在Kubernetes日渐往云端基础架构新标准发展时,云端厂商相关的企业级功能,也越来越完整。在近日Google公有云旗下的Kubernetes服务(Google Kubernetes Engine,GKE),许多企业级安全功能陆续上线,包含私有丛集、共享虚拟私有云(Shared Virtual Private Cloud)等服务。Google表示,使用这些服务,可以管制使用者从公有网路存取Kubernetes,同时结合安全的虚拟私有云,让企业可在该安全环境下共享云端资源,"不需和隔离性妥协。"
这次GKE产品更新的第一个亮点,便是允许使用者在GKE环境中,建构私有Kubernetes丛集,在此环境执行的工作负载皆会搭配私有IP,将这些应用限缩在虚拟私有云内,保障Master与各节点间通讯的安全。如果维运人员想要存取GKE Master,必须在本地环境透过VPN、私有连线,才能登入,如要透过公有网络连线Kubernetes环境,管理者必须预先建立白名单,限定使用者仅能透过特定公有IP登入,同时阻挡未授权IP与其连线。
而Kubernetes丛集服务,还可搭配GCP其他服务一起使用,如云端容器储存库服务Container Registry、监控服务Stackdriver,无论开发者要存取镜像档、传送Log资料,都可以在Google内部网络环境进行。
第二个重要功能为共享虚拟私有云,根据企业组织部门分工,虽然会拥有各自部署的Kubernetes丛集,不过各丛集维持管理独立性下,同步共享云端资源。Google举例,专案团队的GKE丛集管理者,可负责丛集建置工作,而组织内的安全团队,则包办子网络、路由、防火墙资源的维运任务。
閱讀更多 IT情報局菊長 的文章
