抱歉,这个问题可能听起来"复杂";
我目前正在设计一个基于爆竹和卡塔容器的k8s解决方案。我希望环境尽可能的隔离/安全。我的想法是:
- 将k8s主节点部署为具有API-server的爆竹节点,控制器、调度器等
- 将k8s workers部署为爆竹节点,使用Kubelet、Kube-proxy和kata -container +鞭炮工作负载部署。工作负载将是MQTT集群组件和内部开发的FaaS组件(可能使用OpenFaaS)的组合
正是上面的第2点让我觉得有点尴尬/费解。我是不是把事情复杂化了,引入了复杂性,这会导致工作节点之间的(CNI)网络等问题?隔离和最小化攻击向量都很重要,但也许我试着"做得太过了"。:)
我真的很喜欢鞭炮微虚拟机架构的概念,它降低了安全风险,减少了占用空间,它将成为租户隔离的一个很好的解决方案。然而,对于部署在工人上的实际工作负载,我是否更适合将另一个符合cri的运行时与Kata一起使用?
提前感谢你的想法/评论!
您可能想看看https://github.com/weaveworks-liquidmetal,并考虑为该网站做出贡献是否会使您更接近您的目标?PR欢迎针对不同工作负载的可选运行时(如kata)。如果您有任何疑问,在weaverworks用户组中有一个液态金属松弛通道。我目前在Weaveworks工作:)