关于阿里云:KubeVela-14让应用交付更安全上手更简单过程更透明

42次阅读

共计 5347 个字符,预计需要花费 14 分钟才能阅读完成。

作者:孙健波,曾庆国

KubeVela 是一个现代化的软件交付管制立体,指标是让利用的部署和运维在现在的混合多云环境下更简略、麻利、牢靠。自 1.1 版本公布以来,KubeVela 架构上人造买通了企业面向混合多云环境的交付难题,且围绕 OAM 模型提供了充沛的可扩展性,博得了大量企业开发者的青睐,这也使得 KubeVela 的迭代速度一直放慢。

1.2 版本咱们公布了开箱即用的可视化控制台,终端用户能够通过界面公布和治理多样化的工作负载;1.3 版本 的公布则欠缺了以 OAM 模型为外围的扩大体系,提供了丰盛的插件性能,并给用户提供了包含 LDAP 权限认证在内的大量企业级性能,同时为企业集成提供了微小的便当。至今为止,你曾经能够在 KubeVela 社区的插件中心里取得 30 多种插件,其中不仅蕴含了 argocd、istio、traefik 这样的 CNCF 出名我的项目,更有 flink、mysql 等数据库中间件,以及上百种不同云厂商资源可供间接应用。

在这次公布的 1.4 版本中,咱们围绕让利用交付更平安、上手更简略、过程更通明三个外围,退出了包含多集群权限认证和受权、简单资源拓扑展现、一键装置管制立体等外围性能,全面加固了多租户场景下的交付安全性,晋升了利用开发和交付的一致性体验,也让利用交付过程更加透明化。

外围性能解读

开箱即用的认证和受权,对接 Kubernetes RBAC,人造反对多集群

在全面解决了架构降级、扩展性等挑战之后,咱们察看到利用交付的安全性是现在整个业界亟需解决的难题。从接触到的用户案例中,咱们发现许多安全隐患:

  • 大量用户在应用传统 CI/CD 的过程中,会间接将生产集群的 admin 权限嵌入到 CI 的环境变量里,只对最根本的交付到哪些集群有肯定的权限拆散。而 CI 体系通常也会被密集的用于开发和测试,很容易引入不受管制的危险。中心化的治理加上粗粒度的权限管制,一旦 CI 体系被黑客攻击、或者呈现一些 人为误操作,很容易产生微小的破坏性,结果不堪设想。
  • 大量 CRD 控制器依赖 admin 权限对集群资源进行操作,且没有对 API 的拜访进行束缚。尽管 Kubernetes 自身具备丰盛的 RBAC 控制能力,然而因为学习权限治理门槛较高、且与具体性能实现无关,大多数用户并不真正关怀其中细节,通常只是抉择默认的配置便投入生产应用。灵活性较高的控制器(如可能散发 Helm Chart),很容易成为黑客攻击的靶子,比方在 helm 中嵌入一个 YAML 脚本窃取其余命名空间中的秘钥。

KubeVela 1.4 中退出了 认证和受权能力,且人造反对多集群混合环境,对于每一个 KubeVela 的平台管理员而言,他们不仅能够细粒度的定制任意的 API 权限组合、对接 Kubernetes RBAC 体系,将这些权限模块受权给开发者用户,严格限度其权限;还能够简便的应用 KubeVela 平台预置的权限模块,如间接授予用户某个集群的特定命名空间权限,授予某个用户“只读”权限等,极大的简化了用户的学习老本和心智累赘,全面加固了利用交付的安全性。对于应用 UI 的用户,零碎针对我的项目可用的资源范畴和类型主动实现底层受权并严格校验,从而使得业务层 RBAC 权限与底层 Kubernetes RBAC 体系买通并协同工作,做到从外到内的平安,不在任何环节扩充权限。

具体而言,平台管理员对一个用户受权实现当前,用户的申请会通过如图所示的几个阶段。

  1. KubeVela 的 webhook 首先会拦挡用户的申请,将用户的权限信息(ServiceAccount)打到 Application 对象上。
  2. KubeVela Controller 在执行 Application 的部署打算时,会基于 Kubernetes 的 角色扮演机制(impersonate) 转换为对应用户的权限去执行。
  3. KubeVela 多集群模块(ClusterGateway)会传递对应的权限到子集群,子集群的 Kubernetes APIServer 会依据子集群的权限做认证。子集群的权限则是由 KubeVela 的受权流程创立的。

简而言之,KubeVela 的多集群认证和受权性能保障了 每一个最终用户的权限都被严格束缚,不会被交付零碎放大,同时 KubeVela 本身的权限也收敛至最小,而且整个应用体验很简略。

如果你想理解更多功能及其背地的实现原理,欢送浏览官网的权限认证和受权文档深刻理解背地的运行机制。

参考案例

分布式云容器平台 ACK One(Alibaba Cloud Distributed Cloud Container Platform)是阿里云面向混合云、多集群、分布式计算、容灾等场景推出的企业级云原生平台。KubeVela 多集群管制面是 ACK One 的外围实现,在 ACK One 中基于该 Feature 实现了基于角色扮演的利用多集群散发。

参考文档:https://help.aliyun.com/docum…

轻量便捷的利用开发管制立体,本地开发和生产部署统一体验

随着生态的一直凋敝,咱们也看到越来越多的开发者开始关注云原生技术,但常常苦于没有好的入门形式,次要起因有如下两点:

  • 利用的 开发环境与生产环境不统一,体验差异十分大。云原生是最近五六年逐步呈现的技术趋势,尽管它倒退迅猛,然而绝大多数公司仍旧习惯了外部自研一套平台屏蔽底层技术。这就导致一般的业务开发者即便学习了云原生技术,也很难在理论工作中实际,最好的状况可能也要从新对接一遍 API 和配置,更谈不上统一体验了。
  • 以 Kubernetes 为外围的云原生技术 部署和应用很简单,如果只是为了入门学习去购买云厂商的托管服务老本又很高。即便花了很多精力学会了部署出一套可用的本地环境,也很难把泛滥云原生技术串联起来走完一整个 CI/CD 的流程,这外面波及了大量运维畛域的常识,而一般开发者平时不须要关怀也很难接触失去。

咱们在社区中也察看到,越来越多的公司开始意识到外部自建的平台跟不上社区生态倒退的速度,冀望通过 KubeVela 和 OAM 模型提供统一体验、又不失落生态的可扩展性,然而苦于 KubeVela 的管制立体依赖 Kubernetes、上手门槛仍旧不低。针对这个问题,社区始终在思考并寻找解决方案,最终咱们的论断是须要一款工具来满足,且具备这几个个性:

  • 只依赖容器环境(如 Docker)就能部署运行,让 每一个开发者都能轻易地获取并应用
  • 本地开发与生产环境体验完全一致,且配置可复用,可能模仿混合多集群环境;
  • 繁多二进制包,反对 离线部署,环境初始化的工夫不超过喝一杯水的工夫(3 分钟);

通过几个月的致力孵化,咱们终于能够在 1.4 中正式公布这个工具:VelaD,D 既代表 Daemon 也代表 Developer,它能够帮忙 KubeVela 在单机上运行,不依赖任何现有的 Kubernetes 集群,同时与 KubeVela 整体作为一个轻量级的利用开发管制立体,帮忙开发者取得一体化的开发、测试、交付体验,简化云原生利用部署和治理的复杂度。

你能够通过 Demo 文档装置并试用这个工具,理解更多的实现细节,装置初始化仅需 3 分钟。

展现资源拓扑和状态,让交付过程变得透明化

在利用交付中另一个很大的诉求是对资源交付流程的透明化治理,比方社区里很多用户喜爱应用 Helm Chart,把一大堆简单的 YAML 打包在一起,然而一旦部署呈现问题,如底层存储未失常提供、关联资源未失常创立、底层配置不正确等,即便是一个很小的问题也会因为整体黑盒化而难以排查。尤其是在古代混合的多集群混合环境下,资源类型泛滥、盘根错节,如何从中获取到无效信息并解决问题是一个十分大的难题。

在 1.4 版本中,咱们退出了资源拓扑图查问性能,进一步欠缺了 KubeVela 以利用为核心的交付体验。开发者在发动利用交付时只须要关怀简略统一的 API,须要排查问题或者关注交付过程时,能够通过资源拓扑性能,疾速获取资源在不同集群的编排关系,从利用始终追踪到 Pod 实例运行状态,自动化地获取资源的关联关系,包含简单且黑盒化的 Helm Chart

以上图所示的利用为例,用户通过 Helm Chart 包交付了一个 Redis 集群,图的第一层为利用名称,第二层为集群,第三层为利用间接渲染进去的资源,后续的三层,四层则依据不同的资源追踪的上级关联资源。

用户在交付利用过程中,能够通过图形来观测其衍生出的资源以及状态,不失常时节点会显示为黄色或红色状态并显示具体起因。比方下图所示利用,是一个根底的 Webservice 服务交付到了 2 个集群,开发者能够发现该利用理论在两个集群别离创立了 Deployment 和 Service 资源,而 ask-hongkong 这个集群中的 Deployment 资源显示黄色,是因为 Pod 实例还没有齐全启动。

该性能也反对通过不同集群,不同组件进行搜寻筛选查问,帮忙开发者疾速聚焦并发现问题,以极低的门槛理解利用底层的交付运行状态。

如果你想理解更多功能及其背地的实现原理,欢送浏览官网博客  追踪和可视化多集群 Kubernetes 资源拓扑  深刻理解背地的运行机制。

其余要害变更

除了外围性能和插件生态之外,1.4 版本也对工作流等外围性能做了加强:

  • 利用状态维持反对配置字段疏忽规定,从而实现了 KubeVela 和其余控制器协同工作,比方 HPA 和 Istio 等。
  • 利用资源回收反对基于资源类型设置,目前已反对基于组件名称,组件类型,特色类型和资源类型。
  • 工作流反对子步骤能力,子步骤反对并发执行,减速了多集群高可用场景下的资源交付速度。
  • 工作流步骤反对暂停某一段时间,暂停工夫达到后主动继续执行工作流。
  • 资源部署和回收反对遵循组件依赖规定设置,反对资源按程序部署、按程序回收。
  • 工作流步骤反对条件判断,目前反对 if: always 规定,代表该步骤在任何状况下执行,从而反对部署失败告诉。
  • 运维特色反对设置部署范畴,可实现运维特色与组件部署状态拆散,运维特色能够独立部署在管控集群。

感激来自阿里云、招商银行、Napptive 等三十多个海内外组织和集体的继续奉献,正是你们的一直致力,在短短 2 个月的工夫内实现了 200 多个性能个性和修复,才使得这次迭代为社区交付出如此多优良的性能!

更多的变更细节,请参考 Release 阐明。

插件生态(Addon)

随着 1.3 插件体系的欠缺,咱们的插件生态也在疾速裁减中:

  • 更新 fluxcd addon 反对了 OCI registry,反对在部署时抉择 chart 中不同的 values 文件。
  • 新增 cert-manager 插件,自动化治理 Kubernetes 证书。
  • 新增 flink-kubernetes-operator 插件,交付 flink 工作负载。
  • 新增 kruise-rollout 插件,反对灰度公布,金丝雀公布等多种公布策略。
  • 新增 pyroscope 插件,反对继续的性能调优。
  • 新增 traefik 插件,反对配置 API 网关。
  • 新增 vegeta 插件,反对对工作负载做自动化压测。
  • 新增 argocd 插件,反对基于 ArgoCD 的 Helm 交付和 GitOps。
  • 新增 dapr 插件,反对 Dapr 订阅、公布的运维能力。
  • 新增 istio 插件,反对基于 Istio 的网关能力和流量灰度。
  • 新增 mysql-operator 插件,反对部署高可用的分布式 mysql 数据库。

十分欢送开发者们参加到社区,制作插件扩大 KubeVela 的零碎能力。

如何参加社区

KubeVela 是 CNCF 基金会中寰球 Top 级活跃度的开源我的项目,在这里有超过 300 位国内外贡献者、40 多位社区成员和 Maintainer,从代码、文档到社区沟通交流均为中英双语国际化运作形式,有超过 4000 多位社群成员。

如果你对参加到开源社区感兴趣,咱们十分欢送你退出到 KubeVela 的社区中来,你能够通过 KubeVela 社区的开发者文档具体的理解参加到开源社区的形式和办法,社区的工程师们也会急躁领导你入门。

近期的布局

KubeVela 将围绕两个月一个迭代周期继续演进,接下来的版本中,咱们将聚焦这三个维度:

  • 可观测性,围绕 log、metrics、tracing 等维度提供端到端丰盛的利用洞察能力,为利用交付的稳定性、智能化打下松软的根底。
  • 工作流交付能力,提供更丰盛的框架和集成能力,包含自定义步骤超时、基于上下文信息的条件判断和分支工作流等,连接 CI/CD,为用户提供更丰盛的应用案例和场景。
  • 利用(含插件)治理能力,反对利用的敞开、重启,反对利用的导入、导出、上传至利用(插件)市场等。

如果你想理解更多的布局、成为贡献者或者合作伙伴,能够通过参加社区沟通(https://github.com/kubevela/c…)分割咱们,期待你的退出!

您能够通过如下资料理解更多对于 KubeVela 以及 OAM 我的项目的细节:

  • 我的项目代码库:github.com/oam-dev/kubevela 欢送 Star/Watch/Fork!
  • 我的项目官方主页与文档:kubevela.io,从 1.1 版本开始,已提供中文、英文文档,更多语言文档欢送开发者进行翻译。
  • 我的项目钉钉群:23310022;Slack:CNCF #kubevela Channel
  • 退出微信群:请先增加以下 maintainer 微信号,表明进入 KubeVela 用户群:

点击“此处”,查看 KubeVela 我的项目官网。

正文完
 0