在整整二十年前,Unix的第7個(gè)版本在開(kāi)發(fā)過(guò)程中引入ChrootJail以及Chroot系統(tǒng)調(diào)用。Chrootjail被用于“ChangeRoot”,它被認(rèn)為是最早的容器化技術(shù)之一。容器技術(shù)的出現(xiàn),起初的好處主要是解決了在單機(jī)環(huán)境下,同樣的代碼,無(wú)法在運(yùn)行環(huán)境發(fā)生變化之后正常運(yùn)行的問(wèn)題。然后,二十年過(guò)去了,容器技術(shù)卻已經(jīng)儼然成為云原生的基礎(chǔ)和標(biāo)準(zhǔn),推動(dòng)著互聯(lián)網(wǎng)業(yè)務(wù)和創(chuàng)新的飛速發(fā)展,演出了又一出“無(wú)心插柳柳成蔭”的技術(shù)傳奇。
如今,從App新聞推送到云圖片處理,從網(wǎng)絡(luò)直播到短視頻編輯,從云上車聯(lián)網(wǎng)到云醫(yī)療方案,處處都有著容器的身影,甚至可以說(shuō),如果沒(méi)有容器技術(shù),如今的互聯(lián)網(wǎng)創(chuàng)新就無(wú)從談起。
為什么是容器?
而容器技術(shù)之所以能夠助推互聯(lián)網(wǎng)業(yè)務(wù)及其創(chuàng)新,主要源于如下幾個(gè)原因:
首先,容器可以顯著減少啟動(dòng)和管理的虛擬機(jī)數(shù)量。通過(guò)消除每個(gè)應(yīng)用程序都需要運(yùn)行一個(gè)虛擬機(jī)的需求,容器可以大量減少整體計(jì)算開(kāi)銷,從而降低總體CAPEX,這不僅僅是在私有數(shù)據(jù)中心內(nèi)部,由于容器消耗的資源更少,云服務(wù)成本也同樣降低。
其次,容器對(duì)于云成本的節(jié)省不僅體現(xiàn)在減少服務(wù)器硬件和云服務(wù)中。因?yàn)檫\(yùn)行的虛擬機(jī)和操作系統(tǒng)減少,這就意味著還可以顯著降低許可證數(shù)量,從而在IT的許可方面節(jié)省更多的成本。
第三,云有一個(gè)顯而易見(jiàn)的缺點(diǎn)是:一旦遷入某云服務(wù)提供商,就很難再遷出。然而,利用容器,在云上的遷入和遷出非常簡(jiǎn)單。這有助于消除對(duì)于云廠商鎖定的擔(dān)憂。
第四,低風(fēng)險(xiǎn)的快速部署。容器可以通過(guò)允許IT維護(hù)對(duì)服務(wù)器端配置的控制來(lái)減輕瓶頸和應(yīng)用程序開(kāi)發(fā)團(tuán)隊(duì)與基礎(chǔ)架構(gòu)管理員之間的隔閡,開(kāi)發(fā)團(tuán)隊(duì)只需將所需的任何添加/更改打包到一個(gè)純凈的小包即可。這些容器包可以快速上線到生產(chǎn),測(cè)試中,如果出現(xiàn)問(wèn)題,直接刪除即可,而不會(huì)對(duì)系統(tǒng)造成嚴(yán)重影響或者持久化變更。
最后,是更簡(jiǎn)單的運(yùn)維和管理。由于一個(gè)容器包含了完整的運(yùn)行時(shí)環(huán)境,應(yīng)用所需的全部依賴、類庫(kù)、其他二進(jìn)制文件、配置文件等,都統(tǒng)一被打入了一個(gè)稱為容器鏡像的包中,一個(gè)容器的改變不會(huì)對(duì)其他應(yīng)用產(chǎn)生影響,因此可以隨時(shí)創(chuàng)建和刪除,這對(duì)于應(yīng)用運(yùn)維和管理無(wú)疑是非常方便的。
云容器服務(wù)如何選?
正是由于容器技術(shù)有著上述的諸多適合互聯(lián)網(wǎng)/云環(huán)境的優(yōu)點(diǎn),容器技術(shù)才成為了互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新的基礎(chǔ)和底座,于是,眾多云廠商也基于此,推出了眾多的云容器服務(wù),云容器服務(wù)市場(chǎng)呈現(xiàn)出一個(gè)百花爭(zhēng)艷的局面。
那么,對(duì)于想要進(jìn)行互聯(lián)網(wǎng)業(yè)務(wù)和創(chuàng)新的用戶而言,如此眾多的云容器服務(wù)應(yīng)該如何選擇呢?筆者認(rèn)為應(yīng)該從以下幾方面重點(diǎn)考慮:
首先,應(yīng)該是能夠提升資源利用率,提升性能,降低建設(shè)成本。實(shí)際上,無(wú)論采用哪種技術(shù)或者服務(wù),這一條都應(yīng)該是對(duì)于用戶而言,最重要的首要條件,而對(duì)于如今非常流行的互聯(lián)網(wǎng)直播、短視頻業(yè)務(wù),這一條就顯得更為重要了。
其次,要能夠靈活彈性應(yīng)對(duì)互聯(lián)網(wǎng)/云環(huán)境帶來(lái)的復(fù)雜變化。對(duì)于互聯(lián)網(wǎng)/云環(huán)境來(lái)說(shuō),復(fù)雜多變是常態(tài),諸如突發(fā)網(wǎng)絡(luò)流量、瞬間高并發(fā)、應(yīng)用頻繁變更、業(yè)務(wù)流程隨時(shí)改變等狀況時(shí)有發(fā)生,屢見(jiàn)不鮮,因此,云容器服務(wù)需要具有高度的靈活和彈性應(yīng)對(duì)這些問(wèn)題。
第三,多云和混合云的支持。如今,秉承“不將所有的雞蛋放在一個(gè)籃子里”的原則,很多用戶都選擇將業(yè)務(wù)部署在多云或混合云中來(lái)保證業(yè)務(wù)的連續(xù)性,因此,對(duì)于多云和混合云的支持應(yīng)該是選擇容器云服務(wù)的一個(gè)重要指標(biāo)。
第四,容器安全。容器的本質(zhì)是在一臺(tái)物理主機(jī)上虛擬出很多相互隔離的操作系統(tǒng),因此,一旦某個(gè)容器被攻擊成功,就會(huì)導(dǎo)致同一個(gè)宿主機(jī)上的其它容器被攻陷。而且,容器本身也是軟件,就可能存在安全漏洞,這往往會(huì)給攻擊者帶來(lái)可乘之機(jī)。此外,容器是運(yùn)行在某個(gè)具體的系統(tǒng)環(huán)境中,也需要進(jìn)行安全加固、檢測(cè)和防護(hù)。因此,安全性對(duì)于容器就變得非常重要。
最后,簡(jiǎn)化運(yùn)維和管理。大多數(shù)用戶選擇云服務(wù),其中一個(gè)重要的原因,就是可以減輕IT部門(mén)的運(yùn)維和管理壓力,降低運(yùn)維和管理的成本,選擇云容器服務(wù),顯然也希望能夠再進(jìn)一步的簡(jiǎn)化運(yùn)維和管理。
云容器服務(wù)哪家強(qiáng)?
那么,在上述五個(gè)方面都具有綜合能力的云廠商,自然在云容器服務(wù)中具有更強(qiáng)的優(yōu)勢(shì),不過(guò),如果沒(méi)有對(duì)于容器技術(shù)的深刻理解以及長(zhǎng)期的積累沉淀,想要達(dá)到全部上述目標(biāo),也并非易事。
作為云原生技術(shù)的一貫支持者,華為自2015年即開(kāi)始前瞻性戰(zhàn)略投資云原生技術(shù),在CNCF云原生基金會(huì)初創(chuàng)時(shí),中國(guó)會(huì)員就是華為。在目前主流的容器服務(wù)Kubernetes項(xiàng)目貢獻(xiàn)中,華為整體貢獻(xiàn)在國(guó)內(nèi)廠商中持續(xù)位居高位,并在2018年成為亞洲獲得CNCFTOC成員席位的公司。華為云還是通過(guò)了Kubernetes認(rèn)證的服務(wù)商之一。華為還先后大顆粒貢獻(xiàn)了集群聯(lián)邦、高級(jí)調(diào)度策略、IPVS負(fù)載均衡,容器存儲(chǔ)快照等項(xiàng)目。華為云還宣布開(kāi)源基于Kubernetes架構(gòu)平臺(tái)的邊緣計(jì)算管理框架KubeEdge以及容器批量計(jì)算項(xiàng)目Volcano。截止目前,華為云在CNCF基金會(huì),全球貢獻(xiàn)3000+PR,穩(wěn)居國(guó)內(nèi)領(lǐng)先地位。
能夠在容器技術(shù)領(lǐng)域,有如此深厚的積累沉淀和眾多行業(yè)的應(yīng)用實(shí)踐,華為云容器服務(wù)能夠體現(xiàn)出強(qiáng)者的一面,自然不足為奇了。
盤(pán)點(diǎn)華為云容器服務(wù)
具體來(lái)講,華為云容器服務(wù)的優(yōu)勢(shì)和強(qiáng)點(diǎn)主要體現(xiàn)在以下幾方面:
裸金屬容器服務(wù)
2017年,華為云國(guó)內(nèi)首發(fā)裸金屬容器服務(wù),經(jīng)過(guò)三年的發(fā)展,華為云裸金屬容器已經(jīng)愈發(fā)成熟:
與虛機(jī)模式相比,將容器直接運(yùn)行在裸金屬服務(wù)器上,省去了虛擬化層開(kāi)銷,極大的提升了資源利用率、容器部署密度、單服務(wù)器的業(yè)務(wù)承載能力。咪咕互娛游戲服務(wù)在使用裸金屬容器后,IDC的資源利用率提升了2-6倍,業(yè)務(wù)響應(yīng)效率平均提升200%以上。
華為云裸金屬容器首次實(shí)現(xiàn)了彈性裸金屬服務(wù)器、彈性云服務(wù)器、Serverless容器之間的互彈,使用彈性裸金屬服務(wù)器運(yùn)行常態(tài)業(yè)務(wù),彈性云服務(wù)器擴(kuò)容可預(yù)期的業(yè)務(wù)洪峰,對(duì)電商、在線教育、在線會(huì)議等場(chǎng)景十分靈活,而針對(duì)社交資訊行業(yè),出現(xiàn)突出事件時(shí)的不可預(yù)期流量沖擊,則可以依托華為云容器實(shí)例Serverless架構(gòu)的優(yōu)勢(shì),,將業(yè)務(wù)容器秒級(jí)擴(kuò)容至CCI,最快可實(shí)現(xiàn)秒級(jí)擴(kuò)容1000容器。既保障流量洪峰的快速接管,確保了業(yè)務(wù)可靠、穩(wěn)定運(yùn)行,又節(jié)約了常態(tài)業(yè)務(wù)的資源開(kāi)銷,降低了綜合成本。
VPC云原生容器網(wǎng)絡(luò)結(jié)合彈性裸金屬服務(wù)器的ENI網(wǎng)絡(luò),提升性能20%,大大降低了網(wǎng)絡(luò)時(shí)延和網(wǎng)絡(luò)抖動(dòng),保障了在線直播、在線教育、在線會(huì)議等視頻類內(nèi)容的高流暢性。
混合云和多云支持
華為云還率先在全球發(fā)布了混合云容器解決方案,比谷歌發(fā)布Anthos早了一個(gè)多月。華為云混合云容器解決方案,支持云原生、微服務(wù)、傳統(tǒng)應(yīng)用負(fù)載的統(tǒng)一治理,允許用戶的業(yè)務(wù)同時(shí)部署在多個(gè)云的容器服務(wù)上,通過(guò)統(tǒng)一流量分發(fā)的機(jī)制、自動(dòng)業(yè)務(wù)流量切換功能以及Kubernetes的快速?gòu)椥阅芰?,迅速在其他云上擴(kuò)容資源和應(yīng)用,秒級(jí)自動(dòng)恢復(fù)故障業(yè)務(wù)。
部署在不同云或不同區(qū)域數(shù)據(jù)中心的業(yè)務(wù),通過(guò)統(tǒng)一流量分發(fā)的機(jī)制,實(shí)現(xiàn)訪問(wèn)流量的地域親和,降低業(yè)務(wù)訪問(wèn)時(shí)延;同時(shí),用戶可以將線下IDC中的業(yè)務(wù)在云上擴(kuò)展,當(dāng)業(yè)務(wù)流量激增時(shí),快速在云上彈性擴(kuò)容,將大部分的流量引導(dǎo)到云上實(shí)例;在流量回落后,自動(dòng)縮容云上實(shí)例,流量全部回歸線下IDC,用戶不再需要根據(jù)流量峰值始終保持和維護(hù)大量資源,從而節(jié)約成本。
除此之外,混合云容器還實(shí)現(xiàn)了應(yīng)用跨多云的統(tǒng)一調(diào)度、統(tǒng)一部署、統(tǒng)一監(jiān)控,大大簡(jiǎn)化了運(yùn)維和管理的難度,降低了運(yùn)維和管理的成本。
容器批量計(jì)算
面向互聯(lián)網(wǎng)行業(yè)的大數(shù)據(jù)用戶畫(huà)像、智能推薦、視頻轉(zhuǎn)碼、視頻渲染等場(chǎng)景,華為云還推出容器批量計(jì)算解決方案,方案基于華為云瑤光分布式云操作系統(tǒng)實(shí)現(xiàn)全域智能調(diào)度,通過(guò)應(yīng)用行為感知來(lái)預(yù)測(cè)某種應(yīng)用對(duì)算力資源的要求,在下層各種異構(gòu)計(jì)算資源和上層應(yīng)用之間實(shí)現(xiàn)供給和匹配,使資源利用率比基于經(jīng)驗(yàn)和邏輯判斷做的匹配得到明顯提升。同時(shí)得益于容器批量計(jì)算平臺(tái)Volcano針對(duì)大數(shù)據(jù)、AI、基因測(cè)序、高性能計(jì)算等場(chǎng)景的,在任務(wù)調(diào)度、作業(yè)管理、資源管理方面進(jìn)行了優(yōu)化,有效提升整集群資源利用率、任務(wù)調(diào)度及執(zhí)行效率,使得計(jì)算性能提升30%以上。
容器批量計(jì)算解決方案通過(guò)Serverless的方式提供服務(wù),用戶無(wú)需關(guān)心底層資源的日常維護(hù),同時(shí)還面向AI、基因測(cè)序、視頻轉(zhuǎn)碼、圖像渲染等場(chǎng)景,進(jìn)行了業(yè)務(wù)封裝,客戶只需提供數(shù)據(jù),即可直接進(jìn)行計(jì)算,實(shí)現(xiàn)秒級(jí)資源獲取、開(kāi)箱即用,同時(shí)降低了基礎(chǔ)設(shè)施、業(yè)務(wù)平臺(tái)的運(yùn)維成本。。
容器安全服務(wù)
在容器的構(gòu)建開(kāi)發(fā)階段,容器安全服務(wù)CGS可掃描鏡像編碼的安全問(wèn)題,進(jìn)行持續(xù)集成和持續(xù)發(fā)布。在容器分發(fā)階段,CGS可進(jìn)行打包后的掃描,一旦發(fā)現(xiàn)安全問(wèn)題,即可通知開(kāi)發(fā)人員進(jìn)行修復(fù)和調(diào)整。
CGS可對(duì)容器中的異常行為進(jìn)行檢測(cè),與其他行為進(jìn)行關(guān)聯(lián)分析,準(zhǔn)確發(fā)現(xiàn)逃逸行為。同時(shí),CGS可對(duì)容器權(quán)限配置、高危的系統(tǒng)調(diào)用、Shocker攻擊、進(jìn)程提權(quán)、DirtyCow和文件暴力破解等進(jìn)行檢測(cè),及早規(guī)避容器逃逸等風(fēng)險(xiǎn)。
在運(yùn)行倉(cāng)庫(kù)鏡像時(shí),用戶可設(shè)置安全策略對(duì)某些安全漏洞和風(fēng)險(xiǎn)進(jìn)行攔截和告警,如阻斷存在致命漏洞的程序進(jìn)入生產(chǎn)環(huán)境。運(yùn)行時(shí),用戶可設(shè)置白名單,有效阻止異常進(jìn)程、提權(quán)攻擊、違規(guī)操作等風(fēng)險(xiǎn);也可設(shè)置文件只讀保護(hù),鎖定和保護(hù)關(guān)鍵文件,避免被篡改。
容器服務(wù),互聯(lián)網(wǎng)創(chuàng)新優(yōu)選
目前,新浪新聞、芒果TV、斗魚(yú)、秒拍、快手、美圖、虎牙、咪咕互娛等互聯(lián)網(wǎng)企業(yè)都采用了華為云的容器服務(wù)來(lái)加速自身業(yè)務(wù)創(chuàng)新,以應(yīng)對(duì)5G時(shí)代直播、視頻、游戲、VR/AR等創(chuàng)新業(yè)務(wù)帶來(lái)的新挑戰(zhàn)。
而華為云也將一如既往的在云原生、容器、微服務(wù)、無(wú)服務(wù)器等開(kāi)源創(chuàng)新技術(shù)領(lǐng)域持續(xù)發(fā)力,成為各行各業(yè)創(chuàng)新應(yīng)用的“黑土地“,為各行各業(yè)的用戶提供堅(jiān)實(shí)的云平臺(tái)底座,賦能全行業(yè)用戶。