Встроенная программно-определяемая сеть, которая обеспечивает связанность кластера с существующей инфраструктурой и легко интегрируется в корпоративную среду
Сетевые возможности в Deckhouse Kubernetes Platform
SDN как экзоскелет сетевой инфраструктуры
Сетевые возможности в Deckhouse Kubernetes Platform (DKP) модернизируют существующую сетевую инфраструктуру за счёт интеграции облачных подходов. Облачные сетевые возможности предоставляются для управляемых сервисов (Managed services), контейнеров, виртуальных машин, а также для компонентов уже развёрнутой инфраструктуры
Быстрое масштабирование
Балансировщики нагрузки
Обеспечение высокой доступности
Единая точка контроля и управления
Автоматизация рутины
Основные сервисы и компоненты
Сетевые балансировщики нагрузки (Network Load Balancer)
Встроенный в DKP NLB-балансировщик сетевой нагрузки помогает обеспечить отказоустойчивость и адаптируется под любой тип нагрузки:
- Случайная — для редких запросов или статичного контента
- Round Robin — при равномерной нагрузке
- Source IP — для stateful-приложений
- Maglev — при большом количестве целевых узлов
- Least Connections — для WebSocket и неравномерно распределённого трафика
Возможности балансировки нагрузки на уровне приложений (Application Load Balancer)
ALB-балансировщик служит основой масштабирования приложений и добавляет дополнительный уровень отказоустойчивости приложений через:
- Терминирование TLS — расшифровка трафика и безопасная передача в кластер
- Жизненный цикл сертификатов — интеграция с Let’s Encrypt, Vault и Stronghold
- Аутентификация через user-authn — поддержка базовой LDAP-аутентификации
- Least Connections — распределение трафика на сервер с наименьшим числом подключений
- Sticky Session — привязка пользователя к поду на основе cookie
Управление сетями в стиле Cloud Native
Платформа поддерживает изолированные сети на уровне кластера и namespace с использованием VLAN и VXLAN, а также гибкую настройку взаимодействия между сервисами, контейнерами и виртуальными машинами:
- Static Routing — управление статическими маршрутами на уровне всего кластера
- DHCP и IP-адреса — отдельная IP-подсеть и DHCP-сервер для каждой сети
- SNAT — общий IP для исходящего трафика
- Egress Gateway — контроль исходящих подключений через сетевые политики
- Управление — через веб-интерфейс и кастомные ресурсы Kubernetes
Мультиарендность
DKP позволяет изолировать проекты друг от друга с помощью технологий VLAN и VXLAN, обеспечивая безопасную мультиарендную среду для разных команд
Микросегментация
Механизм гранулярной изоляции позволяет защищать приложения и их компоненты на разных уровнях — от применения общих сетевых политик до помещения отдельного пода в VLAN или VXLAN
Балансировка внешних приложений
Сетевой балансировщик DKP позволяет распределять нагрузку на внешние серверы за пределами кластера и выполнять проверку их доступности
Как DKP помогает управлять сетью в Kubernetes-кластере
DevOps-команды
Команды эксплуатации
ИТ-руководители
Распределение нагрузки
DKP поддерживает более 10 видов балансировки с возможностью оптимального выбора под конкретный тип трафика, обеспечивая отказоустойчивость и масштабируемость сервисов
Сеть как часть приложения
Сетевые настройки описываются как Kubernetes-ресурсы и поставляются вместе с приложением — это упрощает CI/CD-процессы, повышает воспроизводимость и снижает количество ошибок в продуктивной среде
Поддержка SR-IOV и DPDK
Платформа предоставляет специализированные возможности для высокопроизводительных сетевых приложений: минимизирует задержки, обеспечивает высокую пропускную способность и даёт прямой доступ к сетевым адаптерам
Service Mesh
Механизм Service Mesh позволяет гибко управлять маршрутизацией трафика: выполнять канареечные релизы, настраивать HTTP-маршрутизацию, применять расширенную балансировку и визуализировать взаимодействия между сервисами
Готовые механизмы для IaC
DKP предоставляет готовые механизмы для Infrastructure as Code — сетевые конфигурации можно версионировать, шаблонизировать через Helm и nhelm, а также автоматизировать через CI/CD
Cloud native network
Изолированные виртуальные сети (VPC) работают по принципу, аналогичному облачным провайдерам, и масштабируются под нужды разных клиентов, проектов и команд, включая внутренние подразделения и среды
Shift-left-политики в сетевой инфраструктуре
После интеграции кластера в инфраструктуру команда эксплуатации получает возможность управлять сетевыми настройками напрямую — без участия сетевых инженеров, что ускоряет изменения и повышает автономность
Мультиарендность и изоляция
Пользователи и проекты изолированы в общей инфраструктуре, работают в безопасной сетевой среде и получают доступ к самообслуживанию с применением политик и быстрой подготовкой окружений
Прозрачность сетевой архитектуры
Административная панель DKP позволяет отслеживать сети, контролировать взаимодействие сервисов и управлять сетевыми правилами в режиме реального времени
Оптимизация затрат на инфраструктуру (TCO)
DKP обеспечивает централизованное управление сетевыми ресурсами, что снижает операционные расходы и повышает эффективность использования инфраструктуры
Облачные сетевые возможности в DKP
Интеграция с инфраструктурой
Платформа интегрируется с существующими сетями через локальную L2-сеть, VLAN и eBGP. Поддерживаются статические маршруты, VRRP с плавающим IP адресом, а также эмуляция /etc/hosts для случаев без корпоративного DNS
Управление сетевыми интерфейсами
DKP позволяет управлять сетевыми интерфейсами серверов (single, bond, VLAN) и приложений (dedicated, SR-IOV, DPDK) в Kubernetes-стиле через декларативные ресурсы
Внутренний DNS
Внутренние DNS-компоненты реализуют централизованное перенаправление, stub-зоны, общий DNS-кэш, эмуляцию /etc/hosts и кэширование запросов с локальных машин
Межсетевой экран 7-го уровня (L7 Firewall)
Compliance проверки на соответствие отраслевым стандартам, встроенные механизмы оповещений о событиях ИБ, сбор, обработка и отправка аудит-логов в SIEM системы
Межсетевой экран 3-4 уровня (L3/L4 firewall)
Механизм zero copy обеспечивает фильтрацию TCP и UDP протоколов с минимальными задержками на уровне железа
Микросегментация
Система микросегментации разделяет трафик по лейблам, пространствам имен (namespaces), сервис-аккаунтам, а также по уровням TCP/IP и TCP/UDP
Наблюдаемость в сети
Наблюдаемость в сети включает визуализацию сетевого стека, 60+ готовых дашбордов для быстрой диагностики и взаимные проверки доступности серверов
Безопасность
При необходимости выполнения требований информационной безопасности или регуляторов возможна взаимная сертификация с решениями класса Container Security, SIEM, ASOC и антивирусами
| Коммерческие редакции | |||||||
|---|---|---|---|---|---|---|---|
| Community Edition | Basic Edition | Standard Edition | Standard Edition+ | Enterprise Edition | Certified Security Edition Lite | Certified Security Edition Pro | |
| Сетевая балансировка (NLB) | |||||||
| random | |||||||
| round robin | |||||||
| source-ip | |||||||
| maglev | |||||||
| least conn | |||||||
| Балансировка приложения (ALB) | |||||||
| Терминирование TLS | |||||||
| Управление жизненным циклом SSL сертификатов | |||||||
| Интеграция с user-authn | |||||||
| Балансировка Least Conn | |||||||
| Липкие сессии sticky session | |||||||
| Cloud Native Network | |||||||
| static routing | |||||||
| snat | |||||||
| egress gateway | |||||||
| web management | |||||||
| Подсистема интеграции | |||||||
| VRRP | |||||||
| BGP | |||||||
| VxLAN | |||||||
| vlan | |||||||
| Hardware offloading | |||||||
| SR-IOV | |||||||
| RAW интерфейс | |||||||
| DPDK | |||||||
| Service Mesh | |||||||
| Мультикластер и федерация | |||||||
| Mutual TLS | |||||||
| Авторизация | |||||||
| Маршрутизация запросов | |||||||
| Трассировка запросов | |||||||