容器上云的守與攻——全面上云-企業敏捷創新之道專場（39頁）.pdf

《容器上云的守與攻——全面上云-企業敏捷創新之道專場（39頁）.pdf》由會員分享，可在線閱讀，更多相關《容器上云的守與攻——全面上云-企業敏捷創新之道專場（39頁）.pdf（39頁珍藏版）》請在三個皮匠報告上搜索。

1、容器上云的攻與守邱戈川(了哥)阿里云智能云原生應用平臺部高級技術專家基于容器的遷移、運維、查錯與監控Contents01目錄容器遷云解決方案一覽02容器上云之“攻”03容器上云之“守”容器遷云解決方案一覽01已有K8s 容器集群在云端或IDC企業應用阿里云鏡像服務遷移工具容器鏡像、配置容器化應用遷移工具、服務阿里云容器集群阿里云彈性基礎設施計算、存儲、網絡、安全遷移彈性資源伸縮全球化部署運維自動化運維安全軟件供應鏈自動化故障恢復企業級安全多云、混合云管理TCO優化管理提升系統高可用容器化整體遷云/搬站整體化監控敏捷高效集成DevOps阿里云優化整合灰度發布阿里云Kubernetes(ACK)e

2、bm 神龍云服務器gpu云服務器slb負載均衡vpc專有網絡ecs云服務器disk塊存儲nas文件存儲oss對象存儲計算與網絡存儲arms業務實時監控服務sls日志服務云監控日志與監控ess彈性計算Ahas高可用服務cpfs文件存儲阿里云ACK架構阿里云 ACK的價值觀云上最佳運行環境一致性Kubernetes，無lock-in最優的彈性管理多云、混合云最佳載體云計算技術演進主航道安全與信任快速響應與修復社區貢獻安全加固最佳實踐阿里云深度結合最佳管理優化海量客戶經驗總結創新與生態云原生、阿里體系融合Serverless創新神龍裸金屬加持容器上云之“攻”02物理裸金屬服務器神龍性能優化網絡Ter

3、way靈活彈性容器上云之“攻”物理裸金屬服務器神龍性能優化網絡Terway靈活彈性容器上云之“攻”容器+彈性裸金屬服務器超強網絡配備RDMA技術Terway容器網絡，充分發揮硬件性能跨宿主機容器帶寬超過30Gbit/s計算性能零抖動自研芯片取代Hypervisor無虛擬化開銷，無資源搶占Offload技術降低系統開銷安全物理級別加密，支持Intel SGX加密可信計算環境，支持區塊鏈等應用云盤與VPC高帶寬強隔離，多可用區、混合部署Alibaba Cloud VPC Underlay Network神龍神龍Alibaba Cloud Block Storage Network30G20G30G

4、的VPC高帶寬，450萬 PPSVPC與云盤帶寬強隔離20G的云盤帶寬與ECS混搭無界線支持多可用區部署物理裸金屬服務器神龍性能優化網絡Terway靈活彈性容器上云之“攻”容器網絡：Terway ENI多IP模式以及限流eth0Alibaba Cloud VPC Underlay Networketh0enieth0enieth0Kubernetes ClusterECSPodECSPodPodPodeth0eth0PodPodIngressEgress出入口限流apiVersion:v1kind:Podmetadata:name:nginxannotations: autoscale dep

5、loyment/xx-cpu-percent=30-min=1-max=5(已支持界面配置)CronHPAExternal Metrics AdapterPOD 實例數SLSARMSAutoScalerESS人為伸縮PODUnscheduled PodRelease PodBuy ECSRelease ECSMetrics Server擴容縮容AHASVirtual KubeletECIScale up PodScale down PodUnattached PodAttached Pod彈性伸縮監測大盤CPU/MemQPS/LatencyVirtual Kubelet AutoscalerK

6、ubernetesElastic Container Instance(ECI)Node-2Node-1Node-NECI Provider虛擬節點(VK)taint:Application-xx虛擬節點(VK)taint:NS-xxECS/神龍裸金屬服務器VK容器化運行，最低成本預留資源根據NS Quota級別擴容根據業務級別擴容秒級處理，極速彈出自動匹配資源需求，真正按需伸縮瞬時釋放集群無需預留容器遷移水位Namespace:訂單集群沒資源，針對應用擴容NS沒Quota聯合集群自動伸縮器提供多層次組合伸縮策略簡化容量規劃自定義指標伸縮KubernetesDeploymentPODPODPO

7、DServiceIngressSLSARMSHPAReport access logApplication MetricsScale podReport performance logTimeout counterQPSAvg LatencyP99/P999/P9999External Metrics Adapter入口流量一體化聯動擴容/縮容DeploymentBusiness AHPAIngressSLSDeploymentBusiness BHPADeploymentBusiness CHPAaccess logMax replic:10Min replica:3Max replic:6

8、Min replica:2Max replic:20Min replica:5ARMSDeploymentBusiness DHPAMax replic:8Min replica:4接入層服務層容器上云之“守”03智能化運維安全與信任一體化監控體系全鏈路分析與定位容器上云之“守”智能化運維安全與信任一體化監控體系全鏈路分析與定位容器上云之“守”不可或缺的灰度IngressService oldversionDeployment A(run:oldversion)Deployment B(run:newversion)Service newversion10%90%Deployment B(ru

9、n:newversion)Deployment B(run:newversion)Deployment A(run:oldversion)Deployment A(run:oldversion)Deployment A(run:oldversion)流量/PV對比平均延遲對比P999/P999最大延遲對比成功率/錯誤率對比新服務舊服務可依據的灰度深度主機監測與預警開源支持Kernel死鎖，Hung，OOMKillingDocker Deaon Hung住Docker文件系統異常虛擬網卡回收異常阿里云RAM Role沒有配置ntpd/chronyd沒有啟動網絡SNAT沒有配置FD數量超過水位(默

10、認80%)阿里云擴展深度監測優化推薦智能糾錯運維管理智能化根據集群現狀推薦集群優化設置，調諧容器集群根據集群現存問題給出修復意見，幫助降低集群故障率，減少集群故障時間深度檢查集群資源、組件、配置等各個細節，快速定位集群使用問題智能化運維安全與信任一體化監控體系全鏈路分析與定位容器上云之“守”全方位支撐，安全無小事阿里云安全團隊加持社區緊密合作最嚴密的K8S配置定期安全經驗賦能安全管控(TLS雙向加密，證書輪轉/重置)基礎安全運行時安全K8S日志審計“軟性”安全容器運行時安全監測穩固的穩固的IaaS層層CVE第一時間修復和加固第一時間修復和加固鏡像漏洞掃描鏡像漏洞掃描磁盤加密磁盤加密平臺審計安全

11、管理Kubectl阿里云控制臺K8S原生控制臺容器容器審計平臺(阿里云日志服務SLS)操作日志API ServerPOP網關Docker push阿里云容器服務ACK阿里云容器鏡像服務logtail審計大盤例:進入容器告警進入容器操作實時產生審計日志分鐘級告警例:人員離職審計智能化運維安全與信任一體化監控體系全鏈路分析與定位容器上云之“守”多維度一體化監控體系應用層日志業務指標監控應用層性能監控容器CaaS層資源監控容器POD指標監控物理主機/VM層監控阿里云-云監控+NPDprometheus+grafana阿里云-ARMS+SLS Ingress監控Ahas架構感知(托管服務公測中)真正的

12、全鏈路檢測、定位與分析用戶Ingress服務代碼存儲代碼級診斷客戶端是否受影響？業務指標/入口指標是否正常？服務是否正常？代碼Bug？日志異常？SQL執行效率？SLA不達標？全鏈路根因定位ARMSPrometheus環境+三方組件ARMS前端監控ARMS應用監控SLSIngress監控SLS日志服務預制Ingress Dashboard無需構建ES等龐大系統，系統默認提供，開箱即用只根據存儲收費，無需維護，成本最優涵蓋業務核心場景，可擴展逐步迭代增強，為業務保駕護航無侵入接入APM系統：ARMSHelm/chart部署arms pilot修改RAM授權（后續將自動化處理）給應用容器打上對應的a

13、nnotation123數據收集4容器應用部署頁面跳轉開源K8s Prometheus Operator 方案ARMS Prometheus云服務用戶K8s集群Prometheus ServerK8s PrometheusOperatorAlert ManagerGrafana用戶K8s集群ARMS PrometheusCollectorARMS PrometheusOperator公有云托管ARMS Alert ManagerHPA AdapterGrafanaHigh Available用戶環境資源開銷較大，需要運維重多組件，成本高。僅需部署采集點，資源消耗為開源1/4，免運維。High AvailableARMS Prometheus Server輕量化Prometheus托管THANKSTHANKSTHANKS