在整整二十年前,Unix的第7個(gè)版本在開發(fā)過程中引入Chroot Jail以及Chroot系統(tǒng)調(diào)用�����。Chroot jail被用于“Change Root”��,它被認(rèn)為是最早的容器化技術(shù)之一�����。容器技術(shù)的出現(xiàn)����,起初的好處主要是解決了在單機(jī)環(huán)境下�����,同樣的代碼�,無法在運(yùn)行環(huán)境發(fā)生變化之后正常運(yùn)行的問題。然后�����,二十年過去了,容器技術(shù)卻已經(jīng)儼然成為云原生的基礎(chǔ)和標(biāo)準(zhǔn)�����,推動(dòng)著互聯(lián)網(wǎng)業(yè)務(wù)和創(chuàng)新的飛速發(fā)展��,演出了又一出“無心插柳柳成蔭”的技術(shù)傳奇�����。
如今���,從App新聞推送到云圖片處理��,從網(wǎng)絡(luò)直播到短視頻編輯��,從云上車聯(lián)網(wǎng)到云醫(yī)療方案���,處處都有著容器的身影,甚至可以說��,如果沒有容器技術(shù)���,如今的互聯(lián)網(wǎng)創(chuàng)新就無從談起���。
為什么是容器���?
而容器技術(shù)之所以能夠助推互聯(lián)網(wǎng)業(yè)務(wù)及其創(chuàng)新,主要源于如下幾個(gè)原因:
首先���, 容器可以顯著減少啟動(dòng)和管理的虛擬機(jī)數(shù)量�。通過消除每個(gè)應(yīng)用程序都需要運(yùn)行一個(gè)虛擬機(jī)的需求�,容器可以大量減少整體計(jì)算開銷,從而降低總體CAPEX�����,這不僅僅是在私有數(shù)據(jù)中心內(nèi)部�����,由于容器消耗的資源更少�����,云服務(wù)成本也同樣降低��。
其次��,容器對于云成本的節(jié)省不僅體現(xiàn)在減少服務(wù)器硬件和云服務(wù)中�����。因?yàn)檫\(yùn)行的虛擬機(jī)和操作系統(tǒng)減少�,這就意味著還可以顯著降低許可證數(shù)量,從而在IT的許可方面節(jié)省更多的成本����。
第三,云有一個(gè)顯而易見的缺點(diǎn)是:一旦遷入某云服務(wù)提供商�����,就很難再遷出��。然而�,利用容器,在云上的遷入和遷出非常簡單��。這有助于消除對于云廠商鎖定的擔(dān)憂�。
第四,低風(fēng)險(xiǎn)的快速部署��。容器可以通過允許IT維護(hù)對服務(wù)器端配置的控制來減輕瓶頸和應(yīng)用程序開發(fā)團(tuán)隊(duì)與基礎(chǔ)架構(gòu)管理員之間的隔閡,開發(fā)團(tuán)隊(duì)只需將所需的任何添加/更改打包到一個(gè)純凈的小包即可���。這些容器包可以快速上線到生產(chǎn)��,測試中�,如果出現(xiàn)問題���,直接刪除即可�,而不會(huì)對系統(tǒng)造成嚴(yán)重影響或者持久化變更���。
最后�����,是更簡單的運(yùn)維和管理��。由于一個(gè)容器包含了完整的運(yùn)行時(shí)環(huán)境��,應(yīng)用所需的全部依賴��、類庫����、其他二進(jìn)制文件�、配置文件等,都統(tǒng)一被打入了一個(gè)稱為容器鏡像的包中�����,一個(gè)容器的改變不會(huì)對其他應(yīng)用產(chǎn)生影響����,因此可以隨時(shí)創(chuàng)建和刪除,這對于應(yīng)用運(yùn)維和管理無疑是非常方便的����。
云容器服務(wù)如何選?
正是由于容器技術(shù)有著上述的諸多適合互聯(lián)網(wǎng)/云環(huán)境的優(yōu)點(diǎn)����,容器技術(shù)才成為了互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新的基礎(chǔ)和底座,于是����,眾多云廠商也基于此,推出了眾多的云容器服務(wù)����,云容器服務(wù)市場呈現(xiàn)出一個(gè)百花爭艷的局面�����。
那么����,對于想要進(jìn)行互聯(lián)網(wǎng)業(yè)務(wù)和創(chuàng)新的用戶而言����,如此眾多的云容器服務(wù)應(yīng)該如何選擇呢?筆者認(rèn)為應(yīng)該從以下幾方面重點(diǎn)考慮:
首先�����,應(yīng)該是能夠最大限度提升資源利用率����,提升性能,降低建設(shè)成本�。實(shí)際上,無論采用哪種技術(shù)或者服務(wù)����,這一條都應(yīng)該是對于用戶而言,最重要的首要條件,而對于如今非常流行的互聯(lián)網(wǎng)直播���、短視頻業(yè)務(wù)����,這一條就顯得更為重要了����。
其次�����,要能夠靈活彈性應(yīng)對互聯(lián)網(wǎng)/云環(huán)境帶來的復(fù)雜變化��。對于互聯(lián)網(wǎng)/云環(huán)境來說�,復(fù)雜多變是常態(tài),諸如突發(fā)網(wǎng)絡(luò)流量���、瞬間高并發(fā)�、應(yīng)用頻繁變更��、業(yè)務(wù)流程隨時(shí)改變等狀況時(shí)有發(fā)生�����,屢見不鮮,因此�,云容器服務(wù)需要具有高度的靈活和彈性應(yīng)對這些問題。
第三��,多云和混合云的支持����。如今,秉承“不將所有的雞蛋放在一個(gè)籃子里”的原則���,很多用戶都選擇將業(yè)務(wù)部署在多云或混合云中來保證業(yè)務(wù)的連續(xù)性����,因此���,對于多云和混合云的支持應(yīng)該是選擇容器云服務(wù)的一個(gè)重要指標(biāo)����。
第四�,容器安全。容器的本質(zhì)是在一臺物理主機(jī)上虛擬出很多相互隔離的操作系統(tǒng)��,因此,一旦某個(gè)容器被攻擊成功����,就會(huì)導(dǎo)致同一個(gè)宿主機(jī)上的其它容器被攻陷(也即“容器逃逸”)。而且����,容器本身也是軟件���,就可能存在安全漏洞�,這往往會(huì)給攻擊者帶來可乘之機(jī)�。此外,容器是運(yùn)行在某個(gè)具體的系統(tǒng)環(huán)境中��,也需要進(jìn)行安全加固��、檢測和防護(hù)����。因此,安全性對于容器就變得非常重要��。
最后��,簡化運(yùn)維和管理。大多數(shù)用戶選擇云服務(wù)�����,其中一個(gè)重要的原因�,就是可以減輕IT部門的運(yùn)維和管理壓力,降低運(yùn)維和管理的成本��,選擇云容器服務(wù)����,顯然也希望能夠再進(jìn)一步的簡化運(yùn)維和管理。
云容器服務(wù)哪家強(qiáng)����?
那么,在上述五個(gè)方面都具有綜合能力的云廠商���,自然在云容器服務(wù)中具有更強(qiáng)的優(yōu)勢����,不過��,如果沒有對于容器技術(shù)的深刻理解以及長期的積累沉淀����,想要達(dá)到全部上述目標(biāo)�����,也并非易事�。
作為云原生技術(shù)的一貫支持者�����,華為自2015年即開始前瞻性戰(zhàn)略投資云原生技術(shù)�����,在CNCF云原生基金會(huì)初創(chuàng)時(shí)��,唯一一家中國會(huì)員就是華為���。在目前主流的容器服務(wù)Kubernetes項(xiàng)目貢獻(xiàn)中,華為整體貢獻(xiàn)在國內(nèi)廠商中持續(xù)位居第一�,并在2018年成為亞洲首家獲得CNCF TOC成員席位的公司。華為云還是全球首批通過了Kubernetes認(rèn)證的服務(wù)商之一���。華為還先后大顆粒貢獻(xiàn)了集群聯(lián)邦��、高級調(diào)度策略����、IPVS負(fù)載均衡,容器存儲快照等項(xiàng)目���。華為云還宣布開源基于Kubernetes架構(gòu)平臺的邊緣計(jì)算管理框架KubeEdge以及容器批量計(jì)算項(xiàng)目Volcano ����。截止目前���,華為云在CNCF基金會(huì)�����,全球貢獻(xiàn)3000+ PR�,穩(wěn)居國內(nèi)第一�。
能夠在容器技術(shù)領(lǐng)域,有如此深厚的積累沉淀和眾多行業(yè)的應(yīng)用實(shí)踐�,華為云容器服務(wù)能夠體現(xiàn)出強(qiáng)者的一面,自然不足為奇了��。
盤點(diǎn)華為云容器服務(wù)
具體來講���,華為云容器服務(wù)的優(yōu)勢和強(qiáng)點(diǎn)主要體現(xiàn)在以下幾方面:
裸金屬容器服務(wù)
2017年����,華為云國內(nèi)首發(fā)裸金屬容器服務(wù),經(jīng)過三年的發(fā)展�����,華為云裸金屬容器已經(jīng)愈發(fā)成熟:
與虛機(jī)模式相比���,將容器直接運(yùn)行在裸金屬服務(wù)器上�����,省去了虛擬化層開銷����,極大的提升了資源利用率����、容器部署密度�、單服務(wù)器的業(yè)務(wù)承載能力。咪咕互娛游戲服務(wù)在使用裸金屬容器后�����,IDC的資源利用率提升了2-6倍,業(yè)務(wù)響應(yīng)效率平均提升200%以上�����。
華為云裸金屬容器首次實(shí)現(xiàn)了彈性裸金屬服務(wù)器����、彈性云服務(wù)器、Serverless容器(CCI)之間的互彈���,使用彈性裸金屬服務(wù)器運(yùn)行常態(tài)業(yè)務(wù)��,彈性云服務(wù)器擴(kuò)容可預(yù)期的業(yè)務(wù)洪峰�����,對電商�����、在線教育�、在線會(huì)議等場景十分靈活�,而針對社交資訊行業(yè)����,出現(xiàn)突出事件時(shí)的不可預(yù)期流量沖擊�,則可以依托華為云容器實(shí)例(CCI)Serverless架構(gòu)的優(yōu)勢,�,將業(yè)務(wù)容器秒級擴(kuò)容至CCI,最快可實(shí)現(xiàn)秒級擴(kuò)容1000容器����。既保障流量洪峰的快速接管,確保了業(yè)務(wù)可靠�、穩(wěn)定運(yùn)行,又節(jié)約了常態(tài)業(yè)務(wù)的資源開銷����,降低了綜合成本。
VPC云原生容器網(wǎng)絡(luò)結(jié)合彈性裸金屬服務(wù)器的ENI網(wǎng)絡(luò)�����,提升性能20%�����,大大降低了網(wǎng)絡(luò)時(shí)延和網(wǎng)絡(luò)抖動(dòng)����,保障了在線直播、在線教育����、在線會(huì)議等視頻類內(nèi)容的高流暢性。
混合云和多云支持
華為云還率先在全球發(fā)布了混合云容器解決方案�����,比谷歌發(fā)布Anthos早了一個(gè)多月�。華為云混合云容器解決方案,支持云原生�、微服務(wù)、傳統(tǒng)應(yīng)用負(fù)載的統(tǒng)一治理����,允許用戶的業(yè)務(wù)同時(shí)部署在多個(gè)云的容器服務(wù)上,通過統(tǒng)一流量分發(fā)的機(jī)制��、自動(dòng)業(yè)務(wù)流量切換功能以及Kubernetes的快速彈性能力���,迅速在其他云上擴(kuò)容資源和應(yīng)用�����,秒級自動(dòng)恢復(fù)故障業(yè)務(wù)���。
部署在不同云或不同區(qū)域數(shù)據(jù)中心的業(yè)務(wù)��,通過統(tǒng)一流量分發(fā)的機(jī)制����,實(shí)現(xiàn)訪問流量的地域親和���,降低業(yè)務(wù)訪問時(shí)延���;同時(shí),用戶可以將線下IDC中的業(yè)務(wù)在云上擴(kuò)展���,當(dāng)業(yè)務(wù)流量激增時(shí)�����,快速在云上彈性擴(kuò)容���,將大部分的流量引導(dǎo)到云上實(shí)例;在流量回落后����,自動(dòng)縮容云上實(shí)例,流量全部回歸線下IDC��,用戶不再需要根據(jù)流量峰值始終保持和維護(hù)大量資源�,從而節(jié)約成本。
除此之外�����,混合云容器還實(shí)現(xiàn)了應(yīng)用跨多云的統(tǒng)一調(diào)度��、統(tǒng)一部署�����、統(tǒng)一監(jiān)控�����,大大簡化了運(yùn)維和管理的難度�,降低了運(yùn)維和管理的成本。
容器批量計(jì)算
面向互聯(lián)網(wǎng)行業(yè)的大數(shù)據(jù)用戶畫像���、智能推薦�����、視頻轉(zhuǎn)碼����、視頻渲染等場景,華為云還推出容器批量計(jì)算解決方案����,方案基于華為云瑤光分布式云操作系統(tǒng)實(shí)現(xiàn)全域智能調(diào)度,通過應(yīng)用行為感知來預(yù)測某種應(yīng)用對算力資源的要求�,在下層各種異構(gòu)計(jì)算資源和上層應(yīng)用之間實(shí)現(xiàn)最佳供給和匹配,使資源利用率比基于經(jīng)驗(yàn)和邏輯判斷做的匹配得到明顯提升���。同時(shí)得益于容器批量計(jì)算平臺Volcano針對大數(shù)據(jù)����、AI���、基因測序����、高性能計(jì)算等場景的,在任務(wù)調(diào)度�、作業(yè)管理、資源管理方面進(jìn)行了優(yōu)化���,有效提升整集群資源利用率、任務(wù)調(diào)度及執(zhí)行效率,使得計(jì)算性能提升30%以上�����。
容器批量計(jì)算解決方案通過Serverless的方式提供服務(wù)��,用戶無需關(guān)心底層資源的日常維護(hù)���,同時(shí)還面向AI��、基因測序��、視頻轉(zhuǎn)碼�����、圖像渲染等場景�����,進(jìn)行了業(yè)務(wù)封裝�,客戶只需提供數(shù)據(jù),即可直接進(jìn)行計(jì)算����,實(shí)現(xiàn)秒級資源獲取、開箱即用�����,同時(shí)降低了基礎(chǔ)設(shè)施���、業(yè)務(wù)平臺的運(yùn)維成本�����。�����。
容器安全服務(wù)
在容器的構(gòu)建開發(fā)階段�,容器安全服務(wù)CGS可掃描鏡像編碼的安全問題��,進(jìn)行持續(xù)集成和持續(xù)發(fā)布�����。在容器分發(fā)階段,CGS可進(jìn)行打包后的掃描��,一旦發(fā)現(xiàn)安全問題���,即可通知開發(fā)人員進(jìn)行修復(fù)和調(diào)整�����。
CGS可對容器中的異常行為進(jìn)行檢測,與其他行為進(jìn)行關(guān)聯(lián)分析���,準(zhǔn)確發(fā)現(xiàn)逃逸行為����。同時(shí)��,CGS可對容器權(quán)限配置�、高危的系統(tǒng)調(diào)用、Shocker攻擊��、進(jìn)程提權(quán)���、DirtyCow和文件暴力破解等進(jìn)行檢測���,及早規(guī)避容器逃逸等風(fēng)險(xiǎn)��。
在運(yùn)行倉庫鏡像時(shí)����,用戶可設(shè)置安全策略對某些安全漏洞和風(fēng)險(xiǎn)進(jìn)行攔截和告警���,如阻斷存在致命漏洞的程序進(jìn)入生產(chǎn)環(huán)境����。運(yùn)行時(shí)���,用戶可設(shè)置白名單�,有效阻止異常進(jìn)程��、提權(quán)攻擊����、違規(guī)操作等風(fēng)險(xiǎn);也可設(shè)置文件只讀保護(hù)��,鎖定和保護(hù)關(guān)鍵文件,避免被篡改���。
容器服務(wù)�,互聯(lián)網(wǎng)創(chuàng)新首選
目前�����,新浪新聞����、芒果TV、斗魚����、秒拍���、快手����、美圖���、虎牙�、咪咕互娛等互聯(lián)網(wǎng)企業(yè)都采用了華為云的容器服務(wù)來加速自身業(yè)務(wù)創(chuàng)新,以應(yīng)對5G時(shí)代直播�、視頻、游戲�����、VR/AR等創(chuàng)新業(yè)務(wù)帶來的新挑戰(zhàn)���。
而華為云也將一如既往的在云原生�����、容器��、微服務(wù)��、無服務(wù)器等開源創(chuàng)新技術(shù)領(lǐng)域持續(xù)發(fā)力���,成為各行各業(yè)創(chuàng)新應(yīng)用的“黑土地“,為各行各業(yè)的用戶提供堅(jiān)實(shí)的云平臺底座��,賦能全行業(yè)用戶�����。
