Saltar al contenido principal

Conceptos

Nuestras ofertas Managed Kubernetes

Cloud Temple ofrece dos ofertas distintas para satisfacer sus necesidades de orquestación de contenedores :

  • Managed Core Kubernetes : Un producto minimalista que le proporciona una base Kubernetes robusta y segura, basada en componentes open source de vanguardia. Es ideal para equipos expertos que desean construir su propia plataforma a medida.
  • Managed Kubernetes : Una solución completa y lista para usar que incluye un stack completo de herramientas para la red, la seguridad, el almacenamiento, el despliegue continuo, la observabilidad, la copia de seguridad y la gestión de costos.

Tabla comparativa de las ofertas

ComponenteManaged Core KubernetesManaged Kubernetes
SOTalosTalos
CNICiliumCilium
Observabilidad CNIHubble
Balanceador de cargaMetalLBMetalLB
IngressIngress Nginx
AlmacenamientoRook-CephRook-Ceph
Despliegue Continuo (GitOps)ArgoCD
ObservabilidadPrometheus, Grafana, Loki
Copia de seguridad y MigraciónVeeam Kasten
Gestión de Costos (FinOps)OpenCost
Gobernanza y SeguridadKyverno, Capsule
Registro de ContenedoresHarbor
Gestión de certificadosCert-Manager
Autenticación SSOIntegración OIDC

Presentación del producto Managed Kubernetes (completa)

La oferta Managed Kubernetes (también llamada "Kub Gestionado", o "KM") es una solución de contenedorización Kubernetes gestionada por Cloud-Temple, desplegada en forma de Máquinas Virtuales que funcionan sobre las infraestructuras IaaS Cloud-Temple OpenIaaS.

Managed Kubernetes se basa en Talos Linux (https://www.talos.dev/), un sistema operativo dedicado a Kubernetes que es ligero y seguro. Es inmutable, sin ningún shell ni acceso SSH, y se configura únicamente de manera declarativa a través de la API gRPC.

La instalación estandarizada incluye un conjunto de componentes, mayoritariamente Open Source y validados por la CNCF:

  • CNI Cillium, con interfaz de observabilidad (Hubble): Cillium es una solución de networking para contenedores Kubernetes (Container Network Interface). Gestiona la seguridad, el balanceo de carga, el service mesh, la observabilidad, el cifrado, etc... Es un componente de red fundamental que se encuentra en la mayoría de las variantes de Kubernetes (OpenShift, AKS, GKE, EKS,...). Hemos incluido la interfaz gráfica Hubble para la visualización de los flujos de Cillium.

  • MetalLB y nginx: Para la exposición de aplicaciones Web, se integran de base 3 ingress-class nginx:

    • nginx-external-secured: exposición en una IP pública, filtrada en el firewall para permitir solo IPs conocidas (utilizado para las interfaces gráficas de los diferentes productos y la API de Kubernetes)

    • nginx-external: exposición en una segunda IP pública no filtrada (o filtrado específico para el cliente)

    • nginx-internal: exposición únicamente en una IP interna

      Para los servicios "no web", un load-balancer metalLB permite exponer servicios en interno o en IPs públicas. (lo que permite desplegar otras ingresses, como por ejemplo un WAF)

  • Almacenamiento distribuido Rook-Ceph: para el almacenamiento de volúmenes persistentes (PV), se integra en la plataforma un almacenamiento distribuido Ceph Open Source. Permite utilizar las storage-classes ceph-block, ceph-bucket y ceph-filesystem. Se utiliza un almacenamiento de 7500 IOPS, lo que permite un alto rendimiento. En los despliegues de producción (en 3 AZ), los nodos de almacenamiento están dedicados (1 nodo por AZ); en los despliegues fuera de producción (1 AZ), el almacenamiento se comparte con los nodos workers.

  • Cert-Manager: el gestor de certificados Open Source Cert-Manager está integrado nativamente en la plataforma.

  • ArgoCD está a su disposición para sus despliegues automatizados a través de una cadena de CI/CD.

  • Stack Prometheus (Prometheus, Grafana, Loki): los clústeres Managed Kubernetes se entregan de serie con una stack Open Source completa de Prometheus para la observabilidad, que incluye:

    • Prometheus

    • Grafana, con numerosos dashboards

    • Loki: los registros de la plataforma se exportan al almacenamiento S3 Cloud-Temple (y se integran en Grafana).

  • Harbor es un Container registry que le permite almacenar las imágenes de sus contenedores o sus charts de Helm directamente en el clúster. Realiza escaneos de vulnerabilidad en sus imágenes y puede firmarlas digitalmente. Harbor también permite sincronizaciones con otros registros. (https://goharbor.io/)

  • OpenCost (https://github.com/opencost/opencost) es una herramienta de gestión de costos (FinOps) para Kubernetes. Le permite seguir detalladamente el consumo de recursos de Kubernetes y realizar subfacturación por proyecto/namespace.

  • Estrategias de seguridad avanzadas con Kyverno y Capsule:

    • Kyverno (https://kyverno.io/) es un controlador de admisión para Kubernetes que permite aplicar políticas. Es una herramienta esencial para la gobernanza y la seguridad en Kubernetes.
    • Capsule (https://projectcapsule.dev/) es una herramienta de gestión de permisos que facilita la administración de derechos en Kubernetes. Introduce el concepto de tenant que permite centralizar y delegar permisos en varios namespaces. A través de Capsule, los usuarios de la plataforma Kubernetes Gestionado disponen, por tanto, de derechos restringidos únicamente a sus propios namespaces.
  • Veeam Kasten (también conocido como 'k10') es una solución para la copia de seguridad de las cargas de trabajo de Kubernetes.

    Permite realizar copias de seguridad de un despliegue completo: manifiestos, volúmenes, etc... hacia el almacenamiento de objetos S3 Cloud-Temple. Kasten utiliza Kanister para permitir copias de seguridad aplicativas coherentes, por ejemplo para bases de datos (https://docs.kasten.io/latest/usage/blueprints/).

    Kasten es una herramienta multiplataforma que puede funcionar con otros clústeres de Kubernetes (OpenShift, hiperescaladores,...). Por lo tanto, puede utilizarse para escenarios de reversibilidad o migración (K10 gestiona las adaptaciones necesarias mediante transformations, por ejemplo un cambio de ingress-class), pero también para "refresh" (ejemplo: restauración planificada de un entorno de producción en preproducción).

  • Autenticación SSO con un Identity Provider Externo OIDC (Microsoft Entra, FranceConnect, Okta, AWS IAM, Google, Salesforce, ...)

SLA e Información sobre el soporte

  • Disponibilidad garantizada (producción 3 AZ) : 99.95 %
  • Soporte : N1/N2/N3 incluido para el perímetro base (infraestructura y operadores estándar).
  • Compromiso de tiempo de recuperación (ETR) : según contrato marco Cloud Temple.
  • Mantenimiento (MCO) : aplicación regular de parches para Talos / Kubernetes / operadores estándar por parte del MSP, sin interrupción del servicio (rolling upgrade).

Los plazos de atención y recuperación dependen de la gravedad del incidente, de acuerdo con la matriz de soporte (P1 a P4).

Política de versiones y ciclo de vida

  • Kubernetes soportado: N-2 (3 versiones principales por año, aproximadamente cada 4 meses). Cada versión es soportada oficialmente durante 12 meses, lo que garantiza una ventana de soporte de Cloud Temple de ~16 meses como máximo por versión.
  • Talos OS: alineado con las versiones estables de Kubernetes.
    • Cada rama se mantiene durante aproximadamente 12 meses (incluidos los parches de seguridad).
    • Ritmo de actualización recomendado: 3 veces al año, en coherencia con las actualizaciones de Kubernetes.
    • Los parches críticos (CVE, kernel) se aplican mediante rolling upgrade, sin interrupción del servicio.
  • Operadores estándar: actualizados en un plazo de 90 días tras la versión estable.
  • Actualizaciones:
    • Principales (Kubernetes N+1, Talos X+1): programadas 3 veces/año, mediante rolling update.
    • Menores: aplicadas automáticamente en un plazo de 30 a 60 días.
  • Depreciación: versión N-3 → fin de soporte en un plazo de 90 días tras el lanzamiento de N.

Nodos de Kubernetes

Producción (multi-zona)

Para un despliegue "de producción" (multi-zona), se utilizan las siguientes máquinas:

AZMáquinavCoresRAMAlmacenamiento local
AZ07Git Runner48 GoSO: 256 Go
AZ05Control Plane 1812 GoSO: 128 Go
AZ06Control Plane 2812 GoSO: 128 Go
AZ07Control Plane 3812 GoSO: 128 Go
AZ05Storage Node 11224 GoSO: 128 Go + Ceph 500 Go mínimo (*)
AZ06Storage Node 21224 GoSO: 128 Go + Ceph 500 Go mínimo (*)
AZ07Storage Node 31224 GoSO: 128 Go + Ceph 500 Go mínimo (*)
AZ05Worker Node 1 (**)1224 GoSO: 128 Go
AZ06Worker Node 2 (**)1224 GoSO: 128 Go
AZ07Worker Node 3 (**)1224 GoSO: 128 Go

(*) : Cada nodo de almacenamiento se entrega con un mínimo de 500 Go de espacio en disco, para un almacenamiento útil Ceph distribuido de 500 Go (los datos se replican en cada AZ, por lo tanto x3). El espacio libre disponible para el cliente es de aproximadamente 350 Go. Este tamaño inicial puede aumentarse en el momento del despliegue, o más tarde, según sea necesario. Se aplican cuotas en Ceph, con una distribución Block/File.

(**) : El tamaño y la cantidad de Worker Nodes pueden adaptarse según la necesidad de capacidad de cálculo del cliente. La cantidad mínima de Worker nodes es de 3 (1 por AZ), y recomendamos aumentar su número en lotes de 3 para mantener una distribución multi-zona coherente. El tamaño de los Worker Node puede adaptarse, con un mínimo de 12 núcleos y 24 Go de RAM; el límite superior por Worker node está determinado por el tamaño de los hipervisores utilizados (por lo tanto, potencialmente 112 núcleos/1536 Go de RAM con blades Performance 3). La cantidad de Worker Nodes está limitada a 100. El CNCF recomienda tener worker nodes del mismo tamaño. El límite de pods por Worker Node es de 110.

Dev/Test

Para una versión "dev/test", se despliegan las siguientes máquinas:

AZMáquinavCoresRAMAlmacenamiento local
AZ0nGit Runner48 GoSO: 30 Go
AZ0nControl Plane812 GoSO: 128 Go
AZ0nWorker Node 1 (**)1224 GoSO: 128 Go + Ceph 300 Go mínimo (*)
AZ0nWorker Node 2 (**)1224 GoSO: 128 Go + Ceph 300 Go mínimo (*)
AZ0nWorker Node 3 (**)1224 GoSO: 128 Go + Ceph 300 Go mínimo (*)

(*) : 3 Worker nodes se utilizan como Storage nodes y se entregan con un mínimo de 300 Go de espacio en disco, para un almacenamiento útil distribuido de 300 Go (los datos se replican tres veces). El espacio libre disponible para el cliente es de aproximadamente 150 Go. Este tamaño inicial puede aumentarse en el momento del despliegue, o más tarde, según las necesidades.

(**) : El tamaño y la cantidad de Worker Nodes pueden adaptarse según la necesidad de capacidad de cálculo del cliente. El número mínimo de Worker nodes es de 3 (debido a la replicación del almacenamiento). El tamaño de los Worker Nodes puede adaptarse, con un mínimo de 12 núcleos y 24 Go de RAM; el límite superior por Worker node está determinado por el tamaño de los hipervisores utilizados (por lo tanto, potencialmente 112 núcleos/1536 Go de RAM con blades Performance 3). La cantidad de Worker Nodes está limitada a 250. El CNCF recomienda tener worker nodes del mismo tamaño. El límite de pods por Worker Node es de 110.

RACI

Arquitectura e Infraestructura

ActividadClienteCloud Temple
Definir la arquitectura global del servicio KubernetesCRA
Dimensionar el servicio Kubernetes (nombre de noeuds, ressources)CRA
Instalar el servicio Kubernetes con una configuración predeterminadaIRA
Configuración del servicio KubernetesCRA
Configurar la red base del servicio KubernetesIRA
Despliegue de la configuración inicial de identidades y accesosCRA
Definir la estrategia de escalado y alta disponibilidadCRA

Gestión de proyectos y aplicaciones empresariales

ActividadClienteCloud Temple
Crear y gestionar los proyectos de KubernetesRAI*
Desplegar y gestionar las aplicaciones en KubernetesRAI*
Configurar los pipelines CI/CDRAI*
Gestionar las imágenes de contenedores y los registrosRAI*

*puede cambiar a "C" según el contrato de outsourcing

Monitoreo y rendimiento

ActividadClienteCloud Temple
Monitorear el rendimiento del servicio de KubernetesIRA*
Monitorear el rendimiento de las aplicacionesRA
Gestionar las alertas relacionadas con el servicio de KubernetesIRA*
Gestionar las alertas relacionadas con las aplicacionesRA

(*) : Solo clúster de producción. En Dev/Test, el cliente tiene plena autonomía y responsabilidad.

Mantenimiento y actualizaciones de Infraestructuras

ActividadClienteCloud Temple
Actualizar el servicio Kubernetes/OSCRA
Aplicar los parches de seguridad a KubernetesCRA
Actualizar las aplicaciones desplegadas (opérateurs*)CRA

*Paquete de operador incluido en Managed Kube - ver capítulos: Paquetes Helm gestionados

Seguridad

ActividadClienteCloud Temple
Gestionar la seguridad del servicio KubernetesRARA*
Configurar y gestionar las políticas de seguridad de los podsRAI
Gestionar los certificados SSL/TLS para el servicio KubernetesCRA*
Gestionar los certificados SSL/TLS para las aplicacionesRAI
Implementar y gestionar el control de acceso basado en roles de base (RBAC)CR*
Implementar y gestionar el control de acceso basado en roles del cliente (RBAC)RAI

(*) : Solo clúster de producción. En Dev/Test el cliente tiene plena autonomía y responsabilidad.

Copia de seguridad y recuperación ante desastres

ActividadClienteCloud Temple
Definir la estrategia de copia de seguridad para el servicio KubernetesIRA
Implementar y gestionar las copias de seguridad del servicio KubernetesIRA
Definir la estrategia de copia de seguridad para las aplicacionesRA*I*
Implementar y gestionar las copias de seguridad de las aplicacionesRA*I*
Probar los procedimientos de recuperación ante desastres para el servicio KubernetesCIRA
Probar los procedimientos de recuperación ante desastres para las aplicacionesRA*CI*

*puede cambiar a "CI | RA" según el contrato de externalización

Soporte y resolución de problemas

ActividadClienteCloud Temple
Proporcionar soporte de nivel 1 para la infraestructuraIRA
Proporcionar soporte de nivel 2 y 3 para la infraestructuraIRA
Resolver problemas relacionados con el servicio KubernetesCRA
Resolver problemas relacionados con las aplicacionesRAI

Gestión de capacidades y evolución

Solo clúster de producción. En Dev/Test, el cliente es completamente autónomo y responsable.

ActividadClienteCloud Temple
Monitorear el uso de los recursos de KubernetesCRA
Planificar la evolución de las capacidades del servicioRAC
Implementar los cambios de capacidadIRA
Gestionar la evolución de las aplicaciones y sus recursosRAI

Documentación y cumplimiento

ActividadClienteCloud Temple
Mantener la documentación del producto KubernetesIRA
Mantener la documentación de las aplicacionesRAI
Garantir el cumplimiento del servicio KubernetesIRA
Garantir el cumplimiento de las aplicacionesRAI
Realizar auditorías del servicio KubernetesIRA
Realizar auditorías de las aplicacionesRAI

Gestión de operadores/CRD de Kubernetes (incluido en el producto)

ActividadClienteCloud Temple
Disponibilidad del catálogo de Operadores predeterminadoCIRA
Actualización de los OperadoresCIRA
Monitoreo del estado de los OperadoresCIRA
Resolución de problemas relacionados con los OperadoresCIRA
Gestión de los permisos de los OperadoresCIRA
Gestión de los recursos de los Operadores (ajout/suppression)CIRA
Respaldo de los datos de los recursos de los OperadoresCIRA
Supervisión de los recursos de los OperadoresCIRA
Restauración de los datos de los recursos de los OperadoresCIRA
Auditoría de seguridad de los OperadoresCIRA
Soporte de los OperadoresCIRA
Gestión de licencias en los operadoresCIRA
Gestión de planes de soporte específicos en los operadoresCIRA

*Paquete de operador incluido en Managed Kube - ver capítulos: Paquetes Helm gestionados

Gestión de aplicaciones/operadores/CRD de Kubernetes (del cliente)

Solo clúster de producción. En Dev/Test, el cliente tiene plena autonomía y responsabilidad.

ActividadClienteCloud Temple
Despliegue de CRDsI*RA*
Actualización de operadoresRAI
Monitoreo del estado de los operadoresRAI
Resolución de problemas relacionados con los operadoresRAI
Gestión de autorizaciones de los operadoresRAI
Gestión de recursos de los operadores (agregado/eliminación)RAI
Copia de seguridad de datos de los recursos de los operadoresRAI
Supervisión de recursos de operadoresRAI
Restauración de datos de los recursos de los operadoresRAI
Auditoría de seguridad de los operadoresRAI
Soporte de operadoresRAI
Gestión de licencias de los operadoresRAI
Gestión de planes de soporte específicos para los operadoresRAI

Algunos servicios de operadores pueden estar cubiertos según el contrato de outsourcing.

*puede cambiar a "A | RC" según el contrato de outsourcing

Asistencia de aplicaciones

ActividadClienteCloud Temple
Asistencia de aplicaciones (servicio externo)RAI

Se puede proporcionar soporte de aplicaciones a través de un servicio complementario.

RACI (resumido)

  • Cloud Temple : responsable y actor (RA) de la base Kubernetes, seguridad del clúster, respaldo de infraestructura, supervisión, CRD.
  • Cliente : responsable y actor (RA) de los proyectos de aplicaciones, operadores de negocio, pipelines CI/CD, respaldos de aplicaciones.
  • Zona "gris" : adaptaciones y extensiones (IAM, operadores específicos, endurecimiento de cumplimiento/seguridad del clúster) - facturadas en modalidad de proyecto.