在整整二十年前��,Unix的第7個版本在開發(fā)過程中引入Chroot Jail以及Chroot系統(tǒng)調用����。Chroot jail被用于“Change Root”,它被認為是最早的容器化技術之一�����。容器技術的出現(xiàn)�����,起初的好處主要是解決了在單機環(huán)境下�����,同樣的代碼��,無法在運行環(huán)境發(fā)生變化之后正常運行的問題��。然后��,二十年過去了��,容器技術卻已經儼然成為云原生的基礎和標準��,推動著互聯(lián)網業(yè)務和創(chuàng)新的飛速發(fā)展�����,演出了又一出“無心插柳柳成蔭”的技術傳奇�����。
如今��,從App新聞推送到云圖片處理���,從網絡直播到短視頻編輯��,從云上車聯(lián)網到云醫(yī)療方案�����,處處都有著容器的身影�����,甚至可以說���,如果沒有容器技術�,如今的互聯(lián)網創(chuàng)新就無從談起����。
為什么是容器?
而容器技術之所以能夠助推互聯(lián)網業(yè)務及其創(chuàng)新�����,主要源于如下幾個原因:
首先�, 容器可以顯著減少啟動和管理的虛擬機數(shù)量��。通過消除每個應用程序都需要運行一個虛擬機的需求���,容器可以大量減少整體計算開銷���,從而降低總體CAPEX,這不僅僅是在私有數(shù)據(jù)中心內部�,由于容器消耗的資源更少,云服務成本也同樣降低�����。
其次,容器對于云成本的節(jié)省不僅體現(xiàn)在減少服務器硬件和云服務中�。因為運行的虛擬機和操作系統(tǒng)減少,這就意味著還可以顯著降低許可證數(shù)量�����,從而在IT的許可方面節(jié)省更多的成本���。
第三���,云有一個顯而易見的缺點是:一旦遷入某云服務提供商,就很難再遷出�����。然而�����,利用容器��,在云上的遷入和遷出非常簡單�����。這有助于消除對于云廠商鎖定的擔憂。
第四�,低風險的快速部署。容器可以通過允許IT維護對服務器端配置的控制來減輕瓶頸和應用程序開發(fā)團隊與基礎架構管理員之間的隔閡�����,開發(fā)團隊只需將所需的任何添加/更改打包到一個純凈的小包即可����。這些容器包可以快速上線到生產,測試中��,如果出現(xiàn)問題���,直接刪除即可,而不會對系統(tǒng)造成嚴重影響或者持久化變更�����。
最后��,是更簡單的運維和管理��。由于一個容器包含了完整的運行時環(huán)境,應用所需的全部依賴��、類庫���、其他二進制文件����、配置文件等����,都統(tǒng)一被打入了一個稱為容器鏡像的包中,一個容器的改變不會對其他應用產生影響�,因此可以隨時創(chuàng)建和刪除,這對于應用運維和管理無疑是非常方便的��。
云容器服務如何選�����?
正是由于容器技術有著上述的諸多適合互聯(lián)網/云環(huán)境的優(yōu)點����,容器技術才成為了互聯(lián)網業(yè)務創(chuàng)新的基礎和底座,于是���,眾多云廠商也基于此���,推出了眾多的云容器服務����,云容器服務市場呈現(xiàn)出一個百花爭艷的局面�。
那么,對于想要進行互聯(lián)網業(yè)務和創(chuàng)新的用戶而言����,如此眾多的云容器服務應該如何選擇呢?筆者認為應該從以下幾方面重點考慮:
首先�,應該是能夠最大限度提升資源利用率,提升性能���,降低建設成本�����。實際上,無論采用哪種技術或者服務��,這一條都應該是對于用戶而言��,最重要的首要條件,而對于如今非常流行的互聯(lián)網直播���、短視頻業(yè)務�,這一條就顯得更為重要了��。
其次��,要能夠靈活彈性應對互聯(lián)網/云環(huán)境帶來的復雜變化���。對于互聯(lián)網/云環(huán)境來說�����,復雜多變是常態(tài)�,諸如突發(fā)網絡流量���、瞬間高并發(fā)���、應用頻繁變更、業(yè)務流程隨時改變等狀況時有發(fā)生��,屢見不鮮,因此��,云容器服務需要具有高度的靈活和彈性應對這些問題�。
第三,多云和混合云的支持�����。如今��,秉承“不將所有的雞蛋放在一個籃子里”的原則���,很多用戶都選擇將業(yè)務部署在多云或混合云中來保證業(yè)務的連續(xù)性�����,因此�����,對于多云和混合云的支持應該是選擇容器云服務的一個重要指標�。
第四�����,容器安全。容器的本質是在一臺物理主機上虛擬出很多相互隔離的操作系統(tǒng)���,因此,一旦某個容器被攻擊成功�,就會導致同一個宿主機上的其它容器被攻陷(也即“容器逃逸”)。而且�,容器本身也是軟件,就可能存在安全漏洞���,這往往會給攻擊者帶來可乘之機�����。此外�����,容器是運行在某個具體的系統(tǒng)環(huán)境中�����,也需要進行安全加固���、檢測和防護���。因此,安全性對于容器就變得非常重要���。
最后���,簡化運維和管理。大多數(shù)用戶選擇云服務��,其中一個重要的原因��,就是可以減輕IT部門的運維和管理壓力���,降低運維和管理的成本����,選擇云容器服務��,顯然也希望能夠再進一步的簡化運維和管理�。
云容器服務哪家強?
那么��,在上述五個方面都具有綜合能力的云廠商�����,自然在云容器服務中具有更強的優(yōu)勢,不過�����,如果沒有對于容器技術的深刻理解以及長期的積累沉淀��,想要達到全部上述目標��,也并非易事��。
作為云原生技術的一貫支持者�,華為自2015年即開始前瞻性戰(zhàn)略投資云原生技術��,在CNCF云原生基金會初創(chuàng)時���,唯一一家中國會員就是華為���。在目前主流的容器服務Kubernetes項目貢獻中,華為整體貢獻在國內廠商中持續(xù)位居第一��,并在2018年成為亞洲首家獲得CNCF TOC成員席位的公司�����。華為云還是全球首批通過了Kubernetes認證的服務商之一。華為還先后大顆粒貢獻了集群聯(lián)邦�、高級調度策略、IPVS負載均衡�,容器存儲快照等項目。華為云還宣布開源基于Kubernetes架構平臺的邊緣計算管理框架KubeEdge以及容器批量計算項目Volcano �����。截止目前�,華為云在CNCF基金會,全球貢獻3000+ PR�,穩(wěn)居國內第一。
能夠在容器技術領域�����,有如此深厚的積累沉淀和眾多行業(yè)的應用實踐���,華為云容器服務能夠體現(xiàn)出強者的一面����,自然不足為奇了����。
盤點華為云容器服務
具體來講��,華為云容器服務的優(yōu)勢和強點主要體現(xiàn)在以下幾方面:
裸金屬容器服務
2017年�����,華為云國內首發(fā)裸金屬容器服務����,經過三年的發(fā)展,華為云裸金屬容器已經愈發(fā)成熟:
與虛機模式相比����,將容器直接運行在裸金屬服務器上,省去了虛擬化層開銷��,極大的提升了資源利用率��、容器部署密度����、單服務器的業(yè)務承載能力。咪咕互娛游戲服務在使用裸金屬容器后�,IDC的資源利用率提升了2-6倍�,業(yè)務響應效率平均提升200%以上����。
華為云裸金屬容器首次實現(xiàn)了彈性裸金屬服務器、彈性云服務器��、Serverless容器(CCI)之間的互彈�����,使用彈性裸金屬服務器運行常態(tài)業(yè)務����,彈性云服務器擴容可預期的業(yè)務洪峰,對電商�����、在線教育�����、在線會議等場景十分靈活�����,而針對社交資訊行業(yè),出現(xiàn)突出事件時的不可預期流量沖擊��,則可以依托華為云容器實例(CCI)Serverless架構的優(yōu)勢�,,將業(yè)務容器秒級擴容至CCI���,最快可實現(xiàn)秒級擴容1000容器�����。既保障流量洪峰的快速接管�,確保了業(yè)務可靠�、穩(wěn)定運行�����,又節(jié)約了常態(tài)業(yè)務的資源開銷����,降低了綜合成本�����。
VPC云原生容器網絡結合彈性裸金屬服務器的ENI網絡,提升性能20%���,大大降低了網絡時延和網絡抖動,保障了在線直播��、在線教育�����、在線會議等視頻類內容的高流暢性。
混合云和多云支持
華為云還率先在全球發(fā)布了混合云容器解決方案���,比谷歌發(fā)布Anthos早了一個多月。華為云混合云容器解決方案��,支持云原生�、微服務、傳統(tǒng)應用負載的統(tǒng)一治理����,允許用戶的業(yè)務同時部署在多個云的容器服務上���,通過統(tǒng)一流量分發(fā)的機制�、自動業(yè)務流量切換功能以及Kubernetes的快速彈性能力,迅速在其他云上擴容資源和應用�,秒級自動恢復故障業(yè)務��。
部署在不同云或不同區(qū)域數(shù)據(jù)中心的業(yè)務,通過統(tǒng)一流量分發(fā)的機制����,實現(xiàn)訪問流量的地域親和����,降低業(yè)務訪問時延;同時���,用戶可以將線下IDC中的業(yè)務在云上擴展�,當業(yè)務流量激增時�,快速在云上彈性擴容�,將大部分的流量引導到云上實例����;在流量回落后���,自動縮容云上實例����,流量全部回歸線下IDC,用戶不再需要根據(jù)流量峰值始終保持和維護大量資源����,從而節(jié)約成本���。
除此之外�,混合云容器還實現(xiàn)了應用跨多云的統(tǒng)一調度����、統(tǒng)一部署、統(tǒng)一監(jiān)控����,大大簡化了運維和管理的難度��,降低了運維和管理的成本�。
容器批量計算
面向互聯(lián)網行業(yè)的大數(shù)據(jù)用戶畫像��、智能推薦��、視頻轉碼、視頻渲染等場景����,華為云還推出容器批量計算解決方案�,方案基于華為云瑤光分布式云操作系統(tǒng)實現(xiàn)全域智能調度��,通過應用行為感知來預測某種應用對算力資源的要求�����,在下層各種異構計算資源和上層應用之間實現(xiàn)最佳供給和匹配,使資源利用率比基于經驗和邏輯判斷做的匹配得到明顯提升�。同時得益于容器批量計算平臺Volcano針對大數(shù)據(jù)、AI�����、基因測序��、高性能計算等場景的��,在任務調度���、作業(yè)管理���、資源管理方面進行了優(yōu)化,有效提升整集群資源利用率�����、任務調度及執(zhí)行效率,使得計算性能提升30%以上���。
容器批量計算解決方案通過Serverless的方式提供服務����,用戶無需關心底層資源的日常維護�����,同時還面向AI、基因測序�、視頻轉碼����、圖像渲染等場景��,進行了業(yè)務封裝�����,客戶只需提供數(shù)據(jù),即可直接進行計算����,實現(xiàn)秒級資源獲取��、開箱即用,同時降低了基礎設施�����、業(yè)務平臺的運維成本�。��。
容器安全服務
在容器的構建開發(fā)階段�����,容器安全服務CGS可掃描鏡像編碼的安全問題,進行持續(xù)集成和持續(xù)發(fā)布���。在容器分發(fā)階段,CGS可進行打包后的掃描�,一旦發(fā)現(xiàn)安全問題,即可通知開發(fā)人員進行修復和調整�。
CGS可對容器中的異常行為進行檢測,與其他行為進行關聯(lián)分析,準確發(fā)現(xiàn)逃逸行為����。同時,CGS可對容器權限配置���、高危的系統(tǒng)調用�����、Shocker攻擊�、進程提權�����、DirtyCow和文件暴力破解等進行檢測�����,及早規(guī)避容器逃逸等風險���。
在運行倉庫鏡像時,用戶可設置安全策略對某些安全漏洞和風險進行攔截和告警�,如阻斷存在致命漏洞的程序進入生產環(huán)境。運行時,用戶可設置白名單�����,有效阻止異常進程����、提權攻擊、違規(guī)操作等風險��;也可設置文件只讀保護���,鎖定和保護關鍵文件����,避免被篡改�����。
容器服務�,互聯(lián)網創(chuàng)新首選
目前,新浪新聞����、芒果TV�、斗魚�、秒拍、快手��、美圖、虎牙���、咪咕互娛等互聯(lián)網企業(yè)都采用了華為云的容器服務來加速自身業(yè)務創(chuàng)新���,以應對5G時代直播、視頻�、游戲、VR/AR等創(chuàng)新業(yè)務帶來的新挑戰(zhàn)�����。
而華為云也將一如既往的在云原生��、容器�、微服務、無服務器等開源創(chuàng)新技術領域持續(xù)發(fā)力��,成為各行各業(yè)創(chuàng)新應用的“黑土地“���,為各行各業(yè)的用戶提供堅實的云平臺底座�����,賦能全行業(yè)用戶���。
