Private Kubernetes Deployment for Autonomous Reliability Infrastructure
Run Zof execution-compatible agents in customer-managed Kubernetes clusters. Control plane and execution plane stay separable; Zof does not claim to install a full Kubernetes platform for you.
Кластеры под управлением заказчика
Разделение плоскостей управления и выполнения
Шаблоны изоляции пространств имён
Совместимо с гибридными и анклавными моделями
Почему предприятиям нужна частная оркестрация
Многие команды уже стандартизировали внутренние платформы на Kubernetes. Zof поддерживает размещение выполнения в таких кластерах, не требуя отказа от существующих вложений в оркестрацию.
- -Существующие стандарты кластеров и GitOps-конвейеры
- -Контроль платформенной команды над узлами и сетью
- -Необходимость держать чувствительные рабочие нагрузки вне многопользовательского SaaS-выполнения
- -Регулируемые среды с изоляцией на уровне пространств имён
Выполнение инфраструктуры в кластерах под управлением заказчика
Агенты выполнения могут разворачиваться как рабочие нагрузки в эксплуатируемых вами кластерах. Планирование и согласования могут выполняться в плоскостях управления в облаке, частном облаке или на собственных серверах, в зависимости от политики.
- -Агенты планируются так же, как другие внутренние сервисы
- -Совместимость с CNI заказчика и движками политик
- -Не требуется входящий доступ к кластеру
- -Поддержка мультикластерных флотов со временем
Разделение плоскости управления и плоскости выполнения
Плоскость управления хранит политики, контекст графа, согласования и планирование. Плоскость выполнения запускает подписанные капсулы против приложений внутри кластера или подключённых сетей.
Выполнение в частном Kubernetes
Совместимые с выполнением агенты в управляемых заказчиком кластерах, без полной установки платформы.
- -Чёткая граница для проверки безопасности
- -Чувствительные данные времени выполнения остаются в пространствах имён выполнения
- -API плоскости управления не запускают тесты против защищённых приложений напрямую
- -Гибридные разделения распространены при корпоративных развёртываниях
Агенты выполнения для Kubernetes
Агенты рассчитаны на совместимость с Kubernetes заказчика, а не на замену вашей платформенной команды. Определение размеров, высокая доступность и обновления следуют стандартам вашего кластера.
- -Развёртывание через одобренные заказчиком манифесты или операторы
- -Соблюдение лимитов ресурсов и политик безопасности подов
- -Идентификация раннеров и списки разрешённых хостов выполнения
- -Поэтапные развёртывания по пространствам имён или кластерам
Безопасные границы выполнения
Пространства имён, сетевые политики и сервисные учётные записи изолируют выполнение от несвязанных рабочих нагрузок. Секреты монтируются во время выполнения и не хранятся в Zof Cloud.
- -RBAC в пределах пространства имён
- -Интеграция с внешними менеджерами секретов там, где это поддерживается
- -Опциональное согласование с service mesh
- -Аудит событий жизненного цикла агентов
Тестирование только внутренних приложений
Проверяйте микросервисы, внутренние API и административные интерфейсы, доступные из сетей кластера, не открывая их в публичный интернет.
- -Тесты «сервис-сервис» внутри кластера
- -Только через ingress, где это разрешено политикой
- -Сочетание с периферийными раннерами для устаревших систем вне кластера
- -Учитывающее граф нацеливание снижает шум
Изоляция пространств имён
Команды сопоставляют бизнес-подразделения или среды с пространствами имён, имеющими отдельные политики, сроки хранения и режимы работы с доказательствами.
- -Разделение dev / staging / prod
- -Квоты по командам и ограничения на параллелизм
- -Хранилища доказательств в пределах пространства имён
- -Процессы продвижения между пространствами имён
Работа с секретами
Учётные данные предоставляются во время выполнения через PAM или интеграции с секретами кластера. Долгоживущие секреты по умолчанию не копируются во внешний SaaS.
- -Предпочтительны краткоживущие токены
- -Шаблоны, совместимые с PAM
- -Никакого сохранения секретов в плоскости планирования без согласования
- -Ротация в соответствии с вашими стандартами
Маршрутизация артефактов
Тестовые артефакты и пакеты остаются в хранилище под контролем заказчика, если вы не настроите очищенный или метаданный исходящий трафик.
Гибридная архитектура выполнения
Облачная оркестрация с распределёнными локальными парками выполнения.
- -S3-совместимые хранилища, NFS или тома внутри кластера
- -Политики хранения для каждого пространства имён
- -Контрольные суммы и подписание пакетов
- -Опциональное продвижение в центральный каталог доказательств
Границы телеметрии
Метрики и логи агентов могут оставаться в стеках наблюдаемости внутри кластера. Центральные дашборды могут получать сводки только из метаданных.
- -Шаблоны, совместимые с OpenTelemetry, там, где это поддерживается
- -Редактирование данных перед экспортом за границу
- -Идентификаторы корреляции для аудита
- -Никакого обязательного вывода полных логов
Корпоративное управление
Подписание капсул, согласование человеком и контрольные точки устранения проблем применяются единообразно, независимо от того, выполняется ли работа на виртуальных машинах, физических серверах или в Kubernetes.
- -Версия политики закреплена за прогонами
- -Цепочки согласований для путей в продакшен
- -Интеграция с записями изменений в ITSM
- -Экспорт для GRC и внутреннего аудита
Паттерны гибридной архитектуры
Выполнение в Kubernetes часто сосуществует с раннерами в VPC, периферийными площадками и агентами на конечных устройствах под управлением единого control plane.
- -Единый граф и оркестрация флота
- -Согласованная модель капсул на всех поверхностях
- -Политики сбора доказательств для каждой поверхности
- -Архитектурный обзор определяет порядок развёртывания
Вопросы о развёртывании on-prem
Частые вопросы от команд инфраструктуры и безопасности.
Обсудите безопасное развёртывание с Zof
Рассмотрите сегментацию, управление капсулами и размещение раннеров вместе с командами, которые поддерживают предприятия в регулируемых отраслях.
