Private Kubernetes

Private Kubernetes Deployment for Autonomous Reliability Infrastructure

Run Zof execution-compatible agents in customer-managed Kubernetes clusters. Control plane and execution plane stay separable; Zof does not claim to install a full Kubernetes platform for you.

Rà soát kiến trúc triển khaiXem trung tâm triển khai

Cụm do khách hàng quản lý

Tách biệt tầng kiểm soát / tầng thực thi

Mô hình cô lập theo namespace

Tương thích với mô hình hybrid và enclave

Tại sao cần điều phối riêng

Tại sao doanh nghiệp cần điều phối riêng

Nhiều đội ngũ đã chuẩn hóa trên Kubernetes cho các nền tảng nội bộ. Zof hỗ trợ đặt thực thi trong các cụm đó mà không buộc bạn phải từ bỏ các khoản đầu tư điều phối hiện có.

  • -Các tiêu chuẩn cụm và pipeline GitOps hiện có
  • -Đội ngũ nền tảng làm chủ các node và mạng
  • -Cần giữ các workload nhạy cảm tách khỏi thực thi SaaS đa thuê bao
  • -Môi trường có quản chế với cô lập ở cấp namespace
Cụm của khách hàng

Chạy hạ tầng thực thi trong các cụm do khách hàng quản lý

Các tác nhân thực thi có thể được triển khai dưới dạng workload trong các cụm do bạn vận hành. Việc lập kế hoạch và phê duyệt có thể chạy trong tầng kiểm soát cloud, private cloud hoặc on-prem tùy theo chính sách.

  • -Tác nhân được lập lịch như các dịch vụ nội bộ khác
  • -Tương thích với CNI và công cụ chính sách của khách hàng
  • -Không yêu cầu quyền truy cập từ bên ngoài vào cụm
  • -Hỗ trợ cụm đa-cluster theo thời gian
Tách biệt tầng

Tách biệt tầng kiểm soát và tầng thực thi

Tầng kiểm soát nắm giữ các chính sách, ngữ cảnh graph, phê duyệt và lập lịch. Tầng thực thi chạy các capsule đã ký đối với các ứng dụng bên trong cụm hoặc các mạng được kết nối.

Thực thi trên Kubernetes riêng

Các agent tương thích thực thi trong những cụm do khách hàng quản lý, không phải bản cài đặt nền tảng đầy đủ.

Control plane (khách hàng hoặc Zof)Cụm Kubernetes của khách hàngControl planeKý sốNamespaceTác nhân thực thiWorkloadBí mậtTạo phẩmRanh giới telemetry
  • -Ranh giới rà soát bảo mật rõ ràng
  • -Dữ liệu runtime nhạy cảm ở lại trong các namespace thực thi
  • -API của tầng kiểm soát không trực tiếp chạy kiểm thử đối với các ứng dụng được bảo vệ
  • -Phân chia hybrid là phổ biến trong các đợt triển khai doanh nghiệp
Tác nhân K8s

Tác nhân thực thi Kubernetes

Các tác nhân được thiết kế để tương thích với Kubernetes của khách hàng, chứ không thay thế đội ngũ nền tảng của bạn. Việc định cỡ, HA và nâng cấp tuân theo các tiêu chuẩn cụm của bạn.

  • -Triển khai thông qua manifest hoặc operator đã được khách hàng phê duyệt
  • -Tôn trọng giới hạn tài nguyên và chính sách bảo mật pod
  • -Danh tính runner và danh sách cho phép đối với các máy chủ thực thi
  • -Triển khai theo từng giai đoạn cho mỗi namespace hoặc cụm
Ranh giới

Ranh giới thực thi an toàn

Namespace, chính sách mạng và service account cô lập việc thực thi khỏi các workload không liên quan. Secret được mount tại runtime, không lưu trong Zof Cloud.

  • -RBAC theo phạm vi namespace
  • -Tích hợp với các trình quản lý secret bên ngoài khi được hỗ trợ
  • -Tùy chọn căn chỉnh với service mesh
  • -Kiểm toán các sự kiện vòng đời của tác nhân
Kiểm thử nội bộ

Kiểm thử ứng dụng chỉ dùng nội bộ

Kiểm định microservice, API nội bộ và giao diện quản trị có thể truy cập từ mạng của cụm mà không phơi bày chúng ra internet công cộng.

  • -Kiểm thử dịch vụ-tới-dịch vụ trong cụm
  • -Chỉ qua ingress khi chính sách cho phép
  • -Kết hợp với edge runner cho các hệ thống cũ ngoài cụm
  • -Nhắm mục tiêu dựa trên graph giúp giảm nhiễu
Cô lập

Cô lập theo namespace

Các đội ngũ ánh xạ đơn vị kinh doanh hoặc môi trường vào namespace với các chính sách, thời gian lưu giữ và chế độ bằng chứng riêng biệt.

  • -Tách biệt dev / staging / prod
  • -Hạn mức và giới hạn đồng thời theo từng đội ngũ
  • -Kho bằng chứng giới hạn theo namespace
  • -Quy trình nâng cấp xuyên các namespace
Secret

Xử lý secret

Thông tin xác thực được trung gian hóa tại thời điểm thực thi thông qua PAM hoặc tích hợp secret của cụm. Theo mặc định, các secret tồn tại lâu dài không được sao chép ra SaaS bên ngoài.

  • -Ưu tiên token tồn tại ngắn
  • -Mô hình tương thích với PAM
  • -Không lưu giữ secret trong tầng lập kế hoạch nếu chưa được phê duyệt
  • -Xoay vòng theo các tiêu chuẩn của bạn
Tạo phẩm

Định tuyến tạo phẩm

Các tạo phẩm và bundle kiểm thử vẫn nằm trong kho lưu trữ do khách hàng kiểm soát, trừ khi bạn cấu hình luồng ra dạng đã làm sạch hoặc chỉ siêu dữ liệu.

Kiến trúc thực thi kết hợp (hybrid)

Điều phối trên đám mây với các nhóm thực thi nội bộ phân tán.

Đám mây / đám mây riêngHạ tầng thực thi của khách hàngĐiều khiểnTrí tuệVPC runnerEdge runnerEndpointOn-prem runner
  • -Volume tương thích S3, NFS hoặc trên cụm
  • -Chính sách lưu giữ theo từng namespace
  • -Checksum và ký cho các bundle
  • -Tùy chọn nâng cấp lên danh mục bằng chứng tập trung
Telemetry

Ranh giới telemetry

Số liệu và nhật ký từ các tác nhân có thể ở lại trong các stack quan sát của cụm. Các bảng điều khiển tập trung có thể chỉ nhận các bản tóm tắt siêu dữ liệu.

  • -Mô hình tương thích OpenTelemetry khi được hỗ trợ
  • -Làm sạch dữ liệu trước khi xuất qua ranh giới
  • -ID tương quan phục vụ kiểm toán
  • -Không bắt buộc trích xuất toàn bộ nhật ký ra ngoài
Quản trị

Quản trị cấp doanh nghiệp

Việc ký capsule, phê duyệt của con người và các cổng khắc phục được áp dụng đồng nhất dù thực thi trên VM, bare metal hay Kubernetes.

  • -Phiên bản chính sách được gắn cố định với từng lần chạy
  • -Chuỗi phê duyệt cho các đường lên sản xuất
  • -Tích hợp với hồ sơ thay đổi ITSM
  • -Xuất dữ liệu cho GRC và kiểm toán nội bộ
Mô hình lai (hybrid)

Các mô hình kiến trúc lai

Việc thực thi trên Kubernetes thường cùng tồn tại với runner trong VPC, các site biên và agent đầu cuối dưới cùng một control plane.

  • -Điều phối đồ thị và đội thực thi (fleet) hợp nhất
  • -Mô hình capsule nhất quán trên mọi bề mặt
  • -Chính sách bằng chứng riêng cho từng bề mặt
  • -Quá trình rà soát kiến trúc xác định thứ tự triển khai
Câu hỏi thường gặp

Các câu hỏi về triển khai on-prem

Những câu hỏi thường gặp từ các nhóm hạ tầng và bảo mật.

Không. Việc thực thi sử dụng các runner do khách hàng triển khai bên trong mạng của bạn. Zof không yêu cầu quyền truy cập inbound vào các phân đoạn được bảo vệ.
Next step

Trao đổi về triển khai an toàn với Zof

Cùng những đội ngũ hỗ trợ doanh nghiệp trong môi trường quản chế xem xét phân đoạn, quản trị capsule và việc đặt runner.

Đặt buổi tư vấn triển khai an toànLiên hệ bộ phận kinh doanh
01Zof Console

Một bề mặt duy nhất cho trạng thái, vận hành và những gì cần chú ý tiếp theo.

Ngôi nhà đã xác thực mà các đội kỹ thuật, QA và SRE mở mỗi ngày: trạng thái chất lượng, các lần chạy đang diễn ra, độ phủ theo mô-đun, và điều cần chú ý tiếp theo.

KPI VẬN HÀNH

  • Lần chạy
  • Độ phủ
  • Rủi ro

Trực tiếp trên mọi môi trường mà bạn phát hành.

TRỤC CÔNG VIỆC

  • Đặc tả
  • Kiểm thử
  • Lịch trình

Từ đặc tả đến hồi quy theo lịch.

RÀO CHẮN BẢO VỆ

  • RBAC
  • SSO
  • kiểm toán

Mọi hành động đều quy về một con người cụ thể.

LIVE/console
Trung tâm điều khiển trang chủ Zof AI hiển thị 12 lần chạy với tỷ lệ đạt 94%, 3 vấn đề nghiêm trọng đang mở, độ phủ 84%, bốn thanh truy vết theo mô-đun, pipeline đặc tả, các lịch trình sắp tới và các hành động tiếp theo được đề xuất, kèm thanh bên các lần chạy đang hoạt động.
Home view · Checkout Service · Staging · captured live from the product.
  • 01 · RUNS · 24H

    94% pass

    12 runs across staging

  • 02 · COVERAGE

    84%

    Across four modules

  • 03 · ACTIVE RUNS

    3 running

    Live on this branch

  • 04 · NEXT ACTIONS

    Recommended

    Triage gaps, new spec

Triển khai Private Kubernetes cho độ tin cậy tự động | Zof AI