【翻译】Kubernetes中的多租户介绍

于 2022-09-02 03:01:55 发布
阅读量140 收藏 1
点赞数
分类专栏: 翻译
作者:迪潘库尔-辛格-巴里扬 12月20日,2021年

最初发表在InfraCloud博客上的客座文章,作者是Deepankur Singh Baliyan

什么是多租户?

在不同租户之间共享一个应用程序或软件的单一实例的想法被称为多租户。自从云环境兴起以来,这种方法相当流行。现在,随着Kubernetes的引入,开发者和管理员要求在Kubernetes集群上实现同样的方法。因为这将提供更好的资源利用率,对底层计算资源提供更好的管理,并降低成本。

这篇博文将讨论在Kubernetes集群中引入多租户的各种可用方法,并将尝试对所有这些方法进行比较。

多租户在哪方面服务更好?

在讨论多租户架构之前,我们应该知道是部署一个支持多租户的Kubernetes集群更好,还是应该部署多个集群,为每个租户配备不同的集群。

首先,这没有具体的规则,大多数组织是根据使用和管理的便利性来决定的。部署多个集群很简单,因为你不必担心遵循额外的最佳实践,如审计RBAC,为用户设置标准实践。除此之外,在做这个决定时,成本也起着重要作用。如果成本不是一个问题,而且你想要简单的架构,就部署多个集群。而如果你的计算需求少得多,你想节省一些额外的成本,多租户可能是一个更好的选择。其他一些因素也起着至关重要的作用,比如你的集群的生命周期,如果你的需求只是暂时的,多集群可能是一个可行的选择,因为你不需要在你的集群上安装任何其他东西。

拥有多个集群的一个主要缺点是管理开销的增加,特别是对于大型环境,它需要大量的努力来保持每个集群的更新,也需要更多的安全审计。值得注意的是,虽然你可以使用多集群的方法,但你不应该因为犯了一些小错误而阻止未来围绕多租户的扩展,比如将所有应用程序部署在同一个命名空间。

多租户架构的不同方法

Kubernetes中的多租户可以分为两大类。

  1. 软隔离。在这种情况下,我们有一个单一的企业,不同的团队访问同一个集群,这需要较少的安全开销,因为用户可以相互信任。
  2. 硬隔离。当Kubernetes被暴露在多个企业的独立和完全不受信任的用户面前时,就需要这种隔离。

KubeCon Europe 2019中讨论了各种方法,其中每一种方法都可以被列入上述两个类别中的任何一个。

Diagram shows multi-tenancy approaches to consume Kubernetes clusters in environment

资料来源

上述图表概述了在你的环境中消费Kubernetes集群的4种不同方法。

  1. 方法A这并没有提供一个确切的多租户解决方案,因为它部署了不同的Kubernetes集群。但是,仍然可以考虑,因为在这个解决方案中,每个租户将收到一个不同的Kubernetes集群,它与任何其他计算资源完全隔离。这可以通过使用隔离的虚拟机提供商来实现,如Amazon EC2、GCP计算实例和vSphere虚拟机。
  2. 方法B这是流行的架构之一,其中隔离是基于命名空间的。这提供了不同租户之间的软隔离。这样,租户只能看到、修改和创建其命名空间内的对象。此外,他们可以在自己的命名空间内创建安全和角色策略。这种方法有两个主要的缺点,主要的缺点是共享主组件,如API服务器,另一个缺点是提供集群范围内的资源。开发这种方法的主要工作是由HNC项目(分层命名空间)完成的。
  3. 方法C这种方法提供了一种在Kubernetes租户之间实现硬隔离的方法,这些租户之间没有信任。这通过在超级Kubernetes集群上创建一个迷你的虚拟集群,为每个租户提供隔离的主平面组件。管理员也可以在这些虚拟集群中创建自定义资源。这是由VirtualClustervCluster等项目提供的。
  4. 方法D与上述所有方法不同,这表明Kubernetes应该提供对开箱即用的租户创建的支持。由于需要修改Kubernetes的源代码,所以目前尚未开发。

各种解决方案的比较

基于虚拟机的隔离基于命名空间的隔离虚拟集群
隔离硬隔离软隔离硬性
有效资源消耗
租户可以使用所有本地Kubernetes对象不能使用集群范围内的资源不能使用需要底层节点信息的资源,如DaemonSets。
可用性准备就绪仍在等待普遍可用,但已经可以生产。有些解决方案是可用的,如vCluster,但有些仍在等待普遍可用,如VirtualCluster。
Kubernetes上的额外开销非常少很少到中等,因为它为每个小型集群启动了一个新的控制平面。

Kubernetes中多租户的一些用例

  1. SaaS应用多租户的实施可以使企业集中管理多个客户的基础设施。这使得SaaS组织很容易管理他们在不同租户之间共享的基础设施。
  2. 更好的资源利用由于多个团队可以共享一个集群,因此将需要更少的集群。因此,更有效地利用集群资源。

结论

总之,多租户是Kubernetes的一个重要方面,它不是开箱即用的,但可以通过各种策略来实现。它可以扩展Kubernetes的可用性,有助于实现更好的资源利用,可以节省计费成本,对集群管理员有效管理各种微服务也很重要。

就这样吧,伙计们。希望你觉得这篇文章对开始使用Kubernetes的多租户有帮助。请通过Twitter提出您的问题并分享您的经验。

参考资料

  1. Slide Deck:深入研究。多租户的Kubernetes WG - KubeCon EU 2019
  2. 深入探讨。多租户的Kubernetes工作组 - KubeCon EU 2019
  3. HNC项目
  4. 虚拟集群项目
  5. 虚拟集群框架
CSDN-Ada助手
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
【翻译】 大珠子和 LSM 应用程序接口
08-30 3086
LWN 订阅者的好处订阅《LWN》的主要好处是帮助我们继续出版,除此之外,订阅者还可以立即访问网站的所有内容,并使用网站的一些额外功能。 请立即注册!2006 年 10 月 25 日本文由 Jake Edge 投稿。最近,《询问者报》上的一篇评论引起了 LWN 文章的热烈讨论。 这篇评论本身考虑不周,但确实提出了一些关于安全模块、内核和 Linux 安全模块 (LSM)...
博客
【翻译】 Linux 与无人机的未来
08-28 2949
请考虑订阅 LWN订阅是 LWN.net 的生命线。 如果您喜欢这些内容并希望看到更多,您的订阅将有助于确保 LWN 继续蓬勃发展。 请访问此页面加入我们,让 LWN 继续在网络上传播。 作者:Nathan Willis2015 年 10 月 7 日ELCE在都柏林举行的 2015欧洲嵌入式 Linux 大会上,Lucas De Marchi 介绍了基于 ...
博客
【翻译】 清理濒临死亡的对照组
08-26 2129
本文由 LWN 订阅者提供LWN.net 的订阅者成就了这篇文章以及与之相关的一切。 如果您喜欢我们的内容,请购买订阅,让下一组文章成为可能。 作者:Jonathan Corbet2019年5月7日LSFMM控制组是管理系统资源使用情况的有用机制,但当控制组本身成为资源问题时会发生什么? 在 2019 Linux 存储、文件系统和内存管理峰会的一次全体会议...
博客
【翻译】 区块层功能与性能之间的平衡
08-25 1913
您知道吗......?LWN.net 是一份由订阅者支持的出版物;我们依靠订阅者来维持整个运作。 请通过订阅来帮助我们,让 LWN 继续在网络上运行。 作者:Jonathan Corbet2021 年 11 月 5 日 早在 9 月份,LWN 就报道了一系列块层优化工作,这些优化工作使装备适当的系统能够维持每秒 350 万次 I/O 操作 (IOPS)。...
博客
【翻译】 高音项目
08-24 1923
请考虑订阅 LWN订阅是 LWN.net 的生命线。 如果您喜欢这些内容并希望看到更多,您的订阅将有助于确保 LWN 继续蓬勃发展。 请访问此页面加入我们,让 LWN 继续在网络上传播。 作者:Jake Edge2018年9月19日OSS NA安卓的 "Project Treble"旨在减少安卓生态系统的碎片化。 根据 Fedor Tcymbal 的说...
博客
【翻译】 代理执行
08-23 1833
请考虑订阅 LWN订阅是 LWN.net 的生命线。 如果您喜欢这些内容并希望看到更多,您的订阅将有助于确保 LWN 继续蓬勃发展。 请访问此页面加入我们,让 LWN 继续在网络上传播。2019年7月12日OSPM朱里-莱利(Juri Lelli)冒着防守的风险,在演讲一开始就说他要速战速决,因为与他去年在Linux 管道工大会上的演讲以及在 Linux 内核邮件列表...
博客
【翻译】 使用 SFrame 进行可靠的用户空间堆栈跟踪
08-22 1864
请考虑订阅 LWN订阅是 LWN.net 的生命线。 如果您喜欢这些内容并希望看到更多,您的订阅将有助于确保 LWN 继续蓬勃发展。 请访问此页面加入我们,让 LWN 继续在网络上传播。 作者:Jonathan Corbet2023 年 5 月 22 日LSFMM+BPF许多调试和优化任务都需要完整的堆栈跟踪,但要可靠地获得这些跟踪却具有惊人的挑战性。 在...
博客
【翻译】 不允许失败时的内存管理
08-20 1905
本文由 LWN 订阅者提供LWN.net 的订阅者成就了这篇文章以及与之相关的一切。 如果您喜欢我们的内容,请购买订阅,让下一组文章成为可能。 作者:Jonathan Corbet2015年3月4日 去年 12 月,关于低内存情况下系统停滞的讨论揭示了内核中的小内存分配从未失败过。 从那时起,关于如何以最佳方式处理低内存情况的讨论一直在...
博客
【翻译】 zswap 压缩交换缓存
08-18 1918
您知道吗......?LWN.net 是一份由订阅者支持的出版物;我们依靠订阅者来维持整个运作。 请通过订阅来帮助我们,让 LWN 继续在网络上运行。2013年2月12日本文由 Seth Jennings 投稿交换是性能的最大威胁之一。即使在快速固态硬盘上,RAM 和交换之间的延迟差距也可能达到四个数量级。 吞吐量差距为两个数量级。 除了速度上的差距,交换区所在的存储也...
博客
【翻译】 2.6 中的 4K 堆栈 [发布于 2004 年 5 月 12 日,作者:corbet
08-17 1902
传统上,Linux 内核在大多数架构上都使用 8KB 内核堆栈。 该堆栈必须满足系统调用可能产生的任何调用序列,以及可能同时调用的任何(硬或软)中断处理程序的需要。 实际上,在稳定的内核中,堆栈溢出的情况几乎闻所未闻;内核开发人员早已学会避免使用大型自动变量、递归函数和其他会占用大量堆栈空间的东西。 将内核堆栈减少到 4KB 的补丁已经流传了一段时间。 人们普遍认为,向更小的堆栈转换将...
博客
【翻译】 瞬时数据的持久存储器
08-12 1965
LWN 订阅者的好处订阅《LWN》的主要好处是帮助我们继续出版,除此之外,订阅者还可以立即访问网站的所有内容,并使用网站的一些额外功能。 请立即注册! 作者:乔纳森-科贝特2019年1月21日 可以说,持久性内存最显著的特点就是它的持久性:它可以在电源周期中保留其内容。 据说,这些持久内存阵列很快就会随处可见,它们的另一个重要方面是体积...
博客
【翻译】 用 gcc 缩小内核 [发布于 2004 年 1 月 21 日 作者 corbet]
08-06 2063
对于大多数 Linux 用户来说,内核随着时间的推移不断增长并不奇怪。 一般来说,内核的扩展被其所运行的系统日益强大的功能所抵消,但内核的臃肿还是要付出代价的。 额外的内存和其他开销(如缓存未命中)都会损害系统的整体性能。安迪-克莱恩(Andi Kleen)一直在努力通过使用一些相对较新且不常用的 gcc 选项来缩小内核。 和大多数内核缩减器一样,他从-Os 开始;这个选项只是告诉编译器...
博客
【翻译】 改进内核工作流程的下一步措施
08-02 2071
LWN.net 需要您!没有订阅者,《生活周刊》将不复存在。 请考虑注册订阅,帮助 LWN 继续出版。 作者:Jonathan Corbet2019年11月1日OSS EU内核项目基于电子邮件的开发流程已经非常成熟,并拥有一些强有力的支持者,但它也正在显露老态。 在2019 年内核维护者峰会上,内核的流程显然亟需更新,维护者们也开始意识到这一点。 不过,...
博客
【翻译】 WireGuard 何去何从?
07-31 2247
请考虑订阅 LWN订阅是 LWN.net 的生命线。 如果您喜欢这些内容并希望看到更多,您的订阅将有助于确保 LWN 继续蓬勃发展。 请访问此页面加入我们,让 LWN 继续在网络上传播。 作者:Jonathan Corbet2019年3月25日 自本文发表以来,WireGuard 虚拟专用网络实施方案已经走过了整整一年多的时间。 自本文...
博客
【翻译】 需要订阅
07-21 2238
您试图查看的页面(拆分结构页面的适当时间)目前仅对 LWN 订阅者开放。 读者订阅是保证 LWN 持续存在及其内容质量的必要方式。 如果您已经是 LWN.net 的订阅者,请使用下面的表格登录以阅读此内容。 用户名密码 请考虑订阅 LWN。 订阅 ...
博客
【翻译】 迁移到Python 3
07-18 2252
本文由LWN用户为您带来LWN.net的订阅者使得这篇文章--以及它周围的一切--成为可能。 如果您喜欢我们的内容,请购买订阅,使下一组文章成为可能。2011年2月9日本文由Ian Ward提供Python 3.0于2008年底发布,但到目前为止,只有相对较少的软件包更新到支持最新版本;大多数Python软件仍然只支持Python 2。 Python 3 引入了对 Uni...
博客
【翻译】 缓解失眠的微量元素
07-17 2390
请考虑订阅LWN订阅是LWN.net的生命线。 如果您喜欢这些内容,并希望看到更多的内容,您的订阅将有助于确保LWN继续蓬勃发展。 请访问此页面加入我们,让LWN继续在网络上传播。 作者:Jonathan Corbet2020年10月29日 内核的跟踪基础架构被设计为快速,并尽可能少地干扰系统的正常运行。 这一要求的一个结果是,当跟踪...
博客
【翻译】 一个新的暂停/休眠的基础设施
07-11 2261
LWN订阅者的好处订阅LWN的主要好处是帮助我们继续出版,但除此之外,订阅者可以立即获得所有的网站内容和获得一些额外的网站功能。 请今天就注册吧! 作者:Jonathan Corbet2008年3月19日 在参加会议时,你们的编辑多年来一直注意观察有多少其他与会者的笔记本电脑上有某种暂停和恢复功能。 毕竟,能够在演讲厅里坐下来,打开盖子...
博客
【翻译】分布式系统
07-05 8557
介绍我希望有一本文本能够汇集许多最新分布式系统背后的理念 - 例如亚马逊的Dynamo, 谷歌的BigTable和MapReduce, Apache的Hadoop等等。在这段文字中,我试图提供一个更易理解的分布式系统简介。对我来说,这意味着两件事情:介绍你需要了解的关键概念,以便在阅读更深入的文本时能够愉快度过,同时提供一个涵盖足够详细内容的叙述,以便你能够大致理解发生的事情,而不会陷入...
博客
【翻译】 如何应对内核警告?
06-06 2902
LWN.net需要你!没有订阅者,LWN就根本不存在。 请考虑注册订阅,帮助LWN继续出版。 作者:Jonathan Corbet2021年11月18日 内核在内部提供了许多宏,允许代码在出错时产生警告。 然而,它并没有提供很多关于警告发出时应该发生什么的指导。 Alexander Popov最近发布了一个补丁系列,为系统对警告的响应...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值