Deckhouse Kubernetes Platform: обзор платформы управления кластерами Kubernetes

Одно из ключевых условий конкурентного преимущества в современном бизнесе — это отлаженность ИТ-процессов. Она позволяет доставить до клиента больше ценности, а также сократить время её доставки (time to market). Согласно исследованию состояния DevOps в России от «Экспресс 42», в 2024 году 64% организаций уже используют для этого внутреннюю инфраструктурную платформу разработки. В свою очередь, основа для построения таких платформ — эффективная оркестрация контейнеров.

В этом обзоре подробно расскажем о нашей платформе Deckhouse Kubernetes Platform, её функциональности и о том, как именно она помогает компаниям усовершенствовать и облегчить процесс использования контейнеров. Также в конце статьи честно делимся недостатками продукта, над которыми работаем.

Deckhouse Kubernetes Platform (DKP) — платформа управления контейнерными нагрузками, которая позволяет:

• безопасно управлять жизненным циклом кластеров Kubernetes в любой инфраструктуре;
• сократить время подготовки среды разработки до 15 раз;
• обеспечить SLA до 99,99%;
• автоматизировать до 80% ручных операций.

Deckhouse Kubernetes Platform — первая российская платформа контейнеризации (в Реестре российского ПО с декабря 2021 года¹), которая является полноценной заменой решений иностранных вендоров, таких как OpenShift, Rancher, Tanzu². Также DKP — лидер рейтинга российских Kubernetes-платформ по версии Market.CNews³.

¹ https://reestr.digital.gov.ru/reestr/490559/?sphrase_id=3508437
² https://catalog.arppsoft.ru/replacement/section_6055330
³ https://www.cnews.ru/reviews/platform_kubernetes

Получить консультацию по Deckhouse Kubernetes Platform можно, заполнив заявку на сайте продукта.

Краткий обзор системы

Deckhouse Kubernetes Platform работает поверх любой инфраструктуры, обеспечивая независимость от поставщика.

Платформа легко устанавливается, предоставляет удобный пользовательский интерфейс, а кластеры преднастроены и готовы к работе.

Важные отличия от конкурентов

Первая полноценная Kubernetes-платформа, сертифицированная ФСТЭК России

Платформа Deckhouse Kubernetes Platform сертифицирована ФСТЭК России на соответствие: 

• требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (утверждены приказом ФСТЭК России от 2 июня 2020 г. № 76), — по 4-му уровню доверия;
• требованиям безопасности информации к средствам контейнеризации (утверждены приказом ФСТЭК России № 118 от 4 июля 2022 г.) — по 4-му классу защиты.

Сертифицированная редакция DKP Certified Security Edition позволяет обеспечить:

• безопасность информации на значимых объектах критической информационной инфраструктуры;
• безопасность персональных данных в информационных системах до 1-го уровня защищенности включительно;
• безопасность информации в государственных информационных системах до 1-го класса защищенности;
• безопасность информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах,  потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

Больше информации о DKP Certified Security Edition вы можете узнать на странице продукта.

Важным отличием от сертифицированных по 118-му приказу ФСТЭК операционных систем в контексте запуска контейнеров является большое количество дополнительных модулей в сертифицированной поставке, необходимых для полноценной оркестрации контейнерных нагрузок.

Максимальная автоматизация задач эксплуатации и администрирования

DKP спроектирована так, чтобы максимально избавить команды эксплуатации от повторяющихся рутинных операций по администрированию. Это достигается благодаря двум подходам. Первый — глубокая интеграция всех компонентов. Например, перевыпуск сертификатов перенастраивает сразу все компоненты кластера на работу с новыми сертификатами. Второй — максимальное упрощение ручных операций. Например, развёртывание готового к продуктивной эксплуатации кластера занимает 8 минут, а обновление версии Kubernetes в кластере происходит нажатием одной кнопки.

Руководитель платформы разработки экосистемы Deckhouse Максим Набоких рассказывает о тесной связности модулей Deckhouse Kubernetes Platform.

Оператор DKP обеспечивает автоматизацию пятого уровня («Автопилот» на схеме ниже), тогда как большинство решений на рынке не могут похвастаться такой высокой степенью проработки сценариев и едва достигают второго уровня автоматизации.

Готовые высокоуровневые строительные блоки для архитектуры

Deckhouse Kubernetes Platform — не просто очередной дистрибутив Kubernetes, а полноценная платформа для построения инфраструктуры Enterprise-уровня. В платформе есть все необходимые высокоуровневые строительные блоки для создания архитектуры любой сложности. Высокий уровень абстракции позволяет использовать их, не задумываясь о механизмах внутренней реализации, и при этом не сомневаться в результате.

Полное разделение задач использования и администрирования платформы

Высокая степень автоматизации, продуманные сценарии использования и готовый набор строительных блоков позволяют использовать платформу в режиме «как сервис». В нём команды разработки могут самостоятельно заказывать инфраструктуру в своих проектах в рамках заранее заданных квот на ресурсы и преднастроенных операционных политик. Это даёт возможность обслуживать большое количество команд разработки при небольшом штате команды администрирования.

Многочисленные внедрения, в том числе в больших и высоконагруженных инсталляциях

Deckhouse Kubernetes Platform работает в продуктивных окружениях с 2017 года. Платформу используют более 170 компаний из разных индустрий, среди них — банкинг, ретейл, промышленность, финтех, нефтегаз и другие. За это время мы «обкатали» наше решение в самых разных условиях и режимах эксплуатации. Deckhouse Kubernetes Platform — надёжный и проверенный продукт Enterprise-уровня.

Собственные курсы подготовки специалистов

Академия Deckhouse обучает инженеров компаний-клиентов, партнёров и всех желающих построению стабильной и надёжной ИТ-инфраструктуры на базе эффективного использования продуктов экосистемы Deckhouse. 

Дистанционное обучение в группах по расписанию проводят эксперты-преподаватели. Курсы состоят из лекций, онлайн-разборов, демонстраций работы, выполнения практических заданий, Q&A-сессий.

Автор и преподаватель курса «Основы администрирования DKP» Алексей Бобылёв рассказывает о программе обучения.

По завершении обучения слушатели проходят сертификацию. Сотни инженеров из десятков компаний уже прошли обучение и получили сертификат «Администратор DKP».

Более подробно узнать о доступных программах обучения, ближайших сроках проведения и стоимости можно на сайте Deckhouse Академии.

Несколько редакций, в том числе свободно распространяемая Community Edition

Deckhouse Kubernetes Platform доступна в нескольких редакциях с разным функционалом, что позволяет подобрать конфигурацию платформы под запросы конкретной компании.

Бесплатная редакция платформы DKP Community Edition содержит все необходимые инструменты для эксплуатации в продуктивных окружениях. Редакция может быть полезна для первого знакомства с платформой и помогает инженерам составить представление о продукте без контакта с вендором.

Коммерческие редакции DKP включают расширенные возможности для настройки Kubernetes-инфраструктуры. Например, в них входят: поддержка российских ОС, развёртывание в закрытом контуре, графический интерфейс, интеграция с частным облаком, расширенная безопасность, техподдержка.

С подробным составом редакций и различиями между ними вы можете ознакомиться на сайте.

Одновременная поддержка минимум четырёх версий Kubernetes

В отличие от других платформ на рынке, Deckhouse Kubernetes Platform поддерживает одновременно несколько версий Kubernetes. Это даёт пользователям гибкость при выборе и необходимое время для подготовки приложений к обновлению ядра Kubernetes.

Ежегодно в среднем выходят четыре новые версии Kubernetes, что означает, что с DKP можно оставаться на одной версии Kubernetes минимум год.

Кроме того, наши инженеры следят за стабильностью нового функционала Kubernetes, так что одна из версий всегда отмечена в платформе как рекомендуемая по умолчанию для продуктивных окружений. Таким образом, можно ориентироваться на специалистов Deckhouse при выборе наиболее стабильной версии Kubernetes для своих окружений либо выбрать версию с ранним доступом, содержащую наиболее свежие функции.

В документации DKP можно узнать текущие поддерживаемые версии Kubernetes и рекомендуемую версию для продуктивного использования.

Возможность централизованного управления при полной автономности кластеров

Deckhouse Commander позволяет эффективно управлять несколькими кластерами DKP из единого интерфейса, обеспечивая централизованную безопасность (например, сквозной контроль ролевой модели доступа и политик безопасности во всех кластерах) и наблюдаемость.

Каждый прикладной кластер полностью автономен и сохраняет функциональность даже при долгосрочной потере связности с центральным кластером (например, из-за сетевых проблем у провайдера связи). Также каждый прикладной кластер имеет свой локальный графический интерфейс, то есть может не только использоваться, но и администрироваться полностью автономно.

Лёгкая интеграция в портал управления инфраструктурой благодаря мощному API

Deckhouse Kubernetes Platform разрабатывается в парадигме API first, предоставляя доступ ко всем возможностям платформы через мощный API. Он спроектирован таким образом, чтобы полностью абстрагировать пользователя от нижележащей реализации. Благодаря такому подходу платформа легко встраивается в любой корпоративный портал управления инфраструктурой. Пользователи могут сами решать, как работать с платформой: через графический интерфейс, API или GitOps-подход.

Возможность запуска виртуальных машин

В больших экосистемах переход от монолитной архитектуры к микросервисам и Cloud Native-подходу не может быть быстрым. Поэтому платформа максимально адаптирована под комбинированное использование контейнеризованных приложений и legacy-монолитов, которые не могут быть запущены в контейнерах.

Входящий в состав платформы модуль виртуализации позволяет запустить полноценную виртуальную машину в одном окружении с контейнерами, максимально упрощая общение микросервисов с монолитом (например, с базой данных).

Кроме того, виртуализация может быть использована как полноценный IaaS-слой для развёртывания множества изолированных кластеров DKP поверх bare-metal-серверов.

На вебинаре мы подробно рассказали о возможностях и особенностях нашей виртуализации.

Самая быстро развивающаяся платформа.

Над улучшением Deckhouse Kubernetes Platform постоянно работают более ста высококвалифицированных инженеров. За год мы выпускаем более двенадцати новых минорных версий DKP, тогда как другие решения на рынке, как правило, обновляются два-три раза в год. Deckhouse Kubernetes Platform — самая динамично развивающаяся Kubernetes-платформа на российском рынке.

Мы регулярно информируем о выходе новых версий платформы в email-рассылке и Telegram-канале. Также в блоге Deckhouse ежеквартально выходят обзоры нового функционала.

Сферы применения

Deckhouse Kubernetes Platform имеет множество внедрений и публичные кейсы в таких индустриях, как:

• нефтегазовая отрасль;
• банковский сектор;
• финтех;
• облачные провайдеры;
• государственные организации;
• ретейл.

Deckhouse Kubernetes Platform поможет справиться с вызовами, которые стоят перед бизнесом в следующих ситуациях:

• цифровая трансформация;
• необходимость импортозамещения;
• нехватка экспертизы Kubernetes, кадровый дефицит;
• отсутствие единого стандарта инфраструктуры для запуска ПО;
• рост расходов на поддержку при увеличении количества кластеров;
• «зоопарк» решений и подходов к инфраструктуре.

Нефтегазовый сектор

«Газпром нефть» — российская вертикально интегрированная нефтяная компания.

Компании требовалось перейти на отечественное решение при построении инфраструктуры для внутренней платформы разработки, а также создать единую концепцию архитектуры, включающую в себя развёртывание и эксплуатацию региональных кластеров.

При этом необходимо было не только выбрать отечественное коробочное решение, которое полностью закрывает потребности компании и не уступает по качеству зарубежным аналогам, но и осуществить миграцию уже существующих приложений из OpenShift на новое решение.

Deckhouse Kubernetes Platform позволила максимально сохранить текущий пользовательский опыт команд разработки (использовать проекты для настройки изолированных окружений), а также реализовать концепцию архитектуры региональных кластеров с независимым управлением и отказом от больших «коммунальных» инсталляций.

В результате компания «Газпром нефть» первой в нефтегазовой отрасли внедрила отечественное ПО для управления контейнеризованными нагрузками, закрыв потребность отраслевого сообщества в технологическом стандарте.

Проект получил премию РБК Digital Awards 2024 за внедрение в нефтегазовой отрасли российской платформы Deckhouse Kubernetes Platform, ставшей технологическим стандартом для решения задач контейнеризации в крупнейшей компании топливно-энергетического комплекса.

Финтех

ЕДИНЫЙ ЦУПИС — высоконагруженный финтех-проект ООО НКО «Мобильная карта» и первопроходцы внедрения Kubernetes в финтехе не только в России, но и в мире.

Масштабирование платёжного сервиса привело к усложнению архитектуры и необходимости цифровой трансформации. Перед компанией стояли сложные вызовы: обеспечить обработку платежей и безопасность персональных данных в соответствии с федеральным законодательством, сохранить максимальную простоту архитектуры и единый технологический ландшафт при большом количестве приложений, гарантировать сохранение минимального времени отклика, отказоустойчивости и управляемости системы, а также минимизировать риски внедрения программных продуктов на базе Open Source. 

Необходимо было разработать подходы по развёртыванию кластеров Kubernetes на собственных серверах внутри компании, организовать оркестрацию приложений, а также обеспечить полное соответствие модернизированной инфраструктуры требованиям ИБ и федерального законодательства.

Под управлением Deckhouse Kubernetes Platform была организована геораспределённая, отказоустойчивая архитектура: четыре кластера, два из которых расположены на площадке, сертифицированной по PCI DSS, были объединены в service mesh. Безопасность приложений была усилена средствами взаимной аутентификации, а все необходимые компетенции были переданы внутренним инженерным командам в рамках клиентской поддержки.

Результаты цифровой трансформации таковы: Deckhouse Kubernetes Platform оркестрирует более 160 микросервисов, команды разработки выкатывают на production-окружения до 30 релизов в сутки, а мультиЦОД-инсталляция обеспечивает SLA более 99,99%.

Первый в России проект по внедрению Deckhouse Kubernetes Platform в финтех-компании отмечен наградой TAdviser IT Prize.

«Мы существенно сократили время и количество ресурсов, которые потребовались для внедрения платформы оркестрации, благодаря тому, что выбрали готовое решение и нашли команду с глубокой экспертизой. Deckhouse Kubernetes Platform позволила команде ЕДИНОГО ЦУПИС сконцентрироваться на разработке и решении бизнес-задач, а не на погружении в сложности устройства Kubernetes и технологий вокруг него»

Александр фон Розен, член правления, технический директор, ЕДИНЫЙ ЦУПИС

Банковский сектор

«ОТП Банк» входит в число 50 крупнейших банков России, обслуживает около 2 миллионов клиентов в 1850 населенных пунктах страны.

Задачей бизнеса было максимально снизить time to market. При этом команды разработки испытывали сложности из-за долгого развёртывания новых кластеров Kubernetes в изолированной банковской сети, а большое количество ручной работы и отсутствие единого стандарта приводили к высокими затратам на развёртывание и поддержку кластеров.

Было принято решение реализовать подход «платформа как сервис» (PaaS) на базе внутреннего облака для быстрого получения кластера и экономии ресурсов продуктовых команд, а также осуществить разработку и внедрение стандарта конфигурации кластера Kubernetes в частном облаке.

В качестве основы для PaaS была выбрана Deckhouse Kubernetes Platform, что дало возможность командам разработки разворачивать кластеры «по кнопке» в режиме «кластер как сервис». Готовый кластер со всем необходимым разворачивается за 40 минут. DKP также обеспечивает мониторинг и наблюдаемость всей создаваемой в рамках PaaS-инфраструктуры в приватном облаке в соответствии с требованиями ИБ. Это позволяет поддерживать более 50 кластеров силами всего двух инженеров команды эксплуатации.

«Deckhouse Kubernetes Platform стала нашим выбором по нескольким ключевым причинам. Прежде всего, это готовое и проверенное решение для работы с контейнерами, что минимизирует временные затраты на доработку. Платформа предлагает широкий функционал для развёртывания и управления кластерами Kubernetes — это полностью соответствует потребностям наших продуктовых команд.

Мы также оценили возможность постоянного взаимодействия с вендором во время инсталляции, и в этом ещё одно преимущество работы с отечественным ПО. Инженеры Deckhouse предоставляли круглосуточную поддержку, что способствовало оперативному решению возникающих вопросов и ускорению реализации проекта. За всё это время моя команда не зарегистрировала ни одного критического обращения, что свидетельствует о высокой степени зрелости и надёжности Deckhouse Kubernetes Platform»

Сергей Симоненко, директор дивизиона информационных технологий «ОТП Банка»

Функциональность

В состав Deckhouse Kubernetes Platform входят более семидесяти модулей, которые решают любые инфраструктурные задачи — от балансировки трафика до гибкой настройки политик безопасности.

Ядро платформы

1. Преобразует различные инфраструктуры в стандартизированный формат, предоставляя бизнес-приложениям полную независимость от инфраструктуры.
2. Оператор DKP обеспечивает полное «автопилотирование» всех компонентов платформы.
3. Мощный API обеспечивает лёгкую интеграцию платформы во внешние системы управления и абстрагирует внешний интерфейс от внутренней реализации.
4. Модульная архитектура позволяет гибко конфигурировать платформу под ваши задачи, а также значительно упрощает доставку и обновление прикладного ПО благодаря возможности «упаковать» приложение в модуль DKP.
   
   • Простой фреймворк для написания собственных модулей к платформе: унифицированное описание, валидация конфигурации, подробная документация.
   • Удобный механизм доставки собственных модулей и вендорского ПО, в том числе в закрытый контур.
   • Постоянный контроль и приведение состояния модуля к желаемому исключают внесение ручных изменений.
   • Гарантированная совместимость всего запускаемого ПО с платформой.
   • Продуманный механизм обновления для закрытых окружений из единого реестра образов.
   • Простое добавление модуля во внутренний маркетплейс в кластере 
с возможностью включения/отключения модуля одной кнопкой (в планах).
5. Настраивает компоненты Kubernetes и управляет ими.
   
   • Control plane Kubernetes полностью под управлением Deckhouse, что обеспечивает отказоустойчивость и управление жизненным циклом кластера.
   • Все ручные операции автоматизированы: создание и ротация сертификатов, масштабирование и восстановление кластера.
   • Поддержка не менее четырёх версий Kubernetes в каждой версии платформы — обновляйтесь, когда вам удобно.
   • Каждая версия сертифицирована CNCF, что гарантирует совместимость приложений.

Инфраструктурно-независимый фундамент

Инфраструктурно-независимый фундамент DKP превращает любую инфраструктуру в стандартную благодаря следующим возможностям.

1. Интеграция с ключевыми IaaS даёт приложениям полную независимость от нижележащей инфраструктуры.
   • Нативная работа с балансировщиками и хранилищами в поддерживаемых провайдерах.
   • Упрощённое управление узлами кластера: автоматический заказ узлов в облаках, автонастройка узлов, беспростойное обновление ПО платформы на узлах.
2. Интеграция с сетью компании облегчает работу инженеров и упрощает обслуживание платформы.
   • Балансировка входящего трафика через BGP или L2.
   • Отказоустойчивый NAT и egress gateway.
   • Сетевые политики и визуализация сетевых взаимодействий.
   • Встроенный DNS-сервис упрощает Service Discovery и конфигурацию приложений, а локальное кэширование оптимизирует внутренний трафик.
   • Управление статической маршрутизацией на узлах и политиками маршрутизации в bare-metal-кластерах.
3. Широкие возможности хранения данных подходят для любого варианта развёртывания.
   • Размещение хранилищ на локальных дисках узлов.
   • Снятие снапшотов.
   • Полностью автоматизированная работа с дисками в поддерживаемых облаках.
   • Интеграция с СХД через CSI-драйвер от вендора СХД.
   • Интеграция с СХД через универсальный механизм shared LUN CSI (в планах).
   • Готовый CSI-драйвер для подключения внешнего хранилища на базе Ceph.
   • S3-хранилище (в планах).

Оператор платформы

Оператор DKP обеспечивает автоматизацию уровня «Автопилот».

Первый уровень — только установка

• Полная конфигурация установки гарантирует воспроизводимость.
• Поддержка публичных и приватных облаков.
• Развёртывание в статическом исполнении и на железе, а также гибридная модель и мультиклауд-инсталляции.
• Полная настройка ОС и поддержка российских ОС.
• Установка в закрытый контур.
• Интеграция с сетью компании и СХД.

Второй уровень — бесшовное обновление

• Гибкое управление режимами запуска обновлений: автоматически, по расписанию, вручную.
• Пять каналов стабильности.
• Отправка уведомлений об обновлении.
• Обновления платформы, управляющего слоя Kubernetes, инфраструктурного ПО на узлах в единой поставке.
• Продуманные сценарии обеспечивают беспростойную работу приложений и платформы при обновлении.
• Проверка применимости каждого обновления и политика обратной совместимости гарантируют полную работоспособность новой версии именно в вашей конфигурации..

Третий уровень — управление жизненным циклом кластера

• Гибкое управление ресурсами: группы узлов, квоты, контроль утилизации, оптимизация размещения прикладной нагрузки, автоматическая изоляция проблемных узлов.
• Гарантия высокой доступности: резервирование ресурсов, отказоустойчивый режим, приоритеты компонентов, стресс-тестирование.
• Централизованный контроль и управление: политики, мультиарендность и настройки на уровне проектов.
• Глубокая связанность всех компонентов обеспечивает повсеместное применение глобальных изменений.
• Несколько десятков дополнительных подсистем для production-ready-использования (рассмотрим далее).
• Связь между компонентами платформы осуществляется только посредством TLS/HTTPS с обеспечением аутентификации и авторизации.
• Отслеживание доступности узлов и обеспечение автоматической изоляции недоступных (fencing).

Четвёртый уровень — полная наблюдаемость

• Встроенный мониторинг управляющего слоя и всех подсистем с продуманными метриками.
• Готовые правила уведомлений (alerting rule), основанные на опыте эксплуатации сотен кластеров.
• Панели графиков глубокой детализации упрощают поиск причины в случае проблем (root cause analysis).
• Статус-страница даёт быстрое понимание состояния компонентов системы.
• Синтетические тесты постоянно проверяют работоспособность ключевых подсистем платформы и отображают SLA по всем компонентам.

Пятый уровень — автопилот

• Автомасштабирование кластера по узлам и управляющих компонентов как по ресурсам, так и горизонтально.
• Автоматическое конфигурирование кластера и управляющих компонентов в отказоустойчивый режим при наличии ресурсов.
• Автопланировщик перемещает прикладную нагрузку между узлами, обеспечивая оптимальную утилизацию ресурсов с учётом квот.
• Постоянное сканирование уязвимостей и автообнаружение угроз.
• Полная автоматизация процесса обновления.

Комплексная безопасность

Deckhouse Kubernetes Platform обеспечивает комплексную безопасность инфраструктуры на всех уровнях.

• Единый центр аутентификации обеспечивает безопасный доступ к API кластера, всем веб-интерфейсам и пользовательским приложениям.
• Авторизация и разделение прав доступа с помощью ролевой модели.
• Регулярная проверка образов на известные CVE с возможностью блокировки выката приложений.
• Мультиарендность на базе проектов — типовых изолированных друг от друга окружений, созданных по заранее подготовленному шаблону.
• Постоянный аудит запущенных приложений и обнаружение угроз безопасности.
• Преднастроенные политики безопасности и операционные политики.
• Удобная настройка оповещений о событиях безопасности в кластерах.

Единый центр аутентификации

• Безопасный доступ к API кластера, всем веб-интерфейсам и пользовательским приложениям.
• Возможность создания локальных пользователей и групп. Простая выдача конфигурации подключения.
• Интеграция с внешними провайдерами аутентификации (LDAP, Active Directory, OIDC и другие).
• Контроль доступа к ресурсам платформы, настройка правил авторизации и ограничения доступа к любым системам по IP и группам пользователей.
• Аутентификация для сторонних приложений.
• Взаимная достоверная аутентификация сервисов и шифрование трафика (mTLS).

Авторизация и разделение прав доступа

• Управление доступом с помощью стандартной ролевой модели Kubernetes на уровне пространств имён кластера или всего кластера.
• Семь преднастроенных ролей с тщательно продуманными правами на любой случай.
• Возможность создавать свои собственные кастомные роли для ещё большей гибкости разделения прав.
• Создание и управление техническими сервисными учётными записями для взаимодействия различных информационных систем друг с другом.
• Гибкие политики авторизации для сервисов (service mesh).
• Возможность предоставлять доступ к избранным сервисам при объединении кластеров в режиме федерации (service mesh).

Сканирование образов на уязвимости

• Регулярная проверка образов на известные CVE (включая уязвимости Astra Linux, РЕД ОС и ALT Linux).
• Возможность блокирования выката приложений в случае нахождения Critical и High уязвимостей.
• Возможность конвертации отчётов уязвимостей из базы CVE на данные из базы BDU и вывода их в отчёт.
• Возможность подключения встроенной в DKP базы данных уязвимостей для проверки образов бизнес-приложений на этапе сборки (сама проверка при этом осуществляется сторонними средствами).

Мультиарендность на базе проектов

• Проекты — типовые изолированные друг от друга окружения, созданные по заранее подготовленному шаблону.
• Полная изоляция ресурсов и политик доступа между проектами обеспечивает безопасную мультиарендность и даёт разработчикам возможность запускать приложения без влияния на другие проекты.
• Возможность устанавливать квоты на ресурсы и ограничения для каждого проекта предотвращает избыточное использование ресурсов.
• Разработчики могут запрашивать у администраторов проекты, созданные по готовым шаблоны, что позволяет быстро начать разработку нового приложения.

Аудит запущенных приложений и обнаружение угроз безопасности

• Анализ событий ядра Linux.
• Аудит вызовов API Kubernetes.
• Обнаружение событий безопасности по установленным правилам:
  • Попытки применения уязвимостей из базы CVE и запуска криптовалютных майнеров.
  • Запущенные оболочки командной строки.
  • Контейнеры, работающие в привилегированном режиме.
  • Монтирование небезопасных путей (например, /proc) в контейнеры.
  • Попытки чтения секретных данных из, например, /etc/shadow.

Политики безопасности и операционные политики

• Возможность использовать одну из трёх предустановленных политик безопасности Pod Security Standards или настроить собственные политики.
• Набор операционных политик и лучших практик для безопасной работы ваших приложений:
  • Разрешить только доверенные registry
  • Обязательно прописывать ресурсы
  • Использовать пробы
  • Ограничить количество ревизий
  • Указывать priority class
  • Запретить использовать тег latest
• Управление сетевыми политиками и визуализация сетевых взаимодействий.

Оповещения о событиях безопасности

• Гибкий сбор логов аудита, их обработка и доставка в SIEM-системы.
• Встроенные метрики и возможность собирать любые пользовательские метрики.
• Удобная настройка оповещений о событиях ИБ в кластерах.

Контроль конфигураций на соответствие CIS Benchmark

Раз в сутки все кластеры проверяются на соответствие рекомендациям CIS Benchmark и результаты проверки выводятся на дашборд подсистемы мониторинга. Проверяются:

• все компоненты управляющего слоя Kubernetes;
• настройки аутентификации и авторизации;
• настройки логирования и аудита;
• конфигурация рабочих узлов;
• корректность политик: безопасности, операционных и сетевых;
• работа с секретами в кластере.

Компоненты платформы

Компоненты платформы — это совокупность тесно связанных инструментов для решения всех инфраструктурных задач в production-ready-инсталляциях.

• Компоненты тестируются на совместимость и обновляются вместе 
с платформой.
• Поставка происходит напрямую из репозитория вендора внутри одного пакета установки.
Никакие модули не ставятся из интернета.
• Все компоненты специальным образом настроены и интегрированы
для совместной работы.
• Осуществляется сквозной контроль работоспособности и постоянное измерение SLA по всем компонентам.
• Продуманные метрики, готовые алерты и детальные панели графиков для всех компонентов доступны «из коробки». 

Программно-определяемая сеть

• Маршрутизация и балансировка внутреннего трафика.
• Отказоустойчивая балансировка входящего TCP/UDP-трафика в любых инсталляциях.
• Управление сетевыми политиками без привязки к IP-адресам.
• Автогенерация политик для управляющих компонентов кластера с возможностью реализации подхода Zero Trust.
• Визуализация сетевых взаимодействий, трассировка трафика.
• Отказоустойчивый сетевой шлюз для исходящего трафика.
• Встроенный service mesh.
• Централизованная настройка и управление таблицами маршрутизации в кластере.
• Сегментация сети в кластере на уровне проектов (VLAN).*

* В планах

Подробно про сетевые возможности DKP в докладе архитектора Андрея Половова.

Сквозная наблюдаемость

• Готовые метрики, алерты и дашборды визуализации для всех компонентов платформы «из коробки» с любой степенью детализации.
• Все возможности для мониторинга пользовательских приложений.
• Встроенное хранилище метрик высокой детализации (30 секунд) и долгосрочное хранилище метрик низкой детализации (5 минут).
• Возможность отправки метрик и алертов во внешние системы.
• Кэширование запросов к Prometheus.

Журналирование

• Система сбора, обработки и фильтрации журналов для распределённых систем.
• Встроенное хранилище журналов.
• Возможность отправки журналов во внешние хранилища.
• Отправка оповещений на основе данных журналов.
• Удобный просмотр и визуализация журналов в реальном времени.

Управление сертификатами

• Заказ, отслеживание сроков действия и автоматическое обновление SSL-сертификатов.
• Интеграция с различными CA-сервисами, такими как Let’s Encrypt, Vault, или корпоративным центром сертификации.
• Сертификаты могут использоваться как для защиты связи между службами внутри платформы, так и для обеспечения безопасного доступа пользователей к приложениям через TLS/SSL.
• Параметры заказа сертификатов могут быть настроены на уровне всей платформы или индивидуально для каждого приложения.

Программно-определяемое хранилище

Подробно про хранение данных в DKP в докладе архитектора Андрея Половова.

Балансировка входящего трафика

• Обеспечивает управление маршрутизацией HTTP- и HTTPS-трафика.
• Позволяет определять правила маршрутизации на основе путей URL и хостов.
• Обеспечивает балансировку нагрузки и терминацию SSL/TLS для защиты трафика.
• Заказ балансировщика и настройка правил производятся в режиме самообслуживания через единый API Kubernetes, упрощая управление и контроль доступа к приложениям.
• Глубокая интеграция с платформой мониторинга и проработанные панели графиков позволяют быстро находить и диагностировать проблемы в работе приложений.
• Отказоустойчивая балансировка входящего TCP/UDP-трафика в любых инсталляциях.

Графический интерфейс пользователя и администратора

Преимущества

Лидер среди российских платформ оркестрации контейнеров

Deckhouse Kubernetes Platform — лидер рынка российских Kubernetes-платформ по версии первого независимого рейтинга от ИТ-маркетплейса Market.CNews.

DKP находится в промышленной эксплуатации с 2017 года и является первой отечественной K8s-платформой в Реестре российского ПО с классом 02.12 «Системы контейнеризации и контейнеры», а также первой российской платформой, получившей статус Certified Kubernetes от CNCF.

Команда с лучшей экспертизой на рынке

Команда разработчиков Deckhouse имеет более пятнадцати лет опыта на рынке решений для управления Cloud Native-инфраструктурой и является лидером по количеству контрибуций в Kubernetes среди всех российских компаний.

Разработчики Deckhouse принимают активное участие и являются лидерами разработки таких экосистемных Open Source-решений, как Dex, Istio, KubeVirt, а их доклады на отраслевых конференциях регулярно собирают полные залы.

С Deckhouse вы можете быть уверены, что сотрудничаете с лучшими экспертами в области построения и управления Cloud Native-инфраструктурой в стране.

Обеспечивает независимость от поставщика инфраструктуры

Deckhouse Kubernetes Platform работает поверх любой инфраструктуры, предоставляя вам независимость от её поставщика.

С DKP можно использовать мультиклауд- (несколько облаков) или гибридный подход (сочетание облака и on-premise) к организации инфраструктуры. При этом кластеры, развёрнутые поверх разных инфраструктур, неотличимы для пользователя, что обеспечивает бесшовную миграцию приложений между ними.

Автоматизирует до 80% ручных операций команды эксплуатации

Фокус на автоматизации повседневных операций администрирования и эксплуатации позволяет нашим клиентам поддерживать более 50 кластеров минимальными силами команды эксплуатации, высвобождая время остальных специалистов для решения прикладных задач бизнеса.

Сокращает время доставки ПО до потребителя (time to market)

Deckhouse Kubernetes Platform позволяет компаниям выводить приложения в продуктив до шести раз быстрее и сократить средний срок запуска приложения в платформе до пяти минут, что существенно сокращает время доставки ценности до клиентов.

Позволяет обеспечить SLA инфраструктуры 99,99%

Все управляющие компоненты DKP по умолчанию разворачиваются в отказоустойчивом режиме, что вкупе с широкими возможностями для реализации мультиЦОД-архитектуры даёт нашим клиентам возможность выстроить инфраструктуру с SLA более 99,99%, обеспечивая таким образом непрерывность критических бизнес-процессов.

Соответствует лучшим практикам безопасности

Вендор имеет отстроенные процессы безопасной разработки, что подтверждается лицензиями ФСТЭК на деятельность по технической защите КИ и по разработке и производству средств защиты КИ.

Редакция платформы DKP Certified Security Edition сертифицирована ФСТЭК России и может использоваться при работе с конфиденциальными данными в составе тех информационных систем, в которых использование сертифицированных продуктов является обязательным (например, госкомпании, госкорпорации, банки, федеральные и региональные органы исполнительной власти).

Константин Аксёнов, директор департамента разработки Deckhouse, о безопасности контейнерных сред в эфире AM Live.

Совместима со всем необходимым ПО других вендоров

Deckouse Kuberentes Platform работает со всеми самыми распространёнными отечественными серверными операционными системами и системами виртуализации.

В кластерах DKP без проблем запускается любое прикладное приложение, которые работает на «ванильном» Kubernetes. Каталог сертифицированных решений с подтверждённой двусторонней совместимостью содержит десятки продуктов других вендоров и постоянно пополняется.

Для получения сертификата совместимости вашего решения с DKP напишите нам на partners@deckhouse.ru.

Широкая партнёрская сеть

У вендора десятки партнёров по внедрению Deckhouse Kubernetes Platform, что позволяет клиенту быть уверенным в успехе проекта.

Выберете партнёра по внедрению в списке. Если нужного партнёра нет — напишите нам на partners@deckhouse.ru.

Большое количество специалистов на рынке

Мы стремимся развивать сообщество экспертов Deckhouse и инвестируем в это много времени и сил. В Telegram-чате Deckhouse более полутора тысяч участников, а на рынке труда всё чаще можно встретить указание опыта работы с Deckhouse в резюме специалистов и требование наличия такого опыта — в вакансиях работодателей.

Присоединяйтесь к сообществу пользователей Deckhouse в нашем Telegram-чате.

Кроме того, мы обучаем инженеров профильным навыкам работы с платформой в рамках Deckhouse Академии.

Экосистема глубоко интегрированных решений

Deckhouse — не один продукт, а целая экосистема тесно связанных продуктов, обеспечивающая полный цикл производства программного обеспечения.

Deckhouse — это экосистема продуктов для контейнеризации, мониторинга и виртуализации, которые позволяют:

• безопасно разрабатывать, доставлять и эксплуатировать Cloud Native-приложения;
• безопасно эксплуатировать legacy-приложения; 
• облегчить и ускорить переход с монолита и legacy на микросервисы.

Deckhouse Virtualization Platform (DVP) — частное облако с простым и понятным интерфейсом для декларативного создания и работы с виртуальными машинами и их ресурсами.

Deckhouse Kubernetes Platform (DKP) — платформа оркестрации контейнеров, которая позволяет безопасно управлять жизненным циклом кластеров Kubernetes в любой ИТ-инфраструктуре.

Deckhouse Delivery Kit — решение для безопасной сборки и доставки контейнеризованного ПО, а также управления его жизненным циклом.

Deckhouse Registry — решение для централизованного управления и хранения репозиториев контейнеров.

Deckhouse Stronghold — решение для безопасного хранения секретов и управления ими.

Deckhouse Commander — центр управления жизненным циклом парка кластеров DKP из одного интерфейса.

Deckhouse Observability Platform — платформа централизованного мониторинга и журналирования инфраструктуры и приложений.

Deckhouse Code — решение для централизованного управления исходным кодом, упрощения контроля качества кода и процесса разработки.

Deckhouse Marketplace — каталог проверенного российского ПО, которое совместимо с Deckhouse, легко устанавливается и автоматически обновляется.

Подходит для EDGE-инсталляций

Благодаря полной автономности кластеров с прикладной нагрузкой, а также минимальным системным требованиям к железу, DKP отлично подходит для решения задач развёртывания и администрирования инфраструктуры в удалённых инсталляциях, например в регионах с плохой сетевой доступностью и дефицитом ресурсов. 

Недостатки

Нет поддержки инстансов с ARM-архитектурой

Мы часто слышим о необходимости использовать сервера с ARM-архитектурой процессоров в качестве узлов кластера DKP. Однако за несколько лет мы так и не увидели устойчивого спроса на этот функционал ни со стороны наших клиентов, ни со стороны комьюнити, поэтому данная задача по-прежнему в бэклоге. Напишите нам в Telegram, есть ли у вас потребность в использовании ARM-архитектуры в кластерах DKP.

Функционал графического интерфейса пока отстаёт от API

DKP развивалась в первую очередь как API-first-платформа. Долгое время у платформы вообще не было единого графического интерфейса за исключением интерфейса некоторых входящих в состав компонентов (например, Kubernetes Dashboard). Сейчас мы сильно наращиваем возможности нашего интерфейса, каждый месяц добавляя туда новый функционал (за анонсами можно следить в Telegram, в блоге или по почте).

Ограниченные возможности кастомизации

Мы часто слышим от сообщества, что платформа не позволяет настраивать тот или иной параметр так, как хотелось бы инженерам. В разработке DKP мы сознательно идём по пути ограничения тех или иных комбинаций параметров, если знаем, что они приводят к нестабильной работе или просто-напросто являются антипаттерном, который часто используют для компенсации недостатка опыта построения правильной архитектуры. Таким образом, следуя принципу «DKP работает всегда» мы не даём администратору возможности «сломать» платформу. Все самые распространённые сценарии работы уже поддерживаются штатными режимами DKP и, скорее всего, уже описаны в документации. Если вы не нашли необходимых для вашей ситуации функций, обратитесь с вопросом к сообществу или к нашим специалистам по одному из каналов технической поддержки.

Заключение

В этой статье мы постарались сделать всесторонний обзор платформы управления контейнерными нагрузками Deckhouse Kubernetes Platform.

DKP отлично подходит для комплексного решения разнородных задач по управлению ИТ-инфраструктурой. В состав экосистемы Deckhouse, помимо платформы контейнеризации, входит целая линейка тесно интегрированных продуктов для построения конвейера полного цикла производства цифровых продуктов Enterprise-уровня. Среди них — платформа виртуализации, инструменты для централизованного управления и наблюдаемости, хранения секретов. Также в экосистему входят решения для сборки и доставки в среду исполнения собственных и внешних бизнес-приложений: реестр образов контейнеров, решение для управления исходным кодом, инструменты сборки и доставки приложений.

Deckhouse — это комплексное решение задач построения современной ИТ-инфраструктуры для любой отрасли.

По любым вопросам вы можете связаться с нами:
contact@deckhouse.ru
+7 (495) 721-10-27