使用服务提供程序实例时容器托管如何管理?

作为企业客户,您希望控制和访问运行容器化工作负载的计算基础结构,以便确保您的应用可以获得所需的资源。但是,您还希望为应用提供稳定的环境,并降低维护开销。IBM Cloud Kubernetes Service 管理主服务器,将您从管理主机操作系统、容器运行时和 Kubernetes 版本更新流程中解放出来。由于将应用部署到工作节点,即基础结构帐户中的计算实例,因此您可以访问和控制工作负载资源。

→ 了解集群管理职责

我能否将块存储器与我的应用集成?

您可以为集群配置块存储器,并将该存储器用作为应用的永久性数据存储工具。IBM Cloud Kubernetes Service 提供预定义的 Kubernetes 存储类,您可以使用这些类来选择满足应用需求的块存储器容量和性能特征。

→ 了解如何在 IBM Cloud 块存储器上存储数据

网络在集群中如何工作?

IBM Cloud Kubernetes Service 与 IBM Cloud 平台的 IP 寻址、网络路由、ACL、负载均衡和防火墙功能实现完全集成。部署标准集群时,您可以为工作节点指定虚拟网络,为您的团队和项目提供网络分段和隔离。每个集群都设置有预定义的网络策略来控制工作节点公用网络接口。您可以选择定制网络策略,通过防火墙添加额外的安全层,或者使用安全的 VPN 通道将云中的工作节点与本地数据中心中的实例连接起来。

→ 了解如何创建集群

如何整合安全控制?

每个集群都设置为仅您专用的单租户集群。为了保护 Kubernetes API 服务器与工作节点之间的通信,IBM Cloud Kubernetes Service 使用 OpenVPN 通道和 TLS 证书,并监控主网络以检测恶意攻击并进行修复。您可以使用 IBM Identity and Access Manager、Kubernettes 基于角色的访问控制 (RBAC) 和 Kubernetes 准入控制器来控制用户对集群资源的访问。 

所有集群都设置有缺省的网络策略来保护公共接口,您可以进行定制以满足应用的需求。为最大限度减少潜在攻击的风险,您可以设置边缘节点,仅将这些节点仅公开到公用网络,将所有其他节点和应用工作负载留在专用网络上。存储在持久文件或块存储器上的数据在受 LUKS 保护的磁盘上实现静态加密。存储在 Kubernetes secret 中的敏感数据(比如凭证)由 IBM Cloud Kubernetes Service 自动加密。

→ 了解有关 IBM Cloud Kubernetes Service 安全性的信息

我如何在云中存储 Docker 映像?

客户可以获得作为平台中的一项服务的 Docker 映像专用注册表。IBM Cloud Container Registry 内的每个租户都有一个专用的托管注册表,该注册表使用开源 Docker V2 注册表构建,允许在云中安全存储 Docker 映像。集成的 Vulnerability Advisor 不但能够扫描映像以获得 IBM X-Force® Exchange 洞察,其 ISO27k 策略还能扫描实时容器和软件包。

您可以在 IBM Cloud Container Registry 中设置自己的名称空间,以便在多租户专用映像注册表中构建 Docker 映像,并安全地存储和共享。集成的 Vulnerability Advisor 不但能够扫描映像,通过 IBM X-Force Exchange 洞察发现潜在漏洞,还能够根据 ISO27k 标准不断扫描已部署的容器和软件包。您还可以通过将映像标记为可信内容,并指定部署只能使用通过漏洞扫描的可信映像,实现映像安全。

开始使用 datashield-barbican 映像

我能否设置自己的 Kubernetes 调度程序以将容器放置在某个集群中?

通过 IBM Cloud Kubernetes Service,您可以控制自己的集群,并为 Kubernetes 部署实施自己定制的 Kubernetes 调度和关联逻辑。

→ 了解如何在集群中部署 Kubernetes 原生应用

快速入门

在 IBM Cloud 上管理 Docker 容器和 IBM Cloud Kubernetes Service 集群中的高可用性应用。

Next Steps

* IBM 云计算服务由 IBM 美国公司在中国境外提供给客户使用,某项具体服务的可用性将受限于您所在国家法律、法规的监管要求。

IBM 专家为您服务(工作日9:00-17:00)