本文所有相关链接pdf: https://163.53.94.133/assets/uploads/files/tf-ceg-case3.pdf
Kubernetes命名空间是“虚拟化”Kubernetes集群的一种内置方式。虽然目前尚无人讨论如何使用命名空间以及在何处使用命名空间,但是如果没有网络范围内的命名空间隔离能力,集群虚拟化将无法完成。
Tungsten Fabric Kubernetes CNI插件包括对isolated命名空间的支持。部署到隔离的命名空间中的应用程序无法访问其所在的命名空间之外的任何Pod,其他命名空间的应用程序也无法访问它的Pod和Services。
使用场景
一种Kubernetes的部署方法,是每个开发团队部署单独的Kubernetes集群,在这种情况下,集群虚拟化和命名空间隔离几乎没有好处。
但是,由于未使用的容量是零散的,因此该方法可能导致资源使用效率低下。每个集群都有自己的可用容量,其他集群中运行的应用程序无法使用这些可用容量。此外,随着集群数量的增加,它引入了保持统一所需要的操作开销。最后,启动新集群需要花费时间,这可能会使事情变慢。
命名空间是解决这些问题的好方法,因为这有助于减少集群的数量,共享备用容量并且可以快速创建。这还可以提供一个隔离级别,基础架构团队将负责集群的管理,而各个开发人员团队则在自己的命名空间中进行操作。
在处理集群虚拟化时,需要解决三个问题:
(1)谁可以访问虚拟集群(RBAC);
(2)每个虚拟集群可以使用多少计算资源;
(3)虚拟集群中的应用程序允许哪些网络通信。
用于Kubernetes的Tungsten Fabric CNI插件旨在通过本节将要讨论的命名空间隔离以及下一节将介绍的网络策略来解决问题(3)。从法规遵从性的角度来看,这特别有用。PCI合规性就是一个很好的例子,因为它鼓励工作负载隔离。
当寻求实现PCI合规性时,重点关注的领域之一是缩小范围。范围缩小的目的是隔离所有可能影响信用卡信息处理的系统,这些系统被称为“持卡人数据环境”(Cardholder Data Environment,CDE)。
任何工作负载或设备,都可以以任何方式与属于CDE的系统进行交互。网络分段对于实现所需的隔离至关重要,以减少为PCI合规性而考虑的系统数量。
Kubernetes命名空间和基础的容器化平台Kubernetes编排器,可提供减少容器化工作负载的PCI范围所需的计算隔离。Kubernetes还提供了有关存储隔离的解决方案的一部分。但是,Kubernetes当前没有为此目的提供足够的网络隔离或检查。
用于Kubernetes的Tungsten Fabric CNI插件不仅提供了Kubernetes感知命名空间的网络隔离功能,还使管理团队能够通过控制网络功能虚拟化(NFV)实例的流量来检查所有进入或离开命名空间的网络流量。这使得下面的情况称为可能:根据必须被允许进出隔离CDE的通信类型的要求,来调整数据流检查的级别。
让我们来看一个使用Kubernetes命名空间进行网络隔离的示例。在此用例中,我们将部署示例应用程序的两个副本,一个副本部署到默认命名空间中,另一个部署到一个新的隔离命名空间中。然后,我们将看到Tungsten Fabric如何实施网络通信隔离,如下图所示:
添加隔离的命名空间
在开始之前,有必要快速浏览Kubernetes文档页面,该页面解释了如何使用命名空间,包括我们需
最低0.47元/天 解锁文章
3068
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
