增添容器OS安全遵循與OVN網路，紅帽OpenShift邁入4.6版

在企業級容器平臺擁有眾多客戶的紅帽，他們發展的Red Hat OpenShift Container Platform，繼今年7月發表4.5版之後，10月底再度推出4.6版更新，該公司在11月中發布的新聞稿裡面，也強調這一版的兩大亮點：一是具備強大的邊緣運算新功能，也就是增加「遠端工作節點（Remote Worker Node）」，可藉此將運算力延伸至空間受到局限的環境，讓IT單位可以將系統規模擴展至遠端環境，卻又能兼顧集中維運與管理的需求；另一是支援公部門的Kubernetes部署，例如，可用於AWS與Azure政府公有雲，並且獲取重要的功能，例如，延伸OpenSCAP這類系統安全與標準遵循工具的支援。

正式支援兩大政府公有雲環境的安裝，以及在裸機環境之上的K8s叢集部署

以政府公有雲服務的使用支援而言，企業可在AWS提供給美國政府使用的GovCloud區域當中，安裝Kubernetes叢集；也可以在Azure針對美國政府的雲端區域Microsoft Azure Government（MAG），安裝Kubernetes叢集。

OpenShift 4.6採用的Kubernetes版本，也換成8月釋出的1.19版，能讓OpenShift用戶獲得與執行最新的Kubernetes功能，而在公有雲、私有雲、邊緣運算等環境建構開放式混合雲。

若要在裸機環境的節點上，執行完整堆疊自動化安裝（Full Stack Automation Installation），也就是Installer-Provisioned Infrastructure（IPI）這類部署上，OpenShift 4.6現在正式提供支援，可運用上述方式來安裝Kubernetes叢集，而有了這樣的部署機制，企業可將OpenShift執行在任何代管平臺之上，不需要雲端服務來建立，或是虛擬機器代管與其他中介技術的幫忙，而能在最底層的部分使用OpenShift。

關於在裸機環境的簡化維運套裝機制，OpenShift 4.6新增了Bare Metal Operator，能有效準備與揭露實體茲節點的狀態資訊，將其提供給OpenShift安裝程式，以便讓其管理多種功能，像是針對節點，進行與Red Hat Enterprise Linux CoreOS的開機綁定（bootstraping），以及OpenShift安裝，以便部署一套運行當中的叢集，為支援工作負載做好準備。而這項功能運用了Metal3這項開放原始碼的軟體專案，用戶可透過IPI、Redfish這類標準管理介面，控管裸機伺服器的電力使用與自動化處理，同時，也能搭配標準DHCP/PXE這類標準協定，或其他虛擬你媒體介面來建立節點。

此外，在VMware伺服器虛擬化平臺vSphere當中，原本需使用到6.5版，方可安裝Kubernetes叢集，現在可支援今年推出的7.0版vSphere。

至於遠端工作節點，則是用於邊緣運算端的新部署方式，可結合OpenShift 4.5正式提供的3節點部署架構。

遠端工作節點的拓樸架構，是由控制節點與工作節點所組成，但在實體位置的規畫上，是與大型站點（區域資料中心或中央資料中心）的控制節點，以及橫跨多個小型邊緣站點的工作節點，相互區隔開來。基於這樣的配置，能讓控制節點同時管理數千個邊緣位置的節點，可共享這些運算核心，使邊緣端執行更多工作負載。

在哪些場景可運用遠端工作節點？紅帽表示，如何在密集的區域，提供電信5G網路服務，就是很典型的例子──5G無線存取網路部署時，會運用中央單元（CU）控制兩千臺分散單元（DU），CU與DU之間的網路連線會有備援機制，數量相當充足，而維運人員會希望盡可能部署最多核心來支撐工作負載，為了避免調動本地站點控制層的多核心資源，此時若能透過數千臺邊緣節點的多層分散處理，將可協助業者運用這種具成本效益的方式，因應嚴格的服務水準要求。

提供宣告式資安遵循功能

在開發安全維運（DevSecOps）的應用實務支援上，OpenShift 4.6增設Compliance Operator，當中運用了OpenSCAP這套工具，可讓企業描述他們的安全性要求，透過宣告式的組態設定來指明OpenShift叢集的安全遵循要求，並了解達到這些目標的程度，他們能讓Operator掃描叢集當中的節點組態，將這些資訊呈現給負責與稽核的人員，檢查他們的部署是否遵循資安標準，並能得到矯正這些問題的方法。

OpenShift系統管理員可在此描述所要的叢集遵循狀態，並且運用OpenSCAP來掃描與強制施行資安政策，而能檢視現行系統安全程度與整體資安防護要求之間的落差，以及了解到該如何矯正。而這裡能夠評估的標準遵循範圍，也相當廣泛，包含了上層的OpenShift Container Platform/Kubernetes的API資源，以及底層叢集當中執行的節點。

不過，關於這項系統安全性檢查機制，紅帽是先從Red Hat CoreOS開始著手，目前僅能針對這套作業系統的部署，該公司也承諾未來將會支援更多系統。

正式支援開放式虛擬網路，Service Mesh升級至2.0版

在網路應用的部份，先前於OpenShift 4.3推出技術預覽版本的Open Virtual Network（OVN），到了最新發表的4.6版，終於成為正式功能。

就運用形式而言，OVN會以Kubernetes容器網路介面（CNI）的外掛機制來實作，能幫OpenShift搭配既有開放虛擬交換器（OVS），以及其他軟體定義網路（SDN）技術時的不足，增添原生的虛擬網路抽象化處理支援。紅帽表示，他們已訂定OVN的發展藍圖，希望能夠在OVN-Kubernetes這樣的整合網路應用環境當中，開發出全新的功能。

因此，在OpenShift 4.6當中，在預設容器網路介面的供應者設定上，目前可支援既有的OpenShift SDN，以及OVN-Kubernetes，以這樣的虛擬化網路環境來連接Pod與服務之間。

另一個與網路應用有關的特色是服務網格（Service Mesh）。一般而言，這項技術是指微服務之間的網路，能促成採用分散式微服務架構的應用程式，以及這些微服務之間的各種互動行為，而隨著應用程式規模與複雜度提高，維運人員會越來難以理解與管理服務網格。

而OpenShift Service Mesh主要是基於開放原始碼的軟體Istio，紅帽從4.1版OpenShift開始提供1.0版的OpenShift Service Mesh，能讓企業在既有分散式應用程式中，增加透明的處理層級，而且不需要修改程式碼。在實際使用時，企業能部署特製的Proxy來攔截微服務之間的所有網路通訊，並運用控制層的功能來設定與管理服務網格。

在開放原始碼軟體的搭配上，OpenShift Service Mesh 1.0包含了Istio 1.1.11，以及Jaeger 1.13.1、Kiali 1.0.5、3scale Istio Adapter 1.0。

到了4.6版OpenShift，紅帽開始提供2.0版OpenShift Service Mesh，包含的軟體元件，有Istio 1.6.5、Jaeger 1.20.0、Kiali 1.24.2、3scale Istio Adapter 2.0.0。Service Mesh在控制層也重新調整架構，以減少複雜度與提升可靠度。原本控制層的3個元件──Pilot、Citadel、Galley，整併為二進位的服務常駐執行元件istiod，可簡化Istio的設定、安裝、升級、管理，並且減少系統資源耗用量、啟動時間，以及不同元件之間的網路協調作業。

同時，它也能支援Envoy這套開放原始碼軟體Proxy的Secret Discovery Service（SDS），從而改善Proxy之間的金鑰與憑證配發與輪流使用。先前OpenShift Service Mesh 1.1.x之前是採用Kubernetes Secrets，將金鑰與憑證直接掛載到Proxy容器裡面，但這麼做已有不少資安風險，也會在輪流使用憑證時，造成效能衝擊──因Proxy容器須重新部署已啟動新的憑證。而如今若能搭配Envoy的SDS，可透過一臺集中式處理的伺服器，將憑證直接推送至Envoy的Proxy，而且立即可套用、無需重新部署。

在控制層引擎的部份，OpenShift Service Mesh 2.0也予以更新，提供第二版ServiceMeshControlPlane resource資源配置，能夠簡化控制層的安裝、設定與管理。

遠端監測的功能上，OpenShift Service Mesh支援Istio的Telemetry v2架構，能減少量測資料收集的延遲。Telemetry v2預設會編譯到Istio的Proxy過濾器，而同樣的過濾器還可編譯為WebAssembly型態的外掛模組，以提升效能。

搭配容器虛擬化平臺2.5版

在此同時，紅帽也改善了這套系統內含的容器化虛擬平臺，也就是OpenShift Virtualization，OpenShift 4.6搭配的是OpenShift Virtualization 2.5。而在作業系統的認證上，這個版本的OpenShift Virtualization，和先前釋出的2.4版、2.3版一樣，不僅通過微軟Windows Server伺服器驗證計畫（SVVP）的認證，而且在SVP型錄當中，也列出「Red Hat OpenShift Container Platform 4 on RHEL CoreOS 8」的項目，也支援英特爾與AMD處理器的運算平臺。

OpenShift Virtualization 2.5版的推出，增加多個功能，像是基於範本、可一鍵完成的虛擬機器建立，並針對Windows虛擬機器的工作負載，提供最佳化的執行效能與規模擴展力。

產品資訊

Red Hat OpenShift Container Platform 4.6
●原廠：Red Hat
●建議售價：廠商未提供
●搭配Kubernetes版本：1.19
●支援Linux版本：Red Hat Enterprise Linux 7.7、Red Hat Enterprise Linux CoreOS 4.6
●安裝方式：AWS、Azure、GCP、IBM Z/LinuxONE、IBM Power Systems、OpenStack、RHV、vSphere、裸機
●叢集部署需要的主機：1臺Bootstrap節點、3臺Control plane或Master節點、2臺運算節點
●主機系統需求：Red Hat Enterprise Linux CoreOS、4顆vCPU、16GB記憶體、120GB儲存空間

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】