通用汽車的巡航自主車輛努力如何改善Kubernetes

尋求啟用自動駕駛汽車涉及許多移動部件和大量軟件。通用汽車的Cruise Automation部門使用的軟件組件包括開源Kubernetes云原生平臺。

Cruise不僅僅是將Kubernetes作為一個項目使用，它還在擴展它，并通過一個名為RBACSync的項目幫助改進安全策略控制。RBAC或基于角色的訪問控制是Kubernetes的一個關鍵安全組件，默認情況下它并不像Cruise需要它那樣工作。以真正的開源方式，Cruise工程師構建了RBACSync項目并開源，實現(xiàn)更廣泛的使用和參與。

“Kubernetes用于在Cruise運行大多數(shù)服務器端工作負載，”Cruise基礎設施工程團隊的高級軟件工程師Stephen Day告訴eWEEK。“這包括乘車調度，測繪，數(shù)據(jù)處理和車隊管理。”

Kubernetes是一個開源平臺，最初由Google開發(fā)，自該組織于2015年7月成立以來一直是云原生計算基金會(CNCF)的核心.Kubernetes是一個容器編排系統(tǒng)，使組織能夠提供，管理，跨分布式系統(tǒng)部署和運行容器。Kubernetes受益于各種采用者和貢獻組織，并得到所有主要公共云提供商的支持。3月25日，Kubernetes 1.14平臺發(fā)布，集成了對Windows節(jié)點的支持。

克魯斯的Kubernetes

雖然Kubernetes是Cruise開發(fā)和基礎設施堆棧的一部分，但它實際上并沒有進入自動駕駛汽車。

“我們不會在車上使用Kubernetes，但車輛確實會與Kubernetes上運行的服務進行對話，”Day說。

Cruise利用Google Kubernetes Engine作為其平臺提供商，該提供商集成了核心Kubernetes RBAC功能，使運營商能夠定義運營角色。然后，角色以稱為“角色綁定”的方法連接到資源，該方法啟用基于策略的訪問控制。Cruise面臨的挑戰(zhàn)是，在定義Kubernetes RBAC方法中用戶如何屬于群體方面存在差距。Day表示雖然核心Kubernetes項目確實具有向群組添加個人的功能，但是存在一些限制導致Cruise出現(xiàn)問題。

“我們的方法允許我們將身份提供者和群體成員分離，使我們能夠改變他們的來源以及群體的形成方式，”Day解釋道。“只要我們有強大的身份進入集群，我們就可以根據(jù)我們的要求對這些集團進行映射。”

RBACSync受益于Kubernetes中稱為控制器的核心功能，可以將新功能添加到平臺中。RBACSync控制器查看連接到Kubernetes的自定義資源定義(CRD)中的配置，以識別組和角色引用。每當發(fā)生更改時，系統(tǒng)都會為RBAC策略創(chuàng)建與組綁定的角色。

“通過遵循現(xiàn)有RBAC系統(tǒng)中的慣例，RBACSync適用于已經(jīng)存在的內容，”Day說。“它可以無縫地使用現(xiàn)有角色，包括其他項目和Helm圖表定義的角色。我們的目標是盡可能推動RBAC，然后從那里開始工作。”

開源貢獻

在公開宣布RBACSync作為一項開源工作時，Cruise正在尋求幫助自己和其他人。Day注意到Cruise剛剛發(fā)布了版本1.1的RBACSync，它有一些穩(wěn)定性修復和支持綁定到集群角色。

“我們的目標是回饋可能對他人有用的東西，看看它帶給我們的地方，”他說。“我們希望其他人能夠在他們的基礎設施中獲取并增加對新上游或不同場景的支持。