Традиционно собрали самые важные изменения в платформе за последние три месяца.
Ландшафт совместимости и поддерживаемое ПО
Deckhouse Kubernetes Platform (DKP) работает поверх любой инфраструктуры и совместима с широким кругом стороннего ПО, который мы постоянно расширяем.
В последних релизах Deckhouse Kubernetes Platform мы добавили поддержку:
- новой версии Kubernetes — 1.31;
- облачного провайдера Базис.DynamiX;
- операционных систем МОС ОС и OpenSuse, ALT Linux p11;
- работы с системой хранения данных TATLIN.UNIFIED GEN2 (интеграция осуществляется через отдельный модуль, который каждый пользователь сможет настроить в соответствии со своими задачами);
- работы с хранилищем на базе файловой системы XFS.
Также мы проверили работу и подписали двусторонние сертификаты совместимости со следующими решениями:
- российская интегрированная платформа для управления бизнес-процессами Планета от IBS;
- решение для комплексной защиты инфраструктуры гибридного облака PT Container Security;
- продукты экосистемы НОТА КУПОЛ, которая объединяет высокотехнологичные решения в области аудита информационных систем, категорирования, ИБ-комплаенса и защиты сетевой инфраструктуры.
Надёжность и высокая доступность
Наши специалисты постоянно работают над тем, чтобы на DKP можно было запускать сервисы с самыми высокими требованиями к надёжности, отказоустойчивости и SLA. Среди недавних обновлений в этом направлении — новые возможности модуля multitenancy-manager. Он теперь может работать в режиме высокой доступности. Всё, что вам нужно сделать для включения режима высокой доступности в DKP — добавить в кластер более одного мастер-узла, остальное платформа сделает за вас.
Кроме того, встроенный балансировщик входящего трафика теперь поддерживает отказоустойчивый режим работы layer 2. В этом режиме при выходе из строя любого из узлов, принимающего входящие запросы, его внешний IP-адрес тут же автоматически перебрасывается на один из оставшихся узлов балансировщика. Таким образом обеспечивается бесперебойный приём пользовательского трафика в кластер.
Также DKP теперь ежедневно делает резервную копию базы etcd в автоматическом режиме.
Усиленная безопасность
DKP — одна из самых безопасных платформ контейнеризации в России, что подтверждает сертификат ФСТЭК. Чтобы поддерживать этот статус, специалисты Deckhouse постоянно работают над улучшением функций безопасности. В этот раз мы добавили поддержку сканирования образов, размещённых в хранилищах, работающих по незащищенным протоколам или с использованием самоподписанных сертификатов.
Ещё одно важное улучшение — реализована новая ролевая модель доступа. В ней можно использовать как готовые роли, которые подойдут в большинстве случаев, так и создавать свои. При этом вы можете оперировать не низкоуровневыми абстракциями, а готовым набором из нескольких десятков высокоуровневых capabilities. Это позволяет быстро и интуитивно понятно дать доступ инженеру только к нужным операциям с нужными объектами.
Для снижения поверхности атаки модули openvpn, documentation, cni-cilium и часть компонентов модуля istio переведены на использование distroless-образов. Также, следуя подходу минимальных привилегий, мы ещё больше ограничили права для файлов и папок конфигурации кластера, создаваемых платформой. А данные управляющего кластера теперь хранятся в БД в зашифрованном виде.
Развитие Community-редакции платформы
DKP Community Edition (CE) — бесплатная редакция платформы, которая содержит все необходимые инструменты для эксплуатации в продуктивных окружениях. Мы активно развиваем и актуализируем её. В частности, теперь в Community Edition стал доступен модуль multitenancy-manager, что позволяет строить на базе DKP CE полноценные мультиарендные кластеры.
Ещё больше автоматизации и удобства
Ключевые задачи платформы DKP — максимально упрощать и автоматизировать эксплуатацию инфраструктуры, снижать риски ошибок оператора и уменьшать количество рутинных операций «второго дня». В этом направлении мы также провели ряд улучшений.
Новые возможности настройки режима обновлений DKP позволяют устанавливать обновления с исправлениями ошибок (так называемые патч-релизы) в автоматическом режиме с предварительным оповещением об обновлении. При этом остаётся возможность ручного подтверждения установки обновлений с новым функционалом (минорные версии).
Любое изменение конфигурации управляющих узлов кластера (например, смена образа ОС, или изменение количества узлов) теперь происходит в полностью автоматическом режиме. Ранее для этого требовались ручные действия.
Консольную утилиту для работы с кластером DKP теперь можно скачать непосредственно из кластера, что упрощает обслуживание кластеров в закрытых контурах. Утилита доступна для всех популярных платформ: Linux, MacOS и Windows.
Кроме того, для удобства пользователей мы добавили в документацию список всех алертов мониторинга, которые есть в платформе. Всего алертов около 200. У каждого из них есть уровень критичности, который позволяет приоритезировать сообщения от системы мониторинга, а также краткое описание события и даже рекомендации по устранению проблемы от команды Deckhouse.
В управляющий кластер мы добавили готовые шаблоны для развёртывания на vSphere и OpenStack, что значительно сокращает время на подготовку конфигураций и снижает риск ошибки.