向大家报告好消息: 近日,中国信通院、中国通信标准化协会正式公布《云原生产品目录》,青云云原生五款产品成功入选! 分别是 QKCP 企业级容器平台、KSV 容器虚拟化、RadonDB MySQL 容器化数据库、Kubernetes 云原生备份容灾服务、KubeEye 云原生集群巡检服务🎉 《云原生产品目录》是中国信通院为解决云原生用户选型困境,全面拉齐行业认知,推动我国云原生产业蓬勃发展而发起、征集和评选出来的。青云云原生相关产品、服务的成功入选,再次印证了青云在云原生领域强劲的产品、服务实力。 事实上,作为云原生核心服务商和技术引领者,青云很早就开启了云原生之路。借助自研和开源力量,青云形成了覆盖多集群管理、DevOps、微服务、可观测性等场景的云原生产品家族和方案,结合灵活定制、陪伴式服务,为中国人民银行、中国银行、微众银行、四川航空、津燃华润、中通快递、去哪儿网等众多知名企业铺筑了云原生转型最佳实践路径。 此外,青云云原生架构全面适配信创生态,云原生系列产品完美适配国产芯片、服务器、操作系统等基础架构,支持国产数据库、中间件等各类 PaaS 组件,以及支持 OA、邮件等应用系统上云,为企业 IT 架构重构、系统改造、资源统一管控等提供支持,进而为我国信息技术应用创新注入全新动力。未来,青云将聚焦企业敏捷、高效、降本等需求,持续丰富云原生产品、服务、方案能力,逐步重构企业 IT 架构,改进生产流程,加速云原生转型,驱动业务数字化创新。
Kubernetes 中跨 StorageClass 存储迁移指南
本文介绍了如何将 Kubernetes 集群中现有 PV 的数据迁移到新的 PV,并创建同名的 PVC 来指向新的 PV,这样就完成了应用的数据迁移而不需要对应用的配置清单做任何更改。最后还介绍了如何通过云原生备份容灾 SaaS 服务来简化迁移过程。 大家好,我是米开朗基杨。 KubeSphere 3.3.0 (不出意外的话~)下周就要 GA 了,作为一名 KubeSphere 脑残粉,我迫不及待地先安装 RC 版尝尝鲜,一顿操作猛如虎开启所有组件,装完之后发现有点尴尬:我用错了持久化存储。 我的 K8s 集群中有两个存储类(StorageClass),一个是 OpenEBS 提供的本地存储,另一个是 QingCloud CSI 提供的分布式存储,而且默认的 StorageClass 是 OpenEBS 提供的 local-hostpath,所以 KubeSphere 的有状态组件默认便使用本地存储来保存数据。 失误失误,我本来是想用分布式存储作为默认存储的,但是我忘记将 csi-qingcloud 设置为默认的 StorageClass 了,反正不管怎样,就这么稀里糊涂地搞错了。虽然重装可以解决 99% 的问题,但作为一名成熟的 YAML 工程师,重装是不可能的,必须在不重装的情况下解决这个问题,才能体现出我的气质! 事实上不止我一个人遇到过这种情况,很多人都会稀里糊涂地装完一整套产品之后发现 StorageClass 用错了,这时候再想改回去恐怕就没那么容易了。这不巧了么这不是,本文就是来帮助大家解决这个问题的。 思路 我们先来思考一下换 StorageClass 需要做哪几件事情。首先需要将应用的副本数缩减为 0,然后创建一个新的 PVC,将旧 PV 的数据复制到新 PV,然后让应用使用新的 PV,并将副本扩展到原来的数量,最后再将旧… Continue reading Kubernetes 中跨 StorageClass 存储迁移指南
混合多云时代数据保护难在哪?
数字化时代,数据越来越成为企业最重要的资产,数据保护(包括备份、迁移、容灾等)的重要性已不言而喻。但是当前,国内客户多数处在数字化转型的过程中,如业务上云、应用容器化改造、人工智能模型应用等都在并行推进,传统的系统架构仍在支撑企业核心业务的运转。因此,稳敏、新旧多种系统并存,这必然带来企业数据基础架构的多元性和复杂性,也为数据保护带来了极大的挑战。 从应对的角度而言,首先,没有银弹,希望用一套方案把企业所有的数据保护问题都一下子解决,肯定是不现实的,企业对这个复杂度要有充分认知;其次,历史上,系统建设的宝贵经验是可以借鉴的,比如“老的老办法,新的新办法,逐渐融合和过渡”,可能是更为务实的选择。 面向云原生的数据保护 数据侧技术(包括数据保护在内)是依附于计算生态的,计算生态每次重大的技术变革都会给数据侧带来全新的要求和挑战。云计算作为一个历史性的技术变革更是如此。尤其是云原生技术,它为混合多云而生,革命性地迭代了云计算的生态,对于数据保护提出了全新的需求。 以应用为中心 云原生是一个以应用为中心来设计的系统,计算、存储、网络等云基础实施被抽象成面对应用的“水、电、煤”服务。容器化的应用由 Kubernetes 平台分配资源,自动地在几百乃至上千台物理机或者虚拟机中进行调度。用户不关心,其实也很难去跟踪应用在哪个机器中运行,所以传统备份方案针对机器粒度进行备份保护就不能满足要求。 面向云原生的备份必须要以应用为粒度进行,对应用进行端到端的保护,包括应用的镜像、应用相关的配置信息,以及应用的数据;恢复时,也是把整个应用、配置和数据都完整地恢复回来。这与传统备份是非常不同的地方。 与云原生生态融合 云原生是一个全新的生态,有独特的设计思想、开发运维工具链和最佳实践,比如快速部署、弹性伸缩、高度自动化运维、声明式 API、与 Prometheus 和 ELK 的集成等。因此,备份服务本身也必须完全融入到这个生态中。 生来多云 云原生生来就是多云的。Kubernetes 屏蔽了多云底层基础设施的差异性,符合规范的应用可以在任何一个私有云或公有云的 Kubernetes 平台上运行。因此,云原生备份方案设计必须立足于多云。例如,在一个 Kubernetes 集群中备份的应用和数据,需要支持在其它云的 Kubernetes 平台上进行恢复;同时,可以在不同云的 Kubernetes 平台间进行应用和数据迁移等。 因此,在混合多云的云原生时代,需要有全新的数据保护解决方案,如青云科技 KubeSphere 云原生部与骥步科技联手打造的国内首个云原生备份容灾 SaaS 服务,就是以应用为中心、专门针对云原生生态的全新数据保护方案,可以满足企业用户对云原生应用日常备份恢复、跨集群迁移、异地容灾等场景的需求。 青云云原生备份容灾服务提供了“跨云容灾备份、核心业务保障、直观易用的管理”三大关键能力,可帮助企业快速建立备份恢复和容灾保护能力,实现对核心业务数据的有效保护,用户再也不用担心数据跑路。 安全合规“两手硬” 2019 年年底生效的等保 2.0 对于企业数据备份、容灾等技术规范给出了明确的要求。2021 年发布的《数据安全法》和《关键信息基础设施安全保护条例》更是从立法的角度对企业作为数据保护主体的责任进行了明确的界定,这些都必将对提高企业的数据备份意识和投入产生积极的影响。 北京信息灾备技术产业联盟的调查报告显示,我国信息系统灾备建设投资比例低于欧美两倍有余。重要的数据灾备建设“本地备份完备度低、缺乏容灾、严重缺乏异地灾备”,行业关键数据“有待充分分类分级并建立审查演练制度”。在这样的背景下,国家推出的一系列关于数据安全的法律法规必将对我国信息系统灾备建设产生重要的影响和有力推动。 网络安全与数据安全都是企业信息系统安全的重要组成部分,网络安全重预防,强调御敌于国门之外;数据安全重保障,强调即使遇到意外和灾难也不慌。只重视网络安全,是无法避免所有事故的,事后如果缺乏必要的恢复手段,依然无法做到安全无虞;只重视数据安全也不可行,企业在各种安全威胁面前会处处被动。所以在涉及企业信息系统安全建设的时候,一定要通盘考虑,做到两手抓,既要做好面对攻击的免疫系统,又要储备好遇到问题时的及时恢复能力。 青云 QKCP 企业级容器平台上推出了一体化的云安全解决方案,从主动到被动,全方位保障企业的核心数字化资产。QKCP 可以通过对容器内行为进行学习,建立安全模型。通过主机漏洞识别、主机入侵检测和合规审计,实现主机安全。同时还支持微服务安全,可自动发现云原生环境中存在的所有微服务,识别服务类型,扫描服务存在的安全漏洞。另外,还支持网络微隔离、安全合规,支持组件容器化部署。 不止是“上保险” 传统的备份手段往往只是为企业留存了数据保护的副本,这些副本除了用于数据和信息恢复之外,常常无法发挥更大的价值,所以只是作为企业为数据安全买的一份“保险”,从性价比的角度,这必然带来企业一定程度上的担忧。 现在,新的备份手段一般都强调采用数据的原始格式进行备份,这样备份下来的数据副本是可以直接访问和使用的。这样,数据备份的副本就不光是“保险”了,还是可以直接产生业务价值的数据源。例如,可以使用备份下来的数据副本完成测试环境的搭建、数据正确性验证、容灾模拟演练、数据抽取和分析等,全面盘活备份数据的价值。
Kubernetes 安全及配置问题检测工具 KubeEye 使用教程
前言 KubeEye 是一款 Kubernetes 安全及配置问题检测工具,针对部署在 K8s 集群中的业务应用进行配置检测使用 OPA,针对集群部署的 Node 使用 Node-Problem-Detector 进行检测,同时除了系统内置有根据大多数业界常见场景的预定义规则,还支持用户自定义规则来进行集群检测。 架构 KubeEye 通过调用 Kubernetes API,通过匹配资源中的关键字和容器语法的规则匹配来获取集群诊断数据,详见架构图。 其中针对 Node 节点的检测,需要在被检测 Node 主机上安装。 特点 特性 检查项 是/否 检查项 描述 级别 ✅ PrivilegeEscalationAllowed 允许特权升级 紧急 ✅ CanImpersonateUser role/clusterrole 有伪装成其他用户权限 警告 ✅ CanDeleteResources role/clusterrole 有删除 Kubernetes 资源权限 警告 ✅ CanModifyWorkloads role/clusterrole 有修改 Kubernetes 资源权限 警告 ✅ NoCPULimits 资源没有设置 CPU 使用限制 紧急… Continue reading Kubernetes 安全及配置问题检测工具 KubeEye 使用教程
K8s 安全策略最佳实践
随着 K8s 在生产和测试环境中用的越来越多,对安全性的关注也会越来越多,所以本次演讲主要是给大家分享以下内容: K8s 安全风险 这张图是 CNCF 金融用户小组总结的 K8s 信任边界图,它把在 K8s 环境中的信任边界划分成三大块儿。 我们根据不同的攻击类型划分,首先最容易规避的就是来自外部的攻击。通常情况下,来自外部的攻击会有 2 种类型。 一种是系统层面的漏洞,需要及时更新,及时跟进 K8s 社区和安全领域相关的最新消息,可以很好的规避。 第二个是应用本身带来的渗透或者是提权的风险,业务部署在 K8s 之上,应用的漏洞可能造成容器越权或者容器逃逸之类的风险。 借助恶意容器进行攻击也比较常见,在使用容器的过程种主要会面临以下风险: K8s 集群的规模变大,运维人员与终端用户也会变多,安全凭证的泄露,会对整个集群的安全造成威胁。 即使集群保护的非常好,在安全凭证没有泄漏的情况下,来自内部成员的恶意攻击也难以规避,即使是在测试环境也需要一定程度的租户隔离,避免来自内部的攻击、对数据的恶意访问。 K8s 安全机制 在 K8s 社区,安全问题的关注度是非常高的,在 K8s 的设计中,各组件都有安全相关的特性。在 API 认证层面,控制平面中各个组件之间,需要开启 mTLS 进行组件之间的互认证。 K8s 也支持丰富的认证、访问控制的机制,通常我们会借助 RBAC 对用户的权限进行限制。 K8s 还提供了针对容器能力的限制机制,我们可以通过 Security Context 去限制容器运行时的用户、用户组,对容器特权进行限制。 K8s 中 Pod Security Policy 可以为集群应用安全策略,但是这个特性会在 1.25 之后被后面提到的 pod security… Continue reading K8s 安全策略最佳实践
国内首个!青云推出企业级 Kubernetes 备份容灾 SaaS 服务
在今天,Kubernetes 已经成为云计算领域的既定标准,企业和开发者们都在基于 Kubernetes 来进行软件的开发、部署和运维。 以 Kubernetes 为代表的云原生技术,正成为推动企业数字化转型的一股核心力量。 不过对于企业来说,关键应用跑在 Kubernetes 集群上的最大挑战之一,就是备份容灾。如何保障数据的完整性与一致性?如何实现跨云备份容灾,避免业务中断?如何保障 Kubernetes 应用持续满足客户需求?……解决这些难题,打造面向云原生环境的备份容灾服务在企业中呼声极高。 千呼万唤,青云科技率先推出国内首个企业级 Kubernetes 备份容灾 SaaS 服务(以下简称:青云云原生备份容灾服务)。 该服务面向 Kubernetes 混合云场景,具有安全中立、可靠迁移、灵活易管理等特性,通过跨云的备份恢复和容灾保护,为应用上份“保险”,让企业核心业务数据安全无忧。 三大关键能力,保障 Kubernetes 应用安全可靠、灵活高效 为帮助企业快速建立备份恢复和容灾保护能力,青云云原生备份容灾服务,提供了“跨云容灾备份、核心业务保障、直观易用的管理界面”三大关键能力,再也不用担心数据跑路。 · 跨云容灾备份 通过屏蔽技术堆栈的差异性,支持对跨云、跨可用区、跨 Kubernetes 版本的集群进行容灾备份,为企业不同的容器应用提供了安全、统一的保护方案。 · 核心业务保障 支持基于 CSI 的存储快照备份与快照导出,可有效维护 MySQL、MongoDB、Redis 等有状态应用的数据一致性,保障了企业关键应用的异地恢复和跨站点高可用。 · 直观易用的管理界面 用户无需掌握 Kubernetes 备份的专业知识和工具,几步操作即可轻松执行数据保护任务,简单、高效。相较 Velero 等开源应用,使用难度也得到极大降低。 四大服务特性,云原生时代数据保护需求全面满足 面对云原生环境对备份容灾提出的全新需求,青云云原生备份容灾服务,带来了“面向 Kubernetes、安全中立、可靠迁移、灵活易管理”四大服务特性: · 面向 Kubernetes 专为 Kubernetes 应用打造的备份容灾服务,适用于粒度更小、逐渐容器化的云原生业务环境,全面满足企业云原生时代的核心数据保护需求。 · 安全中立 提供企业级数据一致性保障、可靠的故障处理机制,可有效维护企业业务安全稳定。该服务还支持主流… Continue reading 国内首个!青云推出企业级 Kubernetes 备份容灾 SaaS 服务
Kubernetes 备份容灾服务产品体验教程
前言 Kubernetes 集群天生自带自愈功能,但是往往有些意外情况使自愈功能不起作用,比如:公司同事把某个 namespace 删除、存储对象被清理了、集群突然断电了、集群升级失败了等。如果没有好的备份工具及定时备份的习惯,不管对于开发环境还是生产环境来说无疑都是灾难性的,如果这个时候有一个可视化备份工具友好的帮助集群做定时备份,你的工作会事半功倍。下面就给大家推荐青云科技容器团队基于 Velero 开源备份工具研发的备份容灾服务。 云原生备份容灾服务简介 KubeSphere Cloud 云原生备份容灾服务是 KubeSphere 团队针对混合云场景推出的 Kubernetes 备份容灾即服务产品。用户无需构建备份容灾的基础架构,基于原生的 Kubernetes API,提供了可视化界面,能够覆盖云原生数据保护的绝大多数重要场景,而且能够跨集群、跨云服务商、跨存储区域,轻松实现基础设施间多地、按需的备份恢复。登录 KubeSphere Cloud 即可对 Kubernetes 集群中的容器进行备份和恢复。 注册平台账号 1.登录 KubeSphere Cloud 平台 2.创建账户 准备集群 1.进入首页找到【资源管理】选择【导入集群】 2.填写集群相关信息,选择【直接连接 Kubernetes 集群】方式 3.获取 kubeconfig 方式一:托管 Kubernetes 集群 请参考对应云厂商产品文档进行获取如:阿里云、华为云、腾讯云等 方式二:自建 Kubernetes 集群 (一)master 节点上执行 (二)请确保 kubeconfig 中 cluser.server 字段的地址可以通过公网进行访问,或者同时勾选跳过 TLS 验证进行导入 4.验证集群连接状态 添加对象存储仓库 1.选择【新建仓库】 2.查看仓库是否可用 创建备份计划 注意:备份的集群… Continue reading Kubernetes 备份容灾服务产品体验教程
基础架构的未来是 K8s,那么 K8s 的未来在何方?
随着容器技术大行其道,应用的复杂性只增不减,开发者们开始广泛使用更先进的工具,比如 Kubernetes。目前 Kubernetes 已经不年轻了,逐渐开始 boring,你可能会想问 Kubernetes 之后还有什么令人兴奋的新技术。但云计算是一个快速发展的领域,不太容易精准预测下一个令人兴奋的新技术,不如我们将目光聚焦到目前云计算没有完全覆盖的细分领域。 微型虚拟机 (MicroVM) 在 Kubernetes 之后,有一个前景广阔的云技术可能会被广泛接受,即微型虚拟机 (MicroVM)。微型虚拟机与容器的区别在于它不与宿主机共用内核,拥有自己的微内核,提供了与虚拟机一样的硬件虚拟化安全性。虚拟机抽象了内存、CPU、网络、存储和其他计算资源,而微型虚拟机是围绕应用程序来对资源进行抽象,只抽象了必要的资源,所以更加高效。 目前最受欢迎的微型虚拟机就是 AWS Firecracker,它使用 Rust 语言编写,内存开销极低,将微型虚拟机打包到 Kubernetes 集群中,以提高工作负载的安全性和隔离性。AWS 目前正使用 Firecracker 作为 Serverless 的基础单元,冷启动延迟极低。 Weaveworks 也开源了一个基于 Firecracker 的虚拟机管理器 Ignite,将 Firecracker MicroVM 与 Docker/OCI 镜像结合起来,统一了容器和虚拟机。它以 GitOps 的方式工作,可以像 Kubernetes 和 Terraform 一样声明式管理虚拟机。 还有一些其他项目,例如 slim,旨在从 Dockerfile 中构建和运行微型虚拟机。它的工作原理是从 Dockerfile 中构建并提取 rootfs,然后将该文件系统与一个在 RAM 中运行的微内核合并。 随着越来越多的应用程序被迁移到云端,以及越来越多围绕 5G 技术建立的新业务解决方案,微型虚拟机将会发挥至关重要的作用。 高性能 WebAssembly 自从 1995 年… Continue reading 基础架构的未来是 K8s,那么 K8s 的未来在何方?
邀您体验云原生 SaaS 备份容灾服务
背景 随着云原生对 IT 产业的重新洗牌,很多传统的技术在云原生的场景下已经不再适用,譬如备份和容灾。传统的备份容灾还停留在数据搬运的层次上,备份机制比较固化,以存储为核心,无法适应容器化的弹性、池化部署场景;而云原生的核心是服务本身,不再以存储为核心,用户需要更贴合容器场景的备份容灾能力,利用云原生的编排能力,实现备份容灾的高度自动化,同时灵活运用云原生的弹性能力按需付费,降低成本。 云原生 SaaS 备份容灾服务推出 KubeSphere Cloud 备份容灾服务是青云科技针对云原生场景推出的 Kubernetes 备份容灾即服务产品,基于原生的 Kubernetes API,适用于粒度更小、以应用为中心、逐渐容器化的业务环境,能够覆盖云原生数据保护的绝大多数重要场景。 使用 KubeSphere Cloud 备份容灾服务,您无需部署、维护本地备份基础架构,可随业务增长实现弹性扩展,且即订即用、按需付费。我们也不会限制 Kubernetes 集群和节点数,支持各大主流 K8s 发行版,兼容任何 S3 标准的对象存储。我们还提供了高效易用的向导式界面,您也无需 Kubernetes 备份的专业知识,几分钟内即可完成基础资源配置,并启动备份容灾任务。 该服务的详细介绍可点击此链接 https://kubesphere.cloud/self-service/disaster-recovery/ 进行了解。 如何体验? 目前该服务还在体验改进阶段,欢迎大家来使用体验!我们现在提供 1TB 的免费托管仓库! 如果您有意向体验青云科技推出的云原生备份容灾服务,请填写问卷(可直接点击跳转到问卷页面),并在问题“您是否有意愿使用 SaaS 备份容灾服务?”中选择“是”,我们将邀请您加入专属体验群。该问卷的设立,也是为了了解目前各企业在云原生灾备方面的基本情况,以更好地加强该 SaaS 服务,使您可以更好地试用体验。
KubeSphere 开源 KubeEye:Kubernetes 集群自动巡检工具
为什么开源 KubeEye Kubernetes 作为容器编排的事实标准,虽然架构优雅功能也非常强大,但是 Kubernetes 在日常运行过程中总会有一些疑难杂症和隐性的问题让集群管理员和 Yaml 工程师们非常头疼,例如: 这样的问题还有很多,并且这些隐性的集群异常问题对集群的控制面来说是不可见的,因此 Kubernetes 将继续将 Pod 调度到异常的节点,进而造成集群和运行的应用带来非常大的安全与稳定性的风险。 KubeSphere 团队积累了来自社区用户和商业客户三年多的 Kubernetes 集群生产环境运维经验,精通集群组件运行与排查原理,从而开发了一款集群自动巡检工具帮助用户解决集群日常运维的痛点。 KubeEye 是什么 KubeEye 是一款开源的 Kubernetes 集群自动巡检工具,旨在自动检测发现 Kubernetes 上的各种问题,比如应用配置错误、集群组件不健康和节点问题,帮助集群管理员更好地管理集群降低风险。KubeEye 使用 Go 语言基于开源的 Polaris 和 Node-Problem-Detector 开发,内置了一系列异常检测规则。并且,除了预定义的规则,KubeEye 还支持开发者自定义规则。 KubeEye 能做什么 KubeEye 架构 KubeEye 通过调用 Kubernetes API,通过常规匹配日志中的关键错误信息和容器语法的规则匹配来获取集群诊断数据,详见架构。 预置检查项 目前已内置支持以下巡检项,未标注的项目正在开发中。 是/否 检查项 描述 ✅ ETCDHealthStatus 如果 etcd 启动并正常运行 ✅ ControllerManagerHealthStatus 如果 kubernetes… Continue reading KubeSphere 开源 KubeEye:Kubernetes 集群自动巡检工具