NetFoundry:基于 Oracle Cloud Infrastructure 的 Kubernetes 集成
NetFoundry 的零信任网络与 OCI Kubernetes Engine 集成,可减轻设置和管理企业级专用 Kubernetes 集群的运营负担。
NetFoundry 和 Oracle 认识到连接到 Kubernetes 集群及其生态系统非常复杂,因此 NetFoundry 允许您在遵循以下 Oracle 优秀实践设计原则的同时进行连接:
-
默认安全: OCI Kubernetes Engine 可根据企业安全优秀实践强化 Kubernetes 集群。
-
简化 Kubernetes 操作: OCI Kubernetes Engine 可管理您的集群资源,并自动执行经常性 Kubernetes 管理和扩展任务。
-
高性能:容器化应用通过 Oracle Cloud Infrastructure 的非阻塞网络在高性能计算资源上运行。
体系结构
然后,可以将 NetFoundry 网络中的端点分配给托管 Kubernetes 集群内可访问的任何集群服务,例如 kubectl 使用的 Kubernetes API,或者要向 NetFoundry 客户端端点公开的集群内部 IP 或集群 DNS 引用的任何 pod 或服务。
下图说明了此引用体系结构。
插图 netfoundry-kubernetes-oci.png 的说明
netfoundry-kubernetes-oci-oracle.zip
- 区域
Oracle Cloud Infrastructure 区域是一个本地化地理区域,其中包含一个或多个数据中心,托管可用性域。地区独立于其他地区,远距离可以把它们分开(跨越国家甚至大陆)。
此体系结构中的所有资源都部署在单个区域中。
- Identity Cloud Service(不使用)
Oracle Identity Cloud Service 为各种 SaaS 和内部部署应用提供身份管理、单点登录 (SSO) 和身份治理。
- Cloud Guard
您可以使用 Oracle Cloud Guard 监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用检测器配方,您可以定义该配方来检查资源是否存在安全漏洞,以及监视操作员和用户是否存在某些风险活动。检测到任何配置错误或不安全活动时,Cloud Guard 会根据您可以定义的响应器配方推荐更正操作并协助执行这些操作。
- 监视
Oracle Cloud Infrastructure Monitoring 可主动和被动监视您的云资源,并在指标满足指定触发器时使用预警通知您。
- 可用性域
可用性域是区域中的独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共用电源、冷却设施或内部可用性域网络等基础设施。因此,一个可用性域出现故障不会影响区域中的其他可用性域。
- VCN 和子网
VCN 是一个可定制的软件定义网络,您可以在 Oracle Cloud Infrastructure 区域中设置。与传统的数据中心网络一样,VCN 允许您控制您的网络环境。VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 划分为子网,子网可以限定为区域或可用性域。每个子网都包含一系列不与 VCN 中的其他子网重叠的连续地址。可以在创建后更改子网的大小。子网可以是公共子网,也可以是专用子网。
此架构使用单个 VCN,负载平衡器、Web 服务器、应用服务器和数据库具有单独的子网。
- Internet 网关
通过互联网网关,可以在 VCN 中的公共子网与公共互联网之间进行流量传输。
- 路由表
虚拟路由表包含用于将流量从子网路由到 VCN 之外目的地的规则,通常是通过网关。
- 安全列表
对于每个子网,可以创建安全规则来指定允许传入和传出子网的通信的源、目标和类型。
- Kubernetes 引擎
Oracle Cloud Infrastructure Kubernetes Engine ( OCI Kubernetes 引擎或 OKE )是一项全托管式、可扩展的高可用性服务,您可以使用它将容器化应用程序部署到云中。您可以指定应用所需的计算资源,Kubernetes Engine 在现有租户的 Oracle Cloud Infrastructure 上预配这些资源。OKE 使用 Kubernetes 跨主机集群自动部署、扩展和管理容器化应用。