Container Engine for Kubernetes

Kubernetes serverless com nós virtuais

Os nós virtuais fornecem uma experiência serverless de Kubernetes para executar aplicações em contêineres em escala sem gastar recursos adicionais em gerenciamento, dimensionamento, atualização e solução de problemas da infraestrutura dos seus clusters.

Os nós virtuais fornecem a abstração de nós regulares para o Kubernetes, oferecendo elasticidade de pod granular com preços por pod. Você pode dimensionar suas implementações sem levar em consideração a capacidade do cluster, simplificando a execução de cargas de trabalho escaláveis, como aplicações da web de alto tráfego e jobs de processamento de dados.

Nós gerenciados

Nós gerenciados são nós de trabalho criados dentro da tenancy de um cliente e operados com responsabilidade compartilhada entre a OKE e o cliente. Os clientes podem definir as especificações desejadas para seus pools de nós de trabalho e o OKE simplifica o provisionamento desses nós. O OKE oferece recursos para automatizar e simplificar as principais operações contínuas para esses nós de trabalho com ciclos sob demanda para automatizar a atualização e a autocorreção de nós de trabalho após detecção de falhas, escalonamento automático e muito mais. Os nós gerenciados são adequados para clientes que precisam de configuração de nós de trabalho ou formas de computação que não são suportadas por nós virtuais.

Nós autogerenciados

Os nós autogerenciados oferecem ainda mais personalização e controle para a execução de cargas de trabalho em contêineres no OKE que exigem configurações de computação exclusivas ou configuração avançada em toda a pilha que não são compatíveis com nós gerenciados. Os clientes podem aproveitar opções de infraestrutura especializada, incluindo HPC/GPU bare metal habilitado para RDMA, computação confidencial ou outros casos de uso especializados. Os clientes ainda se beneficiam de um plano de controle gerenciado, mas devem gerenciar eles próprios os nós de trabalho, incluindo atualizações do Kubernetes e aplicação de patches no sistema operacional.

Atualizações automáticas do Kubernetes

Acione uma atualização da sua versão do Kubernetes com um clique. Os nós virtuais fornecem automaticamente atualizações contínuas e instantâneas e patches de segurança de seus nós de trabalho e infraestrutura subjacente, respeitando a disponibilidade de suas aplicações.

Kubernetes altamente disponível com dimensionamento automático

Aumente a disponibilidade das aplicações usando clusters que abrangem vários domínios de disponibilidade (data centers) em qualquer região comercial ou em região dedicada da Oracle Cloud Infrastructure (OCI) . Escale os pods horizontal e verticalmente e escale os clusters também.

Ciclo de nó sob demanda

O ciclo de nós sob demanda simplifica significativamente a tarefa de atualização de nós de trabalho gerenciados em clusters OKE, eliminando a necessidade de rotação manual demorada de nós ou do desenvolvimento de soluções personalizadas. O novo recurso torna a atualização do Kubernetes e das versões do sistema operacional host significativamente mais fácil e eficiente. Além disso, você pode modificar facilmente várias propriedades do pool de nós, incluindo chaves SSH, tamanho do volume de inicialização, scripts personalizados de inicialização na nuvem e muito mais.

Gerenciamento de ciclo de vida de add-ons

Você pode expandir e controlar facilmente a funcionalidade de seu cluster Kubernetes com uma coleção selecionada de software complementar configurável que é totalmente gerenciado pela OCI. Este software inclui um portfólio crescente de software operacional implementado em seu cluster, bem como aplicativos e operadores relacionados, incluindo CNI, CoreDNS, Kubernetes Dashboard, Oracle Database Operator, operador WebLogic e muito mais.

A OKE gerencia o ciclo de vida do software complementar, desde a implementação e configuração iniciais até as operações contínuas, como atualizações, patches, dimensionamento, alterações contínuas na configuração e muito mais.

Os usuários podem escolher add-ons e personalizar configurações durante a criação do cluster, incluindo desabilitar complementos específicos, especificar a versão do complemento e desativar atualizações automáticas ou determinados complementos fornecidos pela OCI para usar seu próprio software.

Observabilidade do cluster

Monitore e proteja essas aplicações com ferramentas da Oracle Cloud Infrastructure, Datadog, Aqua Security e outros parceiros.

Nós de cluster com autocorreção

Quando detecta falhas no nó, o Container Engine for Kubernetes provisiona automaticamente novos nós de trabalho para manter a disponibilidade do cluster.

Exclusão do nó segura

Exclua com segurança seus nós de trabalho sem interromper suas aplicações com opções automatizadas de isolamento e drenagem.

SLA com lastro financeiro

O contrato de nível de serviço (SLA, Service Level Agreement) incluído nos clusters OKE fornece suporte financeiro para o tempo de atividade e a disponibilidade do plano de controle OKE e dos nós de trabalho. A cobertura para os nós de trabalho é equivalente ao oferecido pelo SLA da OCI Compute.

Em breve: Governança do Kubernetes com Oracle Cloud Guard

O Oracle Cloud Guard oferece governança do Kubernetes pronta para uso, fornecendo segurança automatizada e adesão às práticas recomendadas do Kubernetes ao implementar recursos no OKE. Isso é feito ao identificar automaticamente problemas de configuração usando políticas selecionadas pelo Cloud Guard, permitindo que você proteja e mantenha facilmente a conformidade em seus clusters do OKE.

Criptografia

Criptografe os segredos do Kubernetes em repouso usando o serviço de Gerenciamento de Chaves.

A Oracle sempre criptografa volumes em blocos, volumes de inicialização e backups de volumes em repouso usando o algoritmo Advanced Encryption Standard (AES) com criptografia de 256 bits. Você também pode gerenciar o ciclo de vida de suas próprias chaves de criptografia usando o Oracle Cloud Infrastructure Vault.

Conformidade

O OCI Container Engine for Kubernetes está em conformidade com estruturas regulatórias, como HIPAA, PCI e SOC 2.

Clusters Kubernetes privados e Bastion

Com clusters privados, você pode restringir o acesso ao endpoint da API do Kubernetes para sua rede on-premises ou um host Bastion, melhorando sua postura de segurança. Para acessar facilmente clusters totalmente privados, agora você pode usar o Oracle Cloud Infrastructure (OCI) Bastion.

Forte isolamento a nível de pod

Os nós virtuais oferecem um forte isolamento para cada pod do Kubernetes. Os pods não compartilham nenhum recurso de kernel, memória ou CPU. Esse isolamento a nível de pod permite que você execute cargas de trabalho não confiáveis, aplicações multitenant e processe dados confidenciais.

Grupos de segurança de rede para seus clusters do Kubernetes

O Container Engine for Kubernetes oferece suporte a grupos de segurança de rede (Network Security Groups ou NSGs) para todos os componentes do cluster. Um NSG consiste em um conjunto de regras de segurança de entrada e saída que se aplicam a placas de interface de rede virtual (VNICs) em sua rede de nuvem virtual (VCN). Com o NSG, você pode separar sua arquitetura de rede de nuvem virtual dos requisitos de segurança de seus componentes de cluster.

Autenticação e autorização

Controle o acesso e as permissões usando OCI nativo Identity and Access Management (IAM), Oracle Identity Cloud Service e controle de acesso baseado em função do Kubernetes. Você também pode configurar a a autenticação de multifator OCI IAM.

A Identidade da carga de trabalho permite estabelecer autenticação segura no nível do pod para APIs e serviços da OCI. Ao implementar o princípio de “menor privilégio” para suas cargas de trabalho, você garante que os usuários tenham acesso apenas aos recursos necessários. Isso eleva a sua postura de segurança, reduzindo o potencial de violações de segurança ou acessos não autorizados.

Digitalização, assinatura e verificação de imagens de contêiner

O OKE oferece suporte a varredura, assinatura e verificação de imagem de contêiner para que você possa garantir que as imagens da sua aplicação estejam livres de vulnerabilidades de segurança graves e que a integridade das imagens de contêiner seja preservada quando implementadas com a assinatura da imagem.

Audite a atividade do Kubernetes

Todos os eventos de auditoria do Kubernetes são disponibilizados no serviço OCI Audit.

Crie aplicações que funcionem on-premises e em outras nuvens

O Container Engine for Kubernetes usa Kubernetes de código aberto não modificado que está em conformidade com padrões Cloud Native Computing Foundation (CNCF) e Open Container Initiative (OCI) para portabilidade de aplicações.

Flexibilidade para usar qualquer ferramenta no gerenciamento de clusters

Traga suas próprias ferramentas ou aproveite os parceiros da Oracle para segurança, federação, capacidade de observação e automação de versões.

Gerenciamento do ciclo de vida do contêiner de ponta a ponta

Gerencie o ciclo de vida dos contêineres do início ao fim. Crie e teste imagens com OCI DevOps, implemente com Container Registry, integre com Autonomous Database e mais.

Integração total com infraestrutura, Autonomous Database e Oracle WebLogic Server

O Container Engine for Kubernetes se integra facilmente aos serviços da Oracle Cloud Infrastructure, ao Autonomous Database usando o Service Broker e ao WebLogic Server usando o WebLogic Operator.

Criptografia e conformidade

Criptografe segredos do Kubernetes em repouso usando o serviço Key Management e mantenha a conformidade com HIPAA, PCI e SOC 2.

Clusters e segurança privados do Kubernetes

Use os clusters privados do Kubernetes. Controle o acesso e as permissões usando o Identity and Access Management nativo, o Identity Cloud Service e o Kubernetes Role-Based Access Control (RBAC).

• Escolha a Oracle Cloud Infrastructure para desempenho
• Cinco melhores práticas para segurança do Kubernetes