Kubernetes vs. OpenShift：深入比较与架构解析

Kubernetes 概述

Kubernetes 已成为现代容器编排的标准。它最初由 Google 开发，现在由云原生计算基金会 （CNCF） 维护，是云原生世界中采用最广泛的开源平台之一。

在深入研究它与 OpenShift 的比较之前，让我们先分解一下 Kubernetes 是什么，它做得好的地方，以及它通常在哪里使用。

什么是 Kubernetes？

Kubernetes （K8S） 是一个开源平台，旨在自动部署、扩展和管理容器化应用程序。

它诞生于 Google 在生产环境中管理容器的经验，并基于其名为 Borg 的内部系统。自开源以来，它已经开发了一个庞大的生态系统，并获得了社区的大力支持。

Kubernetes 的核心是帮助您管理运行容器的计算机集群。它提供 API 和声明性模型，用于管理容器化工作负载的整个生命周期，从调度和扩展到联网和服务发现。

Kubernetes 成为在云环境中管理基于微服务的应用程序的行业标准。

主要特点

Kubernetes 提供了广泛的功能，使其健壮而灵活：

• 容器编排：自动部署、扩展和管理容器。
• 声明式配置：使用 YAML 或 JSON 文件定义应用程序的所需状态。
• 自我修复：自动重启故障容器、替换死节点并重新安排工作负载以确保持续运行。
• 服务发现和负载均衡：使用内置 DNS 和负载均衡将流量路由到正确的 Pod。
• 水平扩展：根据 CPU 使用率或自定义指标扩展或缩减应用程序。
• 滚动更新和回滚：以最少的停机时间部署应用程序的新版本，并在必要时回滚。
• 密钥和配置管理：安全地管理敏感数据，例如 API 密钥和环境变量。

这些功能为在各种环境（从本地开发集群到生产级基础设施）中运行高度可用、可扩展且有弹性的应用程序提供了构建块。

应用场景

Kubernetes 非常适合许多现代应用程序。一些最常见的用例包括：

• 微服务架构：非常适合独立管理和扩展松散耦合的服务。
• 云原生应用程序：旨在充分利用云弹性和分布式基础设施。
• 多云或混合云设置：使用相同的工具集跨多个云提供商或本地数据中心运行您的应用程序。
• DevOps 和 CI/CD 管道：Kubernetes 支持持续构建、测试和部署应用程序的自动化和灵活性。
• 机器学习和数据科学平台：借助 Kubeflow 和 MLflow 等工具，Kubernetes 还支持分布式模型训练、可重现的工作流和模型部署。

OpenShift 概述

如果 Kubernetes 为您提供容器配置的原始引擎，那么 OpenShift 更像是围绕该引擎构建的装备齐全的车辆。

OpenShift 是 Red Hat 的 Kubernetes 发行版，虽然它直接构建在 Kubernetes 之上，但它增加了一整层功能，旨在简化、保护和精简开发人员和运营体验。

与使用裸 Kubernetes 不同，OpenShift 感觉不像从头开始设置所有内容。

什么是 OpenShift？

OpenShift 本质上是捆绑了其他工具、安全层和更好的用户体验的 Kubernetes。它由 Red Hat 进行维护和商业支持。它专为希望在生产中使用 Kubernetes 而不必自己拼凑所有内容的团队而构建。

虽然您仍然可以获得所有核心 Kubernetes 组件（例如 API 服务器、调度程序和 kubelet），但 OpenShift 添加了其他功能，包括内置容器注册表、基于 Web 的管理控制台、开发人员工具和更严格的安全默认值。

它有多种部署模式，从完全托管的云服务到数据中心的自托管平台。

主要组件和功能

以下是一些出色的功能和工具，这些功能和工具使 OpenShift 不仅仅是 Kubernetes：

• 集成的 CI/CD：OpenShift 包括对 Tekton 管道和 GitOps 工作流的原生支持，开箱即用。
• Web 控制台：为开发人员和集群管理员提供简洁、用户友好的 Web UI。它使管理部署、监控资源和查看日志变得更加容易。
• 安全增强：安全上下文约束 （SCC）、镜像扫描和内置 RBAC 等功能比普通 Kubernetes 更严格、更标准化。
• **Red Hat Enterprise Linux CoreOS （RHCOS）：**在 OpenShift 节点上运行的专用作系统，针对容器工作负载进行了优化。
• OperatorHub：用于安装和管理 Kubernetes Operator 的精选市场，可自动执行应用程序生命周期任务。

这些新增功能使 OpenShift 对需要的不仅仅是基本 Kubernetes 平台的大型团队或组织特别有吸引力。

OpenShift 风格

根据您希望如何部署和管理 OpenShift，有几种不同的风格：

• OpenShift Container Platform：您可以在基础架构上运行的自我管理版本，在本地和混合设置中很受欢迎。
• OpenShift Online：由 Red Hat 运行的完全托管的 OpenShift 服务，非常适合无需自行设置任何内容即可入门。
• OpenShift 专业版：托管在 AWS 和 Google Cloud 等公共云提供商上，但由 Red Hat 代表您管理的托管 OpenShift 产品。

这些服务中的每一个都满足不同的需求，从希望快速启动和运行的初创公司到具有严格安全性和合规性要求的企业。

架构比较

Kubernetes 提供模块化、自行构建的模型，而 OpenShift 提供集成度更高、更有主见的堆栈。

基础平台

在核心，这两个平台都运行 Kubernetes。OpenShift 直接构建在 Kubernetes 之上，并坚持其上游 API 和组件。标准 OpenShift 集群包括所有必要的 Kubernetes 元素，如 API 服务器、etcd、调度程序和 kubelet。这意味着它与 Kubernetes 工作负载和工具完全兼容。

OpenShift 的与众不同之处在于 Red Hat 围绕该基础构建的生态系统。它引入了 Red Hat Enterprise Linux CoreOS （RHOCS） 作为节点作系统、集成容器注册表以及与 Kubernetes 紧密耦合的其他平台服务等功能。

这些集成减少了团队为构建和保护生产级环境而需要做的工作量。

安装和设置

最重要的架构差异之一是每个平台的安装方法。

• Kubernetes 提供了部署的灵活性。您可以使用 minikube 等工具、GKE 或 EKS 等云托管服务启动本地集群，也可以使用 kubeadm 等工具手动安装。虽然这为您提供了完全的控制权，但这也意味着您负责所有事情，包括设置网络、配置存储以及安装监控和日志记录等工具。

• 另一方面，OpenShift 提供了更具指导性和自动化的安装过程。OpenShift 提供了多种安装方法，以适应不同的基础架构环境和用户偏好。

• • 一个是安装程序配置的基础设施，它可以在支持的平台上自动创建集群。
  • 另一个是用户预置的基础设施，它为基础设施团队提供了更多控制权。
  • 您可以在官方用户文档中阅读有关如何安装 OpenShift 的更多信息。

部署和管理工具

Kubernetes 和 OpenShift 都提供了用于与集互的命令行工具，但它们在范围和可用性方面有所不同：

• Kubernetes 依赖于 kubectl，这是一个直接与 Kubernetes API 交互的强大 CLI 工具。它灵活且使用广泛，但需要对 YAML 和底层架构有一定程度的熟悉。
• OpenShift 包括 oc，这是一个扩展 kubectl 并具有其他功能的 CLI。它支持相同的基本命令，并添加了基于项目的访问、图像流管理和简化的登录流程等功能。

OpenShift 还包括一个完整的 Web 控制台，可以更轻松地管理应用程序、监控工作负载和控制访问，而无需手动编写 YAML。

Kubernetes 还提供了一个仪表板，但设置和保护它需要更多的工作。

这两个平台都支持 Helm 以马生成应用程序包。OpenShift 还与 Operator 紧密集成，可通过内置的 OperatorHub 获得。

安全和治理

默认安全策略

虽然 Kubernetes 提供了灵活的安全框架，但 OpenShift 在其基础上构建了更严格、默认更安全的方法。

• Kubernetes 在安全性方面提供了很大的灵活性，但它主要要求您从头开始构建所有内容。Kubernetes 开箱即用，不强制实施严格的运行时安全策略。它提供 PodSecurity 准入 （PSA） 和安全上下文等功能，这些功能必须显式配置和管理。

• OpenShift 在安全性方面更加主动。它附带了默认启用的安全上下文约束 （SCC）。这些定义了 Pod 可以做什么和不能做什么，例如它是否可以以 root 身份运行或使用主机网络。通过实施这些约束，OpenShift 有助于降低配置错误和权限提升的风险，这在多租户集群中尤为重要。

在实践中，在 Kubernetes 上运行良好的工作负载可能会在 OpenShift 上失败，直到它们满足其更严格的安全标准。乍一看，这似乎是一个障碍，但它迫使团队在开发生命周期的早期采用最佳实践。

基于角色的访问控制 （RBAC）

Kubernetes 和 OpenShift 都支持 RBAC，使您能够控制谁可以访问集群中的内容。

• Kubernetes 提供了一个高度可配置的 RBAC 系统，使您能够定义角色并将其分配给用户或服务账户。但是，由集群管理员正确设置角色，并且没有强制结构来规定访问范围。
• OpenShift 基于 Kubernetes 的 RBAC 模型构建，但包括预定义的角色和基于项目的访问模型，可以更轻松地一致地管理访问。每个 OpenShift 项目（大致相当于 Kubernetes 命名空间）都有自己的一组权限，可帮助团队更直观地隔离工作负载和管理访问。

因此，OpenShift 更适合希望在不从头开始的情况下实施访问控制的团队。

内置合规性和监控

• 在 Kubernetes 中，监控和合规性通常是附加组件。您可以安装 Prometheus、Grafana、Falco 或审计日志记录系统等工具。但是，这些需要手动配置和维护。这为您提供了灵活性，但会增加运营开销。

• OpenShift 包括内置监控堆栈（Prometheus、Alertmanager 和 Grafana）、集中式日志记录以及 Compliance Operator 等工具。这些已集成到平台中，并立即提供支持，使团队能够了解正在运行的内容以及它是否与安全基线保持一致。

对于受监管行业（如金融、医疗保健和政府）的团队来说，这可以节省大量时间和精力，并降低错过关键内容的风险。

总结

在 Kubernetes 与 OpenShift 的选择背后，本质是企业在控制力与效率、开源创新与商业保障之间的权衡。Kubernetes 以其模块化架构和生态繁荣，为技术团队提供了无限创新可能；而 OpenShift 通过企业级特性与全栈集成，为业务团队降低了云原生转型的复杂度