Red Hat спонсировала этот пост.
Существует множество архитектурных диаграмм, описывающих облачные архитектуры, развернутые на традиционных предприятиях. Но что, если вы управляете инфраструктурой финансового рынка, которая обрабатывает транзакции, которые стоят триллионы долларов каждый день? Как безопасно управлять и управлять средой в масштабе практически без доступа в Интернет? Что если пользователи внутри кластера не могут получить доступ к этому кластеру, лежащей в основе инфраструктуры, сохранив приложение, которое они используют? А что, если эта архитектура все еще должна быть полностью актуальна и исправлена, чтобы не отставать от потенциальных угроз безопасности?
Это сложная задача, особенно учитывая, что кластеры не могут быть подключены к Интернету. И все же, это те самые ограничения, которые Swift предназначен для обращения. Когда один банк передает средства в другой, транзакция передается через сеть Swift. Банки хранят счета друг с другом и корректируют остатки по мере необходимости на основе запросов транзакций.
Эти запросы являются быстрыми сообщениями, которые остаются полностью отделенными от Интернета. Итак, как вы управляете парком кластеров в очень безопасной офлайн -среде?
Нет прикосновения
Владелец продукта Swift’s Container Platform Otmane Benali сказал, что его команды развертывают сотни кластеров Kubernetes по всему миру, полностью отключенные от Интернета с помощью Gitops. Он описал архитектуру в своем разговоре в ноябре 2024 года в Openshift Commons, до Kubecon North America.
«Мы работаем в отключенной среде, что означает, что пользователи не имеют доступа к Интернету. У нас есть только два хоста с доступом к Интернету: наш хост Red Hat Enterprise Linux (RHEL) и реестр контейнеров Nexus. На хосте RHEL мы запускаем утилиту под названием OC-Mirror от Red Hat для загрузки изображений. Эти изображения затем хранятся в локальном реестре контейнеров », — объяснил Бенали.
«Список изображений», — сказал Бенали, — загружается в git. [When we have a new OpenShift release or operator]мы проверяем их в лабораторной среде, и как только мы удовлетворены, мы продвигаем его до разработки, Q/A, а затем в производстве. Прежде чем продвигать его, мы используем Red Hat Advanced Cluster Security для Kubernetes, чтобы сканировать изображение и подписание подлинности Podman, а затем Skopeo для копирования изображений ».
Старший корпоративный архитектор Swift Правин Сидду сказал: «Как только изображение было повышено, мы не останавливаемся на этом. Мы хотим убедиться, что изображения загружаются и кэшированы во всех географических местах для этой конкретной среды, чтобы изображение уже было доступно в реестре контейнеров до того, как оно будет использовано стручком. Список изображений кэша загружается в хранилище объекта. Хранение объектов централизовано, чтобы у нас было четкое представление обо всех средах, и мы уверены, что изображения уже были продвинуты в эту среду, прежде чем мы начнем их использовать ».
Многосторонняя, многокрасная
Это означает, что существует большой импульс, чтобы держать вещи в безопасности и актуально, даже без доступа в Интернет. Swift выполняет это, используя GIT в качестве источника истины и управляя развертыванием кластера Kubernetes в централизованном, воспроизводимом манере.
«Мы используем модель Gitops, и мы используем управление Advanced Cluster Red Hat для Kubernetes для более быстрых сборщиков кластеров», — сказал Бенали. «Мы также представили управление автопарком для управления кластерами в масштабе и держать их в соответствии с той же версией. Реализация нулевых иперилей помогла нам удовлетворить наши требования по регулированию, а также наши требования безопасности. И, наконец, мы достигли значительной экономии затрат, и мы улучшили время на рынке по нескольким факторам ».
Сидду расширил многокрасную архитектуру, используемую в Swift. Он сказал, что у команд есть концентраторы и кластеры приложений. «Все они — кластеры OpenShift Red Hat. Единственная разница между кластером HUB и кластером приложений — это кластеры приложений, которые запускают рабочие нагрузки приложений; Хаб кластеры просто запускают Red Hat Advanced Cluster Management и Red Hat Gitops », — сказал Сидду. «Red Hat Advanced Cluster Management — очень гибкий инструмент. Он дает нам возможность создавать несколько кластеров одновременно, потому что каждый из этих пробежек в своем собственном пространстве имен и контейнер ».
По словам Сидду, с GIT в качестве источника истины, стоящей за всеми этими сборками кластера, только CD ARGO может вносить изменения в кластеры; Никаких ручных обновлений не производится ни в одном кластере.
«Если Арго — единственная сущность, внося изменения в кластер, — сказал Сидду, — это означает, что если нам придется обновить один кластер, если нам нужно обновить 10 кластеров, это то же самое усилие, верно? Потому что все, что нам нужно сделать, это подтолкнуть конфигурацию в GIT. Наша работа останавливается, как только мы раздвигаем новые обновления в репозиторий GIT; CD Argo делает остальную часть развертывания ».
Swift смог сократить время развертывания кластера и тестирования до 90 минут на кластер.
Это включает в себя некоторые встроенные гарантии. «Одна из гарантий, — сказал Сидду, — это все кластеры, которые уже находятся в этом новом выпуске, должны быть в здоровом состоянии. Если кто -то из них не в здоровом состоянии, [the rollout] Просто останавливается. И затем, если все находится в здоровом состоянии, оно переходит к следующему кластеру, готовит конфигурацию для него, а CD Argo делает остальное применение к таргетирующим кластерам. Как только это будет сделано, это просто дает ему период замачивания для кластера, и продолжается с следующим ».
Вся эта работа позволяет Swift ориентироваться в трудных требованиях безопасности и нормативных требований, с которыми он сталкивается каждый день. Наличие четкой системы для отслеживания, кто сделал то, где и когда это важно.
«Список того, кто выполнил, какое действие, в котором кластер и когда, — сказал Сидду, — на самом деле восстанавливается другим развертыванием, работающим в одном и том же пространстве имен, а затем загружается в магазин объектов. Итак, у нас есть четкое отслеживание того, кто выполнил, какую операцию, в которой кластер ».
Бенали сказал, что это позволяет команде Swift развернуть сотни кластеров Kubernetes по всему миру, быстро и через систему управления флотом Swift. Они также могут контролировать, когда возникают обновления и обновления, поэтому они не случайно распространяют неожиданную ошибку. Это позволяет Swift снизить затраты и улучшить скорость разработчика, а также обеспечить безопасность и безопасную транзакции своих клиентов.
Red Hat OpenShift для инноваций без ограничений. Возьмите с собой большие идеи с гибридной облачной платформой, открытой для любого приложения, команды или инфраструктуры. Узнайте больше последних из Red Hat Trending Stories YouTube.com/thenewstack Tech Moving быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. 20 -летний журналист -ветеран -технологий Алекс Хэнди порезал зубы, охватывая запуск первого IMAC. Его работы появились в Wired, Конституции Atlanta Journal и американском государственном деятеле Остина. Он также основатель и режиссер … Подробнее от Алекса Хэнди
