OpenShift VMware: la nueva arquitectura de contenedores
Esta es una publicación invitada escrita por Robbie Jerrom de VMware. Robbie trabaja con algunos de los clientes más importantes de VMware en Europa mientras se centran en llevar aplicaciones y plataformas modernas y nativas de la nube a sus centros de datos definidos por software de VMware. Antes de unirse a VMware, Robbie pasó diez años como ingeniero de software creando software empresarial como Java Virtual Machine, CICS y WebSphere. Robbie también es miembro de la comunidad de embajadores CTO de VMware, lo que garantiza una sólida colaboración entre la organización de ingeniería de VMware y los clientes del mundo real.
En este blog, analizamos más de cerca cómo VMware y Red Hat están colaborando para integrar mejor la plataforma de contenedores OpenShift y la base del centro de datos definido por software (SDDC) de VMware a la luz de los anuncios recientes sobre la pila de arquitectura. Muchos de nuestros compañeros clientes buscan aprovechar al máximo sus carteras de tecnología. Y, dado que VMware y Red Hat utilizan Kubernetes como plataforma central para impulsar sus aplicaciones modernas, es lógico que estemos comprometidos conjuntamente a brindar éxito a los clientes que implementan OpenShift en el SDDC de VMware.
A continuación, el primer paso es comunicar y compartir las *** similitudes que ya tenemos.
VMware vSphere y Red Hat Enterprise Linux ya funcionan bien juntos; pero los equipos de TI y los administradores de OpenShift a menudo pasan por alto los ajustes arquitectónicos para ofrecer un mejor almacenamiento y SDN. Para abordar este problema, este artículo describe las últimas actualizaciones de la documentación principal de Red Hat OpenShift Container Platform 3.11, que incluye la guía más reciente sobre SDN y la integración de almacenamiento, así como documentación dedicada de VMware para admitir SDN (NSX-T/NCP) y almacenamiento de Kubernetes. .
Echemos un vistazo más de cerca a ambas áreas.
1. Almacenamiento
Para soportar los requisitos de almacenamiento persistente de los contenedores, VMware desarrolló el programa de servicio en la nube vSphere y su correspondiente complemento de administración de volúmenes. Estos se pueden proporcionar a Red Hat OpenShift para que admita vSAN de VMWare o cualquier base de datos que admita vSphere. Aunque cada backend de almacenamiento es diferente, esta solución de integración aún puede satisfacerlo.
Estos productos de almacenamiento anunciados son el almacenamiento de datos VMFS, NFS o vSAN. Las capacidades de nivel empresarial, como la administración basada en políticas de almacenamiento (SPBM), brindan administración y aprovisionamiento de recursos automatizados, lo que permite a los clientes garantizar la QoS solicitada por sus aplicaciones críticas para el negocio y garantizar que se cumplan los SLA en la plataforma SDDC.
SPBM proporciona un único plano de control unificado en una amplia gama de servicios de datos y soluciones de almacenamiento. SPBM también permite a los administradores de vSphere superar los desafíos iniciales del aprovisionamiento de almacenamiento, como la planificación de la capacidad, los niveles de servicio diferenciados y el margen de capacidad gestionado.
Kubernets StorageClass permite la creación de volúmenes persistentes bajo demanda sin necesidad de crear almacenamiento y montarlo en nodos OpenShift. StorageClass especifica un proveedor y parámetros asociados que definen la política deseada para volúmenes persistentes, que se aprovisionarán dinámicamente.
Utilizando una combinación de almacenes de datos SPBM y vSphere como abstracciones, ocultamos detalles de almacenamiento complejos y proporcionamos una interfaz unificada para almacenar datos persistentes (PV) de entornos OpenShift.
Dependiendo del almacenamiento backend utilizado, el almacenamiento de datos puede ser vSAN, VMFS o NFS:
●VSAN admite soluciones de infraestructura hiperconvergente que brindan un rendimiento y confiabilidad sólidos. La ventaja de VSAN es que simplifica las funciones de administración del almacenamiento, con funciones como políticas de almacenamiento impulsadas en la capa vSphere IaaS.
●VMFS (Virtual Machine File System) es un sistema de archivos en clúster que permite que la virtualización se extienda más allá de un único nodo de múltiples servidores VMware vSphere. VMFS mejora la utilización de recursos al proporcionar acceso exclusivo a grupos de almacenamiento.
●NFS (Network File System) es un protocolo de archivos distribuido que puede acceder al almacenamiento a través de la red como si fuera almacenamiento local.
1) Asignación de recursos estática y dinámica
vSphere Cloud Provider proporciona dos métodos para proporcionar almacenamiento a la plataforma de contenedores Red Hat OpenShift: asignación de recursos estática y asignación de recursos dinámica. El enfoque preferido es utilizar aprovisionamiento dinámico, dejando que la plataforma IaaS maneje la complejidad. A diferencia del aprovisionamiento de recursos estático, el aprovisionamiento de recursos dinámico activará automáticamente la creación de PV y sus archivos VMDK de backend. Este es un enfoque más seguro y es fundamental para ofrecer una plataforma de contenedores Red Hat OpenShift confiable en vSphere.
2) Asignación dinámica
●Definir la StorageClass predeterminada para el clúster de OpenShift
●Crear una reclamación de volumen persistente en Kubernetes
3 ) Asignación estática
●Cree un disco virtual en el almacenamiento de vSphere y móntelo en el nodo de la plataforma del contenedor Red Hat OpenShift
●Cree un volumen persistente (PV) para el disco en OpenShift
●Crear un volumen persistente y solicitar un PVC
●Permitir que POD reclame PVC
El uso de vSphere Cloud Provider con SPBM permite a los administradores de vSphere y OpenShift comprender el almacenamiento y les permite aprovechar las capacidades de almacenamiento backend sin aumentar la complejidad de la capa OpenShift.
2. Red (SDN)
El centro de datos NSX-T ayuda a los clientes de OpenShift a simplificar la red y la seguridad basada en red a través de NSX Container Plug-in (NCP). NCP proporciona la interfaz entre OpenShift y VMware NSX Manager a nivel de IaaS.
NCP se ejecuta en cada nodo de OpenShift y conecta la interfaz de red del contenedor a la red superpuesta de NSX. Supervisa los eventos del ciclo de vida del contenedor y administra los recursos de red del contenedor, como equilibradores de carga, puertos lógicos, conmutadores, enrutadores y grupos de seguridad llamando a la API de NSX. Esto incluye la programación de vSwitches invitados para marcar y reenviar el tráfico de contenedores entre las interfaces de contenedores y las tarjetas de interfaz de red virtual (VNIC).
NCP proporciona las siguientes funciones:
●Crear automáticamente una topología lógica de NSX-T para los clústeres de OpenShift y crear redes lógicas separadas para cada espacio de nombres de OpenShift
●Conectar OpenShift pods a redes lógicas y asignar direcciones IP y MAC
●Admite traducción de direcciones de red (NAT) y asigna una IP SNAT separada a cada espacio de nombres de OpenShift
●Utiliza el firewall distribuido NSX-T para implementar la política de red OpenShift
●Admitir la política de red entrante y saliente
●Admitir el selector de IPBlock en la política de red
●Cuando admitir matchLabels y MatchExpression al especificar selectores de etiquetas para políticas de red
● Implementar el enrutador OpenShift utilizando el equilibrador de carga de capa 7 de NSX-T
● Admitir enrutamiento HTTP y enrutamiento HTTPS
● Admitir enrutamiento con backends alternativos y comodines subdominios
●Cree etiquetas para espacios de nombres de puertos de conmutadores lógicos de NSX-T, nombres de pods, marque pods y permita la administración. Los administradores definen políticas y grupos de seguridad de NSX-T basados en etiquetas.
1) Microsegmentación
NSX-T (a través de NCP) puede aplicar microsegmentación a OpenShift mediante reglas predefinidas basadas en etiquetas y políticas de red de Kubernetes por módulo de espacio de nombres. Las reglas de etiquetado predefinidas le permiten definir políticas de firewall basadas en la lógica empresarial antes de la implementación, en lugar de utilizar métodos menos eficientes, como direcciones IP estáticas, para desarrollar políticas de seguridad. Con este enfoque, los grupos de seguridad definidos en NSX-T tienen políticas de entrada y salida y están microsegmentados para proteger aplicaciones y datos confidenciales, hasta el nivel de POD y contenedor.
Por último, NSX-T proporciona trazabilidad y visibilidad completa de la red para los clústeres de OpenShift. NSX-T proporciona herramientas operativas integradas para Kubernetes, que incluyen:
●Conexión de puerto
●Seguimiento de tráfico
●Duplicación de puerto
IpFIX
El enfoque anterior proporciona a DevOps y a los equipos de red dedicados una mejor visibilidad de las redes de contenedores de OpenShift, lo que permite a los administradores de red y a los administradores de OpenShift hablar el mismo idioma al diagnosticar y solucionar problemas.
3. Resumen
VMware SDDC proporciona una infraestructura flexible y escalable que está estrechamente integrada con las soluciones Kubernetes de VMware y las soluciones de socios clave como Red Hat.
En el futuro, tanto VMware como Red Hat se comprometen a brindar soporte a nuestros clientes y a la comunidad de Kubernetes, con el objetivo de brindar una mejor integración de productos a través de una arquitectura de referencia que permita herramientas mejoradas para entregar y administrar aplicaciones nativas de la nube. aplicaciones en la plataforma de contenedores SDDC de VMware y Red Hat OpenShift.
Enlace original:
ArthurGuo es un veterano en el lugar de trabajo. A principios del siglo XXI, comenzó a adoptar el código abierto y luego se transformó en gestión de proyectos. Ahora se desempeña como director técnico de una empresa de computación en la nube. Domina muchos lenguajes informáticos, pero es mejor en lenguajes humanos. Le encanta jugar con las palabras y no le gustan las lenguas venenosas.