Container Engine for Kubernetes

通过虚拟节点实现无服务器 Kubernetes

虚拟节点可提供无服务器 Kubernetes 体验，助您规模化运行容器化应用。同时，您无需投入额外的资源来管理、扩展、升级集群基础设施以及进行故障排除。

它提供按 pod 定价的细粒度弹性，能够向 Kubernetes 提供常规节点的抽象。您无需考虑集群容量即可扩展您的部署，简化高流量 Web 应用和数据处理作业等可扩展工作负载的执行。

托管节点

托管节点是在客户的租户中创建的工作节点，由 OKE 和客户共担管理责任。客户可以基于工作节点池需求定义托管节点规格，OKE 则会理顺节点供应工作。OKE 还提供了一些特性来简化并自动化执行工作节点的关键持续操作，例如按需循环（自动更新工作节点）；工作节点自修复（在检测到故障时）；以及自动扩展等等。托管节点适用于虚拟节点无法提供客户所需配置或不支持所需计算配置的使用场景。

自托管节点

自托管节点提供了更多定制和控制特性，支持客户通过托管节点不支持的特殊计算配置和高级设置，基于 OKE 运行容器化工作负载。选择自托管节点，客户可以充分利用特殊基础设施选项，包括 RDMA 裸金属 HPC/GPU、机密计算以及其它特殊用例；还可以利用托管控制平面 — 但必须自行管理工作节点，包括执行 Kubernetes 升级和 OS 打补丁。

Kubernetes 自动升级

您只需点击一下即可升级 Kubernetes 版本。虚拟节点可以自动、无缝、即时更新工作节点和底层基础设施并安装安全补丁，确保应用始终高度可用。

支持自动扩展的高可用性 Kubernetes

使用跨任意商业区域或 Oracle Cloud Infrastructure (OCI) Dedicated Region 中多个可用性域（数据中心）的集群来提高应用可用性。您不仅可以横向和纵向扩展 pod，还可以扩展集群。

按需节点循环

按需节点循环可显著理顺 OKE 集群中托管工作节点的升级工作，无需您投入大量时间来手动轮换节点或开发自定义解决方案。它可以极大地简化 Kubernetes 和主机 OS 版本升级，提高效率，还支持您轻松修改各种节点池属性，包括 SSH 密钥、引导卷大小、自定义 cloud-init 脚本等等。

附加组件生命周期管理

您可以使用完全由 OCI 管理的可配置附加软件的精选集合，轻松扩展和控制 Kubernetes 集群的功能。此软件包括部署在您的集群以及相关应用和运算符上的不断增长的操作软件组合，包括 CNI、CoreDNS、Kubernetes Dashboard、Oracle Database Operator、WebLogic 运算符等等。

OKE 管理附加组件软件的生命周期从初始部署和配置开始，一直到持续运营，例如升级、打补丁、扩展、滚动配置更改等。

用户可以在创建集群时，选择附加组件并自定义配置，包括禁用特定附加组件，指定附加组件版本，以及选择不自动更新或某些 OCI 提供的附加组件来使用自己的软件。

集群观测

使用 Oracle Cloud Infrastructure、Datadog、Aqua Security 和其他合作伙伴提供的工具来监视和保护这些应用。

自主修复集群节点

当检测到节点故障时，Container Engine for Kubernetes 会自动供应新工作节点来维持集群可用性。

安全删除节点

使用自动封锁和驱逐选项安全地删除工作节点，确保零应用中断。

提供财务支持的 SLA

OKE 集群包含服务级别协议 (SLA)，为 OKE 控制层和 worker 节点的正常运行时间和可用性提供了财务支持。Worker 节点的覆盖范围等同于 OCI Compute SLA 提供的覆盖范围。

即将推出：使用 Oracle Cloud Guard 进行 Kubernetes 治理

Oracle Cloud Guard 提供开箱即用的 Kubernetes 治理功能，看在 OKE 上部署资源时，自动运行安全功能并遵循 Kubernetes 优秀实践。为了实现这一点，该功能将使用 Cloud Guard 提供的策略来自动识别配置问题，从而在 OKE 集群上轻松保护安全和确保合规性。

加密

使用 Key Management 服务进行静态加密。

Oracle 始终使用高级加密标准 (AES) 算法和 256 位加密密钥对块存储卷、引导卷和卷备份进行静态加密。您还可以使用 Oracle Cloud Infrastructure Vault 对您的加密秘钥进行生命周期管理。

合规性

OCI Container Engine for Kubernetes 符合 HIPAA、PCI 和 SOC 2 等监管框架要求。

专用 Kubernetes 集群和 Bastion

借助专用集群，您可以将 Kubernetes API 端点设置为仅本地部署网络或 Bastion 主机可访问，从而提高安全性。要想轻松访问完全专用集群，您可以使用 Oracle Cloud Infrastructure (OCI) Bastion。

在 pod 级别实现高度隔离

虚拟节点为每个 Kubernetes pod 提供高度隔离环境。Pod 不共享任何底层内核、内存或 CPU 资源。通过这种 pod 级别的隔离，您可以运行不可信的工作负载、多租户应用和敏感数据。

为 Kubernetes 集群设置网络安全组

Container Engine for Kubernetes 支持为所有集群组件设置网络安全组 (NSG)。NSG 包含一系列可应用于虚拟云技术网络 (VCN) 中虚拟网络接口卡 (VNIC) 的入口和出口安全规则，可助您实现虚拟云技术网络架构与集群组件安全要求相分离。

身份验证和授权

使用原生 OCI Identity and Access Management (IAM)、Oracle Identity Cloud Service 以及 Kubernetes 基于角色的访问控制来控制访问和权限。您还可以配置 OCI IAM 多因素身份验证。

通过 Workload Identity，您可以在 pod 级别为 OCI API 和服务创建安全验证。通过对您的工作负载实施“尽可能限制权限”原则，您可以确保用户仅访问必要的资源，尽可能减少安全违规或未经授权的访问所带来的风险，从而提高您的安全水平。

容器映像扫描、签名和验证

OKE 支持容器映像扫描、签名和验证，您可以确保应用映像无严重的安全漏洞，并通过强制执行映像签名来确保容器映像的完整性。

Kubernetes 活动审计

OCI Audit 服务适用于所有 Kubernetes 审计事件。

构建可在本地部署环境和其它云环境运行的应用

Container Engine for Kubernetes 使用符合云原生计算基金会 (CNCF) 和开放容器计划 (OCI) 标准且未经修改的开源 Kubernetes，可提供出色的应用可移植性。

可灵活使用任何工具管理集群

使用自带工具，或者通过 Oracle 合作伙伴来实现安全性、联合、观测和构建自动化。

端到端的容器生命周期管理

全面管理容器的整个生命周期。使用 OCI DevOps 构建和测试映像，通过 Container Registry 部署，并与 Autonomous Database 等集成。

与基础设施、Oracle Autonomous Database 和 Oracle WebLogic Server 紧密集成

Container Engine for Kubernetes 可轻松与 Oracle Cloud Infrastructure 服务、使用 Service Broker 的 Oracle Autonomous Database 以及使用 WebLogic Operator 的 WebLogic Server 相集成。

加密与合规性

使用 Key Management 服务对 Kubernetes 静态密钥进行加密，并通过 HIPAA、PCI 和 SOC 2 确保合规。

专用 Kubernetes 集群和安全性

利用专用 Kubernetes 集群。使用原生的 Identity and Access Management、Identity Cloud Service 以及 Kubernetes 基于角色的访问控制 (RBAC) 来控制访问和权限。

• 选择 Oracle Cloud Infrastructure，确保性能
• Kubernetes 安全性的五个优秀实践