如何在红帽OpenShift容器平台上部署A10 Networks的Secure Service Mesh
什么是红帽® OpenShift®容器平台?
红帽®OpenShift®是一个企业就绪型Kubernetes容器平台,可以实现全堆栈自动化运营,以管理混合云和多云部署。开发人员可以轻松地通过一系列得到支持的技术,部署各种应用,因此,团队可以选择使用自己喜欢的语言、框架、数据库,来构建和部署服务。
什么是A10 Networks的Secure Service Mesh?
A10 Networks的Secure Service Mesh解决方案可以提供一个轻松、自动化的方式,将企业级安全和负载均衡/流量管理与全面应用可视性和分析整合在一起,而无需更改应用,并且跨应用的整个生命周期。
统一解决方案可以带来高可扩展性、软件定义的分布式架构,其中包含了三个关键组件:A10 Lightning ADC、A10 Kubernetes连接器、A10 Harmony控制器。(更多相关信息,可以前往A10网站)
用A10 Lightning ADC来管理红帽OpenShift容器平台上的应用流量
A10 Lightning ADC Daemon-Set可以部署在一个Kubernetes集群中,用来在集群内管理容器化的应用流量。Lighting ADC管理能力包含负载均衡和应用安全。A10 Harmony控制器位ADC提供了集中管理的能力、为应用提供了分析能力。
部署架构
在红帽OpenShift上部署A10 Networks解决方案的先决条件
了解系统先决条件:
- 为了能在一个物理或者虚拟系统中部署OpenShift,要设置主节点和工作节点;
- 安装红帽OpenShift
- 应用一个预存容器,运行于OpenShift中;
- 部署A10 Networks Secure Service Mesh解决方案,其中包含了作为daemon-set的Lighting ADC、Kubernetes连接器、Harmony控制器;
- 在数据中心中部署A10 Harmony控制器;
- 登录Harmony控制器,并创建一个手动的Lightning ADC集群;
- 为A10 Kubernets连接器创建RBAC(服务账号)
在红帽OpenShift中部署A10 Networks Secure Service Mesh解决方案
红帽OpenShift通过一个基于web的GUI和命令行界面(CLI),提供了配置选项,从而可以部署应用YAML文件。(说明:以下提及的部署和配置步骤采用命令行界面CLI)
假设你已经安装并运行了A10 Harmony控制器和红帽OpenShift。遵循以下步骤,就可以设置Secure Service Mesh解决方案。
创建一个租户账户
- 打开浏览器,登录A10 Harmony门户,创建一个租户账号;
- 现在,在租户中,创建一个Lightning ADC手动集群。一旦创建好,标注集群ID和API服务器URL等信息(如下)
创建A10 Lightning ADC Daemon-set
- 一旦生成了一个手动Lightning ADC集群ID,你就可以通过集群ID和API服务器URL参数(在daemon-set yaml文件中定义的),创建一个Lightning ADC daemon-set;
- 通过下载LADC_daemon_Set.yaml文件示例到主节点,可以部署A10 Lighting ADC daemon-set;
- 编辑LADC_daemon_Set.yaml文件示例,并输入“ladc_cluster_id”和“API server URL”的细节信息到文件中,并保存文件;
- 用以下命令部署A10 Lightning ADC daemon-set,# oc create -f LADC_demon_Set.yaml
创建一个Secret
- 用“secret.yaml”示例文件,将Harmony控制器访问凭证放置于一个Kubernetes secret中;
- 编辑文件,并以base64格式输入租户的用户名和密码,保存修改后的文件;
- 用# oc create -f secret.yaml命令,创建租户作为一个Kubernetes secret的凭证;
创建基于角色的访问控制
- 通过下载“RABC.yaml” 文件示例,部署基于角色的访问(RBAC)。# oc create -f RBAC.yaml
创建一个A10 Kubernetes连接器
- 通过下载“deploy_A10_Kubernetes_Connector.yaml”文件示例,部署A10 Kubernetes连接器;
- 编辑文件并输入相应参数,例如Harmony控制器URL、租户名、LADC集群名,并保存修改的文件;
- 通过# oc create -f deploy_A10_Kubernetes_Connector.yaml命令,部署A10 Kubernetes连接器
创建一个Ingress资源
一个Ingress资源用于允许用户定义负载均衡和内容交换规则。
- 通过下载“ingress_resource.yaml”文件示例,创建一个Ingress资源;
- 编辑文件,并输入相应参数,譬如服务名称、主机名、后端服务名端口号等;
- 通过# oc create -f ingress_resource.yaml命令,部署Ingress控制器资源;
部署Kubernetes Headless Service
当一个Kubernetes服务被创建,系统默认的是Kube-proxy将承担负载均衡设备的角色。当Lightning ADC被加入到路径中时,Kube-proxy则变成了冗余设备。作为一个headless service被部署的应用服务则将Kube-proxy从路径中删除,而流量则将会路由到Lightning ADC设备上。
- 用浏览器访问应用URL,譬如http://myapplication.com。应用FQDN应该被配置在DNS中,指向Kubernetes节点的IP地址。
- 要浏览应用流量分析,请登录到A10 Harmony控制器门户GUI。
A10 Harmony门户上的分析仪表盘(analytics dashboard)可以显示实时的应用用户流量数据,譬如当前流量吞吐、响应时间、连接细节,以及不同类别的各种指标,例如客户摘要、ADC性能、应用响应时间、服务器健康情况等等。分析指标数据可以帮助管理员处理应用慢或者应用访问相关的问题。
上面这个图显示了Lightning ADC收到的用户地理分布、客户需求、服务器响应节点、客户需求数量等信息摘要。这有助于管理员识别和控制用户流量。
上面这种图则显示了在不同的分割点上,测量的往返HTTP请求/响应时间情况。这可以帮助管理员将每次分割点上的延迟情况视觉化。同时,也可以快速提供有效信息,确认是否有需要深入调查的情况。
总结:
红帽OpenShift为用户提供了一个简单的Kubernetes平台,可以通过应用一系列已获支持的技术,部署他们自己的基于容器的应用。这降低了在Kubernetes中管理应用的复杂性和运营费用。此外,A10 Lighting ADC daemon-set管理和监测应用流量,可以提供可视的应用流量、安全和细粒化的分析。A10 Kubernetes连接器通过Harmony API,可以将ingress资源或者服务标签中的特定配置与A10 Harmony控制器进行通信,并创建必要的应用配置。