Passa al contenuto principale

Concetti

Le nostre offerte Managed Kubernetes

Cloud Temple propone due offerte distinte per soddisfare le vostre esigenze di orchestrazione dei container:

  • Managed Core Kubernetes : Un prodotto minimalista che fornisce una base Kubernetes robusta e sicura, basata su componenti open-source all'avanguardia. È ideale per i team esperti che desiderano costruire la propria piattaforma su misura.
  • Managed Kubernetes : Una soluzione completa e pronta all'uso che include una stack completa di strumenti per la rete, la sicurezza, lo storage, il deployment continuo, l'osservabilità, il backup e la gestione dei costi.

Tabella comparativa delle offerte

ComponenteManaged Core KubernetesManaged Kubernetes
OSTalosTalos
CNICiliumCilium
Osservabilità CNIHubble
Load BalancerMetalLBMetalLB
IngressIngress Nginx
StorageRook-CephRook-Ceph
Deployment Continuo (GitOps)ArgoCD
OsservabilitàPrometheus, Grafana, Loki
Backup e MigrazioneVeeam Kasten
Gestione dei Costi (FinOps)OpenCost
Governance e SicurezzaKyverno, Capsule
Container RegistryHarbor
Gestione dei CertificatiCert-Manager
Autenticazione SSOIntegrazione OIDC

Presentazione del prodotto Managed Kubernetes (completa)

L'offerta Managed Kubernetes (nota anche come "Kub Managé" o "KM") è una soluzione di containerizzazione Kubernetes gestita da Cloud-Temple, distribuita sotto forma di Macchine Virtuali che operano sulle infrastrutture IaaS Cloud-Temple OpenIaaS.

Managed Kubernetes si basa su Talos Linux (https://www.talos.dev/), un sistema operativo dedicato a Kubernetes che è leggero e sicuro. È immutabile, privo di shell o accesso SSH, e configurato esclusivamente in modo dichiarativo tramite API gRPC.

L'installazione standardizzata include un insieme di componenti, prevalentemente OpenSource e validati dal CNCF:

  • CNI Cillium, con interfaccia di osservabilità (Hubble): Cillium è una soluzione di networking per i container Kubernetes (Container Network Interface). Gestisce la sicurezza, il load balancing, il service mesh, l'osservabilità, la crittografia, ecc... È un componente di rete fondamentale presente nella maggior parte delle distribuzioni di Kubernetes (OpenShift, AKS, GKE, EKS,...). Abbiamo incluso l'interfaccia grafica Hubble per la visualizzazione dei flussi Cillium.

  • MetalLB e nginx: Per l'esposizione delle applicazioni Web, 3 ingress-class nginx sono integrate di base:

    • nginx-external-secured: esposizione su un IP pubblico, filtrato sul firewall per autorizzare solo IP noti (utilizzato per le interfacce grafiche dei vari prodotti e per l'API Kubernetes)

    • nginx-external: esposizione su un secondo IP pubblico non filtrato (o con filtraggio specifico per il cliente)

    • nginx-internal: esposizione su un IP interno esclusivamente

      Per i servizi "non web", un load-balancer metalLB consente di esporre servizi in interno o su IP pubblici. (ciò permette di distribuire altri ingress, come ad esempio un WAF)

  • Storage distribuito Rook-Ceph: per lo storage dei volumi persistenti (PV), uno storage distribuito Ceph OpenSource è integrato nella piattaforma. Consente di utilizzare le storage-classes ceph-block, ceph-bucket e ceph-filesystem. Viene utilizzato uno storage da 7500 IOPS, garantendo alte prestazioni. Nei deployment di produzione (su 3 AZ), i nodi di storage sono dedicati (1 nodo per AZ); nei deployment non di produzione (1 AZ), lo storage è condiviso con i worker node.

  • Cert-Manager: il gestore di certificati OpenSource Cert-Manager è integrato nativamente nella piattaforma.

  • ArgoCD è a vostra disposizione per i deployment automatizzati tramite una pipeline di CI/CD.

  • Stack Prometheus (Prometheus, Grafana, Loki): i cluster Managed Kubernetes sono forniti di serie con una stack OpenSource completa Prometheus per l'osservabilità, che include:

    • Prometheus

    • Grafana, con numerosi dashboard

    • Loki: i log della piattaforma vengono esportati nello storage S3 Cloud-Temple (e integrati in Grafana).

  • Harbor è un Container registry che vi permette di memorizzare le immagini dei vostri container o i vostri chart Helm direttamente nel cluster. Esegue scansioni di vulnerabilità sulle vostre immagini e può firmarle digitalmente. Harbor consente anche sincronizzazioni con altri registry. (https://goharbor.io/)

  • OpenCost (https://github.com/opencost/opencost) è uno strumento di gestione dei costi (FinOps) per Kubernetes. Vi permette di monitorare nel dettaglio il consumo delle risorse Kubernetes e di effettuare la rifatturazione per progetto/namespace.

  • Strategie di sicurezza avanzate con Kyverno e Capsule:

    • Kyverno (https://kyverno.io/) è un controller di ammissione per Kubernetes che consente di applicare policy. È uno strumento essenziale per la governance e la sicurezza in Kubernetes.
    • Capsule (https://projectcapsule.dev/) è uno strumento di gestione delle autorizzazioni che semplifica la gestione dei diritti in Kubernetes. Introduce il concetto di tenant che permette di centralizzare e delegare le autorizzazioni su più namespace. Tramite Capsule, gli utenti della piattaforma Kubernetes Managé dispongono quindi di diritti limitati ai soli propri namespace.
  • Veeam Kasten (aka 'k10') è una soluzione per il backup dei workload Kubernetes.

    Consente di eseguire il backup di un deployment completo: manifest, volumi, ecc... verso lo storage oggetto S3 Cloud-Temple. Kasten utilizza Kanister per permettere backup applicativi coerenti, ad esempio per i database (https://docs.kasten.io/latest/usage/blueprints/).

    Kasten è uno strumento cross-platform che può funzionare con altri cluster Kubernetes (OpenShift, Hyperscaler,...). Può quindi essere utilizzato per scenari di reversibilità o migrazione (K10 gestisce le eventuali adattamenti tramite transformations, ad esempio un cambio di ingress-class), ma anche per operazioni di "refresh" (esempio: ripristino pianificato di un ambiente di produzione in pre-produzione).

  • Autenticazione SSO con un Identity Provider Esterno OIDC (Microsoft Entra, FranceConnect, Okta, AWS IAM, Google, Salesforce, ...)

SLA & Informazioni sul supporto

  • Disponibilità garantita (produzione 3 AZ) : 99.95 %
  • Supporto : N1/N2/N3 inclusi per il perimetro base (infrastruttura e operatori standard).
  • Impegno sul tempo di ripristino (ETR) : secondo contratto quadro Cloud Temple.
  • Manutenzione (MCO) : patching regolare Talos / Kubernetes / operatori standard da parte di MSP, senza interruzione del servizio (rolling upgrade).

I tempi di presa in carico e di ripristino dipendono dalla gravità dell'incidente, conformemente alla griglia di supporto (da P1 a P4).

Politica delle versioni & ciclo di vita

  • Kubernetes supportato: N-2 (3 release maggiori all'anno, circa ogni 4 mesi). Ogni release è supportata ufficialmente per 12 mesi, garantendo una finestra di supporto Cloud Temple di ~16 mesi massimo per versione.
  • Talos OS: allineato alle versioni stabili di Kubernetes.
    • Ogni branch è mantenuto per circa 12 mesi (inclusi i patch di sicurezza).
    • Ritmo di upgrade raccomandato: 3 volte all'anno, in coerenza con gli upgrade di Kubernetes.
    • I patch critici (CVE, kernel) vengono applicati tramite rolling upgrade, senza interruzione del servizio.
  • Operator standard: aggiornati entro 90 giorni dalla release stabile.
  • Aggiornamenti:
    • Maggiori (Kubernetes N+1, Talos X+1): pianificati 3 volte/anno, tramite rolling update.
    • Minori: applicati automaticamente entro 30-60 giorni.
  • Deprecazione: versione N-3 → fine del supporto entro 90 giorni dall'uscita di N.

Nodi Kubernetes

Produzione (multi-zonale)

Per un deployment "di produzione" (multi-zonale), vengono utilizzate le seguenti macchine:

AZMacchinavCoresRAMArchiviazione locale
AZ07Git Runner48 GBOS: 256 GB
AZ05Control Plane 1812 GBOS: 128 GB
AZ06Control Plane 2812 GBOS: 128 GB
AZ07Control Plane 3812 GBOS: 128 GB
AZ05Storage Node 11224 GBOS: 128 GB + Ceph 500 GB minimo (*)
AZ06Storage Node 21224 GBOS: 128 GB + Ceph 500 GB minimo (*)
AZ07Storage Node 31224 GBOS: 128 GB + Ceph 500 GB minimo (*)
AZ05Worker Node 1 (**)1224 GBOS: 128 GB
AZ06Worker Node 2 (**)1224 GBOS: 128 GB
AZ07Worker Node 3 (**)1224 GBOS: 128 GB

(*) : Ogni nodo di storage viene fornito con un minimo di 500 GB di spazio su disco, per uno storage Ceph distribuito utile di 500 GB (i dati vengono replicati su ogni AZ, quindi x3). Lo spazio libero disponibile per il cliente è di circa 350 GB. Questa dimensione iniziale può essere aumentata al momento della configurazione, o in seguito, in base alle esigenze. Vengono applicati delle quote su Ceph, con una ripartizione Block/File.

(**) : La dimensione e il numero dei Worker Node possono essere adattati in base alle esigenze di capacità di calcolo del cliente. Il numero minimo di Worker Node è di 3 (1 per AZ) e consigliamo di aumentarne il numero a gruppi di 3 per mantenere una distribuzione multi-zonale coerente. La dimensione dei Worker Node può essere adattata, con un minimo di 12 core e 24 GB di RAM; il limite superiore per Worker Node è determinato dalla dimensione degli hypervisor utilizzati (quindi potenzialmente 112 core/1536 GB di RAM con blade Performance 3). La quantità di Worker Node è limitata a 100. Il CNCF consiglia di utilizzare worker node di dimensioni identiche. Il limite del numero di pod per Worker Node è di 110.

Dev/Test

Per una versione "dev/test", vengono distribuite le seguenti macchine:

AZMacchinavCoresRAMStorage locale
AZ0nGit Runner48 GoOS: 30 Go
AZ0nControl Plane812 GoOS: 128 Go
AZ0nWorker Node 1 (**)1224 GoOS: 128 Go + Ceph 300 Go minimo (*)
AZ0nWorker Node 2 (**)1224 GoOS: 128 Go + Ceph 300 Go minimo (*)
AZ0nWorker Node 3 (**)1224 GoOS: 128 Go + Ceph 300 Go minimo (*)

(*) : 3 Worker nodes sono utilizzati come Storage nodes e vengono forniti con un minimo di 300 Go di spazio su disco, per un'archiviazione distribuita effettiva di 300 Go (i dati vengono replicati tre volte). Lo spazio libero disponibile per il cliente è di circa 150 Go. Questa dimensione iniziale può essere aumentata al momento del provisioning, o in seguito, in base alle esigenze.

(**) : Le dimensioni e il numero dei Worker Nodes possono essere adattati in base alle esigenze di capacità di calcolo del cliente. Il numero minimo di Worker nodes è 3 (a causa della replicazione dello storage). Le dimensioni dei Worker Node possono essere adattate, con un minimo di 12 core e 24 Go di RAM; il limite superiore per Worker node è determinato dalle dimensioni degli hypervisor utilizzati (quindi potenzialmente 112 core/1536 Go di RAM con blade Performance 3). La quantità di Worker Nodes è limitata a 250. Il CNCF consiglia di utilizzare worker nodes di dimensioni identiche. Il limite del numero di pod per Worker Node è di 110.

RACI

Architettura & Infrastruttura

AttivitàClienteCloud Temple
Definire l'architettura globale del servizio KubernetesCRA
Dimensionare il servizio Kubernetes (numero di nodi, risorse)CRA
Installare il servizio Kubernetes con una configurazione predefinitaIRA
Configurazione del servizio KubernetesCRA
Configurare la rete di base del servizio KubernetesIRA
Distribuzione della configurazione iniziale delle identità e degli accessiCRA
Definire la strategia di scaling e di alta disponibilitàCRA

Gestione dei progetti e delle applicazioni aziendali

AttivitàClienteCloud Temple
Creare e gestire i progetti KubernetesRAI*
Distribuire e gestire le applicazioni in KubernetesRAI*
Configurare le pipeline CI/CDRAI*
Gestire le immagini dei container e i registriRAI*

*può passare a "C" in base al contratto di outsourcing IT

Monitoraggio e prestazioni

AttivitàClienteCloud Temple
Monitorare le prestazioni del servizio KubernetesIRA*
Monitorare le prestazioni delle applicazioniRA
Gestire le alert relative al servizio KubernetesIRA*
Gestire le alert relative alle applicazioniRA

(*) : Solo per il Cluster di Produzione. In Dev/Test il cliente è completamente autonomo e responsabile.

Manutenzione e aggiornamenti Infrastrutture

AttivitàClienteCloud Temple
Aggiornare il servizio Kubernetes/OSCRA
Applicare le patch di sicurezza a KubernetesCRA
Aggiornare le applicazioni distribuite (operatori*)CRA

*Pacchetto operatore incluso su Managed Kube - vedere capitoli: Pacchetti Helm gestiti

Sicurezza

AttivitàClienteCloud Temple
Gestire la sicurezza del servizio KubernetesRARA*
Configurare e gestire le politiche di sicurezza dei podRAI
Gestire i certificati SSL/TLS per il servizio KubernetesCRA*
Gestire i certificati SSL/TLS per le applicazioniRAI
Implementare e gestire il controllo degli accessi basato sui ruoli di base (RBAC)CR*
Implementare e gestire il controllo degli accessi basato sui ruoli del cliente (RBAC)RAI

(*) : Solo per il Cluster di Produzione. In Dev/Test il cliente è completamente autonomo e responsabile.

Backup e disaster recovery

AttivitàClienteCloud Temple
Definire la strategia di backup per il servizio KubernetesIRA
Implementare e gestire i backup del servizio KubernetesIRA
Definire la strategia di backup per le applicazioniRA*I*
Implementare e gestire i backup delle applicazioniRA*I*
Testare le procedure di disaster recovery per il servizio KubernetesCIRA
Testare le procedure di disaster recovery per le applicazioniRA*CI*

*può passare a "CI | RA" in base al contratto di managed service

Support e risoluzione dei problemi

AttivitàClienteCloud Temple
Fornire supporto di livello 1 per l'infrastrutturaIRA
Fornire supporto di livello 2 e 3 per l'infrastrutturaIRA
Risolvere i problemi relativi al servizio KubernetesCRA
Risolvere i problemi relativi alle applicazioniRAI

Gestione delle capacità e evoluzione

Solo per il Cluster di Produzione. In Dev/Test il cliente è completamente autonomo e responsabile.

AttivitàClienteCloud Temple
Monitorare l'utilizzo delle risorse KubernetesCRA
Pianificare l’evoluzione delle capacità del servizioRAC
Implementare le modifiche di capacitàIRA
Gestire l’evoluzione delle applicazioni e delle relative risorseRAI

Documentazione e conformità

AttivitàClienteCloud Temple
Mantenere la documentazione del prodotto KubernetesIRA
Mantenere la documentazione delle applicazioniRAI
Garantire la conformità del servizio KubernetesIRA
Garantire la conformità delle applicazioniRAI
Eseguire audit del servizio KubernetesIRA
Eseguire audit delle applicazioniRAI

Gestione degli operatori/CRD Kubernetes (incluso nel prodotto)

AttivitàClienteCloud Temple
Messa a disposizione del catalogo Operatori predefinitoCIRA
Aggiornamento degli OperatoriCIRA
Monitoraggio dello stato degli OperatoriCIRA
Risoluzione dei problemi relativi agli OperatoriCIRA
Gestione delle autorizzazioni degli OperatoriCIRA
Gestione delle risorse degli Operatori (aggiunta/rimozione)CIRA
Backup dei dati delle risorse degli OperatoriCIRA
Supervisione delle risorse OperatoriCIRA
Ripristino dei dati delle risorse degli OperatoriCIRA
Audit di sicurezza degli OperatoriCIRA
Supporto per gli OperatoriCIRA
Gestione delle licenze per gli operatoriCIRA
Gestione dei piani di supporto specifici per gli operatoriCIRA

*Pacchetto operatore incluso su Managed Kube - vedere capitoli: Pacchetti Helm gestiti

Gestione delle applicazioni/operatori/CRD Kubernetes (del cliente)

Solo cluster di Produzione. In Dev/Test il cliente è completamente autonomo e responsabile.

AttivitàClienteCloud Temple
Distribuzione dei CRDI*RA*
Aggiornamento degli OperatoriRAI
Monitoraggio dello stato degli OperatoriRAI
Risoluzione dei problemi relativi agli OperatoriRAI
Gestione delle autorizzazioni degli OperatoriRAI
Gestione delle risorse degli Operatori (aggiunta/rimozione)RAI
Backup dei dati delle risorse degli OperatoriRAI
Supervisione delle risorse OperatoriRAI
Ripristino dei dati delle risorse degli OperatoriRAI
Audit di sicurezza degli OperatoriRAI
Supporto degli OperatoriRAI
Gestione delle licenze per gli operatoriRAI
Gestione dei piani di supporto specifici per gli operatoriRAI

Alcuni servizi degli operatori possono essere gestiti in base al contratto di managed service.

*può passare a "A | RC" in base al contratto di managed service

Assistenza applicativa

AttivitàClienteCloud Temple
Assistenza applicativa (servizio esterno)RAI

Un supporto applicativo può essere fornito tramite un servizio complementare.

RACI (sintetico)

  • Cloud Temple : responsabile e attore (RA) della piattaforma Kubernetes, sicurezza del cluster, backup infrastrutturale, monitoraggio, CRD.
  • Cliente : responsabile e attore (RA) dei progetti applicativi, operatori di business, pipeline CI/CD, backup applicativi.
  • Zona "grigia" : adattamenti ed estensioni (IAM, operatori specifici, rafforzamento della conformità/sicurezza del cluster) - fatturate a progetto.