共计 5080 个字符,预计需要花费 13 分钟才能阅读完成。
作者简介
涂家英,SUSE 资深架构师,专一 Cloud-Native 相干产品和解决方案设计,在企业级云原生平台建设畛域领有丰盛的教训。
数字时代下的容器云治理平台
数字时代,市场竞争加剧,业务需要突飞猛进,敏态 IT 建设被越来越多的企业纳入重点倒退布局,以容器、Kubernetes 为外围的云原生是目前敏态 IT 中最热门的技术架构。
CNCF 把云原生划分为多个畛域,包含基础设施、利用开发与部署、服务公布与治理、运行时、网络、存储、观测与剖析、平安与合规等,每个畛域中都有十分丰盛的开源我的项目。从技术视角来看,云原生建设就是在各畛域中找到可能满足本身需要的技术,并组合起来,为咱们所用。在这个过程中,咱们直面的问题包含:如何抉择适合的技术?如何对这一技术组合进行对立治理?如何调整和优化这些技术以实现高效、稳固的运行?
对此,容器云治理平台的概念应运而生,简略地说就是提供一系列开箱即用的性能,并围绕 Kubernetes 提供更多的扩大和翻新。容器云治理平台是一个两头态的产品,对下可能实现集群的生命周期治理,对上可能实现对 Kubernetes 上运行的利用的生命周期治理,同时还需具备企业所需的性能,如租户治理、平安治理、用户认证以及权限治理等。
目前,国内有不少厂商专一于这个畛域,提供了很多优良的解决方案,面对目不暇接的产品,咱们该如何抉择?
平台选型
在日常与企业客户的交换中我不难们发现,大家在建设云原生平台过程中,探讨最多的就是布局和选型问题。如果把选型过程比作通关游戏,那么咱们会遇到性质思考、模式思考和能力思考三个关卡。
性质思考
从企业理论利用场景来看,容器云治理平台是一个跨部门平台,至多会波及基础设施部门、研发部门、安全部门;当然,不同企业对部门的划分可能会更粗疏。而且,容器云治理平台和业务利用又有着严密的关联性,会影响业务利用的构建公布流程和运行运维形式,所以从整体看来容器云治理平台具备了 2 个特点:技术上的确定性和能力上的特异性。
- 技术上的确定性:在建设容器云治理平台时,相干的技术栈根本是确定的,例如容器编排调度引擎应用 Kubernetes,监控应用 Prometheus,日志应用 ELK 或者 Loki,模板商店应用 Helm 等,还有像容器运行时、网络、存储等也都有很清晰的抉择范畴。
- 能力上的特异性:每个企业 IT 部门都有本人的工作形式、流程、组织架构和外部环境,对容器云治理平台建设都有本人的认识。有些企业的容器云治理平台绝对独立;有些可能须要与外部的其余零碎做集成和联动,如与外部监控集成造成对立环境监控,与外部日志平台集成造成对立认证,与外部用户认证平台集成实现 sso 单点登录,须要与组织架构绝对应的多租户能力等,这就须要不同的能力反对。从这个角度来讲,齐全依照本身需要,自研一套容器云治理平台是企业的最优抉择。
然而自研的门槛比拟高,须要肯定的团队和技术实力,大多数企业都不具备这样的能力。商用是更求实的抉择,有很多厂商提供了相应的平台产品,但也有不少挑战。尽管平台都基于 Kubernetes 搭建,然而不同的产品理念,可能造就了不同的性能侧重点,以及将来不同的倒退和延长路线;还有一些产品存在不同水平的捆绑,一旦选错可能将深陷泥淖。
综合来看,抉择开源的、兼容性好的商用产品可能在肯定水平上实现自研和商用的均衡。一方面,企业能够通过标准化的产品能力和厂商的业余技术支持及赋能,疾速造就和晋升本身团队对云原生的认知和技术水平。另一方面,在团队能力达标,且标准化的能力曾经无奈满足外部需要时,企业能够基于开源产品更便捷地进行二次开发。
实际上,在团队实力达标的状况下,咱们也不太倡议一开始就齐全自研平台,因为从 0-1 的建设可能会踩很多坑,遇到很多问题,一些性能间接复用开源产品造好的轮子会事倍功半。同时,应用开源产品确保了技术的延续性,在购买商业反对后,能够大幅缩小人力老本收入,晋升工作效率,有更多的工夫专一于本身的主营业务。
模式思考
在明确了性质抉择后,咱们转角就遇到了第二个选型问题:应该抉择全功能模式还是组合性能模式?
以后,各种容器云治理平台产品丰盛,大抵能够分为两类:性能全面型和凋谢兼容型。
性能全面型:平台中性能根本笼罩了云原生所有元素,如包含了 Kubernetes 集群治理、利用治理、DevOps、微服务治理、中间件等各大板块能力,并且高度封装。
凋谢兼容型:平台中性能以保有外围能力为主,如 Kubernetes 集群治理、利用治理,其余能力以开箱即用的插件形式提供,具备高度的可替换性。
性能全面的容器云治理平台可能屏蔽掉很多技术细节,企业能够拿来即用;凋谢兼容型产品能够提供更灵便的组合形式。
在晚期,容器和 Kubernetes 技术还不是那么遍及,性能全面型的产品是比拟好的抉择,企业能够借助其全面的能力疾速构建,屏蔽掉一些技术门槛,预研云原生技术和带来的价值;当今,容器和 Kubernetes 技术曾经比拟遍及,整个 CNCF 生态也进入了凋敝期间,云原生的建设更多是积木式、集成式的组合。
“业余的事件交给业余的人去做”,大而全平台的问题在于整体性能都是内聚的、相互依赖的、标准化的。用户往往在应用时发现,很多中央并不能很好地符合本身需要,还须要替换功能模块。然而在高内聚的布局下,模块的剥离和替换往往难以实现,或者老本很高。所以,越来越多的用户会抉择凋谢兼容性好的产品,在须要替换平台中的某些功能模块时,只须要敞开相应模块,间接进行替换或者集成即可。
同时咱们也看到,越来越多功能全面的平台也开始化整为零,固化必备的根底能力,周边能力则以模块插件形式提供,不便用户进行替换。
能力思考
走到这一步,选型的思路就比拟清晰了。咱们遇到的最初一个问题是:除了性质和模式,还须要思考哪些因素呢?
基于与泛滥客户的接触,咱们提炼出两点:
- 积淀蕴含很多方面,比方产品的迭代历史、应用人数、行业落地案例等。这些积淀能够很好地反映产品的成熟度和稳定性,毕竟大家都不想在生产环境中做第一个吃螃蟹的人,更心愿有一个胜利的参照物能够借鉴。
- 翻新是一个企业的灵魂,云原生就像是一列飞驰的高铁,好的产品提供者应该能紧跟技术倒退,并一直新陈代谢。企业在应用容器云治理平台的同时,在不同的阶段总会呈现不同的需要场景和问题,能不能走在用户后面引领用户,并陪伴用户成长,也是选型思考的一个重要因素。
通过以上三个关卡,想必大家曾经有了选型的初步想法。上面让咱们从利用场景登程,再对产品选型能力指标做一些考量。
场 景
多集群及环境对立治理
企业中不同类型的 Kubernetes 集群越来越多,混合治理的需要一劳永逸。咱们在与客户聊集群布局的时候常常听到:
- 咱们须要在不同的环境建设 Kubernetes 集群,包含开发、测试、UAT、生产。
- 这些利用比拟重要,须要独自的集群撑持,不便重点运维。
- 咱们 X 利用是外采的,它的底座也是 Kubernetes 集群,要把平台治理起来。
- 咱们之前 X 部门走的比拟靠前,过后用开源工具部署了一个 Kubernetes,当初须要临时治理起来,后续再思考新建集群并迁徙。
- 咱们除了公有云以外,某私有云上也应用了 Kubernetes 集群(也想在私有云上应用 Kubernetes 集群),是否不便地实现混合云治理。
- 咱们当初容器和 VM 是共存的状态,整体利用蕴含了容器运行局部和 VM 运行局部,有没有能对立治理容器和 VM 的形式……
在云原生时代,随着企业的一直倒退,多云混合云的场景变得越来越广泛。以某批发企业为例,其 APP 商城平时运行在公有数据中心,在晚期业务量不大的时候,即便在大促时也齐全能够承载和撑持。但随着企业的一直倒退,大促带来的拜访压力曾经到了本地无奈撑持的水平,然而为了应答大促而去扩充公有数据中心规模的做法又不够经济,这会造成平时大量的资源闲置。
最终,该企业采纳了混合云计划,在私有云上应用 Kubernetes 集群,通过对立入口治理公有星散群和私有星散群。当大促来长期,通过私有云长期裁减集群节点,应答压力。
由此能够看出,多集群以及环境的对立治理是考量容器云治理平台的重要能力指标。Kubernetes 作为通用基础架构,能够很好地应答多云带来的差异性,满足企业的多云策略需要。从 ROI 的角度看,容器云治理平台笼罩的私有云类型越多,就越能加强 FinOps 和多云议价能力。
加强式平安防护
从前,大家更关注利用如何容器化、怎么上 Kubernetes;而当下,大家越来越关注平安问题。容器平安处于晚期倒退阶段,还存在一些问题。从技术角度看,Kubernetes 本身的平安能力较低,之前版本内置了 PSP 性能,但也局限在一些与权限相干的防护上;而且,高版本曾经废除了这一性能。CIS 尽管提供了 Kubernetes 基线扫描,但次要用于检测 Kubernetes 的配置是否有安全隐患,防护面很无限。从常识储备角度看,在少数企业内,懂云原生的工程师不太懂平安,懂平安的又不太理解云原生,这导致容器平安防护建设工作无从下手。
近几年,云原生相干安全事件层出不穷,当事企业蒙受了不少损失,平安建设已成为当下亟需解决的问题。一个合格的云原生平安防护平台至多应具备以下能力:
- CICD 嵌入能力:能够在流水线中启用防护,比方镜像打包实现后的扫描,实现肯定水平的平安左移。
- 准入控制能力:能够在利用部署时进行相应防护,尽量升高不平安因素进入集群,如可信仓库和镜像白名单、有安全隐患的部署配置阻断等。
- 运行时防护能力:能够在容器运行态上进行相应防护,如网络防护、过程防护、文件防护。
- 以零信赖为外围的平安防护理念:能够实现零日攻打防护以及一些未知的攻击行为。
目前有不少厂商专一这一畛域,提供的产品也各有特色,能够无效帮忙咱们补强 Kubernetes 平安能力有余的问题。综合思考应用体验、易用性以及对立治理等方面,如果容器云治理平台能提供足够的平安防护能力,那将是最佳的抉择。
数据中心到边缘
边缘计算是近两年的热门畛域,很多企业都在踊跃布局,利用容器和 Kubernetes 技术充分发挥云边协同的效力。业界对边缘的定义至今没有对立,不同的企业因为不同的业态对边缘的定义也不尽相同,对于银行来说边缘能够是网点也能够是各种金融终端设备,对于制造业来说边缘能够是工厂侧也能够是产线侧。
对于有边缘利用场景的企业来说,选型时首先要思考平台是否具备实现云边协同的能力,还要思考云边协同的计划是否有延展性,大能适应各类服务器,小能笼罩各类小型计算资源设施,另外还要思考是否实现高度的自动化交付从而晋升效率。
比方当初边端有海量的设施,个别的部署流程大抵是:
装置操作系统 ➞ 装置相应的 Kubernetes 发行版 ➞ 部署边端集群并注册到云端治理平台 ➞ 部署各类利用
目前热门的边缘计算交付形式分为两个步骤:
Day1: 设施通过定制镜像主动部署操作系统及集群,并实现主动注册
Day2: 依照编排需要,GitOps 主动同步各类利用到不同边缘集群
能够看出,后者通过自动化极大简化了交付过程,从而晋升了整体效率。如果平台可能提供足够弹性的云边协同计划以及高度自动化交付,将为企业带来强劲的边缘计算建设助力。
当初,在施行大多数边缘计算计划的时候,还须要在边缘端投入不少的人力进行前期工作,如操作系统装置,半自动化的 Kubernetes 发行版装置以及云端注册等,自动化水平越高就越能升高人力老本。
写在最初
本文站在行业大视角,为大家提供了一些广泛实用的容器云治理平台考量因素。云原生畛域可抉择的平台很多,有开源也有闭源,尽管外表上看产品性能有同质化趋势,但其底蕴和理念是不同的。
以 Rancher 为例,作为最早的一款全开源的容器治理平台,其 1.x 版本陪伴用户走过了 docker swarm、mesos 和 Kubernetes 的三国鼎立期间;2.x 版本则紧跟社区和技术倒退,专一于 Kubernetes 治理。一路走来,Rancher 积攒了大量用户,始终是寰球应用人数最多的容器云治理平台,它将始终致力于帮忙用户治理任意地位的 Kubernetes 集群,实现无处不在的计算。
在此过程中,咱们也在一直总结用户的需要和痛点,围绕 Kubernetes 推出了很多开源产品,如存储产品 Longhorn,边缘计算产品 K3s 和 Elemental,继续交付产品 Fleet,超交融产品 Harvester,集体应用产品 Rancher Desktop,平安产品 NeuVector。此外,咱们仍在一直孵化新产品,如 CICD 产品 EPINIO,AiOps 产品 OPNI,旨在帮忙用户解决更多问题,通过 Rancher 更轻松地设计和构建本人的云原生平台。
