阿里云容器服務(wù)介紹

KubernetesOnAlibaba

Cloud阿里云容器服務(wù)介紹阿里云容器服務(wù)介紹Kubernetes集群阿里云CloudProvider阿里云容器服務(wù)發(fā)展20162017專有云企業(yè)版1際化正20業(yè)化5月0月2月專有云敏4版Kubernetes5持5月4月全新升級0月3阿里云容器服務(wù)監(jiān)控管理集群監(jiān)控，應(yīng)用監(jiān)控集群生命周期管理與容器編排公共云

/

專有云Docker

EngineVolume

PluginEBS/NAS/OSSNetworkPluginOverlay/VPC/…應(yīng)用Web/Mobile/MachineLearning/Serverless/

…鏡像管理?DevOpsCI/CD工具安全管理日與志運維監(jiān)控服務(wù)發(fā)現(xiàn)與負載均衡生命周期管理集群與應(yīng)用：創(chuàng)建、刪除，自動擴縮容，故障恢復(fù)，健康監(jiān)控服務(wù)發(fā)現(xiàn)提供四層、七層服務(wù)路由，支持阿里云SLB提供負載均衡編排與調(diào)度支持docker與kubernetes雙核心編排引擎網(wǎng)絡(luò)管理多種網(wǎng)絡(luò)選擇，VPC，vxlan持久化存儲支持多種存儲選擇，阿里云盤，NAS網(wǎng)絡(luò)文件存儲日志管理支持對接阿里云日志系統(tǒng)容器服務(wù)Kubernetes與開源社區(qū)OKubernetesOut-of-tree

CloudProviderE阿里云盤Flexvolume

driverNOSS存儲Registry

后端存儲！日志Fluentd-pilot日志PVPC網(wǎng)絡(luò)Flannelvpc

driver阿里云容器服務(wù)介紹Kubernetes集群阿里云CloudProvider高可用的kubernetes用戶集群高可用阿里云SLB為多副本組件提供統(tǒng)一負載均衡。master的本地組件訪問apiserver直接走本機IP，不經(jīng)過內(nèi)網(wǎng)SLB。安全ETCD節(jié)點之間通過證書認證，客戶端通過證書訪問etcd集群。Kubernetes各個組件通過證書認證。VPC網(wǎng)絡(luò)提供安全隔離，自定義最小安全組策略控制節(jié)點訪問。云資源提供阿里云CloudProvider集成，輕松訪問阿里云資源。擴縮容應(yīng)用和集群動態(tài)擴縮容。鏡像加速默認提供dockerhub官方鏡像加速，解決官方鏡像下載緩慢的問題。一些建議Kubeadm

支持部署單機開發(fā)測試集群Cloud-Config路徑問題新版的Kubeadm為了安全原因，不在整體掛載/etc/kubernetes目錄到組件容器中，同時也漏掉了cloud-config文件，造成升級故障。鏡來源問題修改kubeadm可以使用非gcr.io來源的鏡像。處理證書方面Cluaster

CA。EXTRA

CN

允許通過LoadBalancer訪問。處理kubeproxy問題kubeadm生成的ds默認適合單集群，kubeproxy在訪問apiserver時需要修改成LoadBalancer的地址。kubeproxy在處理externalTraffic的時候，依賴hostname來判斷Pod是否屬于本地節(jié)點。apiserver_countkubernetes

service

的endpoint會在多個master

IP里面隨機跳來跳去。Dashboard權(quán)限阿里云容器服務(wù)介紹Kubernetes集群阿里云CloudProviderKubernetesout-of-treealibaba

cloudproviderCloudProvider定義了一組接口，不同的云廠商通過實現(xiàn)這組接口來將本廠提供的各種服務(wù)集成到kubernetes集群中。能力集成網(wǎng)絡(luò)路由配置、負載均衡動態(tài)配置、可用區(qū)管理、虛擬機管理進化In-tree-cloudprovidercloud-out-of-treecloud

controller11進化In-Tree

vs

Out

tree傳統(tǒng)

In-tree

問題所有的云廠商的provider代碼放在core

kubernetes倉庫可維護性低。Cloud

provider實現(xiàn)發(fā)布周期與kuberentes

core耦合，無法快速迭代解決方案out-of-treecloud

providers使用kubernetes的controller的概念來設(shè)計重構(gòu)cloud

provider,

即cloud-controller-manager。將與云廠商實現(xiàn)相關(guān)代碼移動到一個單獨倉庫，作為單獨的二進制文件發(fā)布路線圖Alpha:1.7=>Beta:1.8=>Stable:

1.10開源/AliyunContainerService/alicloud-controller-managerKubernetes集群網(wǎng)絡(luò)支持高效互聯(lián)和混合云CNI規(guī)范定義了如何處理容器內(nèi)網(wǎng)絡(luò)設(shè)置。創(chuàng)建網(wǎng)卡分配IP，設(shè)置路由，DNS。Meta/Main集群容器間網(wǎng)絡(luò)VPC：路由轉(zhuǎn)發(fā)，去往/24網(wǎng)段的數(shù)據(jù)包的下一跳是ECS1，性能最優(yōu)的方案。VXLAN：

數(shù)據(jù)封包，overlayFlannelalivpc

driver開源，連接容器網(wǎng)絡(luò)混合云支持#571

AddalibabacloudVPCnetwork

support12主辦：案例分析：一個神奇的內(nèi)核網(wǎng)絡(luò)配置問題排查流程kubectl

get

po

檢查pod是否正常啟動kubectl

get

svc

檢查服務(wù)是否創(chuàng)建kubectl

logs

mysql

查看服務(wù)日志是否正常ketstat–anp|grep

3307查看端口iptable

-tnat

–vnL

查看數(shù)據(jù)流規(guī)則…..然而。。。

一切看似正常=> tcpdump13案例分析：一個神奇的內(nèi)核網(wǎng)絡(luò)配置問題你會發(fā)現(xiàn)：目的Pod返回給請求方的數(shù)據(jù)包里直接使用了自己的IP作為源IP。DNAT規(guī)則沒被iptables正確處理？Linux

網(wǎng)橋的一項內(nèi)核參數(shù)控制流經(jīng)網(wǎng)橋的數(shù)據(jù)包是否會被iptables規(guī)則進一步處理。net.bridge.bridge-nf-call-iptables====>案例分析：Docker

的默認網(wǎng)絡(luò)轉(zhuǎn)發(fā)策略iptables–PFORWARD

ACCEPT15阿里云負載均衡SLB集成LoadBalancer能力地址類型：internet/intranet協(xié)議類型：

tcp/udp/http/httpsRegion選擇：

默認與自定義收費類型：

按量付費/按帶寬收費，自定義帶寬健康檢查：

自定義健康檢查16案例分析：阿里云SLB

源IP保留原則:

負載均衡是否能夠保留客戶請求的源IP取決于連接是否被SNAT過。Type:

ClusterIP永遠不會被SNAT，因此始終可以獲得源IPType:

NodePort訪問不在本節(jié)點上的Pod后端時會被