Команда Deckhouse продолжает совершенствовать Deckhouse Kubernetes Platform (DKP), предлагая новую функциональность в области безопасности, виртуализации, графического интерфейса и ядра платформы.
В этом обзоре подробнее рассмотрим изменения и улучшения в платформе с мая по сентябрь 2025 года.
Безопасность
Мы усилили защиту локальной аутентификации в DKP: добавили парольную политику для локальных пользователей и сделали поддержку второго фактора. Теперь для выполнения этих требований безопасности не нужен внешний сертифицированный провайдер аутентификации, так что аттестация приложений, запускаемых в платформе, стала проще.
Кроме того, по просьбам сообщества мы добавили модуль NeuVector — открытую платформу для обеспечения безопасности контейнеров и кластеров Kubernetes. Подчеркнём, что NeuVector — вспомогательный инструмент для специфических сценариев, не влияющий на общий уровень безопасности платформы. Безопасность самой DKP построена на более надёжных компонентах, которые соответствуют требованиям ФСТЭК России.
NeuVector — Open Source-решение, имеющее ряд ограничений, о которых мы подробно написали в статье. Мы не рекомендуем использовать его для критичных production-задач.
В части управления секретами в платформе теперь поддерживается доставка бинарных файлов в контейнеры, что облегчает администрирование и снижает риски при работе с ключами и сертификатами.
Также в Deckhouse Академии запустили образовательный курс «Инструменты безопасности в Deckhouse Kubernetes Platform». В нём рассказываем, как минимизировать угрозы информационной безопасности, создавать и применять политики, проводить аудит кластера, а также работать с распределением прав и управлением секретами.
В августе вышла уже четвёртая версия DKP Certified Security Edition, сертифицированная ФСТЭК России. Об улучшениях текущей и новой, добавленной функциональности мы рассказали в отдельной статье.
Виртуализация 1.0
В релизе Deckhouse Virtualization Platform 1.0 мы закрыли важные потребности пользователей к виртуализации и вышли за рамки нишевого решения.
В платформу добавлены:
— поддержка VLAN для виртуальных машин (ВМ);
— экспорт данных для резервного копирования;
— живая миграция ВМ между хранилищами (в том числе локальными);
— возможность автоматизации развёртывания кластеров DKP и многое другое.
Подробнее об этих и других изменениях рассказали в этой статье и на вебинаре.
Графический интерфейс
Команда Deckhouse стремится сделать 100% функций платформы доступными через UI. В интерфейсе появились следующие возможности:
— настройка конфигураций кластера на базе VMware vSphere;
— работа с внешними хранилищами и Persistent Volume;
— управление egress-шлюзами и их политиками, CronJob и снимками виртуальных машин;
— выбор языка интерфейса (EN/RU);
— поиск по меню и многое другое.
Теперь настройки модулей генерируются автоматически в виде веб-формы прямо из OpenAPI-схемы. При этом пользователь может переключаться между двумя представлениями: графическим (интерактивные поля, чекбоксы, селекторы) и YAML-представлением (текстовый редактор с подсветкой синтаксиса).
В интерфейсе управления многими кластерами Deckhouse Commander добавлена поддержка развёртывания кластеров DKP поверх встроенной в платформу виртуализации Deckhouse Virtualization Platform. Также появилась возможность управления правами доступа на основе ролей (RBAC) как для собственного UI Deckhouse Commander, так и для ресурсов в управляемых кластерах.
Кроме этого, сделали удобный графический установщик, который позволяет развернуть платформу поверх любой поддерживаемой инфраструктуры за 20 минут. Подробнее рассказали и показали это на вебинаре.
Ядро платформы
Архитектура платформы была оптимизирована за счёт разделения модулей на критические и функциональные. Критические модули запускаются первыми, а функциональные — после завершения установки, при этом их задачи выполняются параллельно и не блокируют очередь в случае сбоя. Это ускоряет установку кластера и повышает отказоустойчивость при запуске модулей.
Появилась возможность использовать схему размещения WithNAT при развёртывании платформы поверх приватного облака на базе VMware Cloud Director. Она автоматически настраивает NAT и правила брандмауэра для доступа к узлам через узел-бастион. Это позволяет развёртывать кластер без предварительной настройки окружения в облаке.
В DKP стал доступен модуль registry. Он позволяет безопасно и удобно менять параметры доступа к реестру образов контейнеров без перезапуска containerd на узлах, что крайне важно для высоконагруженных инсталляций.
Также на уровне платформы реализовали поддержку СХД NetApp, а также возможность скачивать данные томов, что позволяет делать бэкап данных внешними средствами.
Поддержка ML/AI
DKP теперь умеет автоматически конфигурировать NVIDIA GPU‑окружение на узлах (при наличии установленного драйвера и Container Toolkit) и позволяет выбирать режим использования GPU: Exclusive для максимума производительности, TimeSlicing для высокой утилизации и MIG для жёсткой изоляции.
Наблюдаемость
Prom++ стал системой мониторинга по умолчанию во всех редакциях DKP. Это Open Source-решение нашей разработки — оно потребляет в 10 раз меньше памяти, чем классический Prometheus, и в среднем в 3 раза эффективнее, чем VictoriaMetrics. Это позволяет снижать нагрузку на кластеры и экономить ресурсы: инфраструктурные затраты на мониторинг уменьшаются примерно на 37 %.
Добавили также возможность разграничивать доступ к метрикам и дашбордам. Права можно настраивать отдельно для администраторов и пользователей — это упрощает совместную работу с метриками и усиливает безопасность.
Документация
Мы переработали и упростили структуру контента в документации. Теперь её структура включает в себя блоки для администраторов и пользователей, а также разделы архитектуры и справки. Документация по модулям вынесена в отдельный раздел с фильтрацией по категориям. Это поможет быстрее находить релевантную информацию под конкретные задачи.
Обновили и работу поиска: он охватывает как общую документацию, так и модули, а также учитывает опечатки. А чтобы вам было проще донести до нас предложения по улучшению документации, внизу каждой страницы мы добавили возможность оставить обратную связь по ней.
Совместимость
Наша программа технологической совместимости активно расширяется: подтвердили совместимость с решениями таких компаний, как Delta Computers, Yadro, «Лаборатория Касперского», Basis, Positive Technologies и многие другие. Матрица совместимости стороннего ПО с продуктами Deckhouse доступна на нашем сайте.
Эти обновления Deckhouse Kubernetes Platform предоставляют пользователям ещё более мощные и гибкие инструменты для управления контейнерными средами.