Раскрытие информации: Sidero Labs оплатила поездку и проживание автора на TalosCon.
За последние несколько лет произошел огромный переход от общедоступного облака к локальной и частной облачной инфраструктуре благодаря ряду факторов, включая стремительный рост затрат и проблемы суверенитета данных. Это, в свою очередь, оказывает серьезное влияние на управление Kubernetes.
Talos Linux от Sidero Labs предлагает свежую альтернативу высокой стоимости и сложности управления разрозненными Kubernetes и другими развертываниями.
Во многих отношениях он противоположен Linux OpenShift, SUSE Rancher и другим дистрибутивам Kubernetes от Red Hat. Во всех случаях Kubernetes устанавливается и работает поверх операционной системы общего назначения.
Sidero Labs со своим Talos Linux с открытым исходным кодом утверждает, что вся эта основа не только не нужна, но и обременительна, особенно в случаях частного облака и периферийных приложений.
«Если ваша цель — запускать рабочие нагрузки, которые поступают в контейнеры, и в качестве оркестратора этих рабочих нагрузок вы решили использовать Kubernetes, то в операционной системе хоста вам не так уж многого нужно», — сказал мне Андрей Смирнов, руководитель разработки Sidero Labs, на мероприятии TalosCon, организованном компанией в середине октября в Амстердаме.
«Ваши рабочие нагрузки несут с собой все. Они уже находятся в контейнерах… поэтому им не следует слишком сильно взаимодействовать с хостом».
Безопасность через минимализм
По словам Смирнова, главная идея Talos — сделать хост минимальным и безопасным.
«Мы можем улучшить безопасность системы, сделав ее минимальной, а также внедрив лучшие методы обеспечения безопасности, которые гораздо проще реализовать», — сказал он.
Сидеро отбрасывает десятилетия Unix-подобного подхода к многопользовательским системам, сказал Смирнов: «У вас вообще нет пользователей. Все, что вы запускаете, — это ваши рабочие нагрузки, контейнеры… и Kubernetes».
Этот минимализм обеспечивает «лучшие методы обеспечения безопасности», добавил он, такие как «неизменяемая корневая файловая система, доступная только для чтения. Некоторые дистрибутивы Linux могут работать с этим или близко к этому, но это довольно сложно». Но в случае с Талосом: «Мы владеем полным стеком. Так что для нас это легко. Мы просто делаем его доступным только для чтения, и точка».
Смирнов отметил, что, хотя Kubernetes является текущим стандартом, архитектура гибкая: «Теоретически мы могли бы использовать что-то вроде Nomad, например».
Что это означает на практике, обрисовал Томас Комте, руководитель группы разработки облачных платформ французского железнодорожного оператора SNCF. После успешного переноса 70% приложений организации в общедоступное облако его команде осталось 30%, которые пришлось оставить в частных центрах обработки данных.
Создавая новую частную облачную платформу SNCF с использованием OpenStack, команда стремилась воспроизвести эффективность управляемых сервисов, которые они использовали в AWS и Azure.
Команда SNCF управляла сервисами Kubernetes в общедоступном облаке и приобрела опыт использования Bottlerocket, операционной системы с открытым исходным кодом на базе Linux для запуска контейнеров, рассказал мне Комтет во время TalosCon.
«Мы очень хорошо знаем, как использовать Bottlerocket с EKS или Azure Linux с кластерами AKS», — сказал он. «Это очень, очень эффективно. На самом деле, нам это очень нравится, и мы хотели воссоздать тот же опыт».
Поэтому он уточнил: «Мы выбрали Talos главным образом потому, что он может конкурировать с Bottlerocket. Мы, как команда платформы, хотим иметь такой же опыт работы в центрах обработки данных, и мы добились этого менее затратным способом».
Практический пример: Сингапурская биржа и Talos
Для Сингапурской биржи (SGX) Talos привлекал тот уровень контроля, который она предлагала.
Когда организация начала планировать завершение развертывания Red Hat OpenShift, доступные варианты были либо дорогостоящими, либо слишком сложными, либо не соответствовали инфраструктурной стратегии SGX. Но его команда обнаружила Talos Linux и быстро приступила к проверке концепции, которая изменила стратегию платформы организации.
«Для нас Talos имел смысл», — сказал мне на TalosCon Рушан Ратха, руководитель отдела разработки платформ SGX FX Group. «Это было очень легко [and] это соответствовало нашей модели безопасности. Аудит безопасности для меня… [meant asking] у кого есть доступ ко всем этим машинам?
«Ну, больше нет. У вас нет доступа по SSH. [or] root-пользователь. Таким образом, все жестко контролируется».
Ратха рассказал, что команда перешла с Red Hat OpenShift на Talos Linux «менее чем за 24 часа».
Создание Omni SaaS
После создания Talos следующим вопросом для Сидеро было, как автоматизировать инфраструктуру в более широком масштабе. Talos Labs впервые попробовала Cluster API, но возникли некоторые проблемы с дизайном.
«Каждый раз, когда вы что-то меняете, Cluster API сообщает, что хочет заменить эту машину», — сказал Смирнов. «Это прекрасно работает в облаке, но на голом железе — это катастрофа».
Талос был разработан с противоположным подходом: «Изменения на месте, обновления на месте, все на месте».
Затем Сидеро попробовал Terraform, но имел переменный успех. «Это было намного лучше, но у нас все еще были проблемы с оркестровкой более высокого уровня, например, с обновлением Kubernetes», — сказал Смирнов. «Больно кодировать такую оркестровку».
Этот полный круг привел к созданию Omni компании Talos Labs, продукта «Программное обеспечение как услуга» (SaaS). «Компания Omni начала с прямо противоположной идеи. Вместо автоматического обеспечения моделью была приносить ваш Талос», — сказал Смирнов.
«Пользователь может разместить образ Talos где угодно, даже в малоизвестном облаке, и он подключится к Omni, и теперь вы сможете им управлять. Этот подход лучше работает для «голого железа», где инвентарь на самом деле статичен».
После создания Omni пользователи запросили возможности динамического предоставления, такие как возможность выхода в облако и временного масштабирования в AWS. Это привело к тому, что компания Sidero внедрила поставщиков инфраструктуры для таких сред, как Proxmox, «голое железо», VMware и AWS.
«Для частного центра обработки данных поставщик «голой металлической» инфраструктуры может обеспечить PXE-загрузку ваших машин, их обнаружение, очистку дисков и использование PMI», — сказал Смирнов. «Этот провайдер может работать в центре обработки данных, но подключаться к вашему SaaS, Omni».
И, по его словам, пользователь также может запускать Omni локально: «Но Omni становится центральным местом управления».
Распространение Kubernetes сопровождалось опасениями по поводу его сложности. Ситуация усугубляется переходом на локальное или частное облако. Компания Sidero убедительно доказала свой минималистский подход, ориентированный на безопасность, с помощью Talos Linux и Omni. Но вердикт выносится в ходе практического применения такими организациями, как SNCF и SGX.
ТЕНДЕНЦИОННЫЕ ИСТОРИИ YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одной серии. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. BC Gain — основатель и главный аналитик ReveCom Media. Его одержимость компьютерами началась, когда в начале 1980-х он взломал консоль Space Invaders, чтобы играть весь день за 25 центов в местном игровом зале. Затем он… Подробнее от Б. Кэмерона Гейна.
