多云或混合策略使企業(yè)可以自由地使用最好的云原生服務(wù)。每個(gè)云提供商都有獨(dú)特的工作負(fù)載價(jià)值主張供企業(yè)考慮。例如，Oracle Cloud 除了計(jì)算功能之外，還帶來了一流的數(shù)據(jù)庫管理功能、分析生態(tài)系統(tǒng)以及其他云原生產(chǎn)品。因此，云提供商提供的多樣化價(jià)值支柱使多云成為對(duì)企業(yè)有吸引力的選擇。然而，簡化跨集群部署和連接工作負(fù)載的能力仍然是一個(gè)巨大的挑戰(zhàn)。我們可以借助 Avesha 的 KubeSlice 與托管的 Kubernetes 云基礎(chǔ)設(shè)施合作，企業(yè)將能夠解決其多云挑戰(zhàn)。

KubeSlice(https://kubeslice.io/) 通過在多個(gè)集群之間創(chuàng)建虛擬集群，幫助加速應(yīng)用程序的速度，消除了網(wǎng)絡(luò)布局、多租戶和跨集群的微服務(wù)可達(dá)性所帶來的障礙。

Kubernetes 的擴(kuò)散

在混合/多云部署的背景下，值得注意的是，容器化應(yīng)用程序架構(gòu)的采用已經(jīng)隨著 Kubernetes 及其靈活的平臺(tái)發(fā)生了深刻的變化。Kubernetes 已成為臨時(shí)容器化工作負(fù)載編排的事實(shí)上的標(biāo)準(zhǔn)。企業(yè)環(huán)境中微服務(wù)的激增導(dǎo)致了 Kubernetes 生態(tài)系統(tǒng)的發(fā)展。

挑戰(zhàn)

大規(guī)模部署和有效管理 Kubernetes 需要強(qiáng)大的設(shè)計(jì)流程和嚴(yán)格的管理紀(jì)律。企業(yè)面臨著基于工作負(fù)載類型的決策：高度事務(wù)性、以數(shù)據(jù)為中心或特定于位置。此外，工作負(fù)載分配需要考慮延遲、彈性、合規(guī)性和成本等因素。

此外，微服務(wù)的復(fù)雜性使得互連成為現(xiàn)代應(yīng)用程序架構(gòu)的焦點(diǎn)。只要您將所有微服務(wù)部署在單個(gè)集群中，并且維護(hù)集群中運(yùn)行的所有服務(wù)之間的信任，Kubernetes 就可以很好地處理此類復(fù)雜性。Kubernetes 默認(rèn)將 CPU、Memory、StorageClass、PersistentVolume 等各種資源作為集群中的共享對(duì)象。

這就是事情變得復(fù)雜的地方。多個(gè)團(tuán)隊(duì)在同一個(gè)集群中部署多個(gè)應(yīng)用程序會(huì)導(dǎo)致共享資源的痛苦編排，其中包括安全問題和潛在的資源爭奪。Kubernetes 有一個(gè)邏輯上的命名空間，可以為應(yīng)用程序提供隔離。但同樣管理和分配團(tuán)隊(duì)擁有多個(gè)應(yīng)用程序的命名空間資源會(huì)帶來非常大的運(yùn)維挑戰(zhàn)。Kubernetes 本身并沒有將多租戶視為用戶和資源。

成熟的部署——挑戰(zhàn)不斷增加

隨著組織在運(yùn)行 Kubernetes 方面達(dá)到成熟，他們會(huì)擴(kuò)展其生態(tài)系統(tǒng)到多集群部署。這些部署托管在數(shù)據(jù)中心或分布在數(shù)據(jù)中心以及超大規(guī)模企業(yè)的云中。企業(yè)選擇部署多集群環(huán)境的一些原因是團(tuán)隊(duì)邊界、延遲敏感性（應(yīng)用程序需要更接近客戶）、地理彈性和數(shù)據(jù)管轄權(quán)（涉及數(shù)據(jù)無法跨越地理邊界的國家/地區(qū)的用戶數(shù)據(jù)限制的政策等）。隨著跨集群的應(yīng)用程序部署不斷增加，這些應(yīng)用程序越來越需要訪問不同集群中的其他應(yīng)用程序。

當(dāng)平臺(tái)團(tuán)隊(duì)面臨為應(yīng)用程序開發(fā)人員提供基礎(chǔ)設(shè)施時(shí)，他們會(huì)遇到繁瑣的運(yùn)維管理挑戰(zhàn)：

（1）在多集群部署中擴(kuò)展命名空間一致性的構(gòu)建，同時(shí)保持租戶性質(zhì)。

（2）對(duì)集群資源進(jìn)行管理。

（3）防止環(huán)境配置漂移而導(dǎo)致集群配置問題。

Kubernetes 網(wǎng)絡(luò)——終極挑戰(zhàn)

Kubernetes 網(wǎng)絡(luò)絕非易事，雖然我們習(xí)慣于在需要邊界和控制的地方定義域和防火墻，但在 Kubernetes 中映射這些域和防火墻具有挑戰(zhàn)性。是的，您需要命名空間之外的額外靈活性。必須連接多個(gè)集群，此外，跨云分配工作負(fù)載需要 NetOps 團(tuán)隊(duì)進(jìn)行認(rèn)真的規(guī)劃。

KubeSlice - 高效的混合/多云集群連接和管理解決方案

在企業(yè)世界中，管理大規(guī)模應(yīng)用和基礎(chǔ)架構(gòu)可能是一項(xiàng)艱巨的任務(wù)。有了 Kubernetes，編排應(yīng)用變得更簡單了，但隨著從單個(gè)集群擴(kuò)展到多集群部署，編排和擴(kuò)展基于微服務(wù)的應(yīng)用變得更加困難。作為基于 Kubernetes 的應(yīng)用領(lǐng)域的領(lǐng)先創(chuàng)新者，Avesha 開發(fā)了突破性的專利產(chǎn)品 KubeSlice 和 Smart Scaler，使組織能夠高效、經(jīng)濟(jì)地管理和擴(kuò)展其應(yīng)用。

KubeSlice 通過創(chuàng)建一個(gè)名為 Slice 的 Kubernetes operator 來提供對(duì)運(yùn)行大規(guī)模多集群應(yīng)用程序所面臨復(fù)雜挑戰(zhàn)的簡化解決方案。該operator在一系列集群上創(chuàng)建一個(gè)虛擬集群，作為邏輯應(yīng)用邊界，并實(shí)現(xiàn)Pod和Service之間無縫通信。Slice跨越地理邊界，在任何集群、云端、邊緣或K8s分布上都可以部署應(yīng)用。

此外，KubeSlice 還通過東/西路徑提供符合 NIST 標(biāo)準(zhǔn)的 VPN 隧道以實(shí)現(xiàn)安全低延遲的跨集群網(wǎng)絡(luò)連接。Slice 可作為多個(gè)云提供商間以及多個(gè)云提供商內(nèi)部共享安全域。通過用戶友好特性，在每個(gè)虛擬集群中提供資源優(yōu)化、命名空間隔離、RBAC管理和節(jié)點(diǎn)親和力等功能，KubeSlice Manager UI 簡化了對(duì)一系列集群的管理。組織可以輕松地管理和擴(kuò)展其應(yīng)用，并優(yōu)先考慮安全性。

隨著企業(yè)將應(yīng)用架構(gòu)擴(kuò)展到位于數(shù)據(jù)中心或云服務(wù)提供商區(qū)域的多個(gè)集群，或跨越多個(gè)云服務(wù)提供商，Kubernetes集群需要具備完全整合連接性以及跨集群傳播命名空間的能力。

無論物理位置如何，KubeSlice都能在單個(gè)集群或一組集群中創(chuàng)建多個(gè)邏輯切片?，F(xiàn)有的簇內(nèi)通信仍然局限于利用每個(gè)Pod的CNI接口進(jìn)行本地通信。通過創(chuàng)建覆蓋網(wǎng)絡(luò)來實(shí)現(xiàn)簇間通信，KubeSlice在不同簇之間實(shí)現(xiàn)了網(wǎng)絡(luò)流量隔離。

為此，KubeSlice向Pod添加第二個(gè)接口，使得本地流量保持在CNI接口上，并且發(fā)送到外部簇的流量通過覆蓋網(wǎng)絡(luò)路由到目標(biāo)Pod上，從而使得KubeSlice與CNI無關(guān)。

同時(shí)，KubeSlice解決了云服務(wù)提供商、數(shù)據(jù)中心和邊緣位置之間重疊IP地址的復(fù)雜問題。覆蓋網(wǎng)絡(luò)配置了一個(gè)非重疊的RFC1918私有網(wǎng)絡(luò)CIDR地址空間。由于KubeSlice創(chuàng)建了網(wǎng)絡(luò)隔離，它還負(fù)責(zé)分配子網(wǎng)，根據(jù)分配給具有簇間可達(dá)性的Pod數(shù)量進(jìn)行配置。此外，在同一集群或集群組中創(chuàng)建的多個(gè)切片可以配置相同的RFC1918地址，進(jìn)一步簡化IP地址管理。

KubeSlice提供服務(wù)，極大地增加了平臺(tái)和產(chǎn)品團(tuán)隊(duì)在多集群環(huán)境中實(shí)現(xiàn)應(yīng)用程序統(tǒng)一性的速度。KubeSlice 為其中的 pod 帶來了 3 種功能，包括：Kubernetes 服務(wù)、網(wǎng)絡(luò)服務(wù)以及多租戶和隔離。

Kubernetes 服務(wù)：KubeSlice 通過管理 Kubernetes 對(duì)象、命名空間和 RBAC 規(guī)則來管理命名空間管理和應(yīng)用程序隔離，以提高運(yùn)維效率。KubeSlice 可以對(duì)一組環(huán)境、團(tuán)隊(duì)或應(yīng)用程序進(jìn)行集群分片或“切片”，這些環(huán)境、團(tuán)隊(duì)或應(yīng)用程序希望能夠合理隔離，但共享公共計(jì)算資源和 Kubernetes 控制平面。

網(wǎng)絡(luò)服務(wù)：Kubernetes 集群需要能夠?qū)⑦B接和 Pod 到 Pod 通信與跨集群的命名空間傳播完全集成?，F(xiàn)有的集群內(nèi)通信利用 CNI 接口保留在集群本地。本機(jī) KubeSlice 配置允許通過創(chuàng)建用于集群間通信的覆蓋網(wǎng)絡(luò)來隔離集群之間的網(wǎng)絡(luò)流量。KubeSlice 通過向 Pod 添加第二個(gè)接口來實(shí)現(xiàn)此目的，允許本地流量保留在 CNI 接口上，并且發(fā)往外部集群的流量通過覆蓋網(wǎng)絡(luò)路由到其目標(biāo) Pod，從而使 KubeSlice CNI 變得不可知。

KubeSlice 保留了 Kubernetes 的第一原則，即通過創(chuàng)建 Slices 來實(shí)現(xiàn)對(duì)集群中任何 Pod 的通信能力，從而實(shí)現(xiàn)無縫的 Pod 到 Pod 通信。KubeSlice Slice 互聯(lián)解決了云提供商、數(shù)據(jù)中心和邊緣位置之間 IP 地址重疊的復(fù)雜問題。

多租戶和隔離：KubeSlice 允許在單個(gè)集群或一組集群中創(chuàng)建多個(gè)邏輯切片，以解決從網(wǎng)絡(luò)到應(yīng)用程序域的整個(gè)過程中的真正隔離。

架構(gòu)

KubeSlice 為需要在多個(gè)集群之間提供安全且高度可用的連接的應(yīng)用程序提供網(wǎng)絡(luò)服務(wù)。KubeSlice 創(chuàng)建一個(gè)平面覆蓋網(wǎng)絡(luò)來連接集群。覆蓋網(wǎng)絡(luò)可以描述為一個(gè)應(yīng)用程序切片，它在多個(gè)集群中運(yùn)行的應(yīng)用程序的 Pod 之間提供連接切片。它也可以被描述為跨集群的特定于應(yīng)用程序的 VPC。Pod 可以連接到切片覆蓋網(wǎng)絡(luò)，并跨集群邊界無縫地相互通信。

通過創(chuàng)建加密的 VPN 隧道來保護(hù)集群之間的連接，該隧道為集群間流量提供安全通道。

KubeSlice 還可用于實(shí)現(xiàn)跨集群的服務(wù)發(fā)現(xiàn)和可達(dá)性。集群中運(yùn)行的 Kubernetes 服務(wù)可以通過分片覆蓋網(wǎng)絡(luò)導(dǎo)出，以便其他集群中運(yùn)行的 pod 發(fā)現(xiàn)并訪問它。

KubeSlice 架構(gòu)由多個(gè)組件組成，這些組件相互交互以管理切片覆蓋網(wǎng)絡(luò)的生命周期。下圖顯示了 KubeSlice 的主要組件以及它們之間的連接。

控制器集群包含 KubeSlice 控制器，用于管理用戶配置并協(xié)調(diào)多個(gè)工作集群之間切片覆蓋網(wǎng)絡(luò)的創(chuàng)建。它定義并擁有許多 CRD，用于存儲(chǔ)集群中的配置和操作信息。CRD 還用于控制器集群和工作集群之間的交互。工作集群連接到控制器集群的 Kubernetes APIServer 以獲取存儲(chǔ)在自定義資源對(duì)象中的配置。

工作集群的主要組件是切片控制器。它與控制器集群交互，并為工作集群上的切片覆蓋網(wǎng)絡(luò)設(shè)置所需的基礎(chǔ)設(shè)施。工作集群還包含一個(gè)名為 KubeSlice DNS 的 DNS 服務(wù)器，用于集群間服務(wù)發(fā)現(xiàn)。用戶還可以為東西向 (E-W) 流量創(chuàng)建帶有入口和出口網(wǎng)關(guān)的切片。Slice Operator 提供網(wǎng)關(guān)并設(shè)置路由規(guī)則，以在應(yīng)用程序 Pod 和網(wǎng)關(guān) Pod 之間匯集流量。

測試

Avesha 在沙盒環(huán)境中提供了4個(gè)小時(shí)的 KubeSlice免費(fèi)使用。通過在 https://community.aveshalabs.io/ 注冊(cè)，即可獲得對(duì)該產(chǎn)品的實(shí)際體驗(yàn)。感興趣的可以直接注冊(cè)體驗(yàn)。

注冊(cè)后收到的響應(yīng)電子郵件會(huì)包含訪問沙盒環(huán)境中的KubeSlice的詳細(xì)說明。使用共享的憑據(jù)，運(yùn)行 kubeslice-cli install --profile=full-demo 命令可以配置完整的環(huán)境。此設(shè)置會(huì)提供三個(gè) kind 集群。我們可以使用該配置來探索和學(xué)習(xí) KubeSlice，無需安裝任何內(nèi)容。