規模、性能、彈性全面升級，讓天下沒有難用的 K8s

做者 | 湯志敏 阿里雲容器服務開發負責人

Kubernetes 是雲原生時代的基礎設施、雲上的分佈式操做系統。

9 月 26 日雲棲大會容器專場，在《拐點已至，雲原生引領數字化轉型升級》的演講中，容器服務開發負責人湯志敏表示：「阿里雲容器服務已經擁有國內最大規模的公共雲容器集羣，據各大國際評測機構顯示，其市場份額和產品綜合能力中國內第一。

本次容器服務 ACK2.0 在規模、性能和彈性能力上全面升級，支持單集羣萬節點、90% 原生性能的安全沙箱容器、分鐘級千節點彈性。此外，容器服務已經在全球 20 個地域部署，推出雲原生混合雲 2.0 架構和 ACK@Edge，打造安全智能的無邊界雲計算。

本文根據演講內容整理，關注阿里巴巴雲原生公衆號，回覆「雲原生」得到本文 PPT。

K8s，雲原生時代的重要生產力

在早期，K8s 上跑的應用可能是無狀態的應用，而如今愈來愈多的企業核心業務、數據智能業務和創新業務也跑在 K8s 之上。以阿里雲自身的雲產品舉例，包括企業級分佈式應用服務 EDAS、微服務引擎 MSE、智能數據管理平臺 Dataphin、數據湖分析 Data Lake Analytics 也部署在容器服務 ACK 之上。

現在，阿里雲實時計算產品也推出了雲原生實時計算 Flink 版本，讓 Flink 能夠部署在用戶的 K8s 集羣之上，讓在線業務和流計算共享一個 K8s 集羣，下降運維成本的同時能夠享受彈性。咱們正在見證 K8s 成爲雲原生時代的基礎設施，成爲雲上分佈式操做系統,成爲平臺的平臺。大量企業在享受雲原生帶來的敏捷、彈性和可移植能力。

爲何咱們認爲 「雲原生拐點已至」？

CNCF 在 8 月份頒佈了雙年度報告，結果代表：

• 在生產環境的雲原生應用和項目增加超過 200%
• StackOverflow 在今年的年度開發者報告中指出，容器和 Kubernetes 已經成爲 Linux 以後最受歡迎的項目
• Gartner 在今年的容器最佳實踐中預測：「到 2022 年有 75% 的全球化企業將在生產中使用容器化的應用」

種種跡象代表容器技術已經逐漸深耕落地。

致敬容器領域的先行者

咱們不妨先來共同回顧下阿里雲容器服務的發展之路。2011 年，阿里率先在國內佈局容器技術。2015 年末，容器服務公測上線，到今天已經有 4 個年頭，目前已經在全球 20 個地域開服，服務了來自中國、北美、歐洲、東南亞等地的來自互聯網、金融、政務、製造等行業的數萬用戶和企業，擁有國內最大的公共雲容器集羣。感謝你們的陪伴，容器服務連續三年業務增加超400%，截止 8 月份每個月鏡像下載量超 3 億，容器服務已經逐漸成爲雲原生應用的首選。

此外，容器服務也得到了國際權威諮詢師的承認。6 月 Gartner 發佈的公有云容器服務競爭格局中，阿里雲是惟一進入該報告的國內雲廠商。今年 7 月，在 Forrester 的容器報告中，阿里雲在全球處於強力表現者，在市場份額和產品綜合競爭力位列國內第一。

 

除了阿里自身，愈來愈多的企業也享受到了雲原生技術的紅利。三維家基於容器快速遷雲，提高雲資源利用率。民生銀行基於 Kubernetes 優化其核心應用架構，加速業務迭代。微博基於 Kubernetes 統一管理異構資源，加速 AI 計算，促進應用數據化智能化；跨國企業西門子將其開放式物聯網操做系統  MindSphere 部署在 ACK 之上，屏蔽底層基礎設施差別，實現多雲戰略。

三維家是一家來自廣東的企業，他將 3D 全景技術應用到家居設計，引領家裝行業變革。過去，三維家採用自建 IDC 的傳統方式，運維團隊「一攬子包乾」，耗時費力，團隊疲於奔命，很難跟上業務發展對算力的需求。

2018 年，三維家開始將部分業務遷移到雲上，基於容器服務 ACK 和近千臺裸金屬服務進行統一的任務調和家居渲染業務。三維家經過容器化技術，分批切換完成了最終的業務上線，總體應用搬遷上雲累計只用三天。上雲前，當遇到資源擴展時，工做量就很是大。如今能夠利用容器的自動彈性伸縮，3 分鐘便可開通 100 臺裸金屬服務器，應對波峯波谷的業務特性。此外，利用 Kuberentes 內置灰度發佈能力，能夠依據客戶的級別、付費模式提供不一樣版本的渲染技術和不一樣的服務迭代。

相信你們都使用過微博，對微博的大 V 和熱門微博很是感興趣。微博目前有超 2 億日活用戶，那微博是如何把這些熱點內容根據用戶的不一樣興趣推送給每一個人，實現千人千面的。這背後就有微博在線機器學習的功勞。微博機器學習平臺能夠把實時計算和在線學習能力應用到熱門微博和 feed 流等業務場景，經過海量實時樣本分析，進行模型的訓練和服務。

整個在線學習服務鏈路長，對離在線服務實時性與穩定性要求很是高。爲了充分發揮離在線混部優點，提供高效穩定的服務治理，動態地彈性調度資源，微博採用了 all on K8s 的方案：

• 在樣本拼接方面，經過採用阿里雲 Blink on ACK 方案，在相同資源下，實時計算的性能較開源方案有 2.4 倍提高；
• 在實時訓練方面，支持百億級實時樣本和萬億級緯度超大規模稀疏模型；
• 模型推理方面，經過自研推理框架 on ACK 方案，對異構集羣資源進行統一混合調
• 度，提供高性能線上服務能力，支持 50 萬峯值 QPS。

ACK 2.0 全新升級，讓天下沒有難用的 K8s

不少尚未大規模實踐 Kubernetes 的企業和用戶，可能想了解 Kubernetes 生產落地有哪些經驗和痛點。咱們作了一些調查，你們廣泛存在如下痛點問題：如何保證 K8s 及其上應用的安全合規？如何統一管理雲上和雲下的 K8s 集羣？如何運維大規模的 K8s 集羣？如何充分利用豐富的 K8s 上下游生態？

針對上述問題，阿里雲容器服務團隊結合企業生產環境的大量實踐，推出一系列功能來全面協助企業真正將 Kubernetes 落地。

端到端的企業級安全能力

首先咱們來看安全領域，如何保障雲原生時代的端到端的企業級安全能力。

容器和雲原生時代的安全挑戰和傳統安全有什麼不一樣？

• 第一個是高動態和高密度。傳統時代一臺機器只跑幾個應用，而如今在一臺服務器會運行上百個應用，是原來十幾倍的密度。另外考慮到容器的自動恢復等特性，上一刻的容器在A機器，下一刻就會隨時漂移到另外一臺機器。
• 第二個是敏捷和快速迭代，容器 +DevOps 化的應用發佈很是頻繁，是傳統的幾倍。
• 第三，在開放標準、軟件行業社會化大分工的時代，愈來愈多不可信三方開源軟件的引入也加重了安全風險。而容器的這些特色都會對雲原生安全提出了更高的要求。

爲了應對這些安全風險，容器服務推出了立體式的端到端雲原生安全架構升級。他會從三個層面來解決安全問題：

• 最底層是基礎架構安全，支持全方位網絡安全隔離管控和全鏈路數據加密，提供阿里雲主子帳號和 K8s RBAC 權限體系的聯動，支持細粒度的權限和審計能力；
• 中間是安全軟件供應鏈，支持鏡像掃描、磁盤 BYOK 加密等能力，打造完整的 DevSecOps。
  
• 最上層是運行時安全，提供了運行時安全掃描、多租戶管理、KMS支持等能力；接下來咱們重點看下安全軟件供應鏈和安全沙箱容器。

 
業務的頻繁調整和上線對業務流程安全提出了更高的要求，將安全工做前置，從源頭上作好安全才能消除隱患。基於容器鏡像服務的雲原生安全軟件供應鏈，能夠將安全內置到全流程的開發過程當中，確保上線即安全。有三個優點：

• 第一個提供容器運行時掃描，在阿里雲的安全中心，能夠一站式的查看容器和非容器的運行時威脅監控與阻斷。實現靜態到動態的全生命週期管理。
• 第二個提供完整的軟件交付鏈，交付鏈全鏈路可觀測、可追蹤、可自主設置，智能優化提高交付效率。在漏洞識別後，會阻斷髮布。作到可阻斷可編排。
• 第三個提供全球分發能力，分發到不一樣的後端，鏡像全球同步效率提高7倍。

咱們但願打造新一代的 DevSecOps 安全開發流程，作到斬隱患於萌芽，遁威脅於無形。

若是您在 K8s 集羣內部署了開源的或第三方不可信的應用，那麼能夠考慮看下咱們的安全沙箱容器功能。相比於普通的 Pod，安全沙箱容器具備獨立內核，保證安全隔離。你們都知道，安全、兼容性和性能是一個三角，同時作到會比較難。

而通過咱們的大量性能優化，安全沙箱容器的性能，已經能夠接近 90% 的原生 runC 性能。此外，值得一提的是，能夠在一臺雲服務器上同時部署普通 Pod 和安全沙箱 Pod，作到混部能力。用戶徹底能夠根據本身的業務特性作自主選擇。在可觀測性方面，咱們提供了安全沙箱場景下完整的日誌監控等能力加強。
 

拓展雲計算的邊界

咱們回到第二個問題，如何解決雲上雲下統一管理的問題。接下來我會介紹容器服務 ACK 的無邊界雲計算解決方案。

不少企業在思考上雲策略的時候，出於數據主權和安全合規的考慮，會將部分業務彈性遷移到雲上。好比微博和B站在有一些熱門活動時，應用會從 IDC 彈性到雲上，應對突發流量。一些銀行和政府在考慮搭建災備中心的時候，選擇阿里雲做爲低成本的雲容災或者多活方案。混合雲已經成爲企業上雲的新常態。不過混合雲帶來的挑戰是：雲上和雲下的基礎設施能力不一致，安全管理不統一，如何統一管理應用？

容器服務 ACK 本次推出了以應用爲中心的混合雲 2.0 架構，
 
在納管能力上，能夠在用戶 IDC 的 K8s 集羣上輕鬆安裝一個 agent，一鍵被雲上的容器服務納管。若是您不想管理 IDC 的 K8s 集羣，也能夠選擇咱們的 ACK 敏捷版。在全部的集羣註冊完畢以後。能夠經過 ACK 的集羣聯邦能力提供統一的應用部署、安全治理和可觀測性能力。

此外，若是您想配置不一樣集羣的負載均衡和流量和發佈策略，能夠經過容器服務的服務網格能力統一管理。

經過使用容器服務的雲原生混合雲管理能力，能夠有三個方面的優點：

• 第一個：能夠實現統一的集羣管理，統一的安全治理、應用管理和可觀測性。以及跨雲的彈性伸縮
• 第二個：能夠經過阿里雲的雲企業網，將多個地域的 VPC 和 IDC 網絡組成一張環網，實現全網互聯、全球就近接入，保證高速低延時
• 第三個：能夠經過智能流量管理，優化不一樣地域的服務訪問策略，提高業務連續性

若是您想嘗試雲原生混合雲，可是還未開始搬遷上雲，咱們提供了一攬子云原平生滑遷雲工具集，簡化您的搬遷成本。他能夠從三個方面來簡化搬遷的過程，包括應用鏡像、應用配置、應用狀態和數據。咱們提供了 Packer 能力，能夠將您的 OS 鏡像打包成 ECS 的自定義鏡像。經過 Docker 鏡像遷移工具，將容器鏡像自動遷移到阿里雲的容器鏡像倉庫。經過 velero 工具，將您的 K8s 應用配置無縫遷移到阿里雲的 ACK。經過 DTS 幫助您無縫同步數據庫。

隨着 5G 和物聯網時代的到來，經過傳統雲+數據中心來集中存儲、計算的模式已經沒法知足終端設備對於時效、容量、算力的需求。將雲計算的能力下沉到邊緣側、設備側，並經過中心進行統一交付、運維、管控，將是雲計算的重要發展趨勢。

爲此容器服務正式推出 ACK@Edge,支持統一管理雲端和邊緣節點，支持統一應用發佈，發佈效率提高 3 倍。基於邊緣的應用部署，能夠下降網絡延遲 75%。考慮到邊緣的特性，提供了額外的單元化隔離和斷連自治。一樣，若是想在邊緣部署不可信三方應用，咱們在 ACK@Edge 也提供了安全沙箱容器能力。

接下來介紹下優酷是如何基於 ACK@Edge 來完成他的架構演進。你們都知道優酷是能夠播放海量的視頻。隨着優酷業務的發展，他須要支持數百個城市。這時候優酷須要考慮將原來在 IDC 內的集中式架構，演進到邊緣架構。

這時候須要考慮一種方式，來統一管理阿里雲幾十個 region 和上千個邊緣節點。優酷選擇了 ACK@Edge，能夠統一管理 ECS 和邊緣的節點，並作統一的應用發佈和彈性擴縮容。經過動態擴縮容能力，節省了機器成本 50%。採用新的架構以後，原來播放視頻的鏈路也從公網變成骨幹網到邊緣節點再到終端，優化了網絡延遲 75%。

無服務器化的基礎設施

咱們回到第三個問題，如何去管理K8s集羣的海量節點的升級和運維。咱們但願經過 serverless化的方案，幫助企業下降運維成本。

2018 年,容器服務發佈了 Serverless k8s 1.0版本，用戶徹底不須要管理他的 K8s worker 節點,從而不用關注節點的環境配置、服務器管理、維護升級等環節，從根源上解決了 Kubernetes 運維難題。將開發人員的效率最大化,無需容量管理，無懼安全風險。

今天阿里雲容器服務正式推出 Serverless Kuberentes 2.0 升級，同時結束公測開始商業化。Serverless Kuberentes 2.0 全面提高了 K8s 兼容性、安全性和極致彈性。在兼容性方面支持多命名空間、RBAC 安全模型，支持 Istio 和 Knative 等框架，是業界兼容 Kubernetes 最好的 Serverless 服務；在彈性能力上支持 GPU 實例，500 pod 啓動小於 50s。

目前 Serverless Kuberentes 在 Job 任務、在線彈性等多個場景中普遍應用，幫助用戶輕鬆擁抱「以應用爲中心」的雲原生架構。

咱們並未止步於 Kubernetes 自己，咱們還在 Serverless Kubernetes 之上基於 Knative 構建了一套 Serverless Framework 套件。Serverless Framework 能夠簡化事件處理、代碼構建、服務部署等，同時無縫集成阿里雲的各類事件源,包括消息服務、服務服務等事件源。以及可觀測性能力。可讓企業本身搭建各種 Serverless 產品，不管是面向應用、容器仍是函數。但願能夠助力你們一塊兒打造下一代的無服務應用。

保持開放，容器應用市場發佈

最後，在雲原生日趨成熟的年代，咱們但願合做雙贏，打造開放雲原生生態。

容器服務積極參與並回饋雲原生社區，在 moby／kubernetes 等開源項目社區貢獻領先。目前已是 CNCF 雲原生計算基金會的白金會員，李響也成爲 CNCF 技術監督委員會的惟一華人成員。OCI 開放容器聯盟的成員，CNIA 雲原生產業聯盟的理事成員。阿里雲容器服務也成爲Kubernetes 一致性認證產品和認證服務提供商。

除了開源和雲原生社區以外，咱們也致力於尋求打造全球合做夥伴生態。在 2019 年，咱們的全球生態夥伴又多了一些新面孔。SAP Cloud Platform 基於開源項目 Gardener，已經支持容器服務 ACK，爲企業提供大規模混合雲集羣管理能力。

隨着在容器服務上運行人工智能應用的愈來愈流行，來自英國的人工智能服務提供商 Seldon提供了雲原生 AI 模型推理服務。來自印度的 Click2Cloud,他們在最新的 Cloubbrain 支持 ACK，爲企業客戶向雲原生應用遷移提供了完整的解決方案。來自歐洲的容器平臺廠商 BanzaiCloud 有一套完整的混合雲與 Istio 的產品，他們的 pipeline 產品已經支持 ACK，從而使得客戶能夠從成本優化的角度建立和管理不一樣雲廠商的容器集羣。

除了合做方面，今年咱們在阿里雲市場全新上線容器應用的一級類目，但願能夠連接企業和雲原生創新。對於雲原生的開發者來講，能夠便捷的找到通過阿里雲認證的、標準的容器生態產品，包含開源免費的、商業化收費的容器產品，快速在集羣上使用，知足您多場景下的業務需求。對於咱們的合做 ISV 來講，您可使用標準化的交易流程及豐富客戶資源，下降售前、交易、交付、售後等流程的複雜度。

 

接下來我會隆重介紹一期即將入住阿里雲容器應用市場的合做夥伴：

1. Intel 全球最大的我的計算機零件和CPU製造商。其 Intel Clear Linux 將基於 Aliyun Linux 2 製做優化過的應用軟件的基礎鏡像，後續將以容器鏡像的形式輸出阿里雲容器應用雲市場，幫助更多容器客戶更安全、輕量、高效運行容器。
2. 奧哲網絡科技有限公司，是國內領先的流程管理系統（BPM）供應商，後續奧哲BPM 管理產品-雲樞將在容器應用市場上商業化售賣，幫助企業經過業務、管理在線實現數字化經營。
3. Fortinet 是行業領先的網絡安全和惡意軟件防禦公司，可以爲業務通訊提供最佳安全、高性能、低成本的安全解決方案。後續 Fortinet 將在容器應用市場提供容器安全防禦套件，爲容器企業客戶提供完整運行時的容器安全解決方案。

新基石、新算力、新生態

最後咱們一塊兒來回顧下本次容器服務 ACK 2.0 的雲原生進化和願景：讓咱們一塊兒打造雲原生時代的新基石、新算力、新生態。

在新基石方面，容器服務致力成爲全場景化的雲原生技術設施，提供全鏈路安全架構，支持全球部署，單集羣支持萬節點規模。容器服務提供了雲邊端一體化解決方案和混合雲 2.0 架構，助力邊緣延時下降 75，提高交付效率 3 倍。

在新算力方面，容器服務 ACK 2.0 支持極速彈性，分鐘級千節點伸縮；支持異構算力，經過加強調度實現利用率提高 5 倍；支持安全沙箱容器，強隔離，90% 原生性能。

在新生態方面，容器服務但願攜手雲原生開發者和雲原生合做夥伴，共創雲原生將來。感謝你們，感謝各行各業的客戶和咱們一路同行。拐點已至，讓咱們一塊兒經過雲原生引領數字化轉型。

「 阿里巴巴雲原生微信公衆號（ID：Alicloudnative）關注微服務、Serverless、容器、Service Mesh等技術領域、聚焦雲原生流行技術趨勢、雲原生大規模的落地實踐，作最懂雲原生開發者的技術公衆號。」