Come funziona una piattaforma basata su contenitori?

IBM Cloud™ Kubernetes Services fornisce un servizio di contenitori completamente gestito per contenitori Docker (OCI), consentendo ai clienti di distribuire app containerizzate su un pool di computer host e, successivamente, gestire tali contenitori. I contenitori vengono pianificati automaticamente e collocati su computer host disponibili, in base ai requisiti che si definiscono e alla disponibilità nel cluster. L'infrastruttura integrata Kubernetes aiuta a gestire i contenitori con una piattaforma app isolata e sicura, portatile, estendibile e capace di riparazione automatica in caso di failover.

→ Inizia subito con un tutorial di Kubernetes

Come è gestito il servizio di contenitori basato su Kubernetes?

Ogni cluster viene fornito con un master Kubernetes su cui IBM opera e che gestisce e con nodi di lavoro che vengono distribuiti nell'infrastruttura di proprietà del cliente. I nodi di lavoro sono single-tenant e dedicati al cliente. Il cliente è responsabile di gestire i propri nodi di lavoro, utilizzando gli strumenti forniti da IBM per la distribuzione di patch del sistema operativo, per gli aggiornamenti del runtime del contenitore e per le nuove versioni di Kubernetes.

→ Acquisisci informazioni sulla tecnologia dietro IBM Cloud Kubernetes Service

Come posso eseguire i contenitori Docker nella mia infrastruttura?

Con IBM Cloud Kubernetes Service, è possibile distribuire contenitori Docker in pod che vengono eseguiti sui nodi di lavoro. I nodi di lavoro sono forniti con una serie di pod aggiuntivi, che facilitano la gestione dei propri contenitori e si possono anche installare ulteriori componenti aggiuntivi, ad esempio attraverso Helm, un Package Manager per Kubernetes. Questi componenti aggiuntivi possono estendere le app con dashboard, risorse di registrazione, monitoraggio, storage e connessione di rete, oltre a servizi IBM Cloud e IBM Watson®.

→ Informazioni sulla tecnologia Docker e IBM Cloud Kubernetes

Come funziona il ridimensionamento automatico per i miei contenitori Docker in Kubernetes?

Nell'IBM Cloud Kubernetes Service, è possibile abilitare il ridimensionamento automatico orizzontale dei pod, per ingrandire o ridurre automaticamente i pod di app, in risposta alle esigenze di carico di lavoro.

→ Scopri come distribuire app native di Kubernetes nei cluster

In che modo viene gestito l'hosting dei contenitori quando si utilizzano istanze di provider di servizi?

In qualità di azienda cliente, si desidera ottenere il controllo e l'accesso per quanto riguarda l'infrastruttura di elaborazione che esegue i carichi di lavoro containerizzati, in modo da poter garantire che la propria app disponga delle risorse di cui ha bisogno. Tuttavia, si desidera anche un ambiente stabile per le proprie app e un minor sovraccarico di manutenzione. L'IBM Cloud Kubernetes Service gestisce il master, così da non dover più gestire il sistema operativo host, il runtime del contenitore e il processo di aggiornamento della versione di Kubernetes. Poiché le app vengono distribuite ai nodi di lavoro, le istanze di elaborazione nel proprio account dell'infrastruttura, è possibile accedere alle risorse del carico di lavoro e controllarle.

→ Acquisisci informazioni sulle responsabilità di gestione del cluster

Posso integrare lo storage a blocchi con le mie app?

È possibile eseguire il provisioning dello storage a blocchi per il cluster e per l'utilizzo dello storage da parte della propria app come archivio dati permanente. IBM Cloud Kubernetes Service fornisce classi di storage Kubernetes predefinite, che è possibile utilizzare per scegliere la capacità e le caratteristiche delle prestazioni dello storage a blocchi che soddisfino i requisiti delle app.

→ Scopri come archiviare i dati sullo storage a blocchi di IBM Cloud

Come funziona la connessione di rete in un cluster?

L'IBM Cloud Kubernetes Service si integra completamente con le funzioni per l'assegnazione di indirizzi IP, l'instradamento di rete, l'ACL, il bilanciamento del carico e il firewall della piattaforma IBM Cloud. Quando si distribuiscono cluster standard, è possibile specificare la rete virtuale per i nodi di lavoro, che forniscono la segmentazione di rete e l'isolamento per i propri team e progetti. Ogni cluster è configurato con politiche di rete predefinite, che controllano l'interfaccia di rete pubblica dei nodi di lavoro. È possibile scegliere di personalizzare le politiche di rete, aggiungere un livello supplementare di sicurezza con firewall, o connettere i nodi di lavoro nel cloud con le istanze nel proprio data center on-premise, utilizzando tunnel VPN sicuri.

→ Scopri come creare un cluster

Come vengono integrati i controlli di sicurezza?

Ogni cluster è configurato come cluster single-tenant, dedicato esclusivamente al cliente. Per proteggere la comunicazione tra il server delle API Kubernetes e i nodi di lavoro, IBM Cloud Kubernetes Service utilizza un tunnel OpenVPN e certificati TLS e monitora la rete master per rilevare attacchi malevoli e porvi rimedio. È possibile controllare l'accesso utente alle risorse cluster mediante l'IBM Identity and Access Manager, l'RBAC (role-based access control - controllo accessi basato sul ruolo) di Kubernetes e gli admission controller di Kubernetes. 

Tutti i cluster sono configurati con politiche di rete predefinite, per proteggere le interfacce pubbliche, che è possibile personalizzare in base alle esigenze delle proprie app. Per ridurre al minimo il rischio di potenziali attacchi, è possibile configurare nodi perimetrali ed esporre questi nodi solo alla rete pubblica, lasciando tutti gli altri nodi e i carichi di lavoro dell'app sulla rete privata. I dati archiviati sullo storage a blocchi o sullo storage di file permanente sono crittografati a riposo su dischi protetti da LUKS. I dati sensibili, come le credenziali, che sono archiviati in segreti Kubernetes, vengono automaticamente crittografati da IBM Cloud Kubernetes Service.

→ Informazioni sulla sicurezza per IBM Cloud Kubernetes Service

Come posso archiviare le immagini Docker nel cloud?

Il cliente può ottenere un registro di immagini Docker privato, in modalità as-a-service, all'interno della piattaforma. Ogni tenant, all'interno dell'IBM Cloud Container Registry, dispone di un registro privato in hosting, creato utilizzando il registro open source Docker v2, che consente lo storage sicuro delle immagini Docker nel cloud. L'Integrated Vulnerability Advisor non solo scansiona le immagini con gli insight di IBM X-Force® Exchange, ma la sua politica ISO27k esegue anche la scansione di contenitori e pacchetti operativi.

È possibile configurare il proprio spazio dei nomi nell'IBM Cloud Container Registry, per creare, archiviare in sicurezza e condividere le immagini Docker in un registro di immagini private multi-tenant. L'Integrated Vulnerability Advisor non solo scansiona le immagini per individuare potenziali vulnerabilità utilizzando gli insight di IBM X-Force Exchange, ma effettua anche scansioni continue di contenitori e pacchetti distribuiti rispetto agli standard ISO27k. È anche possibile far rispettare la sicurezza delle immagini firmando le immagini come contenuto attendibile e specificando che le distribuzioni possono utilizzare solo immagini attendibili, che superano la scansione di vulnerabilità.

Inizia subito con l'immagine  datashield-barbican 

Posso impostare lo scheduler Kubernetes in modo che posizioni i contenitori in un cluster?

Con IBM Cloud Kubernetes Service, si ha il controllo del proprio cluster e si può implementare la propria logica di pianificazione e affinità Kubernetes personalizzata, per le distribuzioni di Kubernetes.

→ Scopri come distribuire app native di Kubernetes nei cluster

Inizia in pochi minuti

Gestisci applicazioni con elevata disponibilità all'interno dei contenitori Docker e dei cluster di IBM Cloud Kubernetes Service su IBM Cloud.