在整整二十年前��,Unix的第7個版本在開發(fā)過程中引入Chroot Jail以及Chroot系統(tǒng)調(diào)用�。Chroot jail被用于“Change Root”,它被認為是最早的容器化技術(shù)之一��。容器技術(shù)的出現(xiàn)�,起初的好處主要是解決了在單機環(huán)境下,同樣的代碼�����,無法在運行環(huán)境發(fā)生變化之后正常運行的問題��。然后��,二十年過去了�����,容器技術(shù)卻已經(jīng)儼然成為云原生的基礎(chǔ)和標準�,推動著互聯(lián)網(wǎng)業(yè)務(wù)和創(chuàng)新的飛速發(fā)展�,演出了又一出“無心插柳柳成蔭”的技術(shù)傳奇�。
如今�����,從App新聞推送到云圖片處理��,從網(wǎng)絡(luò)直播到短視頻編輯�����,從云上車聯(lián)網(wǎng)到云醫(yī)療方案��,處處都有著容器的身影�����,甚至可以說�����,如果沒有容器技術(shù)��,如今的互聯(lián)網(wǎng)創(chuàng)新就無從談起���。
為什么是容器��?
而容器技術(shù)之所以能夠助推互聯(lián)網(wǎng)業(yè)務(wù)及其創(chuàng)新����,主要源于如下幾個原因:
首先, 容器可以顯著減少啟動和管理的虛擬機數(shù)量��。通過消除每個應(yīng)用程序都需要運行一個虛擬機的需求��,容器可以大量減少整體計算開銷����,從而降低總體CAPEX,這不僅僅是在私有數(shù)據(jù)中心內(nèi)部���,由于容器消耗的資源更少�,云服務(wù)成本也同樣降低��。
其次����,容器對于云成本的節(jié)省不僅體現(xiàn)在減少服務(wù)器硬件和云服務(wù)中。因為運行的虛擬機和操作系統(tǒng)減少����,這就意味著還可以顯著降低許可證數(shù)量�����,從而在IT的許可方面節(jié)省更多的成本。
第三�,云有一個顯而易見的缺點是:一旦遷入某云服務(wù)提供商,就很難再遷出���。然而��,利用容器��,在云上的遷入和遷出非常簡單����。這有助于消除對于云廠商鎖定的擔憂��。
第四��,低風險的快速部署��。容器可以通過允許IT維護對服務(wù)器端配置的控制來減輕瓶頸和應(yīng)用程序開發(fā)團隊與基礎(chǔ)架構(gòu)管理員之間的隔閡���,開發(fā)團隊只需將所需的任何添加/更改打包到一個純凈的小包即可��。這些容器包可以快速上線到生產(chǎn)��,測試中���,如果出現(xiàn)問題�����,直接刪除即可���,而不會對系統(tǒng)造成嚴重影響或者持久化變更。
最后�����,是更簡單的運維和管理�。由于一個容器包含了完整的運行時環(huán)境,應(yīng)用所需的全部依賴����、類庫、其他二進制文件�、配置文件等�����,都統(tǒng)一被打入了一個稱為容器鏡像的包中�����,一個容器的改變不會對其他應(yīng)用產(chǎn)生影響,因此可以隨時創(chuàng)建和刪除��,這對于應(yīng)用運維和管理無疑是非常方便的����。
云容器服務(wù)如何選?
正是由于容器技術(shù)有著上述的諸多適合互聯(lián)網(wǎng)/云環(huán)境的優(yōu)點���,容器技術(shù)才成為了互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新的基礎(chǔ)和底座���,于是,眾多云廠商也基于此�,推出了眾多的云容器服務(wù),云容器服務(wù)市場呈現(xiàn)出一個百花爭艷的局面����。
那么���,對于想要進行互聯(lián)網(wǎng)業(yè)務(wù)和創(chuàng)新的用戶而言,如此眾多的云容器服務(wù)應(yīng)該如何選擇呢�?筆者認為應(yīng)該從以下幾方面重點考慮:
首先,應(yīng)該是能夠最大限度提升資源利用率����,提升性能,降低建設(shè)成本�。實際上,無論采用哪種技術(shù)或者服務(wù)����,這一條都應(yīng)該是對于用戶而言,最重要的首要條件���,而對于如今非常流行的互聯(lián)網(wǎng)直播��、短視頻業(yè)務(wù)����,這一條就顯得更為重要了���。
其次�����,要能夠靈活彈性應(yīng)對互聯(lián)網(wǎng)/云環(huán)境帶來的復(fù)雜變化��。對于互聯(lián)網(wǎng)/云環(huán)境來說�,復(fù)雜多變是常態(tài),諸如突發(fā)網(wǎng)絡(luò)流量����、瞬間高并發(fā)、應(yīng)用頻繁變更�����、業(yè)務(wù)流程隨時改變等狀況時有發(fā)生����,屢見不鮮���,因此����,云容器服務(wù)需要具有高度的靈活和彈性應(yīng)對這些問題��。
第三,多云和混合云的支持����。如今,秉承“不將所有的雞蛋放在一個籃子里”的原則�,很多用戶都選擇將業(yè)務(wù)部署在多云或混合云中來保證業(yè)務(wù)的連續(xù)性,因此��,對于多云和混合云的支持應(yīng)該是選擇容器云服務(wù)的一個重要指標��。
第四���,容器安全��。容器的本質(zhì)是在一臺物理主機上虛擬出很多相互隔離的操作系統(tǒng)�����,因此���,一旦某個容器被攻擊成功,就會導致同一個宿主機上的其它容器被攻陷(也即“容器逃逸”)����。而且�,容器本身也是軟件����,就可能存在安全漏洞,這往往會給攻擊者帶來可乘之機���。此外����,容器是運行在某個具體的系統(tǒng)環(huán)境中�����,也需要進行安全加固�、檢測和防護��。因此����,安全性對于容器就變得非常重要。
最后�����,簡化運維和管理。大多數(shù)用戶選擇云服務(wù)��,其中一個重要的原因�����,就是可以減輕IT部門的運維和管理壓力���,降低運維和管理的成本�,選擇云容器服務(wù)��,顯然也希望能夠再進一步的簡化運維和管理���。
云容器服務(wù)哪家強�?
那么�����,在上述五個方面都具有綜合能力的云廠商����,自然在云容器服務(wù)中具有更強的優(yōu)勢��,不過���,如果沒有對于容器技術(shù)的深刻理解以及長期的積累沉淀,想要達到全部上述目標����,也并非易事。
作為云原生技術(shù)的一貫支持者���,華為自2015年即開始前瞻性戰(zhàn)略投資云原生技術(shù)�����,在CNCF云原生基金會初創(chuàng)時�,唯一一家中國會員就是華為����。在目前主流的容器服務(wù)Kubernetes項目貢獻中,華為整體貢獻在國內(nèi)廠商中持續(xù)位居第一�����,并在2018年成為亞洲首家獲得CNCF TOC成員席位的公司��。華為云還是全球首批通過了Kubernetes認證的服務(wù)商之一�����。華為還先后大顆粒貢獻了集群聯(lián)邦�、高級調(diào)度策略、IPVS負載均衡����,容器存儲快照等項目。華為云還宣布開源基于Kubernetes架構(gòu)平臺的邊緣計算管理框架KubeEdge以及容器批量計算項目Volcano ���。截止目前���,華為云在CNCF基金會,全球貢獻3000+ PR��,穩(wěn)居國內(nèi)第一��。
能夠在容器技術(shù)領(lǐng)域�,有如此深厚的積累沉淀和眾多行業(yè)的應(yīng)用實踐,華為云容器服務(wù)能夠體現(xiàn)出強者的一面����,自然不足為奇了���。
盤點華為云容器服務(wù)
具體來講,華為云容器服務(wù)的優(yōu)勢和強點主要體現(xiàn)在以下幾方面:
裸金屬容器服務(wù)
2017年����,華為云國內(nèi)首發(fā)裸金屬容器服務(wù),經(jīng)過三年的發(fā)展���,華為云裸金屬容器已經(jīng)愈發(fā)成熟:
與虛機模式相比�,將容器直接運行在裸金屬服務(wù)器上�����,省去了虛擬化層開銷����,極大的提升了資源利用率、容器部署密度�����、單服務(wù)器的業(yè)務(wù)承載能力�����。咪咕互娛游戲服務(wù)在使用裸金屬容器后�,IDC的資源利用率提升了2-6倍,業(yè)務(wù)響應(yīng)效率平均提升200%以上�����。
華為云裸金屬容器首次實現(xiàn)了彈性裸金屬服務(wù)器���、彈性云服務(wù)器��、Serverless容器(CCI)之間的互彈��,使用彈性裸金屬服務(wù)器運行常態(tài)業(yè)務(wù)����,彈性云服務(wù)器擴容可預(yù)期的業(yè)務(wù)洪峰���,對電商�����、在線教育���、在線會議等場景十分靈活���,而針對社交資訊行業(yè),出現(xiàn)突出事件時的不可預(yù)期流量沖擊�,則可以依托華為云容器實例(CCI)Serverless架構(gòu)的優(yōu)勢,��,將業(yè)務(wù)容器秒級擴容至CCI�,最快可實現(xiàn)秒級擴容1000容器。既保障流量洪峰的快速接管�����,確保了業(yè)務(wù)可靠��、穩(wěn)定運行�����,又節(jié)約了常態(tài)業(yè)務(wù)的資源開銷�����,降低了綜合成本��。
VPC云原生容器網(wǎng)絡(luò)結(jié)合彈性裸金屬服務(wù)器的ENI網(wǎng)絡(luò),提升性能20%�,大大降低了網(wǎng)絡(luò)時延和網(wǎng)絡(luò)抖動,保障了在線直播�����、在線教育����、在線會議等視頻類內(nèi)容的高流暢性�。
混合云和多云支持
華為云還率先在全球發(fā)布了混合云容器解決方案,比谷歌發(fā)布Anthos早了一個多月�����。華為云混合云容器解決方案����,支持云原生、微服務(wù)�����、傳統(tǒng)應(yīng)用負載的統(tǒng)一治理��,允許用戶的業(yè)務(wù)同時部署在多個云的容器服務(wù)上�����,通過統(tǒng)一流量分發(fā)的機制、自動業(yè)務(wù)流量切換功能以及Kubernetes的快速彈性能力�����,迅速在其他云上擴容資源和應(yīng)用��,秒級自動恢復(fù)故障業(yè)務(wù)��。
部署在不同云或不同區(qū)域數(shù)據(jù)中心的業(yè)務(wù)�,通過統(tǒng)一流量分發(fā)的機制,實現(xiàn)訪問流量的地域親和�,降低業(yè)務(wù)訪問時延;同時���,用戶可以將線下IDC中的業(yè)務(wù)在云上擴展���,當業(yè)務(wù)流量激增時,快速在云上彈性擴容���,將大部分的流量引導到云上實例���;在流量回落后���,自動縮容云上實例,流量全部回歸線下IDC���,用戶不再需要根據(jù)流量峰值始終保持和維護大量資源��,從而節(jié)約成本。
除此之外�����,混合云容器還實現(xiàn)了應(yīng)用跨多云的統(tǒng)一調(diào)度�����、統(tǒng)一部署�����、統(tǒng)一監(jiān)控�,大大簡化了運維和管理的難度,降低了運維和管理的成本�����。
容器批量計算
面向互聯(lián)網(wǎng)行業(yè)的大數(shù)據(jù)用戶畫像、智能推薦����、視頻轉(zhuǎn)碼、視頻渲染等場景����,華為云還推出容器批量計算解決方案,方案基于華為云瑤光分布式云操作系統(tǒng)實現(xiàn)全域智能調(diào)度�,通過應(yīng)用行為感知來預(yù)測某種應(yīng)用對算力資源的要求,在下層各種異構(gòu)計算資源和上層應(yīng)用之間實現(xiàn)最佳供給和匹配�,使資源利用率比基于經(jīng)驗和邏輯判斷做的匹配得到明顯提升。同時得益于容器批量計算平臺Volcano針對大數(shù)據(jù)�、AI、基因測序��、高性能計算等場景的��,在任務(wù)調(diào)度���、作業(yè)管理�、資源管理方面進行了優(yōu)化�����,有效提升整集群資源利用率、任務(wù)調(diào)度及執(zhí)行效率,使得計算性能提升30%以上��。
容器批量計算解決方案通過Serverless的方式提供服務(wù)���,用戶無需關(guān)心底層資源的日常維護���,同時還面向AI、基因測序�����、視頻轉(zhuǎn)碼��、圖像渲染等場景�����,進行了業(yè)務(wù)封裝����,客戶只需提供數(shù)據(jù)�,即可直接進行計算��,實現(xiàn)秒級資源獲取��、開箱即用���,同時降低了基礎(chǔ)設(shè)施、業(yè)務(wù)平臺的運維成本���。��。
容器安全服務(wù)
在容器的構(gòu)建開發(fā)階段�,容器安全服務(wù)CGS可掃描鏡像編碼的安全問題��,進行持續(xù)集成和持續(xù)發(fā)布����。在容器分發(fā)階段,CGS可進行打包后的掃描���,一旦發(fā)現(xiàn)安全問題��,即可通知開發(fā)人員進行修復(fù)和調(diào)整�����。
CGS可對容器中的異常行為進行檢測����,與其他行為進行關(guān)聯(lián)分析,準確發(fā)現(xiàn)逃逸行為���。同時�����,CGS可對容器權(quán)限配置����、高危的系統(tǒng)調(diào)用����、Shocker攻擊��、進程提權(quán)��、DirtyCow和文件暴力破解等進行檢測���,及早規(guī)避容器逃逸等風險��。
在運行倉庫鏡像時��,用戶可設(shè)置安全策略對某些安全漏洞和風險進行攔截和告警����,如阻斷存在致命漏洞的程序進入生產(chǎn)環(huán)境。運行時�,用戶可設(shè)置白名單,有效阻止異常進程�����、提權(quán)攻擊��、違規(guī)操作等風險�;也可設(shè)置文件只讀保護,鎖定和保護關(guān)鍵文件���,避免被篡改�。
容器服務(wù)��,互聯(lián)網(wǎng)創(chuàng)新首選
目前���,新浪新聞�����、芒果TV�、斗魚、秒拍��、快手��、美圖��、虎牙����、咪咕互娛等互聯(lián)網(wǎng)企業(yè)都采用了華為云的容器服務(wù)來加速自身業(yè)務(wù)創(chuàng)新,以應(yīng)對5G時代直播�����、視頻�����、游戲���、VR/AR等創(chuàng)新業(yè)務(wù)帶來的新挑戰(zhàn)��。
而華為云也將一如既往的在云原生����、容器���、微服務(wù)���、無服務(wù)器等開源創(chuàng)新技術(shù)領(lǐng)域持續(xù)發(fā)力,成為各行各業(yè)創(chuàng)新應(yīng)用的“黑土地“���,為各行各業(yè)的用戶提供堅實的云平臺底座�,賦能全行業(yè)用戶���。
