Как работает контейнерная платформа?

IBM Cloud™ Kubernetes Services — это полностью управляемая служба эксплуатации контейнеров Docker (OCI), в рамках которой клиенты получают возможность развертывать контейнерные приложения в пуле вычислительных хостов и управлять соответствующими контейнерами. Контейнеры автоматически добавляются в расписание и размещаются на доступных вычислительных хостах в соответствии с установленными вами требованиями и доступностью ресурсов кластера. Интегрированная инфраструктура Kubernetes помогает управлять контейнерами с помощью изолированной, безопасной, переносимой, расширямой и самовосстанавливающейся платформы приложений.

→ Начните с учебника по Kubernetes

Как осуществляется управление контейнерной службой на базе Kubernetes?

В каждом кластере присутствуют главный узел Kubernetes, за управление которым отвечает IBM, и рабочие узлы, которые развертываются в принадлежащей клиенту инфраструктуре. Рабочие узлы предоставляются вам как клиенту в выделенном одноарендном режиме. Вы управляете рабочими узлами с помощью предоставленных IBM инструментов для установки исправлений операционной системы, обновлений среды выполнения контейнеров и новых версий Kubernetes.

→ Узнайте о технологиях в основе IBM Cloud Kubernetes Service

Как запускать контейнеры Docker в моей собственной инфраструктуре?

В IBM Cloud Kubernetes Service контейнеры Docker размещаются в ячейках на рабочих узлах. Рабочие узлы поставляются с несколькими модулями ячеек для управления контейнерами, и при необходимости можно установить дополнительные модули, например с помощью Helm — администратора пакетов Kubernetes. С помощью таких модулей можно добавлять к приложениям панели мониторинга, журналы, мониторы, ресурсы хранения данных и сетевые ресурсы, а также службы IBM Cloud и IBM Watson®.

→ Узнайте о технологиях Docker и IBM Cloud Kubernetes

Как устроено автоматическое масштабирование контейнеров Docker в Kubernetes?

В IBM Cloud Kubernetes Service можно включить автоматическое горизонтальное масштабирование ячеек для автоматического увеличения и уменьшения количества ячеек в зависимости от потребностей приложений.

→ Узнайте, как развертывать приложения Kubernetes в кластерах

Как организовано управление размещением контейнеров в случае, если клиент пользуется ресурсами поставщиков услуг?

Как корпоративный клиент, вы заинтересованы в контроле и доступности вычислительной инфраструктуры, используемой для выполнения ваших контейнерных задач, чтобы у ваших приложений были все необходимые ресурсы. Но в то же время вам нужна стабильная среда выполнения приложений с малыми затратами на обслуживание. IBM Cloud Kubernetes Service обеспечивает управление главным узлом, избавляя вас от забот об операционной системе хоста, среде выполнения контейнеров и обновлении Kubernetes. Поскольку приложения развертываются на рабочих узлах (вычислительных узлах, прикрепленных к учетной записи инфраструктуры), ресурсы ваших задач доступны и подконтрольны вам.

→ Узнайте об ответственности за управление кластером

Можно ли интегрировать блочное хранилище с моими приложениями?

Можно подготовить блочное хранилище для кластера и предоставить его приложениям для постоянного хранения данных. В IBM Cloud Kubernetes Service предусмотрены стандартные классы хранения Kubernetes, которыми можно пользоваться для выделения блочного хранилища нужной емкости и производительности для ваших приложений.

→ Узнайте, как хранить данные в блочном хранилище IBM Cloud

Как работает сеть в кластере?

Решение IBM Cloud Kubernetes Service поддерживает полную интеграцию с функциями IP-адресации, сетевой маршрутизации, ACL, распределения нагрузки и брандмауэра IBM Cloud. При развертывании стандартных кластеров можно создать для рабочих узлов виртуальную сеть, которая обеспечит сегментацию сети и изоляцию рабочих групп и проектов. Каждый кластер создается с набором стандартных политик контроля общедоступных сетевых интерфейсов рабочих узлов. Предусмотрена возможность настройки сетевых политик, добавления дополнительного уровня безопасности в виде брандмауэров, а также подключения рабочих узлов в облаке к локальному центру обработки данных через безопасные туннели VPN.

→ Узнайте, как создать кластер

Как интегрированы средства безопасности?

Все кластеры работают в одноарендном формате и выделены только вам. Для защиты связи между сервером API Kubernetes и рабочими узлами IBM Cloud Kubernetes Service пользуется туннелем OpenVPN и сертификатами TLS, а также осуществляет мониторинг главной сети для обнаружения и нейтрализации атак. У вас есть возможность управлять доступом пользователей к ресурсам кластера с помощью IBM Identity and Access Manager, механизма ролей Kubernetes (RBAC) и контроллеров допуска Kubernetes.  

Все кластеры создаются со стандартными политиками защиты общедоступных интерфейсов, которые можно настроить с учетом потребностей ваших приложений. Для минимизации риска атак можно настроить граничные узлы и сделать только их доступными из общедоступной сети. Все остальные узлы и задачи ваших приложений в этом случае будут доступны только из частной сети. Данные в постоянном файловом или блочном хранилище зашифрованы на дисках, защищенных по технологии LUKS. Конфиденциальные данные, включая идентификационную информацию, которые хранятся в секретах Kubernetes, автоматически шифруются службой IBM Cloud Kubernetes Service.

→ Узнайте о безопасности IBM Cloud Kubernetes Service

Как хранить образы Docker в облаке?

Клиент может получить частный реестр образов Docker в виде услуги в составе платформы. Каждый арендатор IBM Cloud Container Registry получает частный реестр на базе реестра с открытым исходным кодом Docker v2, в котором можно безопасно размещать образы Docker в облаке. Встроенный компонент Vulnerability Advisor сканирует образы с помощью технологии IBM X-Force® Exchange, а также проверяет работающие контейнеры и пакеты в соответствии со стандартом ISO 27000.

В IBM Cloud Container Registry можно создать собственное пространство имен для сборки, безопасного хранения и совместного использования образов Docker в мультиарендном частном реестре образов. Встроенный компонент Vulnerability Advisor не только сканирует образы на наличие известных уязвимостей с помощью технологии IBM X-Force Exchange, но также постоянно проверяет развернутые контейнеры и пакеты по стандарту ISO 27000. Также можно обеспечить дополнительную безопасность образов с помощью подписей, разрешив развертывать только надежные образы, прошедшие проверку на наличие уязвимостей.

Начните с образа datashield-barbican

Можно ли настроить свой собственный планировщик Kubernetes для размещения контейнеров в кластере?

IBM Cloud Kubernetes Service позволяет вам полностью контролировать свой кластер и пользоваться своими алгоритмами планирования и привязки задач Kubernetes.

→ Узнайте, как развертывать приложения Kubernetes в кластерах

Начните работу за считанные минуты

Управляйте приложениями высокой доступности в контейнерах Docker и кластерах IBM Cloud Kubernetes Service в IBM Cloud.