VMware vSphere Kubernetes Service 3.6: Tornando o Kubernetes Empresarial Mais Seguro, Flexível e Fácil de Operar

À medida que a adoção do Kubernetes amadurece dentro das empresas, os desafios enfrentados pelas equipes de plataforma mudaram. A implantação de clusters não é mais o desafio. O verdadeiro trabalho começa após o primeiro dia: atualizar clusters com segurança, operá-los de forma previsível e suportar workloads como bancos de dados e aplicações regulamentadas sem scripts frágeis ou exceções pontuais. Com o lançamento mais recente do VMware vSphere Kubernetes Service (VKS) 3.6, focamos diretamente nessas realidades. Em vez de introduzir uma longa lista de recursos desconexos, esta versão avança a plataforma em um pequeno conjunto de temas operacionais que são importantes para engenheiros de plataforma e administradores de Kubernetes que executam o Kubernetes em produção em escala.

Em Resumo: O que há de novo no VKS 3.6

O VKS 3.6 introduz aprimoramentos para operações empresariais, performance e flexibilidade do ecossistema:

• Um ecossistema de networking aberto e extensível – Um caminho suportado para add-ons de networking de parceiros permite que plugins Container Network Interface (CNI) se integrem nativamente ao VKS, mantendo-se dentro dos limites de ciclo de vida e suporte.
• Ajuste de performance para workloads intensivos em dados e sensíveis à latência – Perfis TuneD declarativos permitem o ajuste seguro do kernel e sysctl para bancos de dados e aplicações de alto throughput sem personalização de host não suportada.
• Escolha de OS empresarial com suporte para RHEL – Nós Red Hat Enterprise Linux (RHEL), incluindo clusters de OS mistos.

Kubernetes 1.35, Construído para Operações Empresariais

O VKS 3.6 adiciona suporte para a versão 1.35 do Kubernetes, dando continuidade ao compromisso da Broadcom de entregar Kubernetes certificado pela CNCF, projetado para uso empresarial. Assim como nas versões anteriores, a Broadcom oferece suporte estendido de 24 meses por versão do Kubernetes, com suporte de versões sobrepostas. Isso permite que grandes organizações avancem suas equipes em seus próprios cronogramas, sem forçar atualizações em toda a frota ou janelas de manutenção comprimidas.

Alguns destaques notáveis do lançamento do Kubernetes 1.35 incluem:

• Concorrência configurável para atualizações rolling de StatefulSet com maxUnavailable – As equipes de plataforma agora podem desativar múltiplos Pods durante as atualizações de StatefulSet, controlando a interrupção para workloads stateful e encurtando os tempos de rollout.
• Consciência de topologia aprimorada para workloads – Workloads podem consumir com segurança informações de topologia de nó, melhorando a consciência de sua localização dentro da infraestrutura, o que é útil para aplicações sensíveis à latência e intensivas em dados.
• Fundações de storage modernizadas – Avanços como volumes baseados em OCI alinham o consumo de storage do Kubernetes mais de perto com os modelos de entrega nativos de container.

Ao mesmo tempo, o Kubernetes continua a remover ou depreciar recursos legados. O VKS segue os cronogramas de depreciação upstream, enquanto fornece suporte estendido e caminhos de migração claros, dando às equipes de plataforma tempo para se adaptar sem quebras súbitas. Este equilíbrio preserva o alinhamento upstream, evitando surpresas disruptivas em toda a frota.

Atualizações Mais Suaves e Operações Day-2 Mais Seguras

As atualizações são onde as plataformas Kubernetes são mais frequentemente estressadas. Na prática, falhas de atualização raramente são causadas pelo próprio Kubernetes, mas sim por configuração e integrações. Motores de política, webhooks de admissão e ferramentas de segurança ou gerenciamento podem bloquear ações de ciclo de vida involuntariamente.

Com base nas pré-verificações de PodDisruptionBudget que foram introduzidas anteriormente, o VKS 3.6 expande as verificações de prontidão para atualização para identificar conflitos de configuração comuns antes que uma atualização comece. Em vez de descobrir bloqueadores no meio da atualização, as equipes de plataforma podem identificar e corrigir problemas antes das janelas de manutenção, reduzindo falhas de atualização e interrupções não planejadas.

Essas verificações são executadas continuamente, expondo riscos de atualização através da condição SystemCheckSucceeded em vez de apenas durante a execução da atualização. O resultado são menos surpresas de atualização, aviso antecipado e operações Day-2 mais confiáveis, sem o risco de perda inesperada de dados.

Performance e Workloads Intensivos em Dados

Executar bancos de dados e outras plataformas stateful no Kubernetes frequentemente requer ajuste de kernel e nível de nó que vai além das configurações padrão. Em muitos ambientes, as equipes dependiam de alterações manuais de nó ou imagens personalizadas para atender a esses requisitos. Em modelos de Kubernetes gerenciados, essas alterações geralmente precisam ser expressas declarativamente (por exemplo, via mecanismos de configuração aprovados, DaemonSets privilegiados ou imagens padronizadas) para permanecerem duráveis através de atualizações e substituição de nós.

O VKS 3.6 introduz perfis TuneD suportados, permitindo que os desenvolvedores ajustem o kernel Linux (incluindo parâmetros sysctl e sysfs) declarativamente através de recursos do Kubernetes. Os perfis podem ser direcionados a pools de nós específicos, permitindo otimização específica de workload dentro do mesmo cluster. Isso torna cenários comuns diretos e suportáveis, como:

• Otimizar nós para networking de alto throughput
• Ajustar o comportamento da memória para bancos de dados e sistemas de cache
• Ajustar as configurações do kernel para workloads sensíveis à latência

Um perfil integrado fornece um ponto de partida seguro e pronto para empresas, enquanto perfis personalizados permitem uma especialização mais profunda quando necessário. O resultado é um ajuste de performance consistente e seguro para atualizações, aplicado através de workflows padrão do Kubernetes, sem configuração manual de nós ou "configuration drift".

Segurança, Conformidade e Governança

O VKS 3.6 facilita o suporte a requisitos regulatórios e de segurança sem prender os clusters em um hardening rígido e "one-size-fits-all". A configuração expandida para componentes do Kubernetes permite que as equipes de plataforma adaptem a postura de conformidade para cada workload e ambiente. As equipes podem aplicar controles mais rígidos onde necessário, relaxá-los onde apropriado e evoluir as configurações ao longo do tempo, em vez de reconstruir clusters para mudar a política.

O gerenciamento de perfis AppArmor também é simplificado nesta versão. Os administradores agora podem definir perfis AppArmor como Custom Resources e tê-los automaticamente carregados e mantidos em sincronia em todos os nós de worker de um cluster ou para pools de nós específicos. Isso permite que cada workload seja configurado com um perfil AppArmor desejado, sem a complexidade de configuração em nível de nó.

O VKS 3.6 também aprimora a autonomia operacional. Os proprietários de cluster de workload agora podem gerar bundles de suporte VKS sem credenciais do vCenter, eliminando a necessidade de acesso elevado à infraestrutura durante a solução de problemas. Isso reduz o atrito entre as equipes de Kubernetes e infraestrutura, mantendo a segurança de privilégio mínimo.

UX da Plataforma e Habilitação do Ecossistema

As plataformas Kubernetes empresariais precisam tanto de defaults robustos quanto de uma escolha real de ecossistema. Muita rigidez retarda a adoção; muita liberdade cria risco operacional. Esta versão avança esse equilíbrio, abrindo a plataforma para a inovação de parceiros e apoiando os clientes a trazerem suas próprias ferramentas.

Sua Rede, Sua Escolha

Um ponto de integração suportado agora está disponível para parceiros de networking e ISVs. As equipes de plataforma podem usar add-ons de networking validados por parceiros, enquanto permanecem dentro dos limites normais de ciclo de vida, atualização e suporte. Isso cria espaço para que recursos de networking e segurança de rede de terceiros se integrem nativamente. As equipes podem manter a stack de networking em que já confiam, e os parceiros obtêm uma superfície estável e suportada para construir. Isso diminui o atrito ao migrar ambientes Kubernetes existentes para o VKS e permite um conjunto mais amplo de opções de networking ao longo do tempo.

Seu Firewall, Sua Escolha

O VKS 3.6 introduz o gerenciamento centralizado e baseado em API de regras de firewall em nível de nó em todos os sistemas operacionais suportados. As equipes de plataforma agora podem abrir as portas necessárias para HostPorts e NodePort Services através da configuração do cluster, em vez de depender de init containers privilegiados ou DaemonSets sendo executados em cada nó. Ao mover o controle do firewall de workloads individuais para o nível do cluster, as equipes simplificam a configuração, melhoram a auditabilidade e reduzem os riscos de segurança associados a componentes privilegiados. Para nós Linux, o VKS 3.6 também adiciona suporte para o backend nftables para kube-proxy, oferecendo melhor performance e escalabilidade em comparação com a implementação padrão do iptables.

Seu OS, Sua Escolha

O Red Hat Enterprise Linux (RHEL) 9 se junta ao Photon OS 5, Ubuntu 22.04 e 24.04, e Windows Server 2022 como sistemas operacionais suportados para nós de cluster VKS. O RHEL pode ser usado tanto para o control plane quanto para os nós de worker. Para suportar diversos requisitos de aplicação dentro de um único cluster, o VKS continua a permitir que diferentes pools de nós executem diferentes sistemas operacionais. Pools de nós RHEL podem coexistir com nós Windows, Ubuntu e Photon, permitindo clusters heterogêneos e migração gradual de OS ao longo do tempo.

O VKS 3.6 também introduz ferramentas aprimoradas para construir imagens de nós personalizadas em todos os sistemas operacionais suportados. O Image Baker é projetado para ambientes com conectividade restrita, funciona independentemente do vCenter para reduzir dependências de infraestrutura e é entregue como um plugin CLI do VMware Cloud Foundation (VCF). A Broadcom continua a fornecer imagens pré-construídas para Photon e Ubuntu.

Kubernetes, com Menos Surpresas

Esta versão foca nas partes do Kubernetes que mais importam após o primeiro dia. As atualizações se tornam mais previsíveis, o ajuste de performance para workloads intensivos em dados, ambientes baseados em RHEL têm um caminho de migração claro, e o networking é aberto para um ecossistema crescente de parceiros validados. Juntas, essas mudanças alinham o Kubernetes com a forma como os clientes realmente o executam em produção: padronizado, orientado por políticas e integrado com ferramentas e plataformas existentes. Para equipes de plataforma operando em escala, o resultado é simples: menos surpresas, menor risco operacional e uma base mais confiável para construir.

Recursos Já Disponíveis:

• Página web do VKS: Saiba mais sobre o VKS
• Notas de Lançamento do VKS 3.6: Detalhes completos sobre recursos, correções e configurações suportadas
• VKS 3.5 Verificações de Prontidão para Atualização: Como as pré-verificações de PodDisruptionBudget ajudam a prevenir falhas de atualização

Em Breve nos Blogs da VMware:

• Sua Rede, Sua Escolha: Como o VKS abre um caminho de integração suportado para add-ons de networking de parceiros, permitindo CNIs validados e soluções de segurança de rede, preservando a segurança do ciclo de vida e a capacidade de suporte.
• Seu OS, Sua Escolha: Uma análise mais aprofundada do suporte ao RHEL 9, clusters heterogêneos com sistemas operacionais mistos e ferramentas de imagem aprimoradas que ajudam as empresas a alinhar o Kubernetes com os padrões de OS existentes.
• Ajuste de Performance, Feito Corretamente: Como os perfis TuneD declarativos trazem ajuste de kernel seguro e resiliente a atualizações para o Kubernetes para workloads intensivos em dados e sensíveis à latência.

Referências Upstream do Kubernetes e Open Source:

• Visão Geral do Lançamento do Kubernetes 1.35: Depreciações, remoções e melhorias de plataforma
• Documentação do Projeto TuneD: Contexto sobre perfis TuneD usados para ajuste de performance

Descubra mais no Blog do VMware Cloud Foundation (VCF) Assine para receber as últimas postagens por e-mail. Assinar