1. Возможности и технические характеристики сервиса

Редактировал(а) Ирина Сафонова 18.03.2024, 22:38

Содержание

Основа сервиса
Авторизация заказчика
- Ответственность заказчика за авторизационные данные
Технические характеристики сервиса
Возможности основного тарифа
Технологии и механизмы обеспечения безопасности
- Контроль доступа
- Обеспечение сохранности данных и отказоустойчивости системы

Основа сервиса

Сервис Cloud Kubernetes Clusters реализован на базе ПО Deckhouse компании Flant. Сервис организуется на базе виртуальной инфраструктуры, размещаемой на ресурсах облачной платформы Cloud Compute beeline cloud. Платформа расположена на территории РФ.

Авторизация заказчика

Заказчик авторизуется в системе по следующим данным:

ссылке URL,
учетному имени пользователя (логин) и паролю.

Beeline cloud после бланка заказа (БЗ) и заключения приложения к договору присылает заказчику авторизационные данные и руководство пользователя на e-mail, указанный в БЗ. Авторизационные данные — конфиденциальная информация, предотвращающая несанкционированный доступ к сервису третьих лиц. Заказчик должен предпринять меры для сохранности данных.

Ответственность заказчика за авторизационные данные

Заказчик несет ответственность за разглашение и утерю авторизационных данных, возможные последствия разглашения или утери авторизационных данных с момента предоставления. Если заказчик потерял данные или передал их третьим лицам, то beeline cloud не отвечает за утерю и ущерб, понесенный заказчиком в связи с разглашением авторизационных данных, вплоть до получения заказчиком новых авторизационных данных от представителей beeline cloud в установленном порядке. При этом все действия администратора в личном кабинете являются доказательством волеизъявления заказчика на выполнение этих действий согласно стоимости, указанной в приложении к договору.

Технические характеристики сервиса

Используемые узлы

Сервис разворачивается на следующих узлах виртуальных машин (ВМ):

Master
Worker
Frontend
System
Bootstrap

Beeline cloud конфигурирует все вышеперечисленные узлы, кроме Worker, так как узлы не участвуют в клиентской нагрузке и нерабочая нагрузка на эти узлы не находится в зоне ответственности заказчика. Узлы выполняют роль управления сервиса и предоставления функционала платформ Kubernetes и Deckhouse.

Доступные вычислительные ресурсы

Заказчику в зависимости от потребностей со стороны клиентских приложений доступны для использования vCPU и vRAM, являющиеся типовой конфигурацией узла Worker ВМ, доступных для работы контейнеров под управлением кластера Kubernetes. Для организации работы сервиса заказчик при необходимости конфигурирует узлы Worker по части vCPU, vRAM и дискового хранилища.

Заказчик получает виртуальные диски со Storage Policy — SSD. Диски предоставляются для:

ОС и развертывания прикладного ПО в составе ПО Deckhouse ВМ. Диски обязательны для развертывания и не предоставляются заказчику в пользование по причине их технического назначения.
Хранения данных в качестве Persistent Volume Claim. Диски необязательны для приобретения и предоставляются заказчику в пользование. Диски могут предоставляться как в качестве дополнительного локального диска, так и в качестве объединенного хранилища на базе модуля LINSTOR.

Подключение кластера Kubernetes и платформы Deckhouse

Для подключения кластера Kubernetes и платформы Deckhouse заказчика к частным сетям связи клиента или к интернет заказчик должен заказать одну из услуг beeline cloud:

Выделенный доступ к интернет. Предоставляется в сервисе Cloud Kubernetes Clusters. Услуга заказывается при подключении к частным сетям связи заказчика с организацией доступа к ВМ. В БЗ услуги указывается адрес предоставления интернета.
Виртуальная частная сеть IP VPN,
Виртуальный частный LAN.

Beeline cloud предоставляет услуги связи по отдельным приложениям к договору. Услуги не входят в состав сервиса Cloud Kubernetes Clusters.

Ограничения на конфигурации ВМ

vCPU: до 24*. Заказчик определяет количество при согласовании узла Worker. Один vCPU по мощности ограничен ресурсами одного физического ядра хоста виртуализации.
vRAM: до 512* ГБ. Заказчик определяет объем при согласовании узла Worker.

Возможности основного тарифа

Beeline cloud предоставляет доступ к платформе Deckhouse. Основной тариф включает в себя следующие возможности, разделенные по блокам:

Уровень кластера Kubernetes

Сервис предлагает создание, настройку и удаление:

Pod,
Service,
Secret,
ConfigMap,
Deployment,
Job,
CronJob,
StatefulSet,
Объекта, гарантирующего доступность копии Pod на каждом узле кластера (DaemonSet),
Объекта, гарантирующего определенное количество экземпляров Pod (DaemonSet).

Управление ресурсами кластера и автоматические масштабирование

Для управления и автоматического масштабирование ресурсами кластера сервис Cloud Kubernetes Clusters предлагает следующие модули:

control-plane-manager,
node-manager,
priority-class,
terraform-manager,
Prometheus-metrics-adapter,
descheduler,
pod-reloaderю

Хранение

Интерфейс для подключения хранилища на базе CEPH. CEPH не предоставляется в сервисе Cloud Kubernetes Clusters.
Блочное хранилище на базе модуля LINSTOR. Хранилище организуется на базе локальных дисков узлов Worker ВМ.
Модуль local-path-provisioner.
Поддержка снапшотов.

Сеть

Сетевое взаимодействие внутри кластера на базе Cilium.

Балансировка входящего трафика

Балансировщик Nginx,
Выделенный балансировщик на отдельных ВМ платформы Deckhouse — MetalLB.

Уровень платформы

Интерфейс/Модуль	Состав
Интерфейсы управления	Dhtcl, Web ui – Kubernetes Dashboard, Deckhouse Commander, Документация платформы.
Разработка	Модуль доставки и интеграции контейнеров (ArgoCD, werf), «Канареечные» установки версий (Istio), Модуль A/B-тестирования (Istio).
Балансировка и управления трафиком	Модули: балансировки запросов между endpoint сервиса (Istio), node-local-dns — кеширующий DNS-сервер.
Мониторинг	Модули: мониторинга сетевых взаимодействий (Hubble), мониторинга mesh-сети Istio (Kiali), мониторинга утилизации ресурсов, оповещения о событиях и сбора метрик (Prometheus), визуализации метрик (Graphana), сбора метрик доступности компонентов кластера и платформы (Upmeter).
Логирование и журналирование	log-shiper (Vector), Модуль хранения оперативного объема (Loki).
Отказоустоучивость	Service Mesh в режиме федерации на базе Istio.
Администрирование	Модули: синхронизации на узлах кластера (Chrony), Namespace-configurator — конфигурирование аннотаций новым namespace в кластере, secret-copier — копирование секретных переменных в Namespace.

Технологии и механизмы обеспечения безопасности

Сервис использует следующие технологии и механизмы обеспечения безопасности:

Контроль доступа

Сквозная аутентификация при доступе к личному кабинету (dex).
Авторизация и доступы пользователей (RBAC).
Регулирование политик безопасности (gatekeeper).
Защита от вредоносного программного обеспечения на уровне платформы — сканер уязвимостей Falco и Trivy.
Контроль сетевых политик кластера на уровне платформы модулями kube-router и cilium.
Шифрование внутрикластерного трафика mutualTLS (Istio).
Аудит всех операций API Kubernetes.
Защита от несанкционированного доступа к оборудованию системы:
- пропускная система,
- круглосуточное видеонаблюдение,
- круглосуточная охрана.

Обеспечение сохранности данных и отказоустойчивости системы

Отказоустойчивые инфраструктурные решения с дублированием компонентов.
Автоматический перенос ВМ при возникновении аварийной ситуации.

В начало 🡱
К следующему разделу 🡲
К предыдущему разделу 🡰