IT 基礎(chǔ)架構(gòu)團(tuán)隊(duì)的 Kubernetes 管理-從入門到評估

以在公有云上提供，也可以在企業(yè)私有云上作為新一代的基礎(chǔ)架基礎(chǔ)架構(gòu)團(tuán)隊(duì)為何要接管基礎(chǔ)架構(gòu)團(tuán)隊(duì)為何要接管Kubernetes部署運(yùn)維？或平臺團(tuán)隊(duì)負(fù)責(zé)規(guī)劃和建設(shè)，包括預(yù)熱期的學(xué)習(xí)、調(diào)研、技術(shù)儲備、試用環(huán)境搭建及維護(hù)、開發(fā)速度、提高服務(wù)效率的初衷相違背。而由于基礎(chǔ)架構(gòu)團(tuán)隊(duì)擁有從硬件設(shè)施到操作系統(tǒng)的?有關(guān)平臺和應(yīng)用程序的安全性、監(jiān)控基礎(chǔ)架構(gòu)團(tuán)隊(duì)接管基礎(chǔ)架構(gòu)團(tuán)隊(duì)接管Kubernetes部署運(yùn)維的可行性這些軟件/平臺為運(yùn)維人員提供了豐富的管理工具（如安全、監(jiān)控和存儲的集成）、簡單易操作的運(yùn)維系統(tǒng)、圖形化界面，以及?更多高級服務(wù)：一些軟件/平臺還提供一些高級銷變得更加復(fù)雜。為了更好地監(jiān)測應(yīng)用和基礎(chǔ)設(shè)施的運(yùn)行狀態(tài)、對集群進(jìn)行跨平臺管理，運(yùn)維人員需要也會存在一定的安全漏洞，如允許攻擊者偽造命令行輸出來獲得控制和訪問權(quán)限。為了避免遭遇這些在整個應(yīng)用開發(fā)、測試、生產(chǎn)流程中，運(yùn)維人員需要保證在不同的環(huán)境中，應(yīng)用程序的資源配置、部署一致的。這可能需要運(yùn)維人員手動定義資源清單，并根據(jù)環(huán)境調(diào)整環(huán)境變量平臺上運(yùn)行，構(gòu)成混合的業(yè)務(wù)運(yùn)行體系。運(yùn)維人員在進(jìn)行管理時，不僅需要掌握不同平臺的操作方-能提高生產(chǎn)質(zhì)量與效率-能保證生產(chǎn)穩(wěn)定性與連續(xù)性?滿足對容器、虛擬化、云等所有用戶使用環(huán)境的統(tǒng)驗(yàn)?在容器網(wǎng)絡(luò)上通過微分段技術(shù)支持零信任訪?實(shí)現(xiàn)虛擬化網(wǎng)絡(luò)和容器網(wǎng)絡(luò)的可視化分析和統(tǒng)?明確您是否需要混合云和/或多云解決方案。如果需要，您是否愿意購買提供云服務(wù)功能的軟件？如果您不需要混合和/或多?您的公司內(nèi)部有專業(yè)技術(shù)人員嗎？如果沒有，您可以選評估。云容器服務(wù)創(chuàng)建的集群。通常，基于SaaS的管署和運(yùn)維的質(zhì)量和效率，建議用戶選擇具備生產(chǎn)就緒能力、能對多環(huán)境與虛擬化統(tǒng)一支持、部署運(yùn)?平臺可用性：不同的產(chǎn)品在容器化服務(wù)可用性方面可能會有所容器能在宕機(jī)后自動重啟，保證業(yè)務(wù)能夠在給定數(shù)量的容器中連續(xù)運(yùn)行。為了避免中斷，一些服務(wù)提在多個可用性區(qū)域中的配置能力。不過您還需要考慮合適的容器容災(zāi)備份方案，這樣即使整個集群被禁用/無法訪問，可以在其他位置/云集群上恢復(fù)應(yīng)用狀態(tài)和數(shù)據(jù)。此外，一些平臺還提供了節(jié)點(diǎn)級自動替換與恢復(fù)功能，進(jìn)一步提升架構(gòu)可此外，容器管理服務(wù)的兼容性（尤其是用戶需要的第三方工具）與成本也是重要的考量因素。多數(shù)情況下劃和配置運(yùn)行容器的工作節(jié)點(diǎn)，如果處理得不好，可能會導(dǎo)致利用率低下，反而帶來不必要的高額成常按內(nèi)核、CPU、節(jié)點(diǎn)或集群收費(fèi)。一些供應(yīng)商可能會根據(jù)部署的應(yīng)用程序或容器映像的數(shù)量提供相應(yīng)的定?集成圖像掃描和簽名流程來防范漏洞，將其作為企業(yè)持續(xù)集成/持續(xù)交付（CI/CD）進(jìn)程的一?建立強(qiáng)制性訪問控制，確保職責(zé)分開發(fā)人員通常更關(guān)注應(yīng)用容器的功能層面，而不是監(jiān)控容器的運(yùn)維要求。一直以來，監(jiān)控工具始終側(cè)重利用率、內(nèi)存利用率、每秒輸入輸出（I/O）細(xì)節(jié)信息，這些指標(biāo)本身并不能反映應(yīng)用程序的全貌。因此，開發(fā)人員應(yīng)專注于為應(yīng)用程序添加儀表盤?選擇符合以下條件的工具：具備自動化服務(wù)發(fā)現(xiàn)能力隨著容器日益廣泛地應(yīng)用于有狀態(tài)工作負(fù)載，客戶需要考慮主機(jī)以外的數(shù)據(jù)持敏捷性和可移植性是開發(fā)人員最關(guān)心的問題，他們希望自己的應(yīng)用程序在整個軟件開發(fā)生命周期內(nèi)均內(nèi)和主機(jī)間網(wǎng)絡(luò)所依托的物理交換和路由基礎(chǔ)架構(gòu)。此外可能還需要一個服務(wù)網(wǎng)格來為微服務(wù)的部署提供服務(wù)間的通信管理。要想構(gòu)建高度自動化、無縫的應(yīng)用程序交付流水線，企業(yè)和機(jī)構(gòu)需要使用其他自動化工具來完善容?使用容器感知配置管理系統(tǒng)對容器映像的生命周期進(jìn)行管理，容器映像的不少用戶都感到困惑的是，由于大部分應(yīng)用此前都部署在虛擬化或超融合環(huán)境，在進(jìn)行容器化轉(zhuǎn)在虛擬化（含超融合）和裸金屬環(huán)境運(yùn)行K8s有何區(qū)別？兩者更適合支持?jǐn)M機(jī)支持K8s集群，而裸金屬環(huán)境統(tǒng)），資源均可供該節(jié)點(diǎn)使用。基于裸金屬服務(wù)器的K8s集群資活，這些都需要運(yùn)維人員在前期部署時，結(jié)合K8s應(yīng)用場基于架構(gòu)上的差異，我們將對比虛擬化和裸金屬環(huán)境在性能、可靠性、可用性、敏捷性、擴(kuò)展可快速創(chuàng)建或銷毀虛擬機(jī)、調(diào)整K8s集群和節(jié)點(diǎn)數(shù)量等費(fèi)用包含硬件、（OS）、K8s平臺、（容器不同K8s集群使用的虛擬機(jī)可能共享相同的物理資源，可能K8s集群直接訪問獨(dú)立的硬件資源，能更好地保證數(shù)據(jù)隔離私有云虛擬化/超融合：硬件設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)、K8s集群硬件設(shè)備、操作系統(tǒng)、K8s集群造成一定的性能損失，裸金屬服務(wù)器則沒有這種損失。但這并不意味著，虛擬化環(huán)境難以支持性能要求另外，雖然裸金屬服務(wù)器上單個物理服務(wù)器僅承載一個K8s節(jié)點(diǎn)，物理服虛擬化服務(wù)器在具備以上K8s高可用的同時，還可以利用虛擬化技術(shù)實(shí)現(xiàn)動另外，雖然裸金屬服務(wù)器上單個物理服務(wù)器僅承載一個K8s節(jié)點(diǎn)，物理服虛擬化和裸金屬均可為K8s提供彈性擴(kuò)展支持。在虛擬機(jī)上部署K8s集群時，可以充足硬件資源（如CPU、內(nèi)存和磁盤空間）的宿主機(jī)上不過需要注意的是，兩者的擴(kuò)展能力均存在一定的限制。在虛擬化環(huán)境中，多個虛擬機(jī)共享宿主雖然擴(kuò)展更為敏捷，但需要用戶注意擴(kuò)展與系統(tǒng)性能之間的平衡。在裸金屬環(huán)境中調(diào)整硬件資源或軟活，因?yàn)檫@通常需要對物理設(shè)備進(jìn)行手動操作（比如增加服務(wù)器數(shù)量或內(nèi)存、硬盤數(shù)量、重裝操作系統(tǒng)……）。另外，裸金屬虛擬化環(huán)境在處理多種不同類型的工作負(fù)載時，資源利用率要高于裸金屬服務(wù)器，因?yàn)樵试S多個虛共享資源，虛擬機(jī)在需要時可動態(tài)地請求和釋放資源，可以實(shí)現(xiàn)虛擬機(jī)之間的隔離可以防止?jié)撛诘墓粽咴诔晒θ肭忠粋€節(jié)點(diǎn)后輕易地獲得對其他節(jié)點(diǎn)的訪問權(quán)限。一個內(nèi)核，但每個容器都有自己的文件系統(tǒng)、網(wǎng)絡(luò)棧和進(jìn)程空間。這種隔離方式功入侵，攻擊者可能更容易突破容器的隔離層并影響其他容器或宿主系統(tǒng)。不過，通過配置安全策費(fèi)用等，節(jié)省了虛擬化的成本。不過，由于單個物理服務(wù)器僅承載一對于只需要建設(shè)一個專用K8s集群的場景，與在裸金屬服務(wù)器上直接部署K8s可能會更高，因?yàn)榭赡苄枰獮檫@個集群專門購買虛擬化軟件和管理工具，并學(xué)習(xí)使用方法。在需要同時部署多個K8s集群的場景，雖然在虛擬機(jī)上部署K8s需要增加一些虛擬化費(fèi)用，但一個虛擬化集群可以同時服務(wù)于多個K8s集群，總投入可能并不會高于完全基于裸金屬服務(wù)器的方案。對于用戶同時需要虛擬化和容器化應(yīng)用的情況，基于虛擬化構(gòu)建K8s會比分別構(gòu)率更高，具有更強(qiáng)的橫向擴(kuò)展能力、集群生命周期管理能力、高可用功能和內(nèi)核/存儲/網(wǎng)絡(luò)獨(dú)立性，在提升運(yùn)維效率的同時保整體轉(zhuǎn)向裸金屬/部署在混合環(huán)境/分階段進(jìn)行調(diào)整，這些都需要結(jié)合企業(yè)的實(shí)際情況、發(fā)展階段和部署的應(yīng)用需求?需要快速部署和靈活擴(kuò)縮K8s集群?需要在有限資源內(nèi)同時支持虛擬化和??對數(shù)據(jù)主權(quán)、數(shù)據(jù)保護(hù)有嚴(yán)格的合規(guī)但加入該行列的企業(yè)數(shù)量增長緩慢，主要原因依舊是署運(yùn)維的支持工具。相反，同時支持虛擬化和容器的K8s平臺部署虛擬機(jī)，或?qū)8s與虛擬化環(huán)境集成，這樣的方案正在成適合在虛擬化環(huán)境中部署適合在虛擬化環(huán)境中部署Kubernetes的三個場景為了應(yīng)對不斷變化的市場需求和技術(shù)挑戰(zhàn)，云原生應(yīng)用已經(jīng)成為了許多企業(yè)用戶的首選解決方用的方法，它充分利用云計(jì)算的優(yōu)勢，提供高度可擴(kuò)展、彈在兩種或兩種以上的基礎(chǔ)設(shè)施環(huán)境并存的情況。）通過對反饋數(shù)據(jù)的統(tǒng)計(jì)（?下圖），我們可持、網(wǎng)絡(luò)和存儲配置、硬件兼容性和供應(yīng)商支持等方面存在差異。這可能導(dǎo)致自動化流程中需針產(chǎn)系統(tǒng)的熱備份或冷備份；當(dāng)有擴(kuò)容需求或發(fā)生故障、災(zāi)難時，利用容器的可遷移特性，將業(yè)務(wù)遷移到預(yù)先準(zhǔn)備好的備用節(jié)點(diǎn)/低的資源占用水平，此時有較多資源可以為其他虛擬化、容器化應(yīng)用提供運(yùn)行環(huán)境；可以隨時對備用?針對不同業(yè)務(wù)項(xiàng)目和部門開發(fā)的各式容器化應(yīng)用，可能需運(yùn)行于具有不這種隔離方式相對較弱，這使得潛在的安全風(fēng)險更高。如果容器內(nèi)的應(yīng)用程序被攻擊者成功入侵，可以降低這種風(fēng)險。這些容器安全技術(shù)和方法還在不斷改進(jìn)中，還不能消除使用者的種種顧慮；而與共享操作系統(tǒng)內(nèi)核的容器化技術(shù)相比，虛擬機(jī)提供成熟的硬件級別的隔離，通過模擬硬件資），有一種情況是例外：某些行業(yè)和應(yīng)用場景可能需要遵循非常強(qiáng)力的合規(guī)要求，例如數(shù)據(jù)主權(quán)、數(shù)據(jù)種應(yīng)用、多個部門之間即便通過虛擬機(jī)層面的隔離，也不符合行業(yè)特定的數(shù)據(jù)隔離和保護(hù)的要求，只有為在這些場景中，可能不滿足為虛擬化應(yīng)用和容器硬件條件；或者由于分支/邊緣站點(diǎn)上的虛擬化和容器化應(yīng)用可能對資源總量需求并不高，單獨(dú)分配硬件資源反而進(jìn)一步分支/邊緣站點(diǎn)應(yīng)用的混合部署、統(tǒng)一管理?完善的管理體系：虛擬化平臺具有完善的管理工具和軟件，可以對?靈活的資源分配：虛擬化技術(shù)可以更靈活地分配計(jì)算、內(nèi)存?更高的資源效率：虛擬化技術(shù)對資源的動態(tài)使用可以確保資源在多個不當(dāng)談?wù)撛谔摂M化環(huán)境中運(yùn)行容器化應(yīng)用時，我們必然會面這種擔(dān)憂并非完全沒有依據(jù)，但具體的性能差異受多種因素影響，如虛擬化技術(shù)、資源分2.運(yùn)行狀態(tài)長時間恒定的應(yīng)用，如果同時具備：不會出現(xiàn)性能突發(fā)3.運(yùn)行狀態(tài)隨時間波動的應(yīng)用，其峰值資源消耗超過單臺物理服務(wù)器資源的50%，可能難以通過虛擬化與其他應(yīng)用共享資單個GPU硬件的能力在集群范圍內(nèi)共享，但對于要求很高?大數(shù)據(jù)處理和分析：大數(shù)據(jù)應(yīng)用，需要處理和分析?在線游戲和虛擬現(xiàn)實(shí)：大型多人在線游戲和虛擬現(xiàn)實(shí)了能源消耗和維護(hù)成本。采用成熟的虛擬化資源調(diào)度策略，可以對虛擬機(jī)的資源分配進(jìn)行動態(tài)調(diào)整?彈性擴(kuò)縮：虛擬化技術(shù)能夠根據(jù)業(yè)務(wù)需求快速創(chuàng)建、刪除和移動用，在面臨業(yè)務(wù)量突增、故障或?yàn)?zāi)難時，都可以通過虛擬化管理器將業(yè)務(wù)擴(kuò)展?安全隔離：虛擬化技術(shù)可以在同一臺物理服務(wù)器上創(chuàng)建多個獨(dú)這樣可以從內(nèi)核級別確保安全威脅不會擴(kuò)散、數(shù)據(jù)不會被越權(quán)訪問。不同應(yīng)用可以部署虛擬化虛擬化vs.裸金屬：支持Kubernetes性能對比測試82%-96%，滿足絕大部分場景下生產(chǎn)容器應(yīng)用的性能需求。在這次測試中，我們使用了配置相同（包括CPU、內(nèi)存、本地盤和網(wǎng)布式存儲集群的資源。這個分布式存儲集群的配置（CPU/內(nèi)存/本地盤/網(wǎng)絡(luò)）與超融合集群保持一致。