ALT Orchestra
Альт Оркестрация / ALT Orchestra - это специализированная операционная система для организации Kubernetes-кластеров и построения контейнерной инфраструктуры, зарегистрированная в реестре Россйиского ПО.
Функциональные возможности
Развертывание платформы
- Установка в закрытом контуре (без доступа в интернет)
- Возможность обновлять платформу (кластер Kubernetes) без простоя приложений. Rolling‑upgrade: обновление control‑plane и worker‑нод без прерывания приложений (zero downtime)
- Возможность увеличения количества control-plane узлов
- Управление узлами кластера (добавление, удаление)
- Управление namespaces (добавление, удаление, редактирование)
- Возможность установки и использования внешних модулей
- Поддержка нескольких версий Kubernetes и возможность выбора версии при создании кластера
- Параллельное развертывание нескольких кластеров одновременно
- Возможность установки на физические среды. Поддержка bare‑metal
- Возможность установки на виртуальные среды. Поддержка VMWare/OpenStack/zVirt/PVE
- Возможность установки в публичных облаках. Поддержка нескольких поставщиков, например, Яндекс, VK, К2
- Возможность установки платформы на bare-metal с помощью сервиса PXE
- Поддержка загрузки образа платформы на системах UEFI в режиме SecureBoot
Безопасность
- Аудит событий Kubernetes API
- Фильтрация трафика внутри кластера (поддержка NetworkPolicy)
- Фильтрация трафика на уровне L7 внутри кластера
- Использование статических групп пользователей в кластере
- Использование внешнего провайдера аутентификации (LDAP/AD/OIDC)
- Централизованная RBAC для нескольких кластеров
- Настройка ролевой модели доступа на основе групп, атрибутов пользователя
- Ограничение доступа пользователей к определенным namespace.
- Использование сервисной учетной записи для установки прикладного ПО в платформу
- Использование политик безопасности Kubernetes (Pod Security Standards)
- Использование политик безопасности для безопасной работы прикладного ПО
- Сканирование образов прикладного ПО на наличие известных уязвимостей (Дополнительный модуль trivy)
- Платформа не хранит секреты в базе etcd в открытом виде. Возможность настройки внешнего хранилища (Openbao).
- Ведется аудит действий пользователей
- Возможность использования Kubernetes NetworkPolicy (или аналогов) для ограничения сетевого трафика (Cilium)
- Наличие GUI или CLI для удобного управления сетевыми политиками (Cilium Hubble UI в виде инструмента на хосте администратора)
- Разделение прав доступа для преднастроенных типов учетных записей (администратор, пользователь). Предопределённые ClusterRole admin/edit/view
- Возможность тонкой настройки ролей и прав, создание собственных типов учетных записей. Custom Role/ClusterRole
Управляемость и мониторинг
- Возможность управления обновлением платформы через UI или CLI, наблюдаемость процесса обновления и автопауза при наличии ошибок в процессе
- Возможность управления обновлением кластера Kubernets отдельно от обновления платформы через UI или CLI, наблюдаемость процесса обновления и автопауза при наличии ошибок в процессе
- Наличие собственного CLI для упрощения управления платформой
- Поддержка одной точки управления несколькими кластерами
- Поддержка внешних CI/CD систем. Возможность подключения внешней системы для управления кластером
Автомасштабирование и надежность
- Балансировка нагрузки контейнеров между узлами кластера
- Автоматическое переключение при отказе (Node Failover Test)
- Поддержка автоматического масштабирования кластера (авто-добавление/удаление узлов) при изменении нагрузки. Cluster Autoscaler: при росте нагрузки автоматически добавляет новые worker‑ноды, при снижении – удаляет.
- Поддержка горизонтального автомасштабирование подов (Horizontal Pod Autoscaler). Horizontal Pod Autoscaler автоматически увеличивает/уменьшает число реплик приложения на основе метрик (CPU, память, кастомные).
- Поддержка вертикального автомасштабирование подов (Vertical Pod Autoscaler). Vertical Pod Autoscaler (VPA) динамически корректирует requests/limits контейнера. Позволяет аналитическому сервису получить больше памяти при отчётной нагрузке, а затем вернуть ресурсы.
- Возможность масштабирования кластера без простоя для работающих приложений. Rolling‑scale: добавление/обновление нод по одной с автоматическим эвакуацией подов. Обновление control‑plane и worker‑нод без downtime.
- Самовосстановление control-plane компонентов (Платформа автоматически перезапускает упавший apiserver/etcd)
- Поддержка режима высокой доступности High Availability (HA) для компонентов кластера (Control‑plane переживает отказ ноды без потери API. Master-нода может меняться)
Расширения платформы
crunЭто расширение системы обеспечивает запуск crun с использованием обработчика среды выполнения containerdutil-linux-toolsЭто расширение системы предоставляет минимальный пакет util-linuxintel-ucodeЭто расширение системы предоставляет исполняемые файлы микрокода IntelbtrfsЭто расширение системы предоставляет драйвер модуля ядра для BTRFS, собранный с использованием определенной версии ALT-Orchestranvidia-container-toolkitЭто системное расширение предоставляет среду выполнения NVIDIA и её зависимости, используя обработчик среды выполнения NVIDIA. Подходит для использования ML-моделейdrbdЭто расширение системы предоставляет драйвер модуля ядра для DRBD, собранный с использованием определенной версии ALT-Orchestra. (https://piraeus.io/docs/v2.7.0/how-to/talos/)nonfree-kmod-nvidiaЭто системное расширение предоставляет проприетарные модули ядра Nvidia, собранные для конкретной версии ALT-Orchestraqemu-guest-agentДанное расширение системы предоставляет услугу гостевого агента QEMU. Удобен при использовании сред виртуализации
Другое
- Автоматический перезапуск прикладного ПО в случае изменения secret/configmap
- Настройка входящего трафика для кластера (Ingress)
- Возможность запуска виртуальных машин в одном окружении с контейнерами при установке дополнительного модуля kubevirt
Графический веб-интерфейс
- Наличие веб-интерфейса для наблюдения за кластером (в виде инструмента на хосте администратора) и его компонентами Kubernetes, а также для функций управления