大勢已來:阿里云梭哈云原生

老王
安全是企業(yè)上云的首要關(guān)注。云原生加劇了這個挑戰(zhàn),云原生平臺高密度、高動態(tài)部署使得遭受攻擊可能性增加,而且一旦遭受攻擊,用戶不知道是誰受到攻擊,也沒有辦法實時應(yīng)對。

阿里云正在云原生的路上狂奔,將各個產(chǎn)品、服務(wù)都押寶在元原生的領(lǐng)域上。-- 老王

云原生是什么?

技術(shù)圈總是在不停地蹦各種新名詞。也不知道從什么時候開始,人們慢慢不怎么提“云計算”這個名詞了,而是頻繁提到一個新名詞“云原生”,好像不這么提就不足以體現(xiàn)云計算原住民的身份。不過,要真的問什么是“云原生”,其實很多人都說不太清楚。隨著云原生生態(tài)如火如荼的發(fā)展,甚至連 CNCF 官方都覺得有必要專門做個定義出來:

前一段時間,我在云棲大會上見到了阿里云的李響,就有人問他,“怎么理解‘云原生’?”作為 CNCF 的技術(shù)監(jiān)督委員會成員的李響,以他的角度對此作了闡釋:

“我覺得云原生本身實際上就是比較泛的概念,它最終的目標(biāo)就是利用云上的資源、云上的服務(wù)來重構(gòu)軟件開發(fā)以及運行時的生命周期。簡而言之就是怎么更好利用云。……隨著云的發(fā)展,云原生本身也會有一些變化,大家接受云原生的理念和實現(xiàn)云原生的情況也會有變化。……我覺得不用太把云原生本身在一個框框里圈定,它更多還是一個核心的概念——更好地利用云釋放云的紅利,產(chǎn)生相關(guān)的技術(shù)讓大家去實踐。”

在我看來,雖然現(xiàn)在云原生的概念的內(nèi)涵和外延都在不斷的變化當(dāng)中,但是不可否認的是,云計算生態(tài)已經(jīng)從最初的巨石應(yīng)用、剛性的分布式計算逐漸演變到原生地基于云計算環(huán)境進行設(shè)計、開發(fā)、部署、運維和彈性伸縮??梢哉f,云原生重新定義了云計算。

借助于云原生技術(shù),一個計算系統(tǒng)可以很便捷的從一個環(huán)境中遷移至另外一個環(huán)境當(dāng)中,而這在之前幾年,幾乎還是不可想象的。就這個場景,阿里云舉了一個例子:比如像三維家,他們在上海云棲大會上宣布了全站上云的消息,因為他們已經(jīng)應(yīng)用了云原生的方式,僅花了三天把全部業(yè)務(wù)遷到阿里云上。而在遷移之后,三維家現(xiàn)在可以利用云原生的方式可以充分發(fā)揮云計算的彈性,三分鐘之內(nèi)就可以創(chuàng)建 100 個神龍節(jié)點去應(yīng)對突發(fā)的業(yè)務(wù)需求,極大提升企業(yè) IT 的靈活性,并且降低了 IT 成本。三維家表示,“阿里云的容器生態(tài)系統(tǒng)打造得非常完善,從監(jiān)控、日志、服務(wù)暴露、應(yīng)用拓撲、伸縮擴容方面能夠做的更加靈活;基礎(chǔ)設(shè)施的建設(shè)和維護穩(wěn)定性交給阿里云,目前沒有出現(xiàn)過問題。”

云原生進化

今年我參加云棲大會,有一個明顯的感受就是,阿里云在不斷的大聲談?wù)撛圃?。事實上阿里云早已是云原生計算基金會的成員(現(xiàn)在是白金成員),也在這個領(lǐng)域耕耘良久,但是今年,無論是多到你參加不過來的各種主題演講,還是各種產(chǎn)品和服務(wù)的消息,都在不斷的講,云原生、云原生……

在過去大家更多是把互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)的應(yīng)用,大部分是無狀態(tài)應(yīng)用部署在容器平臺之上,今年越來越多的企業(yè)開始把有狀態(tài)的應(yīng)用、交易類的應(yīng)用以原生化的方式進行交付,進行自動化的運維。

這次云棲大會上阿里云還發(fā)布了 ACK 2.0。ACK 是阿里云容器服務(wù) Kubernetes 版,它提供了高性能可伸縮的容器應(yīng)用管理能力,支持企業(yè)級 Kubernetes 容器化應(yīng)用的全生命周期管理,簡化了集群的搭建和擴容等工作,整合了阿里云虛擬化、存儲、網(wǎng)絡(luò)和安全能力,以打造云端最佳的 Kubernetes 容器化應(yīng)用運行環(huán)境。

關(guān)于阿里云容器服務(wù),阿里云的易立說,從 2015 年底公測、2016 年中正式上線到現(xiàn)在的 4 年時間發(fā)展非???,現(xiàn)在已經(jīng)覆蓋了阿里云全球 20 個地域,支撐了國內(nèi)外數(shù)千家客戶的生態(tài)系統(tǒng)。同時容器產(chǎn)品在持續(xù)保持增長,過去 3 年都能保持 400% 以上的增長速度,現(xiàn)在一個月下載次數(shù)超過 3 億次。今年在 Forrester 全球公共云容器平臺的評測里面,阿里云是國內(nèi)排名第一,在 Gartner 報告也唯一入選公共云容器平臺競爭格局。

阿里云容器服務(wù)優(yōu)化整合了阿里云整體的計算、存儲、網(wǎng)絡(luò)、安全等核心能力。

比如說計算,不但能夠支持強大虛擬機,像神龍這樣的裸金屬服務(wù),還有異構(gòu)計算的 CPU、GPU,未來也會包括云棲大會當(dāng)天發(fā)布的含光芯片,通過容器的高效調(diào)度能夠讓 GPU 的利用率提升了 5 倍,而且容器產(chǎn)品能充分把計算資源彈性發(fā)揮出來,可以實現(xiàn)分鐘級千節(jié)點的彈性伸縮,這對客戶來說是非常重要的。

而在容器網(wǎng)絡(luò)方面,它和阿里云的虛擬化網(wǎng)絡(luò)進行了優(yōu)化集成,可以實現(xiàn)原生網(wǎng)絡(luò)一樣的性能,與社區(qū)的 VXLAN 實現(xiàn)相比提升了 20% 性能。

在存儲方面支持阿里云所有的存儲產(chǎn)品,包括塊存儲、網(wǎng)絡(luò)存儲、對象存儲等。針對容器場景進行了很多創(chuàng)新,比如說容器高密度部署時容器之間會對 I/O 進行爭搶,通過跟操作系統(tǒng)團隊進行深入合作,實現(xiàn)了更好的存儲 I/O 隔離。另外,還實現(xiàn)了透明、高效的存儲緩存,可以低成本支持像高性能計算和AI場景下大數(shù)據(jù)吞吐量的需求。

本次云棲大會上阿里云發(fā)布的 ACK 2.0 面向云原生進化,最重要的是它為整個企業(yè)上云奠定了一個新的基石。首先是容器服務(wù)全球化的部署,利用在阿里巴巴集團的大規(guī)模生產(chǎn)實踐沉淀,建立了這樣的基礎(chǔ)設(shè)施。其次,云邊端一體化可以實現(xiàn)邊緣節(jié)點極大降低訪問的延遲降低 75%。第三,可以讓客戶把他的私有云和云端利用 Kubernetes 進行統(tǒng)一管理,應(yīng)用發(fā)布效率可以提升三倍,另外,還提供了全鏈路的安全架構(gòu),對安全風(fēng)險進行監(jiān)控。

對于云原生的發(fā)展,作為阿里云內(nèi)部基礎(chǔ)設(shè)施負責(zé)人的李響,在幫助阿里經(jīng)濟體以更為云原生的方式上云,在推動阿里經(jīng)濟體采用 Kubernetes、Service Mesh、Serverless 這些技術(shù)。他談到:

“阿里和螞蟻有著最大的 Kubernetes 集群,我們對 Kubernetes 上游拓展性、功能性是最大的貢獻者之一,我們今年嘗試落地Service Mesh,之前大家對 Service Mesh 的疑問是,它能不能應(yīng)對一個復(fù)雜的場景,尤其和傳統(tǒng)的微服務(wù)體系對接的場景。在阿里巴巴內(nèi)部要驗證這件事情,我們要告訴大家可以做到,而且我們要告訴大家怎么做到,后續(xù)會提供解決方案讓大家去做這件事情。

第二,大家會思考 Service Mesh 的規(guī)模性是不是足夠,阿里巴巴其實有巨大規(guī)模性的挑戰(zhàn),我們也會解決 Service Mesh 規(guī)模性的問題。我們認為阿里巴巴能夠使用 Service Mesh,我想世界上 99% 的公司都可以使用 Service Mesh, 而不會遇到它的規(guī)模性問題。

第三,Service Mesh 是不是會影響核心鏈路上的性能問題,會不會影響在核心時刻的性能。我們也會在雙 11 這種洪峰流量,對流量要求極高的情況下去驗證 Service Mesh,使用 Service Mesh,去打磨 Service Mesh,所有打磨的東西會反饋到上流,讓用戶、開發(fā)者享受到這種紅利。

第四,阿里巴巴通過這些事情培養(yǎng)出一批靠譜的工程師,我們有非常強的兜底能力,當(dāng)用戶遇到任何問題,阿里巴巴都能幫你解決問題,阿里巴巴真的是運營這套體系的,有這個生產(chǎn)實踐的經(jīng)驗。

阿里巴巴真正把‘云原生’新的概念,在我們認為正確的方向進行落地、進行打磨,最后交付給客戶。所有這些東西,當(dāng)我們說阿里巴巴云上有這樣的產(chǎn)品,一定是可靠的,一定是穩(wěn)定的。”

容器安全是重點

當(dāng)然我們也看到企業(yè)客戶在使用云原生技術(shù)過程中面對幾個挑戰(zhàn),第一個挑戰(zhàn)就是安全。

安全是企業(yè)上云的首要關(guān)注。云原生加劇了這個挑戰(zhàn),云原生平臺高密度、高動態(tài)部署使得遭受攻擊可能性增加,而且一旦遭受攻擊,用戶不知道是誰受到攻擊,也沒有辦法實時應(yīng)對。

安全是體系性的東西,永遠在最弱的一環(huán)去攻破整個企業(yè)的安全體系。阿里云容器服務(wù)實現(xiàn)了非常全面的端到端的云原生安全的架構(gòu),包括基礎(chǔ)設(shè)施的安全,跟阿里云的云安全基礎(chǔ)設(shè)施緊密基礎(chǔ),利用 RAM 進行認證、鑒權(quán)和審計,支持存儲的 BYOK 加密等,提供了一個安全的云基礎(chǔ)設(shè)施。

同時,在應(yīng)用的生命周期里面用了安全的鏡像檢測,上線之前要進行掃描,上線之后會進行實時的安全檢測。還有運行時的安全,因為安全的風(fēng)險無處不在,一旦出現(xiàn)了安全問題必須第一時間對它進行監(jiān)控、報警。

對于企業(yè)來講,大量采用容器之后面臨的挑戰(zhàn)之一就是安全隔離。比如說一臺機器上要混布多種類型的應(yīng)用,但是有些像金融交易的應(yīng)用,安全級別敏感性會很高,不希望受到其他應(yīng)用的攻擊和干擾。另外企業(yè)除了自己的應(yīng)用還要部署第三方應(yīng)用,這個過程中對一些不可信的應(yīng)用要進行安全的隔離,阿里云引入了安全沙箱一系列的技術(shù)。傳統(tǒng)的容器 RunC 用是共享內(nèi)核的機制,很高效,但是安全隔離做得不好,現(xiàn)在可以利用安全沙箱可以進行安全隔離。

在這方面阿里云有一些差異化的優(yōu)勢:首先就是對它進行大量的性能優(yōu)化,比如說它的網(wǎng)絡(luò)跟原生的進程沒有任何區(qū)別,網(wǎng)絡(luò)性能非常好。整體能夠達到 90% 的原生性能,對用戶來講可以獲得非常好的安全性,同時對性能損耗是可以接受的。另外,能夠讓用戶自主選擇是 RunC 還是安全沙箱,兩種容器運行時用戶體驗是完全一致的,用戶可以根據(jù)自己對業(yè)務(wù)需求來選擇合適的容器應(yīng)用技術(shù)。

在安全容器領(lǐng)域有幾個重要的項目,如 Google 的 gVisor,以及已經(jīng)屬于螞蟻金服旗下的 Kata 容器項目等,不過和易立的溝通當(dāng)中,我了解到阿里云容器服務(wù)的安全容器所采用的技術(shù)并非照搬 Kata 容器技術(shù),而是集成了目前主流的安全容器項目,加以自身的創(chuàng)新而成的。阿里經(jīng)濟體實際上在容器安全方面投入非常大,包括 Kata,還有其他幾種技術(shù)。他們與螞蟻金服、阿里的操作系統(tǒng)團隊合作一起來提供這樣商業(yè)化安全容器的實現(xiàn)。這次發(fā)布的安全沙箱容器底層技術(shù)針對阿里云進行了大量優(yōu)化,跟 Kata 技術(shù)有些類似,但是里面有很多部分不同,性能也做了大量的優(yōu)化。

現(xiàn)在提供的是基于虛擬化隔離的安全技術(shù),后續(xù)會陸續(xù)提供其他的技術(shù)能力,它們的隔離級別和適用場景是不同的,用戶只要去選擇就好了,在保證用戶體驗是一致的基礎(chǔ)上,對用戶是透明的。

結(jié)語

我們看到,阿里云正在云原生的路上狂奔,將各個產(chǎn)品、服務(wù)都押寶在元原生的領(lǐng)域上。最后,讓我們用李響的一段話來結(jié)束這篇文章:“新興的應(yīng)用,或者是新興的領(lǐng)域,我們建議你使用容器輕量級自動化平臺,現(xiàn)在我們阿里云、ACK 都是朝著這種模式跟大家宣導(dǎo)的。我們要去幫助開發(fā)者,引導(dǎo)開發(fā)者從非原生的體系向云原生體系去轉(zhuǎn)移,我覺得這條道路非常重要,這也是阿里云的責(zé)任,帶動整個國內(nèi)的基礎(chǔ)設(shè)施,帶動國內(nèi)云原生體系發(fā)展,我們要去承擔(dān)這件事情。”

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論