Rancher Prime 為平臺工程提供面向 K8s 的彈性能力
作者簡介
張應羅,SUSE 資深架構師,擁有 16 年架構咨詢工作經驗,專注于 SUSE Enterprise Container Management 相關的產品落地方案及咨詢方案設計。
—— 平臺工程 ——
“DevOps 已死,平臺工程才是未來!” 去年,知名軟件工程師兼 DevOps 評論員 Sid Palas 在推特上發出吶喊。
他的核心觀點是:開發者不想跟基礎設施打交道,企業在發展過程中又需要控制自己的基礎設施;只有平臺工程,能將這兩個相互矛盾的命題統一起來。這一觀點引發了開發者們的激烈討論,平臺工程正在崛起。
簡單為大家介紹一下平臺工程(Platform Engineering)的概念。?
平臺工程的發展背景
- 軟件在不斷演進過程中將運維技能從開發技能中剝離出來,形成了兩個不同的職業,但結果證明過度分離的兩個職業無法滿足軟件快速迭代的需求,因此 DevOps 出現了,我們用它來統一運維及開發。開發周期是一個企業最稀缺的資源,因此應該將盡可能多的資源放在核心產品開發上。
- 開發人員應該能夠端到端地部署和運行他們的應用。“誰構建,誰運行”才是真正的 DevOps,但并不是所有的公司都是 Google、亞馬遜、微軟,大多數公司都沒有像他們那樣的人才庫,也不會僅僅為了優化開發工作流和體驗而像他們那樣投入資源。
- 在過去,有的工程師寫代碼,有的工程師跑代碼。而現在,工程師不僅編寫代碼,還要運行他們編寫的代碼。這讓軟件工程師覺得他們必須對所有事情都了如指掌,大大增加了認知負擔。
- 這迫使許多團隊重新在自動化帶來的自由與認知負擔之間權衡利弊,平臺工程也因此越來越受關注和熱議。Gartner 在 2022 年 8 月發布的軟件工程成熟度曲線中添加了“平臺工程”。
平臺工程的定義
- “平臺工程”社區主要貢獻者及 Humanitec 產品負責人 Luca Galante 在《什么是平臺工程》的文章里指出:平臺工程是一門設計和構建工具鏈與工作流的學科。這些工具鏈和工作流可以為云原生時代的軟件工程組織提供自助服務功能。平臺工程師提供集成化產品,通常稱為“內部開發人員平臺”,可以涵蓋應用程序整個生命周期的所有操作需求。
- 內部開發人員平臺由平臺工程團隊構建,用于鋪好坦途以此來支持開發人員自助服務。內部開發人員平臺由許多不同的技術和工具組成,以一種降低開發人員認知負擔的方式組合在一起,無需抽象出上下文和底層技術。平臺工程團隊將他們的平臺視為一種產品,根據用戶研究對其構建,并不斷維護和改進。
Kubernetes 在平臺工程中扮演的角色
- 無論內部開發人員平臺的工具鏈有多么豐富,在云原生時代,Kubernetes 已然成為應用落地部署的最優選擇。平臺工程承載了應用迭代和部署驗證的重任,需要建立提供面向 Kubernetes 的彈性能力。
—— Rancher Prime ——
為平臺工程體系提供強有力支撐
Rancher Prime 的混合云 K8s 管理能力
Rancher Prime 研發之初的核心理念就是多云管理,因此,產品進化至今,在歷經近上千個 release 后,Rancher Prime 在多云多 K8s 集群管理領域已然遙遙領先,可以隨時隨地管理和部署任意位置的 K8s 集群。
Rancher Prime?
- Rancher Prime 支持對國內頭部公有云廠商的 K8s 發行版進行全生命周期管理,包括阿里云 ACK、騰訊云 TKE、華為云 CCE。
- Rancher Prime 支持對國際頭部公有云廠商的 K8s 發行版進行全生命周期管理,包括 AWS EKS(Global Region 及 China Region)、Azure AKS(Global Region及China Region)、Google GKE。
- 在私有數據中心場景下,Rancher Prime 可以創建經過 CNCF一致性認證的 K8s 發行版 RKE 和 RKE2,幫助客戶快速落地生產級別的 K8s 集群。
- 在邊緣計算場景下,Rancher Prime 可以創建輕量級 K8s 發行版 K3s,并且支持 X86 和 ARM 兩種架構。
Rancher Prime 面向多集群的中心化多租戶體系
Rancher Prime 具備一套成熟的面向多集群的中心化多租戶體系,可以輕松抽象用戶訪問權限。這為平臺工程內的開發人員提供了良好的隔離環境,讓他們可以靈活使用自己的開發環境,而不影響其他開發人員。
Rancher Prime 多租戶體系?
- Rancher Prime 提供面向多集群并基于 RBAC 的多租戶體系,不同的用戶可以通過綁定不同的角色來獲得不同的權限。
- 擁有“全局級別”角色的用戶通常可以管理 Rancher Prime 的所有 K8s 集群,擁有“集群級別”角色的用戶通常只能看到和管理某一個或多個 K8s 集群,擁有“項目/命名空間”角色的用戶通常只能看見和管理集群下某一個或多個項目及命名空間。
- Rancher Prime 還支持對接多種外部統一認證軟件,例如 AD、Keyclock、OKTA 等,方便企業進行統一認證管理。
Rancher Prime 認證體系對接?
NeuVector 全生命周期的平臺安全保障
在構建內部開發人員平臺時,平臺安全始終是需要優先考慮的問題。NeuVector 提供了全面的全生命周期、零信任容器安全體系,在整個容器生命周期中持續掃描,以消除安全隱患。在內部開發人員平臺構建之初就應制定安全策略,從而最大限度地提高開發人員的靈活性。
NeuVector?
NeuVector 的安全保護包括供應鏈安全和運行時安全,在供應鏈安全范疇內可以對容器鏡像、K8s 主機資源進行合規掃描,同時將 K8s 的準入控制機制與 pipeline 流程相結合,實現準入控制。
NeuVector 安全體系
在運行時安全層面可通過容器微分段、DLP、WAF 等防護手段,確保內部開發人員平臺安全性。
NeuVector 防護體系
NeuVector 可在所有經過 CNCF 認證的 K8s 平臺上獨立使用。在與 Rancher Prime 結合使用時,只需點擊幾下即可安裝和使用 NeuVector,并對整個 Kubernetes 環境進行安全保護。
NeuVector with Rancher Prime?
Rancher Prime 和 NeuVector 產品體系的組合,可以讓平臺工程團隊更容易構建自己的內部開發人員平臺,讓開發工程團隊專注于業務代碼開發,而非深度對接基礎設施,同時也能保障平臺的安全性。
—— 典型案例 ——
Ubisoft?
育碧(Ubisoft)于 1986 年在法國成立,是全球知名的游戲制作、發行和代銷商,業務遍及五大洲,在全球擁有 40 多個開發工作室。
育碧鼓勵開發團隊在 Kubernetes 中開發云原生微服務,不久之后,創新項目激增。由于有的團隊面向私有云進行開發,有的團隊面向公有云進行開發,因此公司需要擁有統一的開發方法。
基礎架構團隊希望在公司內部構建一個中央 Kubernetes 配置平臺,從而實現大多數流程的自動化。當 UKS(Ubisoft Kubernetes Service)誕生時,這一愿景成為了現實。這個基于 Rancher Prime 的自助式 Kubernetes 平臺讓成千上萬的開發人員能夠以可控、集中管理的方式即時啟動新的 Kubernetes 集群。
通過使用 UKS 和 Rancher Prime,開發人員可以自由地為任何云環境進行開發,而不必手動管理許多基本部署過程。Rancher Prime 實現了這些基本功能的自動化,并大大簡化了開發生命周期。
從效率的角度來看,UKS 讓開發者的工作更加輕松。與原來的手動方式相比,大幅提高了開發速度,減少了管理時間。與以往需要耗費幾天時間相比,通過 Rancher Prime 配置集群并將其托管在本地,平均僅需 10 分鐘。最重要的是,整個公司的 Kubernetes 集群現在都通過統一的平臺進行管理。
目前,育碧的 K8s 集群已經超過 200 個,隨著越來越多的團隊使用 Kubernetes,這一數字將持續上升。未來,育碧 IT 建設的重點是創建一個托管解決方案,以優化基礎設施的使用,提供多租戶集群并減少運營負擔。
—— 未來展望 ——
無論是 DevOps 還是平臺工程,都要求基于 K8s 的底層平臺具備安全性、靈活性、穩定性、先進性。因此,2023 年,SUSE 企業容器管理團隊將在如下幾個方面持續提升產品體驗,以回饋企業用戶及社區用戶的信任:
- Rancher Prime 不斷增強 K3s Provisioning 能力,提供更加靈活多樣的集群選擇,K3s 極致輕量,足以應對面向開發測試的應用集群。
- 整個 SUSE 企業容器管理產品線對 ARM 的支持將不斷增強,得益于 ARM 生態體系的不斷完善,越來越多的全球用戶開始使用 ARM 來降本增效。
- 持續加強對本土產品生態體系的支持,目前 Rancher Prime 已經適配鯤鵬芯片、海光芯片、麒麟 V10、openEuler 等軟硬件體系,其中基于 openEuler 的 K8s 發行版 RFO(Rancher For OpenEuler)已經正式 GA。
