在整整二十年前,Unix的第7個版本在開發(fā)過程中引入Chroot Jail以及Chroot系統(tǒng)調用。Chroot jail被用于“Change Root”,它被認為是最早的容器化技術之一。容器技術的出現(xiàn),起初的好處主要是解決了在單機環(huán)境下,同樣的代碼,無法在運行環(huán)境發(fā)生變化之后正常運行的問題。然后,二十年過去了,容器技術卻已經儼然成為云原生的基礎和標準,推動著互聯(lián)網業(yè)務和創(chuàng)新的飛速發(fā)展,演出了又一出“無心插柳柳成蔭”的技術傳奇。

如今,從App新聞推送到云圖片處理,從網絡直播到短視頻編輯,從云上車聯(lián)網到云醫(yī)療方案,處處都有著容器的身影,甚至可以說,如果沒有容器技術,如今的互聯(lián)網創(chuàng)新就無從談起。

為什么是容器?

而容器技術之所以能夠助推互聯(lián)網業(yè)務及其創(chuàng)新,主要源于如下幾個原因:

首先, 容器可以顯著減少啟動和管理的虛擬機數(shù)量。通過消除每個應用程序都需要運行一個虛擬機的需求,容器可以大量減少整體計算開銷,從而降低總體CAPEX,這不僅僅是在私有數(shù)據(jù)中心內部,由于容器消耗的資源更少,云服務成本也同樣降低。

其次,容器對于云成本的節(jié)省不僅體現(xiàn)在減少服務器硬件和云服務中。因為運行的虛擬機和操作系統(tǒng)減少,這就意味著還可以顯著降低許可證數(shù)量,從而在IT的許可方面節(jié)省更多的成本。

第三,云有一個顯而易見的缺點是:一旦遷入某云服務提供商,就很難再遷出。然而,利用容器,在云上的遷入和遷出非常簡單。這有助于消除對于云廠商鎖定的擔憂。

第四,低風險的快速部署。容器可以通過允許IT維護對服務器端配置的控制來減輕瓶頸和應用程序開發(fā)團隊與基礎架構管理員之間的隔閡,開發(fā)團隊只需將所需的任何添加/更改打包到一個純凈的小包即可。這些容器包可以快速上線到生產,測試中,如果出現(xiàn)問題,直接刪除即可,而不會對系統(tǒng)造成嚴重影響或者持久化變更。

最后,是更簡單的運維和管理。由于一個容器包含了完整的運行時環(huán)境,應用所需的全部依賴、類庫、其他二進制文件、配置文件等,都統(tǒng)一被打入了一個稱為容器鏡像的包中,一個容器的改變不會對其他應用產生影響,因此可以隨時創(chuàng)建和刪除,這對于應用運維和管理無疑是非常方便的。

云容器服務如何選?

正是由于容器技術有著上述的諸多適合互聯(lián)網/云環(huán)境的優(yōu)點,容器技術才成為了互聯(lián)網業(yè)務創(chuàng)新的基礎和底座,于是,眾多云廠商也基于此,推出了眾多的云容器服務,云容器服務市場呈現(xiàn)出一個百花爭艷的局面。

那么,對于想要進行互聯(lián)網業(yè)務和創(chuàng)新的用戶而言,如此眾多的云容器服務應該如何選擇呢?筆者認為應該從以下幾方面重點考慮:

首先,應該是能夠最大限度提升資源利用率,提升性能,降低建設成本。實際上,無論采用哪種技術或者服務,這一條都應該是對于用戶而言,最重要的首要條件,而對于如今非常流行的互聯(lián)網直播、短視頻業(yè)務,這一條就顯得更為重要了。

其次,要能夠靈活彈性應對互聯(lián)網/云環(huán)境帶來的復雜變化。對于互聯(lián)網/云環(huán)境來說,復雜多變是常態(tài),諸如突發(fā)網絡流量、瞬間高并發(fā)、應用頻繁變更、業(yè)務流程隨時改變等狀況時有發(fā)生,屢見不鮮,因此,云容器服務需要具有高度的靈活和彈性應對這些問題。

第三,多云和混合云的支持。如今,秉承“不將所有的雞蛋放在一個籃子里”的原則,很多用戶都選擇將業(yè)務部署在多云或混合云中來保證業(yè)務的連續(xù)性,因此,對于多云和混合云的支持應該是選擇容器云服務的一個重要指標。

第四,容器安全。容器的本質是在一臺物理主機上虛擬出很多相互隔離的操作系統(tǒng),因此,一旦某個容器被攻擊成功,就會導致同一個宿主機上的其它容器被攻陷(也即“容器逃逸”)。而且,容器本身也是軟件,就可能存在安全漏洞,這往往會給攻擊者帶來可乘之機。此外,容器是運行在某個具體的系統(tǒng)環(huán)境中,也需要進行安全加固、檢測和防護。因此,安全性對于容器就變得非常重要。

最后,簡化運維和管理。大多數(shù)用戶選擇云服務,其中一個重要的原因,就是可以減輕IT部門的運維和管理壓力,降低運維和管理的成本,選擇云容器服務,顯然也希望能夠再進一步的簡化運維和管理。

云容器服務哪家強?

那么,在上述五個方面都具有綜合能力的云廠商,自然在云容器服務中具有更強的優(yōu)勢,不過,如果沒有對于容器技術的深刻理解以及長期的積累沉淀,想要達到全部上述目標,也并非易事。

作為云原生技術的一貫支持者,華為自2015年即開始前瞻性戰(zhàn)略投資云原生技術,在CNCF云原生基金會初創(chuàng)時,唯一一家中國會員就是華為。在目前主流的容器服務Kubernetes項目貢獻中,華為整體貢獻在國內廠商中持續(xù)位居第一,并在2018年成為亞洲首家獲得CNCF TOC成員席位的公司。華為云還是全球首批通過了Kubernetes認證的服務商之一。華為還先后大顆粒貢獻了集群聯(lián)邦、高級調度策略、IPVS負載均衡,容器存儲快照等項目。華為云還宣布開源基于Kubernetes架構平臺的邊緣計算管理框架KubeEdge以及容器批量計算項目Volcano 。截止目前,華為云在CNCF基金會,全球貢獻3000+ PR,穩(wěn)居國內第一。

能夠在容器技術領域,有如此深厚的積累沉淀和眾多行業(yè)的應用實踐,華為云容器服務能夠體現(xiàn)出強者的一面,自然不足為奇了。

盤點華為云容器服務

具體來講,華為云容器服務的優(yōu)勢和強點主要體現(xiàn)在以下幾方面:

裸金屬容器服務

2017年,華為云國內首發(fā)裸金屬容器服務,經過三年的發(fā)展,華為云裸金屬容器已經愈發(fā)成熟:

與虛機模式相比,將容器直接運行在裸金屬服務器上,省去了虛擬化層開銷,極大的提升了資源利用率、容器部署密度、單服務器的業(yè)務承載能力。咪咕互娛游戲服務在使用裸金屬容器后,IDC的資源利用率提升了2-6倍,業(yè)務響應效率平均提升200%以上。

華為云裸金屬容器首次實現(xiàn)了彈性裸金屬服務器、彈性云服務器、Serverless容器(CCI)之間的互彈,使用彈性裸金屬服務器運行常態(tài)業(yè)務,彈性云服務器擴容可預期的業(yè)務洪峰,對電商、在線教育、在線會議等場景十分靈活,而針對社交資訊行業(yè),出現(xiàn)突出事件時的不可預期流量沖擊,則可以依托華為云容器實例(CCI)Serverless架構的優(yōu)勢,,將業(yè)務容器秒級擴容至CCI,最快可實現(xiàn)秒級擴容1000容器。既保障流量洪峰的快速接管,確保了業(yè)務可靠、穩(wěn)定運行,又節(jié)約了常態(tài)業(yè)務的資源開銷,降低了綜合成本。

VPC云原生容器網絡結合彈性裸金屬服務器的ENI網絡,提升性能20%,大大降低了網絡時延和網絡抖動,保障了在線直播、在線教育、在線會議等視頻類內容的高流暢性。

混合云和多云支持

華為云還率先在全球發(fā)布了混合云容器解決方案,比谷歌發(fā)布Anthos早了一個多月。華為云混合云容器解決方案,支持云原生、微服務、傳統(tǒng)應用負載的統(tǒng)一治理,允許用戶的業(yè)務同時部署在多個云的容器服務上,通過統(tǒng)一流量分發(fā)的機制、自動業(yè)務流量切換功能以及Kubernetes的快速彈性能力,迅速在其他云上擴容資源和應用,秒級自動恢復故障業(yè)務。

部署在不同云或不同區(qū)域數(shù)據(jù)中心的業(yè)務,通過統(tǒng)一流量分發(fā)的機制,實現(xiàn)訪問流量的地域親和,降低業(yè)務訪問時延;同時,用戶可以將線下IDC中的業(yè)務在云上擴展,當業(yè)務流量激增時,快速在云上彈性擴容,將大部分的流量引導到云上實例;在流量回落后,自動縮容云上實例,流量全部回歸線下IDC,用戶不再需要根據(jù)流量峰值始終保持和維護大量資源,從而節(jié)約成本。

除此之外,混合云容器還實現(xiàn)了應用跨多云的統(tǒng)一調度、統(tǒng)一部署、統(tǒng)一監(jiān)控,大大簡化了運維和管理的難度,降低了運維和管理的成本。

容器批量計算

面向互聯(lián)網行業(yè)的大數(shù)據(jù)用戶畫像、智能推薦、視頻轉碼、視頻渲染等場景,華為云還推出容器批量計算解決方案,方案基于華為云瑤光分布式云操作系統(tǒng)實現(xiàn)全域智能調度,通過應用行為感知來預測某種應用對算力資源的要求,在下層各種異構計算資源和上層應用之間實現(xiàn)最佳供給和匹配,使資源利用率比基于經驗和邏輯判斷做的匹配得到明顯提升。同時得益于容器批量計算平臺Volcano針對大數(shù)據(jù)、AI、基因測序、高性能計算等場景的,在任務調度、作業(yè)管理、資源管理方面進行了優(yōu)化,有效提升整集群資源利用率、任務調度及執(zhí)行效率,使得計算性能提升30%以上。

容器批量計算解決方案通過Serverless的方式提供服務,用戶無需關心底層資源的日常維護,同時還面向AI、基因測序、視頻轉碼、圖像渲染等場景,進行了業(yè)務封裝,客戶只需提供數(shù)據(jù),即可直接進行計算,實現(xiàn)秒級資源獲取、開箱即用,同時降低了基礎設施、業(yè)務平臺的運維成本。。

容器安全服務

在容器的構建開發(fā)階段,容器安全服務CGS可掃描鏡像編碼的安全問題,進行持續(xù)集成和持續(xù)發(fā)布。在容器分發(fā)階段,CGS可進行打包后的掃描,一旦發(fā)現(xiàn)安全問題,即可通知開發(fā)人員進行修復和調整。

CGS可對容器中的異常行為進行檢測,與其他行為進行關聯(lián)分析,準確發(fā)現(xiàn)逃逸行為。同時,CGS可對容器權限配置、高危的系統(tǒng)調用、Shocker攻擊、進程提權、DirtyCow和文件暴力破解等進行檢測,及早規(guī)避容器逃逸等風險。

在運行倉庫鏡像時,用戶可設置安全策略對某些安全漏洞和風險進行攔截和告警,如阻斷存在致命漏洞的程序進入生產環(huán)境。運行時,用戶可設置白名單,有效阻止異常進程、提權攻擊、違規(guī)操作等風險;也可設置文件只讀保護,鎖定和保護關鍵文件,避免被篡改。

容器服務,互聯(lián)網創(chuàng)新首選

目前,新浪新聞、芒果TV、斗魚、秒拍、快手、美圖、虎牙、咪咕互娛等互聯(lián)網企業(yè)都采用了華為云的容器服務來加速自身業(yè)務創(chuàng)新,以應對5G時代直播、視頻、游戲、VR/AR等創(chuàng)新業(yè)務帶來的新挑戰(zhàn)。

而華為云也將一如既往的在云原生、容器、微服務、無服務器等開源創(chuàng)新技術領域持續(xù)發(fā)力,成為各行各業(yè)創(chuàng)新應用的“黑土地“,為各行各業(yè)的用戶提供堅實的云平臺底座,賦能全行業(yè)用戶。

分享到

zhangnn

相關推薦