Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE) 是一个托管式 Kubernetes 服务,可简化大规模的企业级 Kubernetes 操作。该服务可减少管理 Kubernetes 基础设施复杂性所需的时间、成本和精力。借助 Container Engine for Kubernetes ,您可以部署 Kubernetes 集群,并通过自动扩展、升级和安全打补丁功能,确保控制层和 worker 节点的可靠运行。此外,OKE 还提供带有虚拟节点的全面无服务器 Kubernetes 体验。
虚拟节点可提供无服务器 Kubernetes 体验,助您规模化运行容器化应用。同时,您无需投入额外的资源来管理、扩展、升级集群基础设施以及进行故障排除。
它提供按 pod 定价的细粒度弹性,能够向 Kubernetes 提供常规节点的抽象。您无需考虑集群容量即可扩展您的部署,简化高流量 Web 应用和数据处理作业等可扩展工作负载的执行。
托管节点是在客户的租户中创建的工作节点,由 OKE 和客户共担管理责任。客户可以基于工作节点池需求定义托管节点规格,OKE 则会理顺节点供应工作。OKE 还提供了一些特性来简化并自动化执行工作节点的关键持续操作,例如按需循环(自动更新工作节点);工作节点自修复(在检测到故障时);以及自动扩展等等。托管节点适用于虚拟节点无法提供客户所需配置或不支持所需计算配置的使用场景。
自托管节点提供了更多定制和控制特性,支持客户通过托管节点不支持的特殊计算配置和高级设置,基于 OKE 运行容器化工作负载。选择自托管节点,客户可以充分利用特殊基础设施选项,包括 RDMA 裸金属 HPC/GPU、机密计算以及其它特殊用例;还可以利用托管控制平面 — 但必须自行管理工作节点,包括执行 Kubernetes 升级和 OS 打补丁。
您只需点击一下即可升级 Kubernetes 版本。虚拟节点可以自动、无缝、即时更新工作节点和底层基础设施并安装安全补丁,确保应用始终高度可用。
使用跨任意商业区域或 Oracle Cloud Infrastructure (OCI) Dedicated Region 中多个可用性域(数据中心)的集群来提高应用可用性。您不仅可以横向和纵向扩展 pod,还可以扩展集群。
按需节点循环可显著理顺 OKE 集群中托管工作节点的升级工作,无需您投入大量时间来手动轮换节点或开发自定义解决方案。它可以极大地简化 Kubernetes 和主机 OS 版本升级,提高效率,还支持您轻松修改各种节点池属性,包括 SSH 密钥、引导卷大小、自定义 cloud-init 脚本等等。
您可以使用完全由 OCI 管理的可配置附加软件的精选集合,轻松扩展和控制 Kubernetes 集群的功能。此软件包括部署在您的集群以及相关应用和运算符上的不断增长的操作软件组合,包括 CNI、CoreDNS、Kubernetes Dashboard、Oracle Database Operator、WebLogic 运算符等等。
OKE 管理附加组件软件的生命周期从初始部署和配置开始,一直到持续运营,例如升级、打补丁、扩展、滚动配置更改等。
用户可以在创建集群时,选择附加组件并自定义配置,包括禁用特定附加组件,指定附加组件版本,以及选择不自动更新或某些 OCI 提供的附加组件来使用自己的软件。
使用 Oracle Cloud Infrastructure、Datadog、Aqua Security 和其他合作伙伴提供的工具来监视和保护这些应用。
当检测到节点故障时,Container Engine for Kubernetes 会自动供应新工作节点来维持集群可用性。
使用自动封锁和驱逐选项安全地删除工作节点,确保零应用中断。
OKE 集群包含服务级别协议 (SLA),为 OKE 控制层和 worker 节点的正常运行时间和可用性提供了财务支持。Worker 节点的覆盖范围等同于 OCI Compute SLA 提供的覆盖范围。
在 OCI 生态系统中,您可以访问 Container Marketplace,获取各种预打包的容器化解决方案。这些解决方案经过微调,可在 OKE 基础设施上发挥理想性能。您可以轻松发现、部署和管理容器化应用和服务,所有这些应用和服务都无缝集成到 OCI 环境中。
只需点击一次即可部署 Kubernetes 集群,包括底层虚拟云技术网络、互联网网关和 NAT 网关。
使用基于 Web 的 REST API 以及 CLI 实现自动化 Kubernetes 运营,包括创建、扩展和运行 Kubernetes 集群。
从丰富的裸金属、高性能计算 (HPC) 和虚拟机选项中选择合适的计算配置,从而优化成本和性能。在 OKE 的 Kubernetes 环境中管理 GPU 和 基于 ARM 的应用。通过 Oracle Container Image Registry 满足多架构映像需求。
Container Engine for Kubernetes 与多种 Oracle Cloud Infrastructure (OCI) 服务无缝集成,包括 OCI Container Registry、DevOps CI/CD、网络、存储等等。而使用 Oracle Cloud Infrastructure (OCI) Service Operator for Kubernetes,您可以通过 OKE 集群直接管理您的 OCI 服务。
OCI Service Operator for Kubernetes 支持您使用 Kubernetes API 和工具,轻松创建、管理并连接 OCI 资源,例如 Autonomous Database 和 MySQL Database。安装 OCI Service Operator for Kubernetes 后,您可以使用 Kubernetes API 对 OCI 资源执行操作,无需使用 OCI Console、CLI 或其它开发者工具。
Container Engine for Kubernetes 基于开放标准构建,完全兼容开源上游 Kubernetes。您可以利用生态系统解决方案,轻松与 Argo CD、Gitlab、Jenkins 等开发工具集成。
Oracle Cloud Guard 提供开箱即用的 Kubernetes 治理功能,看在 OKE 上部署资源时,自动运行安全功能并遵循 Kubernetes 优秀实践。为了实现这一点,该功能将使用 Cloud Guard 提供的策略来自动识别配置问题,从而在 OKE 集群上轻松保护安全和确保合规性。
使用 Key Management 服务进行静态加密。
Oracle 始终使用高级加密标准 (AES) 算法和 256 位加密密钥对块存储卷、引导卷和卷备份进行静态加密。您还可以使用 Oracle Cloud Infrastructure Vault 对您的加密秘钥进行生命周期管理。
OCI Container Engine for Kubernetes 符合 HIPAA、PCI 和 SOC 2 等监管框架要求。
借助专用集群,您可以将 Kubernetes API 端点设置为仅本地部署网络或 Bastion 主机可访问,从而提高安全性。要想轻松访问完全专用集群,您可以使用 Oracle Cloud Infrastructure (OCI) Bastion。
虚拟节点为每个 Kubernetes pod 提供高度隔离环境。Pod 不共享任何底层内核、内存或 CPU 资源。通过这种 pod 级别的隔离,您可以运行不可信的工作负载、多租户应用和敏感数据。
Container Engine for Kubernetes 支持为所有集群组件设置网络安全组 (NSG)。NSG 包含一系列可应用于虚拟云技术网络 (VCN) 中虚拟网络接口卡 (VNIC) 的入口和出口安全规则,可助您实现虚拟云技术网络架构与集群组件安全要求相分离。
使用原生 OCI Identity and Access Management (IAM)、Oracle Identity Cloud Service 以及 Kubernetes 基于角色的访问控制来控制访问和权限。您还可以配置 OCI IAM 多因素身份验证。
通过 Workload Identity,您可以在 pod 级别为 OCI API 和服务创建安全验证。通过对您的工作负载实施“尽可能限制权限”原则,您可以确保用户仅访问必要的资源,尽可能减少安全违规或未经授权的访问所带来的风险,从而提高您的安全水平。
OKE 支持容器映像扫描、签名和验证,您可以确保应用映像无严重的安全漏洞,并通过强制执行映像签名来确保容器映像的完整性。
OCI Audit 服务适用于所有 Kubernetes 审计事件。
Container Engine for Kubernetes 使用符合云原生计算基金会 (CNCF) 和开放容器计划 (OCI) 标准且未经修改的开源 Kubernetes,可提供出色的应用可移植性。
使用自带工具,或者通过 Oracle 合作伙伴来实现安全性、联合、观测和构建自动化。
全面管理容器的整个生命周期。使用 OCI DevOps 构建和测试映像,通过 Container Registry 部署,并与 Autonomous Database 等集成。
使用跨任何商业区域或 Oracle Dedicated Region Cloud@Customer 中的多个可用性域(数据中心)的集群来提高应用可用性。可横向和纵向扩展 pod,还可以扩展集群。
使用 Oracle Visual Builder Studio 或任何第三方工具自动部署云原生应用。使用 Oracle Cloud Infrastructure、Datadog、Aqua Security 和其他合作伙伴提供的工具来监视和保护这些应用。
轻松快速地升级容器集群,实现零停机时间,并与新 Kubernetes 稳定版本保持同步。
当检测到节点故障时,Container Engine for Kubernetes 会自动供应新工作节点来维持集群可用性。
使用大家熟知的基于 Docker 的容器运行时来支持工作节点,并通过 Secure Shell (SSH) 提供完全访问权限。
OKE 使用符合云原生计算基金会 (CNCF) 和开放容器计划 (OCI) 标准且未经修改的开源 Kubernetes 来实现应用可移植性。
使用自带工具、OCI 服务或通过 Oracle 合作伙伴来确保安全,实现联合、可观测性以及构建自动化。
从丰富的裸金属、高性能计算 (HPC) 和虚拟机选项中选择合适的计算配置,从而优化成本和性能。
管理容器的整个生命周期。使用 Visual Builder Studio 构建和测试映像,通过 Registry 部署,并与 Autonomous Database 相集成。
Oracle 云的性价比比 AWS 高出 3 倍以上,您只需一半的成本就能实现 20 倍的 IOPS。
Container Engine for Kubernetes 可轻松与 Oracle Cloud Infrastructure 服务、使用 Service Broker 的 Oracle Autonomous Database 以及使用 WebLogic Operator 的 WebLogic Server 相集成。
使用 Key Management 服务对 Kubernetes 静态密钥进行加密,并通过 HIPAA、PCI 和 SOC 2 确保合规。
利用专用 Kubernetes 集群。使用原生的 Identity and Access Management、Identity Cloud Service 以及 Kubernetes 基于角色的访问控制 (RBAC) 来控制访问和权限。
“With OKE, we're able to quickly expand agentless scanning of workloads on OCI, which allows us to focus on delivering value rather than on infrastructure management.This focus has allowed us to grow exponentially in a short period of time, becoming one of the fastest-growing software companies ever.”
“We run billions of voice AI queries on OCI, using a mix of Kubernetes infrastructure with OKE, GPUs, HPC, and other services.We've seen a 50-60% performance boost compared to our previous cloud, along with 2x cost reduction – all while doubling our usage.”
OKE 虚拟节点支持您轻松基于 Kubernetes 运行应用,它将提供完整的无服务器 Kubernetes 体验,为您消除基础设施管理的复杂性。了解关于有效使用 OKE 虚拟节点的优秀实践,探索如何使用 Terraform 自动化技术和参考架构轻松部署一个 OKE 集群和一个虚拟节点池。
甲骨文公司首席产品经理 Mickey Boxell
Kubernetes 诞生不到十年就成为了主流产品,在近几年获得广泛采用。越来越多客户选择在 Kubernetes 上进行标准化,并将 Kubernetes 用于 ETL 作业、管道、HPC 工作负载甚至是数据库,而这些都在 Oracle Container Engine for Kubernetes (OKE) 上运行。
阅读全文获取 30 天免费试用资格,体验 CI/CD 工具、托管 Terraform 和遥测等。
了解可部署参考架构和解决方案手册。
使用 Kubernetes、Docker、无服务器和 API 等来助力应用开发。
请联系 Oracle,了解销售、支持等更多信息。
注:为免疑义,本网页所用以下术语专指以下含义: