Новая версия платформы контейнеризации Deckhouse Kubernetes Platform Certified Security Edition (DKP CSE v1.64) получила сертификат ФСТЭК России. Это важное для команды и клиентов Deckhouse событие произошло всего через три месяца после сертификации первой версии. Высокая скорость обновлений DKP призвана подчеркнуть быструю адаптацию Deckhouse к запросам пользователей и непрерывное повышение стандартов безопасности.
Первая версия DKP CSE получила сертификат ФСТЭК России в октябре 2024 года, став первым на российском рынке сертифицированным решением на базе Kubernetes. О пути к сертификации мы подробно рассказывали на вебинаре.
Кому подходит ФСТЭК-редакция Deckhouse Kubernetes Platform
DKP CSE подходит организациям, которые обязаны использовать сертифицированные ФСТЭК России продукты. В число таких учреждений входят государственные компании, госкорпорации, банки, федеральные и региональные органы исполнительной власти и организации, работающие с критической информационной инфраструктурой (КИИ).
ФСТЭК-редакция DKP позволяет обеспечить безопасность персональных данных и информации на значимых объектах КИИ, в ГИС, в АСУ ТП на критически важных и потенциально опасных объектах.
DKP CSE представлена в двух вариантах: CSE Lite и CSE Pro. Ознакомиться подробнее с каждой из них можно в таблице.
Что добавили в новой версии DKP CSE 1.64
Обновлённая версия DKP CSE предлагает пользователям улучшенные сетевые возможности, повышенную отказоустойчивость и оптимизированное управление контейнерными нагрузками. Процесс развёртывания платформы стал проще и удобнее, а для администраторов и пользователей кластера значительно упрощено взаимодействие с системой.
Новые сетевые возможности
Ранее для организации сети в кластере был доступен только CNI flannel, что не позволяло использовать сетевые политики. Добавленный CNI Cilium даёт возможность настроить сетевые политики для микросегментации сетевого пространства в соответствии с внутренними правилами организации.
На каждом узле кластера теперь будет работать кэширующий DNS-сервер. Это снизит нагрузку на внутрикластерную сеть и предотвратит деградацию DNS даже при большом входящем трафике.
Автоматическое управление балансировкой входящего трафика стало доступно через использование сервисов с типом LoadBalancer в L2- или BGP-режимах. Это требуется не только для bare-metal-инсталляций, но и для приватных облаков, в которых нет возможности использовать встроенный балансировщик.
Появилась возможность реализации отказоустойчивого egress gateway. Теперь вы можете назначить группу узлов в качестве шлюзов для исходящих внешних запросов от приложений, централизованно контролировать весь исходящий из кластера трафик и управлять им.
Упрощённое развёртывание и управление
Предварительные проверки конфигурации кластера (например, корректность данных подключения к container registry или наличие подключения по SSH) теперь производятся до начала установки. Таким образом, снижается необходимость ручных проверок.
Добавили возможность скачать утилиту Deckhouse CLI, предназначенную для работы с кластерами DKP, прямо из кластера. Это особенно актуально для развёртываний в закрытых окружениях без доступа в интернет.
Мультиарендный режим, подключение внешних хранилищ данных и режим высокой доступности
В поставке DKP CSE появился модуль multitenancy-manager. Это позволит использовать кластер в мультиарендном режиме за счёт создания проектов (изолированных окружений) по заранее подготовленному шаблону.
Два новых CSI-плагина — csi-nfs и csi-ceph — сделали удобнее организацию работы с данными. Они обеспечили простое подключение внешних хранилищ на базе NFS и Ceph соответственно.
Реализован режим высокой доступности для компонентов Deckhouse. В кластерах с более чем одним мастер-узлом ядро DKP работает по умолчанию в нескольких репликах, обеспечивая отказоустойчивость управляющего слоя.
Какие планы на 2025
Цель на 2025 год — сертифицировать все функции из Enterprise Edition. В следующем релизе DKP CSE планируем внедрить интерфейс управления кластером Deckhouse Console и систему хранения секретов. Следите за анонсами в нашем Telegram-канале.