IT 基礎架構團隊的 Kubernetes 管理-從入門到評估

以在公有云上提供，也可以在企業(yè)私有云上作為新一代的基礎架基礎架構團隊為何要接管基礎架構團隊為何要接管Kubernetes部署運維？或平臺團隊負責規(guī)劃和建設，包括預熱期的學習、調研、技術儲備、試用環(huán)境搭建及維護、開發(fā)速度、提高服務效率的初衷相違背。而由于基礎架構團隊擁有從硬件設施到操作系統的?有關平臺和應用程序的安全性、監(jiān)控基礎架構團隊接管基礎架構團隊接管Kubernetes部署運維的可行性這些軟件/平臺為運維人員提供了豐富的管理工具（如安全、監(jiān)控和存儲的集成）、簡單易操作的運維系統、圖形化界面，以及?更多高級服務：一些軟件/平臺還提供一些高級銷變得更加復雜。為了更好地監(jiān)測應用和基礎設施的運行狀態(tài)、對集群進行跨平臺管理，運維人員需要也會存在一定的安全漏洞，如允許攻擊者偽造命令行輸出來獲得控制和訪問權限。為了避免遭遇這些在整個應用開發(fā)、測試、生產流程中，運維人員需要保證在不同的環(huán)境中，應用程序的資源配置、部署一致的。這可能需要運維人員手動定義資源清單，并根據環(huán)境調整環(huán)境變量平臺上運行，構成混合的業(yè)務運行體系。運維人員在進行管理時，不僅需要掌握不同平臺的操作方-能提高生產質量與效率-能保證生產穩(wěn)定性與連續(xù)性?滿足對容器、虛擬化、云等所有用戶使用環(huán)境的統驗?在容器網絡上通過微分段技術支持零信任訪?實現虛擬化網絡和容器網絡的可視化分析和統?明確您是否需要混合云和/或多云解決方案。如果需要，您是否愿意購買提供云服務功能的軟件？如果您不需要混合和/或多?您的公司內部有專業(yè)技術人員嗎？如果沒有，您可以選評估。云容器服務創(chuàng)建的集群。通常，基于SaaS的管署和運維的質量和效率，建議用戶選擇具備生產就緒能力、能對多環(huán)境與虛擬化統一支持、部署運?平臺可用性：不同的產品在容器化服務可用性方面可能會有所容器能在宕機后自動重啟，保證業(yè)務能夠在給定數量的容器中連續(xù)運行。為了避免中斷，一些服務提在多個可用性區(qū)域中的配置能力。不過您還需要考慮合適的容器容災備份方案，這樣即使整個集群被禁用/無法訪問，可以在其他位置/云集群上恢復應用狀態(tài)和數據。此外，一些平臺還提供了節(jié)點級自動替換與恢復功能，進一步提升架構可此外，容器管理服務的兼容性（尤其是用戶需要的第三方工具）與成本也是重要的考量因素。多數情況下劃和配置運行容器的工作節(jié)點，如果處理得不好，可能會導致利用率低下，反而帶來不必要的高額成常按內核、CPU、節(jié)點或集群收費。一些供應商可能會根據部署的應用程序或容器映像的數量提供相應的定?集成圖像掃描和簽名流程來防范漏洞，將其作為企業(yè)持續(xù)集成/持續(xù)交付（CI/CD）進程的一?建立強制性訪問控制，確保職責分開發(fā)人員通常更關注應用容器的功能層面，而不是監(jiān)控容器的運維要求。一直以來，監(jiān)控工具始終側重利用率、內存利用率、每秒輸入輸出（I/O）細節(jié)信息，這些指標本身并不能反映應用程序的全貌。因此，開發(fā)人員應專注于為應用程序添加儀表盤?選擇符合以下條件的工具：具備自動化服務發(fā)現能力隨著容器日益廣泛地應用于有狀態(tài)工作負載，客戶需要考慮主機以外的數據持敏捷性和可移植性是開發(fā)人員最關心的問題，他們希望自己的應用程序在整個軟件開發(fā)生命周期內均內和主機間網絡所依托的物理交換和路由基礎架構。此外可能還需要一個服務網格來為微服務的部署提供服務間的通信管理。要想構建高度自動化、無縫的應用程序交付流水線，企業(yè)和機構需要使用其他自動化工具來完善容?使用容器感知配置管理系統對容器映像的生命周期進行管理，容器映像的不少用戶都感到困惑的是，由于大部分應用此前都部署在虛擬化或超融合環(huán)境，在進行容器化轉在虛擬化（含超融合）和裸金屬環(huán)境運行K8s有何區(qū)別？兩者更適合支持擬機支持K8s集群，而裸金屬環(huán)境統），資源均可供該節(jié)點使用?；诼憬饘俜掌鞯腒8s集群資活，這些都需要運維人員在前期部署時，結合K8s應用場基于架構上的差異，我們將對比虛擬化和裸金屬環(huán)境在性能、可靠性、可用性、敏捷性、擴展可快速創(chuàng)建或銷毀虛擬機、調整K8s集群和節(jié)點數量等費用包含硬件、（OS）、K8s平臺、（容器不同K8s集群使用的虛擬機可能共享相同的物理資源，可能K8s集群直接訪問獨立的硬件資源，能更好地保證數據隔離私有云虛擬化/超融合：硬件設備、操作系統、網絡、K8s集群硬件設備、操作系統、K8s集群造成一定的性能損失，裸金屬服務器則沒有這種損失。但這并不意味著，虛擬化環(huán)境難以支持性能要求另外，雖然裸金屬服務器上單個物理服務器僅承載一個K8s節(jié)點，物理服虛擬化服務器在具備以上K8s高可用的同時，還可以利用虛擬化技術實現動另外，雖然裸金屬服務器上單個物理服務器僅承載一個K8s節(jié)點，物理服虛擬化和裸金屬均可為K8s提供彈性擴展支持。在虛擬機上部署K8s集群時，可以充足硬件資源（如CPU、內存和磁盤空間）的宿主機上不過需要注意的是，兩者的擴展能力均存在一定的限制。在虛擬化環(huán)境中，多個虛擬機共享宿主雖然擴展更為敏捷，但需要用戶注意擴展與系統性能之間的平衡。在裸金屬環(huán)境中調整硬件資源或軟活，因為這通常需要對物理設備進行手動操作（比如增加服務器數量或內存、硬盤數量、重裝操作系統……）。另外，裸金屬虛擬化環(huán)境在處理多種不同類型的工作負載時，資源利用率要高于裸金屬服務器，因為允許多個虛共享資源，虛擬機在需要時可動態(tài)地請求和釋放資源，可以實現虛擬機之間的隔離可以防止?jié)撛诘墓粽咴诔晒θ肭忠粋€節(jié)點后輕易地獲得對其他節(jié)點的訪問權限。一個內核，但每個容器都有自己的文件系統、網絡棧和進程空間。這種隔離方式功入侵，攻擊者可能更容易突破容器的隔離層并影響其他容器或宿主系統。不過，通過配置安全策費用等，節(jié)省了虛擬化的成本。不過，由于單個物理服務器僅承載一對于只需要建設一個專用K8s集群的場景，與在裸金屬服務器上直接部署K8s可能會更高，因為可能需要為這個集群專門購買虛擬化軟件和管理工具，并學習使用方法。在需要同時部署多個K8s集群的場景，雖然在虛擬機上部署K8s需要增加一些虛擬化費用，但一個虛擬化集群可以同時服務于多個K8s集群，總投入可能并不會高于完全基于裸金屬服務器的方案。對于用戶同時需要虛擬化和容器化應用的情況，基于虛擬化構建K8s會比分別構率更高，具有更強的橫向擴展能力、集群生命周期管理能力、高可用功能和內核/存儲/網絡獨立性，在提升運維效率的同時保整體轉向裸金屬/部署在混合環(huán)境/分階段進行調整，這些都需要結合企業(yè)的實際情況、發(fā)展階段和部署的應用需求?需要快速部署和靈活擴縮K8s集群?需要在有限資源內同時支持虛擬化和??對數據主權、數據保護有嚴格的合規(guī)但加入該行列的企業(yè)數量增長緩慢，主要原因依舊是署運維的支持工具。相反，同時支持虛擬化和容器的K8s平臺部署虛擬機，或將K8s與虛擬化環(huán)境集成，這樣的方案正在成適合在虛擬化環(huán)境中部署適合在虛擬化環(huán)境中部署Kubernetes的三個場景為了應對不斷變化的市場需求和技術挑戰(zhàn)，云原生應用已經成為了許多企業(yè)用戶的首選解決方用的方法，它充分利用云計算的優(yōu)勢，提供高度可擴展、彈在兩種或兩種以上的基礎設施環(huán)境并存的情況。）通過對反饋數據的統計（?下圖），我們可持、網絡和存儲配置、硬件兼容性和供應商支持等方面存在差異。這可能導致自動化流程中需針產系統的熱備份或冷備份；當有擴容需求或發(fā)生故障、災難時，利用容器的可遷移特性，將業(yè)務遷移到預先準備好的備用節(jié)點/低的資源占用水平，此時有較多資源可以為其他虛擬化、容器化應用提供運行環(huán)境；可以隨時對備用?針對不同業(yè)務項目和部門開發(fā)的各式容器化應用，可能需運行于具有不這種隔離方式相對較弱，這使得潛在的安全風險更高。如果容器內的應用程序被攻擊者成功入侵，可以降低這種風險。這些容器安全技術和方法還在不斷改進中，還不能消除使用者的種種顧慮；而與共享操作系統內核的容器化技術相比，虛擬機提供成熟的硬件級別的隔離，通過模擬硬件資），有一種情況是例外：某些行業(yè)和應用場景可能需要遵循非常強力的合規(guī)要求，例如數據主權、數據種應用、多個部門之間即便通過虛擬機層面的隔離，也不符合行業(yè)特定的數據隔離和保護的要求，只有為在這些場景中，可能不滿足為虛擬化應用和容器硬件條件；或者由于分支/邊緣站點上的虛擬化和容器化應用可能對資源總量需求并不高，單獨分配硬件資源反而進一步分支/邊緣站點應用的混合部署、統一管理?完善的管理體系：虛擬化平臺具有完善的管理工具和軟件，可以對?靈活的資源分配：虛擬化技術可以更靈活地分配計算、內存?更高的資源效率：虛擬化技術對資源的動態(tài)使用可以確保資源在多個不當談論在虛擬化環(huán)境中運行容器化應用時，我們必然會面這種擔憂并非完全沒有依據，但具體的性能差異受多種因素影響，如虛擬化技術、資源分2.運行狀態(tài)長時間恒定的應用，如果同時具備：不會出現性能突發(fā)3.運行狀態(tài)隨時間波動的應用，其峰值資源消耗超過單臺物理服務器資源的50%，可能難以通過虛擬化與其他應用共享資單個GPU硬件的能力在集群范圍內共享，但對于要求很高?大數據處理和分析：大數據應用，需要處理和分析?在線游戲和虛擬現實：大型多人在線游戲和虛擬現實了能源消耗和維護成本。采用成熟的虛擬化資源調度策略，可以對虛擬機的資源分配進行動態(tài)調整?彈性擴縮：虛擬化技術能夠根據業(yè)務需求快速創(chuàng)建、刪除和移動用，在面臨業(yè)務量突增、故障或災難時，都可以通過虛擬化管理器將業(yè)務擴展?安全隔離：虛擬化技術可以在同一臺物理服務器上創(chuàng)建多個獨這樣可以從內核級別確保安全威脅不會擴散、數據不會被越權訪問。不同應用可以部署虛擬化虛擬化vs.裸金屬：支持Kubernetes性能對比測試82%-96%，滿足絕大部分場景下生產容器應用的性能需求。在這次測試中，我們使用了配置相同（包括CPU、內存、本地盤和網布式存儲集群的資源。這個分布式存儲集群的配置（CPU/內存/本地盤/網絡）與超融合集群保持一致。