近日,UCloud自主研发的UCloudStack轻量级私有云平台再升级,推出全新安全容器管理服务,进一步完善了以私有云为核心的数字基座为上层提供云服务的形态。
通过无缝集成已有的丰富服务能力,UCloudStack可为用户提供开箱即用、全托管免运维的生产级Kubernetes容器集群管理服务,让用户无需关心容器集群自身的搭建、维护等运维工作。
UCloudStack采用轻量级虚拟化为容器提供强隔离运行环境,与虚拟机共用物理节点、VPC网络、负载均衡、块存储等基础云资源,并充分复用云平台多租户等运营服务能力。同时完全兼容原生Kubernetes API,为容器化应用提供高效部署、资源调度、服务发现、监控日志等完整功能,提高容器集群管理便捷性。
统一资源调度,多形态资源统一管理
基于UCloud在虚拟化及容器领域多年的技术沉淀,UCloudStack采用极轻量虚拟机作为Pod的安全沙箱,确保所有容器实例之间强隔离,提供极高安全性。同时,整个平台的虚拟化和容器资源均可通过同一个管理门户统一调度管理,无需为容器服务单独规划和准备硬件资源,极大降低了运维复杂度。仅对容器服务有需求的用户,也可独立购买不包含虚拟化的私有云版本,从而进一步降低用户成本。
在VPC内实现容器和虚拟机网络打平,避免传统容器网络性能损耗的同时,实现容器业务和租户虚拟机直通互访,降低了网络架构的复杂性和维护成本。也可无缝接入云平台的云存储,充分利用底层高可靠的分布式存储能力,真正实现计算、存储、网络等资源在虚拟机、容器两种形态下的统一使用和管理,通过一套统一的私有云基座,即可同时满足传统稳态业务和创新型业务的快速交付。
成熟的安全组防护机制,既可为虚拟机提供细粒度安全控制,又可兼容支持容器网络策略,用于定义和管理容器的网络流量控制规则,降低容器攻击面,提高容器安全性。
充分复用私有云的多地域、计量计费、日志监控等统一运维运营能力,为用户在多中心、多集群的大规模场景下提供简单一致的管理体验。
分钟级生产就绪 ,关注业务而非基础设施
在安全稳定、高性能特性基础上,UCloudStack容器服务同时提供简单易用的集群管理,只需指定版本和物理集群等基础信息即可在几分钟内获得一个完整、稳定、无需运维的Kubernetes容器集群,让用户从复杂的底层基础设施管理中解放出来,更加聚焦业务应用。
得益于UCloudStack私有云平台成熟完善的多租户架构,容器服务原生支持多租户、多集群。平台租户可在配额允许的情况下创建多个不同版本的容器集群,租户间的容器集群资源完全隔离,同一租户下的多个容器集群亦可通过VPC实现集群网络的隔离,方便租户根据业务隔离需求进行多集群规划。
UCloudStack容器管理服务优势
全托管免运维,极大降低Kubernetes维护门槛
UCloudStack容器服务可完成所有集群的全生命周期管理,Kubernetes 集群的管理组件由平台自动运维,用户无需关心服务的可用性和调优等运维工作,管理面组件会根据集群规模自动进行配置伸缩,保证控制面的可用性。
超级节点架构实现了容器资源的统一智能调度,无需维护计算节点,免除对Kubernetes节点复杂的生命周期管理工作。无需对容器集群进行容量规划,避免前期资源过度投入。
集群亦可按需实现版本的自动化滚动升级,消除手动升级的复杂性和操作风险,有助于提高集群服务的稳定性。
极轻量虚拟机强隔离,更高的安全性和灵活性
基于UCloudStack成熟稳定的虚拟化技术,采用极轻量虚拟机作为安全沙箱环境,相比于传统容器提供了更高的隔离级别,所有容器实例间完全隔离,防止互相干扰和漏洞风险的扩散。容器沙箱与物理机也完全隔离,确保数据访问及风险不会逃逸到物理机,避免影响到整个平台的稳定性。尤其适合于安全性需求更高的多租户环境。
不同容器可采用不同的操作系统及内核版本,从而更灵活地支持不同的应用库和内核特性,提升业务部署的灵活性。
IaaS平台无缝集成,存储网络能力开箱即用
内置的CNI及CSI插件,实现与UCloudStack服务能力的无缝集成,充分利用UCloudStack已久经检验的网络和存储服务能力。
容器基础网络采用VPC内的扁平架构,实现容器和相同VPC内虚拟机的内网直通,简化网络拓扑架构,降低运维复杂性。通过利用高级网络PaaS组件,进一步提升容器网络能力,如高性能、高可用的负载均衡可为多副本的容器负载提供统一的对外服务入口,NAT网关可以为容器提供访问外部网络资源的能力。同时支持容器指定IP、固定IP,轻松应对需要IP信息绑定的应用场景。
支持自动对接使用云盘,不但具有开箱即用的高可靠的分布式存储,数据库这类有状态应用也可轻松容器化,基于UCloudStack对商业存储的统一纳管能力,使商业存储的利旧也可轻松应用于容器化应用场景。
原生Kubernetes高度兼容,保障可移植性和生态集成
高度兼容Kubernetes原生特性,便于已有Kubernetes应用的发布和迁移,保障了应用的可移植性。同时可充分利用Kubernetes丰富的生态系统,使得各种工具和应用程序可以与容器服务紧密集成。高度的兼容性避免了厂商锁定,让用户无后顾之忧。
应用场景
通过虚拟机沙箱提供的极高安全性,结合容器标准化、轻量化的特性,安全容器服务实现了“快如容器,稳如虚机”,可应用于以下场景:
大数据
大数据平台通常涉及个人身份信息、财务数据等敏感数据的处理,安全容器通过额外的安全层,确保敏感数据在存储和处理过程中不会泄漏或非法获取。在金融和医疗保健等行业,安全容器的使用可以确保数据与数据处理过程的安全性和可审计性,从而满足合规性要求。
DevOps
CI/CD的流水线通常涉及构建、测试、部署等阶段,安全容器可以为每个阶段快速提供一致的运行环境。
相比传统的物理机、虚拟机方式,安全容器可以确保开发、测试、预生产和生产环境的一致性,减少配置问题和部署错误的风险。轻量快速的环境交付也可大大缩短整个流水线的时间,更低的资源开销也可以节省硬件资源、提高资源利用率。
相比传统容器方式,安全容器也更好地保障了流水线各阶段运行环境的安全性,避免高风险步骤中的安全隐患,如自动化测试流程中,可以执行包括漏洞扫描、鉴权测试和安全配置检查在内的各种安全性测试。
云边协同
该场景下通常需要在边缘设备上运行容器化应用程序,以实现环境轻量化以及应用的低延迟和高响应性。通过将边缘计算和云计算相结合,可实现高效、灵活的数据处理和协作方式。安全容器可确保在边缘设备上运行的不同容器之间具有强隔离,有效防止潜在的安全威胁传播到其它容器或设备,有助于增强边缘设备和安全性,确保数据和应用程序在边缘环境中的安全运行。
结合私有云多地域能力,可有效地管理分布在不同地理位置的资源和设备,有助于提高协同性、降低运维成本、增强系统的安全性和可用性。