Hypernetes简介
好久没有更新博客了,今天给大家介绍下最近在Hypernetes上做的工作,这个也是之前在微信群里的一个分享。
Hypernetes是一个真正多租户的Kubernetes Distro。
Hypernetes在Kubernetes基础上增加了多租户认证授权、容器SDN网络、基于Hyper的容器执行引擎以及基于Cinder的持久化存储等。
基本上Hypernetes = Bare-metal + Hyper + Kubernetes + Cinder(Ceph) + Neutron + Keystone
在介绍Hypernetes细节之前先首先提一下相关背景,也就是Kubernetes的多租户支持情况。
群里之前已经很多人介绍过Kubernetes了,就不再重复介绍。
这儿主要说一下它在多租户方面的问题。
Kubernetes在多租户方面的支持还是比较少的,没有“租户”这一概念,也只有namespace提供了一个逻辑的资源池(可以给这个namespace设定一些资源的配额),并且它在认证授权、网络、Container Runtime等方面离真正的多租户还都比较远。
-
认证方面,虽然支持client certificates,tokens,http basic auth等,但没有用户管理的功能。如果想要新建用户,需要手动修改配置文件并重启服务。最新版本增加了Keystone的认证,可以借助Keystone来管理用户。
-
授权方面,目前只有AlwaysDeny ,AlwaysAllow以及ABAC模式。ABAC模式根据一个策略文件来配置不同用户的权限,比如限定用户只能访问特定的namespace等,但对于新创建的namespace等资源需要重复修改策略文件。
-
Kubernetes要求cluster内部所有的容器之间是全通的,而多租户情况下需要不同租户之前网络是隔离的。
-
Docker的安全性问题,跟虚拟化还是有不少距离。
正是由于上面这些原因,很多公司都在虚拟机里面来跑Kubernetes,比如Google Container Engine、OpenStack Magnum等。
在虚拟机内部跑容器虽然提升了安全性,但也引入了一些问题,比如容器的网络不能通过IaaS层来统一管理,容器无法直接使用IaaS层的持久化存储,无法集中调度所有容器的资源等。所以我们就做了Hypernetes.
先来看一下Hypernetes的架构图
Hypernetes在Kubernetes基础上增加了一些组件
①增加了Tenant的概念,不同Tenant之间的网络和资源(ns, pod, svc, rc等)是隔离的。这些租户通过keystone管理,并提供认证和授权; ②通过Neutron给不同租户提供二层隔离的网络,并支持Neutron的各种插件(目前主要是ovs); ③通过Hyper提供基于虚拟化的容器执行引擎,保证容器的隔离; ④还有通过Cinder给容器引入各种持久化存储(目前主要是ceph)
关于OpenStack的各个组件以及Hyper这儿就不再介绍了,群里很多大牛已经介绍过。
具体到Hypernetes内部,详细的架构是这样的
为了支持多租户,Hypernetes基于Kubernetes增加了很多组件,这些组件都是以Plugin的形式提供的。
这样非常方便扩展,也很容易将Hypernetes与现有的IaaS在同一个基础架构上运行起来
比如,如果你不喜欢Neutron,可以把它替换成odl等。
Hypernetes是完全开源的,代码见https://github.com/hyperhq/hypernetes
当然,我们也会把Hypernetes做的工作contribute到Kubernetes社区,Brendan Burns大神表示很支持。
嗯,今天的分享就这么多。谢谢大家。
QA
-
请教一下,网络呢?kuber自带那套vip全没用?
Kubernetes自带的功能我们都完整保留了: 1⃣️ kube-proxy做的这部分功能,Hypernetes通过在每个Pod里面的Haproxy实现 2⃣️service对外暴露的公网负载均衡,Hypernetes通过Neutron的Lbaas实现
-
Hyper是什么
Hyper是一个基于Hypervisor的容器执行引擎。Hyper跟Docker相比,基于Hypervisor提供了更好的隔离性,同时还保持了Docker创建容器速度快、镜像管理方面等优点。官方网站为https://hyper.sh。
相关文章
- 倍福TwinCAT(贝福Beckhoff)基础教程2.1 TwinCAT常见类型简介
- 二维码简介和容错率的问题
- ASP.NET MVC 4 简介
- android 5.1 API简介
- AI - AutoKeras - 简介
- 一、线性规划简介
- IPv6中NDP协议简介
- 【STM32F429】第9章 RL-USB各种USB描述符简介
- Power BI for Office 365(六)Power Map简介
- CV之OD:计算机视觉之目标检测(Object Detection)方向的简介、使用方法、案例应用之详细攻略
- CV之OpenCV:HALCON机器视觉软件简介&OpenCV的基础概念、常用案例(打开图片/摄像头/视频)、常用函数解释大全(C++/python语言)之详细攻略
- Py之shap:shap库的简介、安装、使用方法之详细攻略
- BigData:数据中台的简介、架构、演进史、意义、案例之详细攻略
- Python之category-encoders:category-encoders库的简介、安装、使用方法之详细攻略
- 【Linux 内核 内存管理】物理内存组织结构 ④ ( 内存区域 zone 简介 | zone 结构体源码分析 | zone 结构体源码 )
- 【Android 逆向】APK 文件处理脚本 ApkTool.py ( 脚本简介 | 用法 | 分析 APK 文件 )
- 1.1tensorflow2.x简介计算图graph,张量tensor,会话session
- Java 信号 Semaphore 简介
- Android JNI环境要SQLite加密模块简介
- 001-zookeeper 简介-paxos算法,zk简介,特点