Container Engine for Kubernetes

가상 노드를 갖춘 서버리스 Kubernetes

가상 노드는 클러스터의 인프라 관리, 확장, 업그레이드, 문제 해결에 추가적인 리소스를 소모하지 않고도 컨테이너화된 애플리케이션을 대규모로 실행할 수 있는 서버리스 Kubernetes 환경을 제공합니다

가상 노드는 정규 노드의 추출 정보를 Kubernetes에 전달하여 Pod당 가격 정책을 통해 세분화된 Pod 탄력성을 제공합니다. 클러스터 용량을 고려하지 않고 배포를 확장할 수 있기 때문에 트래픽이 많은 웹 애플리케이션, 데이터 프로세싱 작업 등 확장 가능한 워크로드의 실행이 간소화됩니다.

관리형 노드

관리형 노드는 고객의 테넌시 내에 생성되고 OKE와 고객이 공동으로 운영하는 작업자 노드입니다. 고객은 자사의 작업자 노드 풀과 관련하여 원하는 사양을 직접 정의할 수 있으며, OKE는 고객이 정의한 노드의 프로비저닝을 간소화합니다. OKE는 고객의 작업자 노드와 관련하여 지속적으로 수행되는 주요 작업을 자동화 및 간소화하기 위한 다양한 기능을 제공합니다. 온디맨드 사이클링을 통해 작업자 노드 업데이트, 장애 감지 시 작업자 노드 자가 복구, 자동 확장 및 기타 다양한 작업들을 자동화합니다. 관리형 노드는 가상 노드에서 지원되지 않는 작업자 노드 구성이나 컴퓨트 구성을 필요로 하는 고객에게 적합합니다.

자체 관리형 노드

자체 관리형 노드는 관리형 노드에서는 지원되지 않는 고유한 컴퓨트 구성이나 스택 전반에 걸친 고급 설정 등을 필요로 하는 컨테이너화된 워크로드를 OKE 상에서 실행하기 위한 더욱 많은 사용자 정의 및 제어 기능을 제공합니다. 고객은 RDMA 지원 베어메탈 HPC/GPU, 기밀 컴퓨팅 또는 기타 특수 사용 사례를 포함한 특수 인프라 옵션들을 활용할 수 있습니다. 고객은 여전히 관리형 컨트롤 플레인을 활용할 수 있지만, Kubernetes 업그레이드 및 OS 패치를 포함한 작업자 노드 관리 작업을 반드시 직접 수행해야 합니다.

Kubernetes 자동 업그레이드

클릭 한 번으로 사용 중인 Kubernetes 버전을 업그레이드할 수 있습니다. 가상 노드가 작업자 노드 및 기본 인프라에 필요한 업데이트 및 보안 패치를 그때그때 자동으로 매끄럽게 제공하는 동시에 애플리케이션의 가용성을 유지합니다.

고도의 자동 스케일링을 지원하는 Kubernetes

모든 상용 리전 또는 Oracle Cloud Infrastructure(OCI) Dedicated Region 내 여러 가용성 도메인(데이터 센터)의 클러스터를 사용해 애플리케이션의 가용성을 높일 수 있습니다. Pod를 수평 및 수직으로 확장할 수 있고 클러스터 역시 확장이 가능합니다.

온디맨드 노드 사이클링

온디맨드 노드 사이클링을 통해 OKE 클러스터에서 관리되는 작업자 노드의 업데이트 작업을 크게 간소화할 수 있습니다. 따라서 시간이 많이 걸리는 수동 노드 로테이션이나 커스텀 솔루션 개발을 수행할 필요가 없어집니다. 온디맨드 노드 사이클링은 Kubernetes 및 호스트 OS 버전을 훨씬 쉽고 효율적으로 업데이트할 수 있도록 만들어주는 새로운 기능입니다. 또한 SSH 키, 부팅 볼륨 크기, 커스텀 클라우드 초기화 스크립트 등의 다양한 노드 풀 속성들을 간단히 수정할 수 있게 해 줍니다.

애드온 수명 주기 관리

OCI의 완전 관리형, 구성 가능한 엄선된 애드온 소프트웨어 컬렉션으로 Kubernetes 클러스터의 기능을 손쉽게 확장 및 제어할 수 있습니다. 이 소프트웨어에는 클러스터에 배포된 운영 소프트웨어의 포트폴리오와 CNI, CoreDNS, Kubernetes Dashboard, Oracle Database Operator, WebLogic operator 등 관련 앱 및 운영자가 포함됩니다.

OKE는 초기 배포 및 구성 단계에서부터 업그레이드, 패치, 확장, 순차적 구성 변경 등 지속적인 운영 단계에 이르기까지 애드온 소프트웨어의 수명 주기를 관리합니다.

사용자는 클러스터 생성 중에 애드온 소프트웨어를 선택해 특정 애드온 비활성화, 애드온 버전 지정, 자동 업데이트 취소, 자체 소프트웨어 사용을 위한 특정 OCI 제공 애드온 취소 등 구성을 맞춤 설정할 수 있습니다.

클러스터 관찰가능성

Oracle Cloud Infrastructure, Datadog, Aqua Security 및 기타 파트너의 도구를 사용하여 이러한 애플리케이션 모니터링 및 보호할 수 있습니다.

자가 치유 클러스터 노드

노드 장애가 감지되면 Container Engine for Kubernetes가 새 작업자 노드를 자동으로 프로비저닝하여 클러스터 가용성을 유지합니다.

안전한 노드 삭제

자동화된 cordon 및 drain 옵션을 통해 애플리케이션 중단 없이 안전하게 작업자 노드를 삭제할 수 있습니다.

재정적으로 지원되는 SLA

OKE 클러스터에 포함된 서비스 수준 계약(SLA)은 OKE 제어 플레인 및 작업자 노드의 가동 시간 및 가용성에 대한 재정적 지원을 제공합니다. 작업자 노드 지원은 OCI Compute SLA가 제공하는 것과 동일한 수준으로 이루어집니다.

컨테이너 마켓플레이스

OCI 에코시스템 내에서 OKE 인프라에서의 최적화된 성능을 위해 세밀하게 조정된 광범위한 사전 패키지화된 컨테이너화된 솔루션을 소개하는 컨테이너 마켓플레이스(Container Marketplace)에 액세스할 수 있습니다. OCI 환경에 매끄럽게 통합된 모든 컨테이너화된 애플리케이션과 서비스를 손쉽게 검색하고, 배포하고, 관리해 보세요.

출시 예정: Oracle Cloud Guard를 통한 Kubernetes 거버넌스

Oracle Cloud Guard는 자동화된 보안을 제공하는, 즉시 사용 가능한 Kubernetes 거버넌스 기능을 제공합니다. 또한 OKE에서의 리소스 배포 시 Kubernetes의 모범 사례를 준수합니다. 이는 Cloud Guard가 선별한 정책을 사용해 구성 관련 문제를 자동으로 탐지할 수 있기 때문에 가능한 일 입니다. 덕분에 사용자는 OKE 클러스터의 보안과 규정 준수 상태를 손쉽게 유지할 수 있습니다.

암호화

Key Management 서비스를 활용해 저장 상태의 Kubernetes 시크릿을 암호화할 수 있습니다.

Oracle은 Advanced Encryption Standard(AES) 알고리즘(256bit 암호화)을 사용해 저장 상태의 블록 볼륨, 부트 볼륨, 볼륨 백업을 항상 암호화합니다. Oracle Cloud Infrastructure Vault를 사용하면 소유한 암호화 키의 수명 주기도 관리할 수 있습니다.

규정 준수

OCI Container Engine for Kubernetes는 HIPAA, PCI, SOC 2 등 규제 프레임워크를 준수합니다.

전용 Kubernetes 클러스터 및 Bastion

전용 클러스터를 사용하면 Kubernetes API 엔드포인트를 통한 온프레미스 네트워크 또는 Bastion 호스트로의 액세스를 차단해 보안 태세를 높일 수 있습니다. 이제 Oracle Cloud Infrastructure(OCI) Bastion을 사용해 완전한 전용 클러스터에 대한 손쉬운 액세스를 확보할 수 있습니다.

포드 수준에서의 강력한 격리

가상 노드는 각 Kubernetes 포드에 강력한 격리 기능을 제공합니다. 포드는 기저의 커널, 메모리, CPU 리소스를 절대 공유하지 않습니다. 이 포드 수준 격리 기능 덕분에 신뢰할 수 없는 워크로드, 다중테넌트 애플리케이션 및 민감한 데이터를 실행할 수 있습니다.

Kubernetes 클러스터를 위한 네트워크 보안 그룹

Container Engine for Kubernetes는 모든 클러스터 구성 요소에 대한 네트워크 보안 그룹(NSG)을 지원합니다. NSG는 사용자의 가상 클라우드 네트워크(VCN) 내 가상 네트워크 인터페이스 카드(VNIC)에 적용되는 수신 및 송신 보안 규칙 세트로 구성됩니다. NSG를 사용하면 가상 클라우드 네트워크 아키텍처를 클러스터 구성 요소의 보안 요구 사항으로부터 분리할 수 있습니다.

인증 및 권한 부여

네이티브 OCI Identity and Access Management(IAM), Oracle Identity Cloud Service, Kubernetes 역할 기반 액세스 제어를 사용해 액세스 및 권한을 관리할 수 있습니다. 또한 OCI IAM 다중 인증도 구성할 수 있습니다.

워크로드 ID 덕분에 포드 수준에서 OCI API 및 서비스를 위한 보안 인증을 설정할 수 있습니다. 워크로드에 대해 '최소 권한' 원칙을 구현함으로써 각 사용자가 자신에게 필요한 리소스에만 액세스할 수 있게 보장할 수 있습니다. 이와 같은 기능은 보안 침해 또는 승인되지 않은 액세스의 가능성을 최소화해 귀사의 보안 상태를 개선해 줍니다.

컨테이너 이미지 스캔, 서명, 검증

OKE는 컨테이너 이미지 스캔, 서명, 검증을 지원합니다. 덕분에 사용 중인 애플리케이션 이미지에 심각한 보안 취약성이 없다는 사실을 확인할 수 있고, 이미지 서명을 강제함으로써 배포 시 컨테이너 이미지의 무결성을 보장할 수 있습니다.

Kubernetes 활동 감사

모든 Kubernetes 감사 이벤트는 OCI Audit 서비스에서 이용할 수 있습니다.

온프레미스와 기타 클라우드에서 작동하는 앱 구축

Container Engine for Kubernetes는 Cloud Native Computing Foundation(CNCF), Open Container Initiative(OCI), 애플리케이션 이식성 표준을 준수하는 수정되지 않은 오픈 소스 Kubernetes를 사용합니다.

모든 도구를 사용하여 클러스터를 관리할 수 있는 유연성

보안, 페더레이션, 관찰 가능성 및 구축 자동화를 위해 자체 도구를 가져오거나 Oracle의 파트너를 활용하십시오.

엔드 투 엔드 컨테이너 수명주기 관리

컨테이너의 수명 주기를 시작부터 끝까지 관리할 수 있습니다. OCI DevOps를 사용해 이미지를 구축 및 테스트하고, Container Registry를 활용해 배포하고, Autonomous Database를 통해 통합하는 등 다양한 작업이 가능합니다.

인프라, Autonomous Database 및 Oracle WebLogic Server와의 긴밀한 통합

Container Engine for Kubernetes는 Oracle Cloud Infrastructure 서비스, Service Broker를 사용하는 Autonomous Database와 WebLogic Operator를 사용하는 WebLogic Server와 쉽게 통합됩니다.

암호화 및 규정 준수

Key Management 서비스를 사용하여 사용되지 않는 Kubernetes 비밀을 암호화하고 HIPAA, PCI 및 SOC 2를 준수하십시오.

전용 Kubernetes 클러스터 및 보안

전용 Kubernetes 클러스터 활용하기. 네이티브 Identity and Access Management, Identity Cloud Service 및 Kubernetes Role-Based Access Control(RBAC)을 사용해 액세스와 권한을 관리할 수 있습니다.

• Kubernetes 보안을 위한 5가지 모범 사례