Sangfor Kubernetes Engine (SKE) ist eine Container-Management-Plattform, die auf Kubernetes basiert. Sie ist in Sangfor HCI integriert und wird über die Sangfor Cloud Platform (SCP) verwaltet. Sie bietet eine vereinheitlichte Plattform zum Ausführen und Verwalten von Containern und virtuellen Maschinen mit Einfachheit, Zuverlässigkeit und Sicherheit.
Einheitliches Management
Container und virtuelle Maschinen werden langfristig in der Infrastruktur koexistieren, da ihre separate Verwaltung ineffizient ist.
Durch die Integration von SKE mit Sangfor HCI profitieren Benutzer von der einheitlichen Verwaltung von Containern und virtuellen Maschinen. Dies umfasst die zentrale Verwaltung von Konten, Berechtigungen, Überwachung und Warnmeldungen, was die gesamte Managementeffizienz erheblich verbessert.
Automatisierte Bereitstellung von K8s-Clustern
Beim Einrichten eines K8s-Clusters müssen mindestens acht Backend-Operationen und Dutzende Befehle ausgeführt werden, was den Prozess komplex und fehleranfällig macht.
Mit SKE können Benutzer schnell einen produktionsreifen Kubernetes-Cluster in nur wenigen einfachen Schritten erstellen, normalerweise innerhalb von 15 Minuten. Dieser Prozess eliminiert die Notwendigkeit einer manuellen Betriebssysteminstallation und -konfiguration und gewährleistet eine schnelle Bereitstellung von Geschäftsanwendungen.
Sofort einsatzbereite Produktionskomponenten
Die Plattform enthält eine Vielzahl vorgefertigter Komponenten, die sofort einsatzbereite Funktionalität für schnelle Anwendungsbereitstellung und umfassende visualisierte Überwachung bieten. Dies unterstützt das schnelle Onboarding von Geschäfts-Workloads mit stabilen Laufzeitoperationen.
Zur Unterstützung der Fehlerbehebung bietet die Plattform verschiedene Protokolltypen an. Zusätzlich verfügt sie über eine integrierte hochleistungsfähige Load-Balancing-Lösung, die die Komplexität der laufenden Wartung reduziert.
Hohe Verfügbarkeit & Zuverlässigkeit
Kubernetes fehlen effektive Maßnahmen zur Erkennung suboptimaler Zustände in zugrunde liegenden physischen oder virtuellen Maschinen, was Zuverlässigkeitsrisiken bergen kann.
SKE nutzt die Zuverlässigkeits- und Hochverfügbarkeitsmechanismen (HA) von Sangfor HCI, wie z.B. Sub-Health-Überwachung und den Distributed Resource Scheduler (DRS), um das Ausführen von Anwendungen auf fehlerhaften Knoten zu vermeiden und stabile Geschäftsoperationen zu gewährleisten. Zusätzlich stellt die Host-Ausschlussrichtlinie für Cluster-Knoten sicher, dass virtuelle Maschinen, die Kubernetes-Cluster-Knoten hosten, standardmäßig einer gegenseitigen Ausschlussrichtlinie folgen und vorzugsweise auf verschiedene physische Host-Maschinen verteilt werden.
Umfassende Sicherheit
SKE bietet robuste Sicherheit für Kubernetes-Cluster, indem es die integrierten Sicherheitsfunktionen, Sicherheitsrichtlinien und Betriebssystemhärtung von Sangfor HCI nutzt, wie z. B. Patching. Für Cluster-Knoten wird automatisch eine verteilte Firewall-Richtlinie erstellt, um risikoreiche Ports zu blockieren und notwendige Ports auf die Whitelist zu setzen.
Da sich Kubernetes weiterentwickelt, können seine zahlreichen Parameter Sicherheitsrisiken schaffen, wenn Konfigurationen nicht den Best Practices folgen. SKE bietet integrierte Zulassungsrichtlinien zur Kontrolle der Anwendungszulassung und verwendet Audit-Protokolle, um risikoreiche Konfigurationen schnell zu identifizieren und nachzuverfolgen. Bei nicht konformen Aktionen bietet das System Korrekturvorschläge an, wie z. B. Zulassen, mit Auditierung oder Blockieren.
Gemeinsame Nutzung des verteilten Speichers von HCI
Cloud-native Anwendungen benötigen persistenten Speicher für verschiedene Datentypen, einschließlich Geschäftsdaten, Cache-Daten, Protokolldaten und andere Daten, die über die Zeit erhalten bleiben müssen.
Mit SKE können Cloud-native Anwendungen direkt den verteilten Speicher von Sangfor HCI nutzen, ohne einen zusätzlichen Speicherressourcenpool zu benötigen. Dieser Ansatz bietet hochleistungsfähigen und zuverlässigen Speicher auf Enterprise-Niveau und reduziert die Gesamtbetriebskosten (TCO). Die Lösung erfüllt die Anforderungen hochperformanter Workloads, wie z.B. containerisierte Datenbankbereitstellungen.
SKE-Netzwerkarchitektur gehostet auf HCI
Das SKE-Netzwerk basiert auf einem virtuellen Netzwerk. Die Pod-zu-Pod-Kommunikation über physische Hosts wird durch die Integration von CNI (Container Network Interface) und die Nutzung von virtuellen sowie physischen Netzwerkverbindungen erreicht.
Der BPF (Berkeley Packet Filter)-Modus von Cilium minimiert die Notwendigkeit der Netzwerkpaketverarbeitung im Userspace, was die Latenz reduziert. Seine Zero-Copy-, direkte In-Kernel-Paketverarbeitungsfähigkeiten können Leistungsgeschwindigkeiten erreichen, die mit denen des DPDK (Data Plane Development Kit) vergleichbar sind.
Visualisierung des Container-Netzwerkverkehrs
Der Übergang zu einer Cloud-nativen Architektur hat die Anzahl der Microservices erhöht, was zu mehr internen Zugriffsbeziehungen und mehr Verkehr führt. Dies erschwert die Identifizierung notwendiger Ports für Geschäftsoperationen und kompliziert den Sicherheitsschutz und die Kontrolle.
SKE begegnet diesem Problem, indem es die Zugriffsbeziehungen für Cloud-native Anwendungen visualisiert, was die Problemidentifizierung und die Effizienz der Fehlerbehebung verbessert. Dies ermöglicht eine schnelle Bewertung der Container-Netzwerkbedingungen und die Identifizierung exponierter Servicedetails (Protokolle, Ports) zur Unterstützung von Sicherheitsmaßnahmen.
Container und virtuelle Maschinen werden langfristig in der Infrastruktur koexistieren, da ihre separate Verwaltung ineffizient ist.
Durch die Integration von SKE mit Sangfor HCI profitieren Benutzer von der einheitlichen Verwaltung von Containern und virtuellen Maschinen. Dies umfasst die zentrale Verwaltung von Konten, Berechtigungen, Überwachung und Warnmeldungen, was die gesamte Managementeffizienz erheblich verbessert.
Beim Einrichten eines K8s-Clusters müssen mindestens acht Backend-Operationen und Dutzende Befehle ausgeführt werden, was den Prozess komplex und fehleranfällig macht.
Mit SKE können Benutzer schnell einen produktionsreifen Kubernetes-Cluster in nur wenigen einfachen Schritten erstellen, normalerweise innerhalb von 15 Minuten. Dieser Prozess eliminiert die Notwendigkeit einer manuellen Betriebssysteminstallation und -konfiguration und gewährleistet eine schnelle Bereitstellung von Geschäftsanwendungen.
Die Plattform enthält eine Vielzahl vorgefertigter Komponenten, die sofort einsatzbereite Funktionalität für schnelle Anwendungsbereitstellung und umfassende visualisierte Überwachung bieten. Dies unterstützt das schnelle Onboarding von Geschäfts-Workloads mit stabilen Laufzeitoperationen.
Zur Unterstützung der Fehlerbehebung bietet die Plattform verschiedene Protokolltypen an. Zusätzlich verfügt sie über eine integrierte hochleistungsfähige Load-Balancing-Lösung, die die Komplexität der laufenden Wartung reduziert.
Kubernetes fehlen effektive Maßnahmen zur Erkennung suboptimaler Zustände in zugrunde liegenden physischen oder virtuellen Maschinen, was Zuverlässigkeitsrisiken bergen kann.
SKE nutzt die Zuverlässigkeits- und Hochverfügbarkeitsmechanismen (HA) von Sangfor HCI, wie z.B. Sub-Health-Überwachung und den Distributed Resource Scheduler (DRS), um das Ausführen von Anwendungen auf fehlerhaften Knoten zu vermeiden und stabile Geschäftsoperationen zu gewährleisten. Zusätzlich stellt die Host-Ausschlussrichtlinie für Cluster-Knoten sicher, dass virtuelle Maschinen, die Kubernetes-Cluster-Knoten hosten, standardmäßig einer gegenseitigen Ausschlussrichtlinie folgen und vorzugsweise auf verschiedene physische Host-Maschinen verteilt werden.
SKE bietet robuste Sicherheit für Kubernetes-Cluster, indem es die integrierten Sicherheitsfunktionen, Sicherheitsrichtlinien und Betriebssystemhärtung von Sangfor HCI nutzt, wie z. B. Patching. Für Cluster-Knoten wird automatisch eine verteilte Firewall-Richtlinie erstellt, um risikoreiche Ports zu blockieren und notwendige Ports auf die Whitelist zu setzen.
Da sich Kubernetes weiterentwickelt, können seine zahlreichen Parameter Sicherheitsrisiken schaffen, wenn Konfigurationen nicht den Best Practices folgen. SKE bietet integrierte Zulassungsrichtlinien zur Kontrolle der Anwendungszulassung und verwendet Audit-Protokolle, um risikoreiche Konfigurationen schnell zu identifizieren und nachzuverfolgen. Bei nicht konformen Aktionen bietet das System Korrekturvorschläge an, wie z. B. Zulassen, mit Auditierung oder Blockieren.
Cloud-native Anwendungen benötigen persistenten Speicher für verschiedene Datentypen, einschließlich Geschäftsdaten, Cache-Daten, Protokolldaten und andere Daten, die über die Zeit erhalten bleiben müssen.
Mit SKE können Cloud-native Anwendungen direkt den verteilten Speicher von Sangfor HCI nutzen, ohne einen zusätzlichen Speicherressourcenpool zu benötigen. Dieser Ansatz bietet hochleistungsfähigen und zuverlässigen Speicher auf Enterprise-Niveau und reduziert die Gesamtbetriebskosten (TCO). Die Lösung erfüllt die Anforderungen hochperformanter Workloads, wie z.B. containerisierte Datenbankbereitstellungen.
Das SKE-Netzwerk basiert auf einem virtuellen Netzwerk. Die Pod-zu-Pod-Kommunikation über physische Hosts wird durch die Integration von CNI (Container Network Interface) und die Nutzung von virtuellen sowie physischen Netzwerkverbindungen erreicht.
Der BPF (Berkeley Packet Filter)-Modus von Cilium minimiert die Notwendigkeit der Netzwerkpaketverarbeitung im Userspace, was die Latenz reduziert. Seine Zero-Copy-, direkte In-Kernel-Paketverarbeitungsfähigkeiten können Leistungsgeschwindigkeiten erreichen, die mit denen des DPDK (Data Plane Development Kit) vergleichbar sind.
Der Übergang zu einer Cloud-nativen Architektur hat die Anzahl der Microservices erhöht, was zu mehr internen Zugriffsbeziehungen und mehr Verkehr führt. Dies erschwert die Identifizierung notwendiger Ports für Geschäftsoperationen und kompliziert den Sicherheitsschutz und die Kontrolle.
SKE begegnet diesem Problem, indem es die Zugriffsbeziehungen für Cloud-native Anwendungen visualisiert, was die Problemidentifizierung und die Effizienz der Fehlerbehebung verbessert. Dies ermöglicht eine schnelle Bewertung der Container-Netzwerkbedingungen und die Identifizierung exponierter Servicedetails (Protokolle, Ports) zur Unterstützung von Sicherheitsmaßnahmen.