Администраторы Kubernetes, бродящие по выставочному этажу в Kubecon + Cloudnativecon Eu 2025 на этой неделе (в Лондоне), должны остановиться на Loftlabs на Booth S281, чтобы узнать о последней технологии этой компании, Kubernetes Vnodes.
Возможность изолировать отдельные узлы в кластере Kubernetes, Vnode рассказывает о технологии с открытым исходным кодом, которую компания, введенная в 2021 году под названием Vcluster, которая виртуализировала плоскости управления Kubernetes для более эффективного повышения безопасности и использования ресурсов.
Компания утверждает, что VNODE, легкая среда выполнения, делает следующий шаг в этом процессе, предлагая изоляцию на уровне узла, для более широкого совместного использования кластеров при сохранении сильной изоляции между рабочими нагрузками.
Программное обеспечение будет ориентироваться на предприятия ИТ-команды, которые требуют безопасного многопользовательского доступа к контейнерам, и он интегрируется со всеми основными облачными поставщиками Kubernetes и соответствующими автономными кластерами Kubernetes.
В отличие от Vcluster, однако, VNODE не будет открытым исходным кодом, и вместо этого останется коммерческим продуктом, отметил Lukas Gentele, генеральный директор Loftlabs, в интервью TNS.
Проблемы изоляции
Первоначально, многопользовательство не было непосредственным приоритетом для дизайнеров Kubernetes, которые видели вариант использования для оркестратора контейнера как один из которых используется отдельные команды для управления своими собственными кластерами.
Тем не менее, многопользовательство Kubernetes, в котором несколько сторон могут делиться кластером, стало важным операционным режимом, поскольку предприятия и облачные поставщики предлагают услуги Kubernetes для различных, а иногда и конкурирующих клиентов.
Предоставлено kubernetes.io
Пространства имен только не ответ
Пространства имен, которые помогли укротить плоскость управления Kubernetes через такие технологии, как Vcluster, не могут сильно помочь с изоляцией отдельных узлов в кластере, объяснил генле.
Kubernetes не был предназначен для разделения узлов, а также выделения ресурсов, таких как ввод -вывод и полоса пропускания на уровне узла. Стручки из разных пространств имен, работающих на одном и том же узле, не изолированы друг от друга, и они не застрахованы от негативных последствий шумных соседей или других стручков, которые занимают больше, чем их справедливая доля ресурсов. Управление всем этим на уровне узла — головная боль.
Помещение арендаторов в свои отдельные узлы предлагает сильную изоляцию, но может быть дорогостоящим с точки зрения распределения ресурсов, учитывая, что не все ресурсы могут использоваться в каждом узле.
Были разные подходы к решению этой проблемы, такие как контейнеры Kata, Google Gvisor и Docker’s Sysbox.
У каждого есть свои недостатки, объяснил Гентеле.
Контейнеры Kata (часто называемые «микро-VMS») поставляются с собственными индивидуальными ядрами и могут иметь высокие накладные расходы. Они также не работают с каждым облачным провайдером.
Google GVISOR фильтрует трафик через системный вызов, который замедляет производительность и в значительной степени ограничивается Google Cloud. Sysbox, который наиболее тесно сотрудничает с тем, как работает VNODE, в первую очередь предназначен для использования на рабочем столе Docker.
Vnode Way
Как работает Vnode? Это время выполнения, которая находится между плоскостью управления Kubernetes и основными рабочими узлами. Там он изолирует рабочие нагрузки в легком слое виртуализации в общих физических узлах.
В видео Loftlabs продемонстрировали, как привилегированная рабочая нагрузка, выполненная в привилегированном POD, может по -прежнему иметь доступ к другим ресурсам на этом стручке, таких как Kubelet или Coredns, оставляя их открытыми для атак по прорыву контейнера.
Чтобы установить vNode, пользователь настраивает диаграмму Helm для установки Vnode Daemonset на каждый узел на кластере, который автоматически помещает привилегированные стручки в виртуальный узел (предупреждая время выполнения контейнерда, чтобы не запускать этот стручок). Таким образом, злоумышленники, которые выходят из самого стручка, все еще изолированы в VNODE, вместо того, чтобы бегать на узел на узле хоста.
Этот подход сохраняет строгие границы, оставаясь, оставаясь эффективными и предлагая высокую производительность. Пользователи могут вырезать узлы для разных команд, проектов и приложений, не прибегая к виртуальным машинам.
Предоставлено Loftlabs.
Интеграция vcluster
В то время как виртуальные кластеры обеспечивают разделение рабочей нагрузки, они все равно могут делиться основными узлами. Использование VNODE гарантирует, что рабочие нагрузки арендаторов остаются изолированными, даже если они имеют один и тот же кластер.
По словам Loftlabs, комбинируя vcluster и vnode, клиенты смогут сбалансировать экономическую эффективность общих ресурсов, сохраняя при этом сильную изоляцию.
В дополнение к демонстрации Vnode, стенд Loftlabs также продемонстрирует некоторые новые функции с самим Vcluster, включая новые функции моментального снимка и восстановление, а также более сильную интеграцию Labs Rancher.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Joab Jackson является старшим редактором нового стека, охватывающего облачные нативные вычисления и системы системы. Он сообщил об инфраструктуре и развитии IT более 25 лет, в том числе в IDG и государственных компьютерных новостях. До этого он … читал больше от Джоаба Джексона
