На днях состоялся релиз интересного продукта Project Antrea 0.9.1, который позволяет пользователям кластеров Kubernetes на платформе VMware управлять сетевым взаимодействием контейнеров на базе политик.
Ну а VMware Container Networking with Antrea - это новый коммерческий продукт на базе Project Antrea, представляющий собой решение для публичных и частных облаков, использующих Open vSwitch, которое позволяет управлять сетевым взаимодействием на нескольких уровнях с предоставлением поддержки со стороны VMware. Он реализует следующие функции в рамках среды Kubernetes:
1. Исполнение политик для Managed Kubernetes Services
Antrea добавляет официальную поддержку служб AWS EKS. Кроме того, Antrea улучшает поддержку сервисов Azure AKS с использованием CNI chaining и режимом трафика "networkPolicyOnly" с соблюдением политик при использовании нативного соединения.
Также решение Antrea имеет поддержку Google GKE и может быть использовано как primary CNI в Amazon и Azure для решения проблемы исчерпания IP-адресов в окружении с большим количеством небольших нагрузок в контейнерах.
2. Политики ClusterNetworkPolicy
В отличие от политик Kubernetes network policies, которые привязаны к пространствам имен, политики ClusterNetworkPolicy позволяют администраторам определять их в рамках нескольких неймспейсов. Эти политики можно упорядочивать и добавлять к ним различные действия, что упрощает применение политик как к кластеру в целом, так и к его частям.
3. Разделение политик на уровни
В Antrea есть глобальные политики (а в будущем будут нативные политики уровня неймспейсов), которые можно сгруппировать в ярус политик (policy tier). Сейчас есть 5 таких статических ярусов: Emergency, SecurityOps, NetworkOps, Platform и Application.
В будущих релизах пользователи смогут создавать кастомные ярусы и задавать порядок их подчинения. Ролевая модель Kubernetes RBAC обеспечивает контроль создания политик пользователями. Администраторы информационной безопасности могут делегировать права по созданию политик разработчикам, при этом глобальные политики остаются на контроле администраторов ИБ.
4. Улучшения мониторинга и диагностики
Antrea предоставляет набор диагностических и операционных метрик за счет средств мониторинга Prometheus и предоставляет нативные определения CustomResourceDefinitions (CRDs), чтобы наблюдать и диагностировать состояния компонентов инфраструктуры Antrea и потоков данных.
Например, Traceflow позволяет операторам проводить инъекции пакетов в данные контейнеров, чтобы убеждаться в исполнении сетевых политик, маршрутизации и эффектов инкапсуляции для трафика между сайтами. Также утилита antctl может генерировать саппорт-бандлы для диагностики проблем.
5. Интеграция NSX-T и VMware Container Networking
Решение VMware NSX-T - это полноценная платформа для сетевой защиты приложений в контейнерах, виртуальных машин и невиртуализованных нагрузок. VMware Container Networking with Antrea работает в тандеме с NSX-T, чтобы обеспечить бесшовную сетевую связность и контроль исполнения сетевых политик в кластерах Kubernetes в виртуальном датацентре.
Более подробно о решении VMware Container Networking with Antrea рассказано на этой странице.