Oracle Kubernetes Engine 的特性

节点选择

适用于无服务器 Kubernetes 的虚拟节点

虚拟节点可提供无服务器 Kubernetes 体验，实现细粒度的 pod 弹性伸缩，并按 pod 计费。在扩展部署时无需考虑集群容量，可简化操作。

托管节点

托管节点是在您的租户中创建的 worker 节点，由您和 OCI 共担管理责任。托管节点适用于不受虚拟节点支持的许多配置和计算规格。

自托管节点

自托管节点可为不受托管节点（例如面向 AI 工作负载的基于 RDMA 的裸金属 HPC/GPU）支持的独特计算规格和高级设置提供高度定制和控制。

全面的计算选项

从各种裸金属和虚拟机选件中选择合适的计算配置，包括高性能 NVIDIA GPU 以及经济高效的 Arm 和 AMD CPU，从而优化成本和性能。通过 Oracle Container Image Registry 满足多架构映像需求。

OKE 助您简化运营

按需节点循环

通过按需节点循环简化托管 worker 节点的更新工作，无需投入大量时间来手动轮换节点或开发自定义解决方案。轻松修改节点池属性，包括 SSH 密钥、引导卷大小和定制 cloud-init 脚本。

附加组件生命周期管理

使用精选的可配置附加软件，轻松扩展和控制 Kubernetes 集群的功能。OKE 可管理附加组件从初始部署和配置到持续运营的整个生命周期，其中包括升级、打补丁、扩展和滚动配置更改。

Kubernetes 自动升级

您只需点击一下即可升级 Kubernetes 版本。虚拟节点可以自动为 worker 节点和底层基础设施无缝安装即时更新的安全补丁，确保应用始终高度可用。

高可用性，自动扩展

使用跨任意商业区域或 Oracle Cloud Infrastructure (OCI) Dedicated Region 中多个可用性域（数据中心）的集群来提高应用可用性。您不仅可以横向和纵向扩展 pod，还可以扩展集群。

自我修复节点

检测到节点故障时，OKE 会自动预配新的 worker 节点以保持集群可用性。

安全删除节点

使用自动封锁和驱逐选项安全地删除 worker 节点，确保零应用中断。

集群观测

使用 OCI、Datadog、Aqua Security 等提供商提供的监测工具来监控和保护您的应用。

OKE 让开发人员轻松完成工作

一键创建集群

只需点击一次即可部署 Kubernetes 集群，包括底层虚拟云技术网络、互联网网关和 NAT 网关。

完整的 REST API 和 CLI 支持

使用基于 Web 的 REST API 和命令行界面 (CLI) 实现自动化 Kubernetes 运营，包括创建、扩展和运行集群。

与其它 OCI 服务紧密集成

OKE 可与 OCI 服务无缝集成，包括 OCI Container Registry、DevOps CI/CD、网络、存储等。借助 OCI Service Operator for Kubernetes，您可以直接从 OKE 集群管理 OCI 服务。您还可以使用 Kubernetes API 和工具，轻松创建、管理并连接 OCI 资源，例如 Autonomous Database 和 MySQL Database。

DevOps 工具链兼容性

OKE 基于开放标准构建而成，完全符合处于开源上游的 Kubernetes，使您能够利用生态系统解决方案，并与 Argo CD、GitHub、Jenkins 等首选开发工具集成。

Container Marketplace

通过 OCI Container Marketplace 获取预先打包的容器化解决方案，并针对 OKE 进行调优，从而实现高性能。

混合云和多云应用构建

OKE 使用未经修改的开源 Kubernetes，符合 Cloud Native Computing Foundation (CNCF) 和 Open Container Initiative 标准，可实现应用可移植性。

OKE 促进安全和隐私保护

即将推出：Kubernetes 治理

Oracle Cloud Guard 提供开箱即用的 Kubernetes 治理功能，看在 OKE 上部署资源时，自动运行安全功能并遵循优秀实践。通过自动识别配置问题，您可以轻松保护和保持 OKE 群集的合规性。

加密

OCI 始终使用高级加密标准 (AES) 算法和 256 位加密密钥对块存储卷、引导卷和卷备份进行静态加密。您还可以使用 Key Management Service 对静态 Kubernetes 密钥进行加密，并使用 OCI Vault 管理您自己的加密密钥的生命周期。

合规性

OKE 遵守各种监管框架的规定，例如 HIPAA、PCI、SOC 2 等。

专用 Kubernetes 集群和 Bastion

借助专用集群，您可以将 Kubernetes API 端点设置为仅本地部署网络或堡垒主机可访问，从而提高安全性。使用 OCI Bastion 轻松访问完全专用集群。

在 pod 级别实现强隔离

OKE 虚拟节点为每个不共享任何底层内核、内存或 CPU 资源的 Kubernetes pod 提供强隔离。通过这种 pod 级别的隔离，您可以运行不可信的工作负载、多租户应用和敏感数据。

网络安全组

OKE 支持为所有集群组件设置网络安全组 (NSG)。NSG 包含一系列可应用于虚拟云技术网络 (VCN) 中虚拟网络接口卡 (VNIC) 的入口和出口安全规则，可助您实现 VCN 架构与集群组件安全要求相分离。

身份验证和授权

使用原生 OCI OCI Identity and Access Management (IAM) 以及 Kubernetes 基于角色的访问控制来控制访问和权限。您还可以配置 OCI IAM 多因素身份验证。通过 OKE Workload Identity，您可以在 pod 级别为 OCI API 和服务创建安全验证。通过对工作负载实施“尽可能限制权限”原则，您可以确保用户仅能够访问必要的资源。

容器映像扫描、签名和验证

OKE 支持容器映像扫描、签名和验证，您可以保护应用映像免受严重的安全漏洞影响，并在部署时保持容器映像的完整性。

易于审计

OCI Audit 服务适用于所有 Kubernetes 审计事件。

OKE 是 AI 工作负载的理想之选

掌控海量计算资源

OKE 让您能够轻松部署海量 GPU 和 CPU 资源，以满足复杂模型训练和高响应度推理工作负载的需求。借助 OKE 自托管节点，您可以利用 NVIDIA H100 GPU 和 OCI 低延迟 RDMA 网络的强大功能，充分发挥 AI 性能。

自动伸缩

OKE 利用开源 Kubernetes 的内置 Horizontal Pod Autoscaler (HPA) 功能，使 AI 驱动的应用能够在用户需求波动时快速伸缩。由于 OKE 可以根据需求自动扩缩容，您无需过度配置资源，也无需为未使用的资源付费。

RDMA 集群网络

使用 OKE 自托管节点充分利用 OCI 超级集群基础设施的强大功能，在不影响性能的情况下，扩展到数万个 NVIDIA GPU。OCI 的集群网络使用基于 NVIDIA ConnectX RDMA NIC 的 RDMA over Converged Ethernet (RoCE) 来支持高吞吐量和延迟敏感型工作负载。