superedge是騰訊推出的Kubernetes-native邊緣計算管理框架。相比openyurt以及kubeedge,superedge除了具有Kubernetes零侵入以及邊緣自治特性,還支持獨有的分佈式健康檢查以及邊緣服務訪問控制等高級特性,極大地消減了雲邊網絡不穩定對服務的影響,同時也很大程度上方便了邊緣集羣服務的發佈與治理node
組件功能總結以下:git
雲端除了邊緣集羣部署的原生Kubernetes master組件(cloud-kube-apiserver,cloud-kube-controller以及cloud-kube-scheduler)外,主要管控組件還包括:github
邊端除了原生Kubernetes worker節點須要部署的kubelet,kube-proxy外,還添加了以下邊緣計算組件:api
superedge能夠支持原生Kubernetes的全部工做負載的應用部署,包括:緩存
而對於邊緣計算應用來講,具有以下獨特色:網絡
爲了解決上述問題,superedge創新性地構建了ServiceGroup概念,方便用戶便捷地在共屬同一個集羣的不一樣機房或區域中各自部署一組服務,而且使得各個服務間的請求在本機房或本地域內部便可完成(閉環),避免了服務跨地域訪問架構
ServiceGroup中涉及幾個關鍵概念:app
下面以一個具體例子說明ServiceGroup功能:負載均衡
# step1: labels edge nodes $ kubectl get nodes NAME STATUS ROLES AGE VERSION node0 Ready <none> 16d v1.16.7 node1 Ready <none> 16d v1.16.7 node2 Ready <none> 16d v1.16.7 # nodeunit1(nodegroup and servicegroup zone1) $ kubectl --kubeconfig config label nodes node0 zone1=nodeunit1 # nodeunit2(nodegroup and servicegroup zone1) $ kubectl --kubeconfig config label nodes node1 zone1=nodeunit2 $ kubectl --kubeconfig config label nodes node2 zone1=nodeunit2 # step2: deploy echo DeploymentGrid $ cat <<EOF | kubectl --kubeconfig config apply -f - apiVersion: superedge.io/v1 kind: DeploymentGrid metadata: name: deploymentgrid-demo namespace: default spec: gridUniqKey: zone1 template: replicas: 2 selector: matchLabels: appGrid: echo strategy: {} template: metadata: creationTimestamp: null labels: appGrid: echo spec: containers: - image: gcr.io/kubernetes-e2e-test-images/echoserver:2.2 name: echo ports: - containerPort: 8080 protocol: TCP env: - name: NODE_NAME valueFrom: fieldRef: fieldPath: spec.nodeName - name: POD_NAME valueFrom: fieldRef: fieldPath: metadata.name - name: POD_NAMESPACE valueFrom: fieldRef: fieldPath: metadata.namespace - name: POD_IP valueFrom: fieldRef: fieldPath: status.podIP resources: {} EOF deploymentgrid.superedge.io/deploymentgrid-demo created # note that there are two deployments generated and deployed into both nodeunit1 and nodeunit2 $ kubectl get deploy NAME READY UP-TO-DATE AVAILABLE AGE deploymentgrid-demo-nodeunit1 2/2 2 2 5m50s deploymentgrid-demo-nodeunit2 2/2 2 2 5m50s $ kubectl get pods -o wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES deploymentgrid-demo-nodeunit1-65bbb7c6bb-6lcmt 1/1 Running 0 5m34s 172.16.0.16 node0 <none> <none> deploymentgrid-demo-nodeunit1-65bbb7c6bb-hvmlg 1/1 Running 0 6m10s 172.16.0.15 node0 <none> <none> deploymentgrid-demo-nodeunit2-56dd647d7-fh2bm 1/1 Running 0 5m34s 172.16.1.12 node1 <none> <none> deploymentgrid-demo-nodeunit2-56dd647d7-gb2j8 1/1 Running 0 6m10s 172.16.2.9 node2 <none> <none> # step3: deploy echo ServiceGrid $ cat <<EOF | kubectl --kubeconfig config apply -f - apiVersion: superedge.io/v1 kind: ServiceGrid metadata: name: servicegrid-demo namespace: default spec: gridUniqKey: zone1 template: selector: appGrid: echo ports: - protocol: TCP port: 80 targetPort: 8080 EOF servicegrid.superedge.io/servicegrid-demo created # note that there is only one relevant service generated $ kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes ClusterIP 192.168.0.1 <none> 443/TCP 16d servicegrid-demo-svc ClusterIP 192.168.6.139 <none> 80/TCP 10m # step4: access servicegrid-demo-svc(service topology and closed-looped) # execute on onde0 $ curl 192.168.6.139|grep "node name" node name: node0 # execute on node1 and node2 $ curl 192.168.6.139|grep "node name" node name: node2 $ curl 192.168.6.139|grep "node name" node name: node1
經過上面的例子總結ServiceGroup以下:框架
邊緣計算場景下,邊緣節點與雲端的網絡環境十分複雜,鏈接並不可靠,在原生Kubernetes集羣中,會形成apiserver和節點鏈接的中斷,節點狀態的異常,最終致使pod的驅逐和endpoint的缺失,形成服務的中斷和波動,具體來講原生Kubernetes處理以下:
所以,邊緣計算場景僅僅依賴邊端和apiserver的鏈接狀況是不足以判斷節點是否異常的,會由於網絡的不可靠形成誤判,影響正常服務。而相較於雲端和邊緣端的鏈接,顯然邊端節點之間的鏈接更爲穩定,具備必定的參考價值,所以superedge提出了邊緣分佈式健康檢查機制。該機制中節點狀態斷定除了要考慮apiserver的因素外,還引入了節點的評估因素,進而對節點進行更爲全面的狀態判斷。經過這個功能,可以避免因爲雲邊網絡不可靠形成的大量的pod遷移和重建,保證服務的穩定
具體來講,主要經過以下三個層面加強節點狀態判斷的準確性:
而分佈式健康檢查最終的判斷處理以下:
節點最終狀態 | 雲端斷定正常 | 雲端斷定異常 |
---|---|---|
節點內部斷定正常 | 正常 | 再也不調度新的pod到該節點(NoSchedule taint) |
節點內部斷定異常 | 正常 | 驅逐存量pod;從Endpoint列表摘除pod;再也不調度新的pod到該節點 |
對於邊緣計算的用戶來講,他們除了想要享受Kubernetes自身帶來的管理運維的便捷以外,同時也想具有弱網環境下的容災能力,具體來講,以下:
而對於標準的Kubernentes,若是節點斷網失聯而且發生異常重啓的行爲後,現象以下:
superedge自研的邊緣自治就是爲了解決上述問題的,具體來講邊緣自治能達到以下效果:
其中,對於前兩點來講能夠經過上述介紹的分佈式健康檢查機制來實現,然後續兩點能夠經過lite-apiserver,網絡快照以及DNS解決方案實現,以下:
superedge經過在邊端加了一層鏡像lite-apiserver組件,使得全部邊端節點對於雲端kube-apiserver的請求,都會指向lite-apiserver組件:
而lite-apiserver其實就是個代理,緩存了一些kube-apiserver請求,當遇到這些請求並且與apiserver不通的時候就直接返回給client:
總的來講:對於邊緣節點的組件,lite-apiserver提供的功能就是kube-apiserver,可是一方面lite-apiserver只對本節點有效,另外一方面資源佔用不多。在網絡通暢的狀況下,lite-apiserver組件對於節點組件來講是透明的;而當網絡異常狀況,lite-apiserver組件會把本節點須要的數據返回給節點上組件,保證節點組件不會受網絡異常狀況影響
經過lite-apiserver能夠實現邊緣節點斷網狀況下重啓後pod能夠被正常拉起,可是根據原生Kubernetes原理,拉起後的pod ip會發生改變,這在某些狀況下是不能容許的,爲此superedge設計了網絡快照機制保障邊緣節點重啓,pod拉起後ip保存不變。具體來講就是將節點上組件的網絡信息按期快照,並在節點重啓後進行恢復
經過lite-apiserver以及網絡快照機制能夠保障邊緣節點斷網狀況下重啓後,Pod會被從新拉起並正常運行,同時微服務也運行正常。而服務之間相互訪問就會涉及一個域名解析的問題:一般來講在集羣內部咱們使用coredns來作域名解析,且通常部署爲Deployment形式,可是在邊緣計算狀況下,節點之間多是不在一個局域網,極可能是跨可用區的,這個時候coredns服務就可能訪問不通。爲了保障dns訪問始終正常,superedge設計了專門的本地dns解決方案,以下:
本地dns採用DaemonSet方式部署coredns,保證每一個節點都有可用的coredns,同時修改每一個節點上kubelet的啓動參數--cluster-dns
,將其指向本機私有IP(每一個節點都相同)。這樣就保證了即便在斷網的狀況下也能進行域名解析。
總的來講,superedge是以lite-apiserver機制爲基礎,並結合分佈式健康檢查機制、網絡快照以及本地coredns,保證了邊緣容器集羣在弱網環境下的網絡可靠性。另外隨着邊緣自治的級別越高,所須要的組件會愈來愈多
最後介紹一下superedge的雲邊隧道,雲邊隧道主要用於:代理雲端訪問邊緣節點組件的請求,解決雲端沒法直接訪問邊緣節點的問題(邊緣節點沒有暴露在公網中)
架構圖以下所示:
實現原理爲:
而整個請求的代理轉發流程以下:
本文依次介紹了開源邊緣計算框架SuperEdge的特性,總體架構以及主要功能和原理。其中分佈式健康檢查以及邊緣集羣服務訪問控制ServiceGroup是SuperEdge獨有的特性功能。分佈式健康檢查很大程度避免了因爲雲邊網絡不可靠形成的大量pod遷移和重建,保證了服務的穩定;而ServiceGroup則極大地方便了用戶在共屬同一個集羣的不一樣機房或區域中各自部署一組服務,而且使得各個服務間的請求在本機房或本地域內部便可完成(閉環),避免了服務跨地域訪問。除此以外還有邊緣自治以及雲邊隧道等功能。
總體來講,SuperEdge採用無侵入的方式構建邊緣集羣,在原有Kubernetes組件保留不變的基礎上新增了一些組件完成邊緣計算的功能,既保留了Kubernetes強大的編排系統,同時也具有完善的邊緣計算能力。
【騰訊雲原生】雲說新品、雲研新術、雲遊新活、雲賞資訊,掃碼關注同名公衆號,及時獲取更多幹貨!!