Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

Глоссарий

Nova Container Platform - это платформа, построенная на основе Kubernetes. Поэтому, многие технологии, термины и определения являются общими.

Далее приведен глоссарий основных терминов, устоявшихся выражений, примитивов и определений, которые вы можете встретить в данной документации и при работе с платформой.

1. Общие термины и определения

Admission controllers

Фрагмент кода, перехватывающий запросы к API-серверу Kubernetes до сохранения объекта в памяти. Контроллеры допуска (admission controllers) настраиваются для сервера API Kubernetes и могут быть «валидирующими» (validating), «модифицирующими» (mutating) или сочетать обе функции. Любой контроллер допуска может отклонить запрос. Модифицирующие контроллеры могут изменять объекты, которые они обрабатывают, а валидирующие контроллеры не имеют права изменять эти объекты.

Bootstrap

Процесс первоначального развертывания платформы Nova Container Platform.

ConfigMap

Объект API, используемый для хранения неконфиденциальных данных в парах ключ-значение. Модули Pod могут использовать ConfigMaps в качестве переменных среды, аргументов командной строки или файлов конфигурации в томе.

Container workloads

Приложения и пользовательские сервисы, упакованные в контейнеры.

Containerd

Среда исполнения контейнеров, совместимая с Kubernetes, содержащая подключаемый плагин CRI, который позволяет Kubelet взаимодействовать с containerd.

Control plane

Control plane (плоскость управления) - служебные компоненты, предоставляющие все основные API для обеспечения жизненного цикла контейнеров в Kubernetes (например, kube-apiserver, kube-scheduler, kube-controller-manager). Для компонентов Control Plane, как правило, выделяются отдельные вычислительные мастер-узлы.

Custom Resource (CR)

Объект CR является частью какого-либо расширения Kubernetes API.

Deployment

Объект API, который управляет реплицируемым приложением, как правило, путем запуска модулей без локального состояния.

Dockerfile

Текстовый файл, описывающий конфигурацию сборки контейнера.

Ingress

Ресурс Kubernetes, предназначенный для публикации сервиса Kubernetes на балансировщике Ingress Controller. С помощью ресурса Ingress можно обеспечить доступ пользователей к приложениями, развернутым в Kubernetes.

Installer-provisioned infrastructure (IPI)

Автоматизированный метод развертывания в инфраструктуре, подготовленной узлом nova-ctl для управления платформой.

Kubelet

Компонент Kubernetes (серверный агент), запускаемый на каждом узле кластера и обеспечивающий работу контейнеров в составе Pod.

Namespace

Абстракция, используемая Kubernetes для поддержки изоляции групп ресурсов API в рамках одного кластера. Область действия namespace применяется только к ресурсам, имеющим пространство имен (например: Pods, Deployments, Services) и не распространяется на ресурсы, действующие на уровне всего кластера (например: StorageClasses, Nodes, PersistentVolumes).

Node

Узел кластера Kubernetes в Nova Container Platform. Узел может быть как виртуально машиной, так и физическим сервером.

Pod

Один или более контейнеров с общими ресурсами, такими как тома и IP-адреса. Pod является минимальным определяемым ресурсом для запуска какого-либо приложения в Kubernetes.

Service

Метод предоставления доступа к сетевому приложению, которое выполняется как один или ,более Pods в вашем кластере.

User-provisioned infrastructure (UPI)

Автоматизированный метод развертывания в инфраструктуре, подготовленной пользователем.

Аутентификация

Для контроля доступа к кластеру Nova Container Platform, администратор кластера может настроить параметры аутентификации пользователей. Это гарантирует доступ к кластеру только подтвержденным пользователям. Для работы с Nova Container Platform необходимо пройти аутентификацию для сервера Kubernetes API с помощью OAuth-токенов или сертификатов TLS, предоставляемых в запросах к Kubernetes API.

Веб-консоль управления кластером

Пользовательский интерфейс графической консоли управления Nova Container Platform

Вычислительные узлы

Узлы кластера, не обслуживающие нагрузки Control Plane. Данные узлы отвечают за работу инфраструктурных сервисов платформы, балансировщиков нагрузки или конечных пользовательских сервисов.

Гибридные развертывания

Развертывания кластера Nova Container Platform, в которых часть вычислительных узлов находится в отдельной среде виртуализации, частном или публичном облаке или на физическом оборудовании.

Зеркало хранилища образов контейнеров

Локальное хранилище образов контейнеров, в котором размещаются контейнеры Nova Container Platform.

Контейнеры

Легкий и переносимый исполняемый файл, содержащий программное обеспечение и все его зависимости

Контрольные группы Linux (cgroups)

Механизм ОС, с помощью которого для группы процессов на уровне ядра может быть установлена изоляция и ограничения потребляемых ресурсов.

Манифест Kubernetes

Спецификация объекта Kubernetes API в формате JSON или YAML. Один манифест может содержать конфигурацию множества ресурсов Kubernetes (deployments, confgmaps, secrets, statefulsets).

Масштабирование

Увеличение или уменьшение количества ресурсов узлам или приложениям. Масштабирование может быть как горизонтальным (увеличение количества узлов или реплик Pod), так и вертикальным (увеличение количества ресурсов, выделяемых узлу или Pod).

Метаданные

Любая дополнительная информация, которая может быть указана для ресурса Kubernetes. Как правило, в метаданных находятся метки (labels) и анннотации (annotations) для ресурсов Kubernetes.

Микросервисы

Подход к разработке комплексных приложений, предполагающий разделение приложения на минимально возможные небольшие независимые компоненты (микросервисы), способные взаимодействовать по сети.

Монолитные приложения

Приложение в виде единого общего модуля, в состав которого входят все его компоненты.

Оператор Kubernetes

Один из способов поставки, развертывания и управления приложениями в Kubernetes.

Отклонение конфигурации

Ситуация, когда состояние объекта в кластере отличается от состояния, описанного в файле его конфигурации.

Политики доступа

Набор определенных действий, связанных с некоторыми объектами (пользователь, сущность, приложение) в кластере или за его пределами, определяющий границы их взаимодействия. Политики доступа повышают безопасность работы.

Провайдер инфраструктуры

Платформа виртуализации или облачный сервис, предоставляющие API для автоматизированного развертывания объектов инфраструктуры кластера Nova Container Platform.

Система управления контейнерами

ПО, предназначенное для автоматизации задач развертывания, управления, масштабирования и обеспечения сетевой связанностью контейнеров.

Управление доступом на основе ролей (RBAC)

Основной механизм управления разграничениями доступа к ресурсам кластера на основе ролей.

Хранилище

Nova Container Platform поддерживает различные типы хранилищ. По умолчанию, для служебных нужд доступно персистентное хранилище на базе локальных директорий на инфраструктурных узлах кластера.

2. Аутентификация и авторизация

Bearer token

Bearer-токен используется для аутентификации в Kubernetes API. Токен устанавливается в HTTP-запрос в заголовок Authorization: Bearer <token>.

Cluster Role

Кластерная роль в RBAC Kubernetes, которая содержит набор правил, определяющих множество разрешений. Кластерная роль содержит только разрешающие правила и не может содержать запрещающих правил. Кластерная роль всегда определяет набор правил на уровне всего кластера, а не пространства имен (Namespace) в частности.

Cluster Role Binding

Объект ClusterRoleBinding (привязка кластерной роли) необходим для назначения каких-либо разрешений, определенных в роли, к пользователю или группе пользователей. В объекте ClusterRoleBinding содержится перечень субъектов (пользователей, групп, сервисных аккаунтов) и указание роли, которая им назначается. Объект ClusterRoleBinding используется только в контексте кластера и может ссылаться на любую кластерную роль.

Distinguished Name (DN)

Уникальное имя объекта, по которому данный объект может быть идентифицирован в каталоге LDAP-сервера.

Lightweight directory access protocol (LDAP)

LDAP является протоколом доступа к каталогам. С помощью данного протокола может быть запрошена информация о пользователе.

LDAPS (LDAP over SSL)

LDAP-подключения, защищенные с помощью SSL.

OpenID Connect

Протокол, позволяющий пользователю использовать единую учетную запись и сквозную аутентификацию (SSO) во множестве различных информационных систем.

Role

Роль в RBAC Kubernetes, которая содержит набор правил, определяющих множество разрешений. Роль содержит только разрешающие правила и не может содержать запрещающих правил. Роль всегда определяет набор правил на уровне пространства имен (Namespace).

RoleBinding

Объект RoleBinding (привязка роли) необходим для назначения каких-либо разрешений, определенных в роли, к пользователю или группе пользователей. В объекте RoleBinding содержится перечень субъектов (пользователей, групп, сервисных аккаунтов) и указание роли, которая им назначается. Объект RoleBinding используется только в контексте пространств имен (namespace) и может ссылаться на любую роль в том пространстве имен, в котором оно находится.

Аутентификация

Процедура проверки подлинности пользователя различными методами, например, с помощью сравнения введенного и установленного пароля. Выполняется для того, чтобы гарантировать доступ к кластеру только подтвержденным пользователям.

Авторизация

Процедура предоставления прав идентифицированному пользователю. Выполняется для того, чтобы гарантировать выполнение пользователем только тех операций, которые ему разрешены.

Группа (Group)

Набор пользователей. Группы удобно использовать, когда необходимо предоставить одинаковые привилегии нескольким пользователем одновременно.

Идентификация

Процедура проверки уникального идентификатора пользователя. Выполняется для того, чтобы однозначно определить существование пользователя в каталоге провайдера идентификации.

Клиент OAuth

Приложение или сервис, которому пользователь делегирует права доступа к своим данным на сервере OAuth. Используется для получения Bearer-токена.

Метод аутентификации (Auth method)

Компонент StarVault, выполняющий задачи по аутентификации пользователей в каком-либо провайдере идентификации и установке пользовательского идентификатора с набором необходимых политик.

Пользователь (User)

Сущность, которая может выполнять запросы к API.

Провайдер идентификации (Identity provider)

Встроенный или внешний сервис, предназначенный для хранения и управления пользовательскими идентификационными данными, необходимыми для аутентификации пользователей в Nova Container Platform.

Сервер OAuth (OAuth server)

Компонент StarVault в Nova Container Platform имеет встроенный OAuth-сервер, который отвечает за логику работы с провайдерами идентификации и выдачу новых токенов доступа.

Системные пользователи

Пользователи, созданные автоматически в ходе установки Nova Container Platform.

Служебные аккаунты

Служебные аккаунты используются приложениями в кластере Kubernetes.

Управление доступом на основе ролей (RBAC)

Основной механизм управления разграничениями доступа к ресурсам кластера на основе ролей.

3. Управление сертификатами

Инфраструктура открытых ключей (PKI)

Инфраструктура открытых ключей является набором технических средств, а также распределенных служб и компонентов, в совокупности используемых для поддержки задач шифрования на основе закрытого и открытого ключей.

Центр сертификации CA (Certification Authority)

Центр сертификации (удостоверяющий центр) является компонентом инфраструктуры PKI, который выдает цифровые сертификаты, осуществляет их подпись своим открытым ключом и хранит в базе данных сертификатов.

X.509

определяет стандартные форматы данных и процедуры распределения открытых ключей с помощью соответствующих сертификатов с цифровыми подписями.

PEM-бандл

текстовый файл который содержит объединенные в один пакет несколько криптографических сертификатов и ключей(в дальнейшем обозначается <bundle_name>).