Российский вендор Deckhouse представил итоги развития своей платформы за последние полгода. Основные изменения коснулись управляющего слоя и безопасности Deckhouse Kubernetes Platform (DKP), виртуализации в рамках решения, а также развития линейки управляемых сервисов. Кроме того, обновление затронуло возможности наблюдаемости, работу с данными и инструменты обучения специалистов.
Управление расходами и предсказуемость ИТ-бюджета
В центре управления кластерами DKP, Deckhouse Commander, реализованы биллинг и управление затратами. Новый инструмент позволяет перевести потребление ресурсов (CPU, память, хранилище) в понятные бизнес-показатели по проектам, командам и кластерам. Это делает расходы на инфраструктуру прозрачными и предсказуемыми для компаний.
Защита на уровне ядра ОС и снижение поверхности атаки
Платформа переходит на новый уровень безопасности модулей. Внедрена система контроля целостности модулей на базе файловой системы EROFS и технологии dm-verity. Это гарантирует защиту компонентов платформы от несанкционированных изменений на уровне ядра ОС.
Кроме того, использование distroless-образов в CNI Cilium сокращает поверхность потенциальных атак на платформу, а новые политики не позволяют рабочим нагрузкам размещаться на системных узлах и получать избыточные привилегии. Это исключает человеческий фактор при настройке размещения нагрузок и избавляет ИБ-специалистов от ручной проверки манифестов.
Также компания переоформила сертификат ФСТЭК России № 4860*: теперь он распространяется не только на контейнеризацию, но и на виртуализацию. В результате продукт DKP Certified Security Edition Pro позволяет управлять контейнерами и виртуальными машинами в рамках единой защищённой платформы. Подробнее об обновлении сертификата — в записи вебинара.
Готовые сервисы для ускорения разработки (PaaS)
Платформа предоставляет командам доступ к семи управляемым сервисам для работы с данными, включая PostgreSQL, Kafka и Valkey. Managed-модель снижает операционную нагрузку на инфраструктурную команду и ускоряет запуск новых бизнес-приложений.
Единая платформа для контейнеров и виртуализации
Deckhouse позволяет управлять виртуальными машинами (ВМ) в общем контуре с контейнерами. Платформа обеспечивает единый подход к управлению любыми пользовательскими нагрузками, сквозную наблюдаемость и общие инструменты безопасности.
В обновлении добавлены функции: клонирование ВМ, выбор конкретного сервера при миграции ВМ, работа с внешними USB-устройствами и оптимизированная работа с хранилищем образов. В сочетании с полноценным API и единым веб-интерфейсом это позволяет автоматизировать работу с виртуальными машинами так же легко, как и с контейнерами. Такой подход избавляет от дублирования инфраструктуры, снижает операционные расходы и ускоряет развёртывание приложений.
Другие ключевые изменения
Запуск AI/ML-нагрузок любой сложности. DKP обеспечивает более гибкое распределение ресурсов GPU под разные типы нагрузок на одном узле с помощью покарточной настройки MIG.
Актуальные версии Kubernetes. Разработчики DKP добавили в платформу поддержку версий Kubernetes 1.34 и 1.35, а также внедрили инструменты для гибкого управления доступностью экспериментальных возможностей Kubernetes. Это позволяет командам раньше пробовать инновационные технологии Kubernetes в своих задачах.
Встроенный реестр образов (Registry). Появилась возможность использовать внутренний реестр вместо внешнего — как для образов платформы, так и для прикладной нагрузки. Это избавляет от необходимости настраивать сторонние инструменты и экономит ресурсы на их поддержку.
Разделение прав доступа в UI. В интерфейсе провели деление платформы на административную (система) и пользовательскую (проекты) части. Правила доступа позволяют чётко разделить доступные операции на уровне всей системы или отдельного проекта — теперь и в UI.
Развитие универсальной интеграции. Deckhouse Kubernetes Platform работает в любых окружениях: от публичных облаков до физических серверов. В новом релизе возможности интеграции расширены для VMware Cloud Director, vSphere и zVirt. Единый стандарт управления позволяет переносить нагрузки между разными провайдерами через настройку конфигурации — без сложной архитектурной перестройки системы.
Упрощение эксплуатации и повышение наблюдаемости. Настраивать условия алертов и создавать собственные метрики стало проще и быстрее. Все действия доступны из одного окна — это сокращает время настройки, снижает «порог входа» для специалистов и сокращает время на диагностику сбоев.
Понятная документация и обучение. Команда Deckhouse добавила материалы и актуализировала разделы в документации, чтобы сделать её удобнее и практичнее для команд внедрения и эксплуатации. В Deckhouse Академии запущены новые курсы по безопасности и наблюдаемости, а также открыта профессиональная сертификация для ИБ-инженеров.
«Развивая Deckhouse Kubernetes Platform как открытый индустриальный стандарт, за последние полгода мы значительно расширили функциональность платформы. Особое внимание уделили прозрачности расходов и информационной безопасности: биллинг в Deckhouse Commander даёт чёткое понимание стоимости каждого проекта, а новые уровни защиты повышают устойчивость к современным угрозам. Мы упрощаем пользовательский путь и добавляем управляемые сервисы: в последнем обновлении это семь сервисов, закрывающих основные сценарии работы с данными и очередями. При этом DKP остаётся единым слоем управления, одинаково стабильно работающим в облаках и частных контурах вне зависимости от вендора», — комментирует Карапет Манасян, директор по продукту Deckhouse Kubernetes Platform.
С подробным описанием обновлений можно ознакомиться в статье в блоге.
* Сертификат ФСТЭК России № 4860 от 4 октября 2024 г. (переоформлен 23 марта 2026 г., действителен до 4 октября 2029 г.), удостоверяющий, что Deckhouse Platform Certified Security Edition является средством контейнеризации 4-го класса защиты и средством виртуализации 4-го класса защиты и соответствует требованиям приказа ФСТЭК России № 76 от 2 июня 2020 г. — по 4-му уровню доверия к средствам обеспечения безопасности информационных технологий, приказа ФСТЭК России № 118 от 4 июля 2022 г. — по 4-му классу защиты к средствам контейнеризации, приказа ФСТЭК России № 187 от 27 октября 2022 г. — по 4-му классу защиты к средствам виртуализации.
