私有云平臺再升級！UCloudStack推出安全容器管理服務(wù)

近日，UCloud自主研發(fā)的UCloudStack輕量級私有云平臺再升級，推出全新安全容器管理服務(wù)，進(jìn)一步完善了以私有云為核心的數(shù)字基座為上層提供云服務(wù)的形態(tài)。

通過無縫集成已有的豐富服務(wù)能力，UCloudStack可為用戶提供開箱即用、全托管免運(yùn)維的生產(chǎn)級Kubernetes容器集群管理服務(wù)，讓用戶無需關(guān)心容器集群自身的搭建、維護(hù)等運(yùn)維工作。

UCloudStack采用輕量級虛擬化為容器提供強(qiáng)隔離運(yùn)行環(huán)境，與虛擬機(jī)共用物理節(jié)點(diǎn)、VPC網(wǎng)絡(luò)、負(fù)載均衡、塊存儲等基礎(chǔ)云資源，并充分復(fù)用云平臺多租戶等運(yùn)營服務(wù)能力。同時完全兼容原生Kubernetes API，為容器化應(yīng)用提供高效部署、資源調(diào)度、服務(wù)發(fā)現(xiàn)、監(jiān)控日志等完整功能，提高容器集群管理便捷性。

01 統(tǒng)一資源調(diào)度，多形態(tài)資源統(tǒng)一管理

基于UCloud在虛擬化及容器領(lǐng)域多年的技術(shù)沉淀，UCloudStack采用極輕量虛擬機(jī)作為Pod的安全沙箱，確保所有容器實(shí)例之間強(qiáng)隔離，提供極高安全性。同時，整個平臺的虛擬化和容器資源均可通過同一個管理門戶統(tǒng)一調(diào)度管理，無需為容器服務(wù)單獨(dú)規(guī)劃和準(zhǔn)備硬件資源，極大降低了運(yùn)維復(fù)雜度。僅對容器服務(wù)有需求的用戶，也可獨(dú)立購買不包含虛擬化的私有云版本，從而進(jìn)一步降低用戶成本。

在VPC內(nèi)實(shí)現(xiàn)容器和虛擬機(jī)網(wǎng)絡(luò)打平，避免傳統(tǒng)容器網(wǎng)絡(luò)性能損耗的同時，實(shí)現(xiàn)容器業(yè)務(wù)和租戶虛擬機(jī)直通互訪，降低了網(wǎng)絡(luò)架構(gòu)的復(fù)雜性和維護(hù)成本。也可無縫接入云平臺的云存儲，充分利用底層高可靠的分布式存儲能力，真正實(shí)現(xiàn)計(jì)算、存儲、網(wǎng)絡(luò)等資源在虛擬機(jī)、容器兩種形態(tài)下的統(tǒng)一使用和管理，通過一套統(tǒng)一的私有云基座，即可同時滿足傳統(tǒng)穩(wěn)態(tài)業(yè)務(wù)和創(chuàng)新型業(yè)務(wù)的快速交付。

成熟的安全組防護(hù)機(jī)制，既可為虛擬機(jī)提供細(xì)粒度安全控制，又可兼容支持容器網(wǎng)絡(luò)策略，用于定義和管理容器的網(wǎng)絡(luò)流量控制規(guī)則，降低容器攻擊面，提高容器安全性。

充分復(fù)用私有云的多地域、計(jì)量計(jì)費(fèi)、日志監(jiān)控等統(tǒng)一運(yùn)維運(yùn)營能力，為用戶在多中心、多集群的大規(guī)模場景下提供簡單一致的管理體驗(yàn)。

02 分鐘級生產(chǎn)就緒，關(guān)注業(yè)務(wù)而非基礎(chǔ)設(shè)施

在安全穩(wěn)定、高性能特性基礎(chǔ)上，UCloudStack容器服務(wù)同時提供簡單易用的集群管理，只需指定版本和物理集群等基礎(chǔ)信息即可在幾分鐘內(nèi)獲得一個完整、穩(wěn)定、無需運(yùn)維的Kubernetes容器集群，讓用戶從復(fù)雜的底層基礎(chǔ)設(shè)施管理中解放出來，更加聚焦業(yè)務(wù)應(yīng)用。

得益于UCloudStack私有云平臺成熟完善的多租戶架構(gòu)，容器服務(wù)原生支持多租戶、多集群。平臺租戶可在配額允許的情況下創(chuàng)建多個不同版本的容器集群，租戶間的容器集群資源完全隔離，同一租戶下的多個容器集群亦可通過VPC實(shí)現(xiàn)集群網(wǎng)絡(luò)的隔離，方便租戶根據(jù)業(yè)務(wù)隔離需求進(jìn)行多集群規(guī)劃。

03 UCloudStack容器管理服務(wù)優(yōu)勢

·全托管免運(yùn)維，極大降低Kubernetes維護(hù)門檻

UCloudStack容器服務(wù)可完成所有集群的全生命周期管理，Kubernetes集群的管理組件由平臺自動運(yùn)維，用戶無需關(guān)心服務(wù)的可用性和調(diào)優(yōu)等運(yùn)維工作，管理面組件會根據(jù)集群規(guī)模自動進(jìn)行配置伸縮，保證控制面的可用性。

超級節(jié)點(diǎn)架構(gòu)實(shí)現(xiàn)了容器資源的統(tǒng)一智能調(diào)度，無需維護(hù)計(jì)算節(jié)點(diǎn)，免除對Kubernetes節(jié)點(diǎn)復(fù)雜的生命周期管理工作。無需對容器集群進(jìn)行容量規(guī)劃，避免前期資源過度投入。

集群亦可按需實(shí)現(xiàn)版本的自動化滾動升級，消除手動升級的復(fù)雜性和操作風(fēng)險，有助于提高集群服務(wù)的穩(wěn)定性。

·極輕量虛擬機(jī)強(qiáng)隔離，更高的安全性和靈活性

基于UCloudStack成熟穩(wěn)定的虛擬化技術(shù)，采用極輕量虛擬機(jī)作為安全沙箱環(huán)境，相比于傳統(tǒng)容器提供了更高的隔離級別，所有容器實(shí)例間完全隔離，防止互相干擾和漏洞風(fēng)險的擴(kuò)散。容器沙箱與物理機(jī)也完全隔離，確保數(shù)據(jù)訪問及風(fēng)險不會逃逸到物理機(jī)，避免影響到整個平臺的穩(wěn)定性。尤其適合于安全性需求更高的多租戶環(huán)境。

不同容器可采用不同的操作系統(tǒng)及內(nèi)核版本，從而更靈活地支持不同的應(yīng)用庫和內(nèi)核特性，提升業(yè)務(wù)部署的靈活性。

·IaaS平臺無縫集成，存儲網(wǎng)絡(luò)能力開箱即用

內(nèi)置的CNI及CSI插件，實(shí)現(xiàn)與UCloudStack服務(wù)能力的無縫集成，充分利用UCloudStack已久經(jīng)檢驗(yàn)的網(wǎng)絡(luò)和存儲服務(wù)能力。

容器基礎(chǔ)網(wǎng)絡(luò)采用VPC內(nèi)的扁平架構(gòu)，實(shí)現(xiàn)容器和相同VPC內(nèi)虛擬機(jī)的內(nèi)網(wǎng)直通，簡化網(wǎng)絡(luò)拓?fù)浼軜?gòu)，降低運(yùn)維復(fù)雜性。通過利用高級網(wǎng)絡(luò)PaaS組件，進(jìn)一步提升容器網(wǎng)絡(luò)能力，如高性能、高可用的負(fù)載均衡可為多副本的容器負(fù)載提供統(tǒng)一的對外服務(wù)入口，NAT網(wǎng)關(guān)可以為容器提供訪問外部網(wǎng)絡(luò)資源的能力。同時支持容器指定IP、固定IP，輕松應(yīng)對需要IP信息綁定的應(yīng)用場景。

支持自動對接使用云盤，不但具有開箱即用的高可靠的分布式存儲，數(shù)據(jù)庫這類有狀態(tài)應(yīng)用也可輕松容器化，基于UCloudStack對商業(yè)存儲的統(tǒng)一納管能力，使商業(yè)存儲的利舊也可輕松應(yīng)用于容器化應(yīng)用場景。

·原生Kubernetes高度兼容，保障可移植性和生態(tài)集成

高度兼容Kubernetes原生特性，便于已有Kubernetes應(yīng)用的發(fā)布和遷移，保障了應(yīng)用的可移植性。同時可充分利用Kubernetes豐富的生態(tài)系統(tǒng)，使得各種工具和應(yīng)用程序可以與容器服務(wù)緊密集成。高度的兼容性避免了廠商鎖定，讓用戶無后顧之憂。

應(yīng)用場景

通過虛擬機(jī)沙箱提供的極高安全性，結(jié)合容器標(biāo)準(zhǔn)化、輕量化的特性，安全容器服務(wù)實(shí)現(xiàn)了“快如容器，穩(wěn)如虛機(jī)”，可應(yīng)用于以下場景：

·大數(shù)據(jù)

大數(shù)據(jù)平臺通常涉及個人身份信息、財(cái)務(wù)數(shù)據(jù)等敏感數(shù)據(jù)的處理，安全容器通過額外的安全層，確保敏感數(shù)據(jù)在存儲和處理過程中不會泄漏或非法獲取。在金融和醫(yī)療保健等行業(yè)，安全容器的使用可以確保數(shù)據(jù)與數(shù)據(jù)處理過程的安全性和可審計(jì)性，從而滿足合規(guī)性要求。

·DevOps

CI/CD的流水線通常涉及構(gòu)建、測試、部署等階段，安全容器可以為每個階段快速提供一致的運(yùn)行環(huán)境。

相比傳統(tǒng)的物理機(jī)、虛擬機(jī)方式，安全容器可以確保開發(fā)、測試、預(yù)生產(chǎn)和生產(chǎn)環(huán)境的一致性，減少配置問題和部署錯誤的風(fēng)險。輕量快速的環(huán)境交付也可大大縮短整個流水線的時間，更低的資源開銷也可以節(jié)省硬件資源、提高資源利用率。

相比傳統(tǒng)容器方式，安全容器也更好地保障了流水線各階段運(yùn)行環(huán)境的安全性，避免高風(fēng)險步驟中的安全隱患，如自動化測試流程中，可以執(zhí)行包括漏洞掃描、鑒權(quán)測試和安全配置檢查在內(nèi)的各種安全性測試。

·云邊協(xié)同

該場景下通常需要在邊緣設(shè)備上運(yùn)行容器化應(yīng)用程序，以實(shí)現(xiàn)環(huán)境輕量化以及應(yīng)用的低延遲和高響應(yīng)性。通過將邊緣計(jì)算和云計(jì)算相結(jié)合，可實(shí)現(xiàn)高效、靈活的數(shù)據(jù)處理和協(xié)作方式。安全容器可確保在邊緣設(shè)備上運(yùn)行的不同容器之間具有強(qiáng)隔離，有效防止?jié)撛诘陌踩{傳播到其它容器或設(shè)備，有助于增強(qiáng)邊緣設(shè)備和安全性，確保數(shù)據(jù)和應(yīng)用程序在邊緣環(huán)境中的安全運(yùn)行。

結(jié)合私有云多地域能力，可有效地管理分布在不同地理位置的資源和設(shè)備，有助于提高協(xié)同性、降低運(yùn)維成本、增強(qiáng)系統(tǒng)的安全性和可用性。

UCloudStack作為下一代云基礎(chǔ)設(shè)施，將持續(xù)升級容器服務(wù)，為用戶提供更多的容器生態(tài)解決方案，幫助用戶更好地構(gòu)建、部署和管理應(yīng)用程序，提高應(yīng)用程序交付效率和資源利用率，進(jìn)而提升開發(fā)和運(yùn)維體驗(yàn)。