Container Engine für Kubernetes

Serverloses Kubernetes mit virtuellen Knoten

Virtuelle Knoten bieten ein serverloses Kubernetes-Erlebnis, um containerisierte Anwendungen in großem Maßstab auszuführen, ohne zusätzliche Ressourcen für die Verwaltung, Skalierung, Aktualisierung und Fehlerbehebung der Infrastruktur Ihrer Cluster aufzuwenden.

Virtuelle Knoten bieten die Abstraktion regulärer Knoten für Kubernetes und bieten eine granulare Pod-Elastizität mit Preisen pro Pod. Sie können Ihre Bereitstellungen skalieren, ohne die Kapazität des Clusters zu berücksichtigen, wodurch die Ausführung skalierbarer Workloads wie Webanwendungen mit hohem Datenverkehr und Datenverarbeitungsaufträge vereinfacht wird.

Verwaltete Knoten

Verwaltete Knoten sind Worker-Knoten, die in einem Kundenkonto eingerichtet und in gemeinsamer Verantwortung von OKE und dem Kunden betrieben werden. Kunden können die gewünschten Spezifikationen für ihre Worker-Knotenpools definieren, woraufhin OKE die Bereitstellung dieser Knoten rationalisiert. OKE bietet Funktionen zur Automatisierung und Vereinfachung wesentlicher laufender Vorgänge für diese Worker-Knoten mit bedarfsgesteuertem Zyklusbetrieb zur automatischen Aktualisierung von Worker-Knoten, Selbstkorrektur von Worker-Knoten bei Erkennung eines Ausfalls, Autoscaling und vieles mehr. Verwaltete Knoten eignen sich für Kunden, die die Konfiguration von Worker-Knoten oder Compute-Ausprägungen benötigen, die nicht von virtuellen Knoten unterstützt werden.

Selbstverwaltete Knoten

Selbstverwaltete Knoten bieten noch mehr Anpassungsmöglichkeiten und Kontrolle für containerisierte Workloads in OKE, die einzigartige Rechenkonfigurationen oder erweiterte Einstellungen im gesamten Stack erfordern und nicht von verwalteten Knoten unterstützt werden. Kunden können dafür spezielle Infrastrukturoptionen nutzen, wie zum Beispiel RDMA-fähige Bare Metal HPC/GPU, Confidential Computing oder andere spezielle Anwendungsfälle. Die Kunden profitieren auch weiterhin von einer verwalteten Steuerebene, müssen aber die Worker-Knoten selbst verwalten, einschließlich Kubernetes-Upgrades und Betriebssystem-Patches.

Automatische Kubernetes-Upgrades

Starten Sie mit einem Mausklick ein Upgrade Ihrer Kubernetes-Version. Virtuelle Knoten stellen automatisch nahtlose, sofort einsatzbereite Updates und Sicherheitspatches Ihrer Worker-Knoten und der zugrunde liegenden Infrastruktur bereit, wobei die Verfügbarkeit Ihrer Anwendungen gewahrt wird.

Hochverfügbares Kubernetes mit Autoscaling

Erhöhen Sie die Verfügbarkeit von Anwendungen mithilfe von Clustern, die mehrere Availability-Domains (Data Center) in einer beliebigen kommerziellen Region oder in Oracle Cloud Infrastructure (OCI) Dedicated Regionumfassen. Skalieren Sie Pods horizontal und vertikal, und Cluster ebenfalls.

Bedarfsgesteuerte Knotenzyklen

Bedarfsgesteuerte Knotenzyklen vereinfachen die Aktualisierung verwalteter Worker-Knoten in OKE-Clustern erheblich und beseitigen die zeitaufwändige manuelle Rotation von Knoten oder die Entwicklung kundenspezifischer Lösungen. Mit dem neuen Feature wird die Aktualisierung von Kubernetes- und Hostbetriebssystemversionen wesentlich einfacher und effizienter. Darüber hinaus können Sie mühelos verschiedene Knotenpool-Eigenschaften ändern, einschließlich SSH-Schlüssel, Größe des Boot-Volumes, benutzerdefinierte Cloud-Init-Skripte uvm.

Add-ons – Lebenszyklusmanagement

Sie können die Funktionalität Ihres Kubernetes-Clusters mit einer ausgewählten Sammlung konfigurierbarer Add-on-Software einfach erweitern und kontrollieren, die vollständig von OCI verwaltet wird. Diese Software umfasst ein wachsendes Portfolio an betrieblicher Software, die in Ihrem Cluster bereitgestellt wird, sowie verwandte Apps und Operatoren, einschließlich CNI, CoreDNS, Kubernetes-Dashboard, Oracle Database-Operator, WebLogic-Operator und mehr.

OKE verwaltet den Lebenszyklus der Add-on-Software – von der ersten Bereitstellung und Konfiguration bis hin zum laufenden Betrieb, z. B. Upgrades, Patches, Skalierung, laufende Konfigurationsänderungen usw.

Benutzer können während der Cluster-Erstellung Add-ons auswählen und Konfigurationen anpassen, einschließlich der Deaktivierung bestimmter Add-ons, der Angabe der Add-on-Version und der Ablehnung automatischer Updates oder bestimmter von OCI bereigtestellter Add-ons zur Verwendung ihrer eigenen Software.

Cluster-Transparenz

Überwachen und sichern Sie diese Anwendungen mit Tools von Oracle Cloud Infrastructure, Datadog, Aqua Security und anderen Partnern.

Selbstkorrigierende Clusterknoten

Wenn Knotenfehler erkannt werden, stellt Oracle Container Engine for Kubernetes automatisch neue Arbeitsknoten bereit, um die Clusterverfügbarkeit aufrechtzuerhalten.

Sicherer Knotenlöschvorgang

Löschen Sie Ihre Worker-Knoten sicher, ohne Ihre Anwendungen mit automatisierten Cordon-and-Drain-Optionen zu unterbrechen.

Finanziell abgesichertes SLA

Das Service Level Agreement (SLA), das in OKE-Clustern enthalten ist, bietet finanzielle Unterstützung für die Betriebszeit und Verfügbarkeit der OKE-Kontrollebene und der Worker-Knoten. Der Serviceumfang für die Worker-Knoten entspricht dem Serviceumfang des OCI Compute-SLA.

Container Marketplace

Innerhalb des OCI-Ökosystems können Sie auf den Container Marketplace zugreifen, der eine breite Palette vorgefertigter Containerlösungen vorstellt, die genau auf optimale Performance in der OKE-Infrastruktur abgestimmt sind. Erkennen, implementieren und verwalten Sie mühelos containerisierte Anwendungen und Services, die alle nahtlos in die OCI-Umgebung integriert sind.

In Kürze: Kubernetes-Governance mit Oracle Cloud Guard

Oracle Cloud Guard bietet eine sofort einsatzbereite Kubernetes-Governance und sorgt für automatisierte Sicherheit und die Einhaltung der Best Practices von Kubernetes beim Deployment von Ressourcen auf OKE. Dies wird durch die automatische Identifizierung von Konfigurationsproblemen mithilfe von Richtlinien erreicht, die von Cloud Guard kuratiert werden, sodass Sie die Compliance auf Ihren OKE-Clustern mühelos sichern und aufrechterhalten können.

Verschlüsselung

Verschlüsseln Sie mit dem Key Management-Service Kubernetes-Secrets im Ruhezustand.

Mit dem Advanced Encryption Standard-(AES-)Algorithmus mit 256-Bit-Verschlüsselung verschlüsselt Oracle immer Block-Volumes, Boot-Volumes und Volume-Backups im Ruhezustand. Außerdem können Sie den Lebenszyklus Ihrer eigenen Verschlüsselungsschlüssel mit Oracle Cloud Infrastructure Vault verwalten.

Compliance

OCI Container Engine for Kubernetes erfüllt regulatorische Rahmenbestimmungen wie HIPAA, PCI und SOC 2.

Private Kubernetes-Cluster und Bastion

Mit privaten Clustern können Sie den Zugriff auf den Kubernetes-API-Endpunkt auf Ihr On-Premises-Netzwerk oder einen Bastion-Host beschränken und so Ihre Sicherheitslage verbessern. Für den einfachen Zugriff auf vollständig private Cluster können Sie jetzt Oracle Cloud Infrastructure (OCI) Bastion verwenden.

Starke Isolation auf der Pod-Ebene

Virtuelle Knoten bieten eine starke Isolation für jeden Kubernetes-Pod. Pods teilen sich keine zugrunde liegenden Kernel-, Speicher- oder CPU-Ressourcen. Dank dieser Isolierung auf Pod-Ebene können Sie nicht vertrauenswürdige Workloads, mandantenfähige Anwendungen und sensible Daten ausführen.

Netzwerksicherheitsgruppen für Ihre Kubernetes-Cluster

Container Engine for Kubernetes unterstützt Netzwerksicherheitsgruppen (NSGs) für alle Clusterkomponenten. Eine NSG besteht aus einem Set von Ingress- und Egress-Sicherheitsregeln, die für virtuelle Netzwerkkarten (VNICs) in Ihrem virtuellen Cloud-Netzwerk (VCN) gelten. Mit NSG können Sie Ihre virtuelle Cloud-Netzwerkarchitektur von den Sicherheitsanforderungen der Clusterkomponenten trennen.

Authentifizierung und Autorisierung

Steuern Sie den Zugriff und die Berechtigungen über das native OCI Identity and Access Management (IAM), Oracle Identity Cloud Service und die rollenbasierte Zugriffskontrolle von Kubernetes. Darüber hinaus können Sie die OCI IAM-Multifaktor-Authentifizierung konfigurieren.

Workload Identity ermöglicht Ihnen eine sichere Authentifizierung auf Pod-Ebene für OCI-APIs und -Services. Durch die Anwendung des Least-Privilege-Prinzips für Ihre Workloads können Sie sicherstellen, dass die Benutzer nur auf die notwendigen Ressourcen zugreifen können. Das verbessert Ihren Sicherheitsstatus, indem es das Potenzial für Sicherheitsverletzungen oder unbefugten Zugriff minimiert.

Scannen, Signieren und Verifizieren von Container-Images

OKE unterstützt das Scannen, Signieren und Verifizieren von Container-Images, damit Sie sicherstellen können, dass Ihre Anwendungsimages keine ernsthaften Sicherheitslücken aufweisen und dass die Integrität der Container-Images beim Deployment durch das Erzwingen der Imagesignatur erhalten bleibt.

Kubernetes-Aktivität prüfen

Alle Kubernetes-Audit-Ereignisse werden im Service OCI Audit zur Verfügung gestellt.

Erstellen Sie Apps, die On-Premises und in anderen Clouds funktionieren

Container Engine for Kubernetes verwendet unverändertes Open-Source-Kubernetes, das den Standards der Cloud Native Computing Foundation (CNCF) und Open Container Initiative (OCI) für die Portabilität von Anwendungen entspricht.

Flexibilität bei der Verwendung eines beliebigen Tools für die Clusterverwaltung

Bringen Sie Ihre eigenen Tools mit oder verlassen Sie sich auf die Partner von Oracle, wenn es um Sicherheit, Zusammenführung, Beobachtbarkeit und Build-Automatisierung geht.

End-to-end-Container-Lebenszyklusmanagement

Verwalten Sie die Container-Lebenszyklen von Anfang bis Ende. Erstellen und testen Sie Images mit OCI DevOps, stellen Sie sie über Container Registry bereit, integrieren Sie sie in Autonomous Database, und vieles mehr.

Besseres Preis-Leistungs-Verhältnis als bei anderen Anbietern

Im Vergleich zu AWS bietet Oracle Cloud ein mehr als dreimal so gutes Preis-Leistungs-Verhältnis bei der Berechnung und die 20-fache IOPS zum halben Preis.

Enge Integration in die Infrastruktur, Autonomous Database und Oracle WebLogic Server

Container Engine for Kubernetes lässt sich problemlos in Oracle Cloud Infrastructure-Dienste, Autonomous Database mit dem Service Broker und Weblogic Server mit dem Weblogic Operator integrieren.

Verschlüsselung und Compliance

Verschlüsseln Sie die Geheimnisse von Kubernetes im Ruhezustand mit dem Schlüsselverwaltungsdienst und halten Sie die Bestimmungen von HIPAA, PCI und SOC 2 ein.

Private Kubernetes-Cluster und -Sicherheit

Nutzen Sie private Kubernetes-Cluster. Steuern Sie den Zugriff und die Berechtigungen mithilfe des nativen Identity and Access Management, Identity Cloud Service und Kubernetes Role-Based Access Control (RBAC).

• Wählen Sie Oracle Cloud Infrastructure für Performance
• Fünf Best Practices für die Sicherheit von Kubernetes