Mandantenfähigkeit auf Red hat OpenShift mit NetApp konfigurieren
Viele Unternehmen, die mehrere Anwendungen oder Workloads in Containern ausführen, implementieren meist ein Red hat OpenShift-Cluster pro Applikation oder Workload. Auf diese Weise können sie eine strenge Isolation für die Applikation oder den Workload implementieren, die Performance optimieren und Sicherheitsschwachstellen reduzieren. Die Bereitstellung eines separaten Red hat OpenShift-Clusters für jede Applikation stellt jedoch eigene Probleme dar. Es erhöht den betrieblichen Overhead, der jedes Cluster einzeln überwachen und managen muss. Außerdem erhöht es die Kosten, die durch dedizierte Ressourcen für verschiedene Applikationen entstehen, und behindert die effiziente Skalierbarkeit.
Um diese Probleme zu beheben, kann man in Betracht ziehen, alle Anwendungen oder Workloads in einem einzigen Red hat OpenShift-Cluster auszuführen. In einer solchen Architektur stellen jedoch die Schwachstellen bei der Ressourcen-Isolierung und Applikationssicherheit eine der größten Herausforderungen dar. Sicherheitsschwachstellen bei einem Workload können natürlich auf einen anderen Workload überlaufen, wodurch die Aufprallzone erhöht wird. Darüber hinaus kann jede abrupte, unkontrollierte Ressourcenauslastung einer Applikation die Performance einer anderen Applikation beeinträchtigen, da standardmäßig keine Ressourcenzuordnungsrichtlinie vorhanden ist.
Daher interessieren sich Unternehmen für Lösungen, die sich in beiden Welten optimal einsetzen lassen: Sie können dadurch beispielsweise alle Workloads in einem einzelnen Cluster ausführen und dennoch die Vorteile eines dedizierten Clusters für jeden Workload bieten.
Eine solche effektive Lösung ist die Konfiguration der Mandantenfähigkeit auf Red hat OpenShift. Mandantenfähigkeit ist eine Architektur, in der mehrere Mandanten gleichzeitig im selben Cluster nebeneinander existieren können, wobei Ressourcen, Sicherheit usw. voneinander isoliert werden. In diesem Zusammenhang kann ein Mandant als Teilbereich der Cluster-Ressourcen angesehen werden, die so konfiguriert sind, dass er für einen exklusiven Zweck von einer bestimmten Benutzergruppe verwendet werden kann. Die Konfiguration der Mandantenfähigkeit auf einem Red hat OpenShift-Cluster bietet folgende Vorteile:
-
A - Verringerung von Investitions- und Betriebskosten durch gemeinsame Nutzung von Cluster-Ressourcen
-
Geringerer Betriebs- und Managementaufwand
-
Schutz der Workloads vor Kreuzkontamination von Sicherheitsverletzungen
-
Schutz von Workloads vor unerwarteter Performance-Verschlechterung aufgrund von Ressourcenkonflikten
Für einen vollständig realisierten, mandantenfähigen OpenShift-Cluster müssen Quoten und Einschränkungen für Cluster-Ressourcen konfiguriert werden, die zu verschiedenen Ressourcen-Buckets gehören: computing, Storage, Netzwerk, Sicherheit usw. Obwohl wir bestimmte Aspekte aller Ressourcen-Buckets in dieser Lösung abdecken, konzentrieren wir uns auf Best Practices für die Isolierung und Sicherung der von mehreren Workloads im selben Red hat OpenShift Cluster bereitgestellten oder genutzten Daten durch die Konfiguration von Mandantenfähigkeit auf Speicherressourcen, die dynamisch von Trident und NetApp ONTAP zugewiesen werden.