提供对 Pod 或者具体容器的错误注入, 包括网络、系统 IO、内核以及一些应用层注入 chaos-mesh.org github.com/chaos-mesh Chaos Mesh 是什么 我们的目标 ● 建立一个完全闭环的云原生混沌工程平台 ● 让混沌工程变得更易用 问题与解决方案 集群中的状态 Chaos Mesh 本身的运行和注入的故障会 给各组件以及目标 Pod 带来各种状态。 高效 地获取各种状态则决定了故障诊断的效率。 集群状态大致可以分为两类，主要分类依据是能否通过 kubernetes API 直接查询。 k8s 可直接查询的状态 Kubernetes 和 Chaos Mesh 组件运行的状态均可直接通过 k8s API 查询。 cluster status Components Controller Daemon Dashboard Dns Server IOChaos XXXChaos PodXXXChaos Status Event Target Pods Status Logs Event k8s 不可直接查询的状态 Chaos Mesh 注入的故障给目标 Pod 带来状态不可通过 k8s API 直接查询。 cluster status Target Pods Mounts Processes ipset iptables Pid

OAM社区成员 开局一张图 规模化应用交付效率对比去年 每万笔峰值交易的IT成本对比4年前 提升1倍 下降80% 云原生 技术 稳定 成本 效率 云原生-程序员视角 基础设施 K8s 云原生生态（CNCF） 云原生应用 云原生是以容器技术为基础围绕着Kubernetes进行的一场技术标准化演进。通过标准可扩展的调度，网络， 存储，容器运行时接口来提供基础设施；通过标准可扩 … 权限 K8s Istio Envoy Tekton Argo KEDA ES InfluxDB Promethues Knative Ingress Rook Kube eventer … 策略 机制 Jaeger 实例 调度策略 链路 K8s及云原生生态给 开发者提供的是机制 开发者直接使用K8s的失败故事 • 认知成本高：K8s功能强大却没有统 认知成本高：K8s功能强大却没有统一的使用方式，不得不学习复杂的声明字段和各种奇怪的Annotation； • 稳定性不足：没有设置Pod的QoS等级，导致频繁被驱逐，没有设置反亲和性策略，导致节点流量不均; • 扩展效率低：需要负责安装，升级丰富的云原生插件，无法解决插件的依赖，冲突和资源浪费问题； • 运维成本高：Apiserver, etcd, Controller-Manager, Kubelet,等组件都具有一定复杂度，无法做到定期升

ceil(sum(CurrentPodsCPUUtilization) / Target) ! ��Kubernetes�HPA�Horizontal Pod Autoscaling����� ���������� CurrentPodsCPUUtilization�����pod�CPU���� Target������CPU����� ��Target ���50%�����CPU��������60%�� 10�������CurrentPodsCPUUtilization=60%*10=6�� TargetNumOfPods=ceil�6/0.5�=12������12-10=2��� Pod 1! Pod 2! Pod N! … Pod 1! Scale! RC/Deployment 86 Janus���� VGW! NGINX! VGW��! JANUS! APP! VGW! PHP��! Sidecar! 101 ��Service Mesh�� 1 3 2 Linkerd����Service Mesh���2016� 1��Buoyant����������K8s� Docker���������������� ����� Envoy�2016�9��Lyft������� ������������C++����� ��������Istio���������

普杰 华为云边缘云创新Lab 高级工程师 KubeEdge SIG AI Tech Lead 目 录 Edge AI现状与趋势 01 Sedna：边云协同AI框架 02 Sedna-GM：K8S Operator 03 实践案例 04 Edge AI现状与趋势 第一部分 Why Edge AI？ • Cloud中心化的AI计算范式不足以应对端上AI 应用对实时性、准确性和强交互性的需求 卸载，包括卸载到其他边缘或云端，以提升 整体推理效率。 多边协同推理： 联合多边缘信息提升精度，卸载任务到多边缘提升资源利用率 Sedna-GM： 一个K8S Operator 第三部分 Operator：特定应用扩展K8S API的控制器 •API: The data that describes the operand’s configuration. The API includes: }) jc.jobLister = jobInformer.Lister() jc.jobStoreSynced = jobInformer.Informer().HasSynced // 绑定Pod对应的增删改对应事件的回调函数。 podInformer.Informer().AddEventHandler(cache.ResourceEventHandlerFuncs{ AddFunc:

Streamlines infrastructure such as K8s and VMs to support smooth migration from VMs to containers. Service Center K8s adaptor ETCD adaptor Service center adaptor Registry K8s K8s Service center Service different ecosystems. 13 Kubernetes Master 14 Deployment — Community Solution Kubernetes Node Pod Service Mesher kubectl Sidecar Injector Create Kube API server Deploy Call 15 Deployment — management System maintenance HUAWEI CLOUD storage 17 18 Atlas UPredict Service Region Pod Mesher Concrete service instance (OCR 1.0.0) UPredict MetaDB Mesher Concrete service instance

Senior Software Engineer at Tencent Rich experience in Container and Kubernetes field, promote lots of K8S production practice in Tencent Motivation https://kccncchina2018english.sched.com/event/FuLz/lay -kubernetes-tim-allclair-google Kubernetes has many layers of isolation, but we will focus on pod-to-pod isolation in this talk, AKA Sandbox Isolation. • Container Escape docker.vh.neargle.com:8888/ COW vulnerability −CVE-2019-5736 Docker runc vulnerability −CVE-2019-14271 Docker CP vulnerability Pod Isolation Challenges • Noisy neighbor −Impact performance on CPU, Memory, Bandwidth, Buffer IO,

- 支持多注册中心 - 拥抱混合云架构 - 同时支持客户端自注册与平台注册 - 打通k8s与虚机等基础设施，可实现VM向容器平滑迁移 Service Center k8s adaptor etcdadaptor Service center adaptor Registry k8s k8s Service center Service center etcd Huawei Confidential 不接入Mixer服务，而是直接接入不同生态系统 13 Huawei Confidential Kubernetes Master 14 部署-社区方案 Kubernetes Node Pod Service Mesher kubectl Side car Injector create KubeAPI server Deploy call Huawei Confidential 高级管理 系统维护 华为云存储 Huawei Confidential 17 Huawei Confidential 18 Atlas UPredict Service Region Pod Mesher Concrete service instance (OCR 1.0.0) UPredict MetaDB Mesher Concrete service instance

找上门 B 云也很好，你通过我的服务可以无缝 使用 A 云和 B 云 • 被 C 锁定 POD container App container container Dapr • 缺失 Service Mesh 能力 • 运维成本飙升 • 稳定性有待验证 • 稳定性更难保证 MOSN POD container App container container Dapr Runtime API 33 抽象的看： OS=治理软件 + 抽象硬件 (把不同硬件抽象成一样的 API，让编程更简单) 数据中心 OS OS K8S = 治理软件（容器） Runtime API = 抽象基础设施 Runtime API + K8S = 可能是下一代分布式 OS 另一种视角看待 Runtime API 34 OS Kernal mode User mode FS IPC

极光推送后台系统架构实践 曾振波 极光开发者技术部推送开发组 技术负责人 极光推送后台开发工程师 多年互联网开发经验，专注后台开发技术。2016年加入极光，负责极光推送平台架构设 计及开发，主导包括K8S在内的技术架构实施落地，推动系统架构的演进，构造支撑海 量用户的推送系统，对大规模分布式系统架构及设计有深入的理解。 自我介绍 • 极光推送服务架构 • 关于极光 • 消息推送系统面临的挑战 极光推送后台系统架构 02 01 06 03 07 05 04 08 模块化 异步化 并行化 缓存化 程序及系统优化 基础组件服务化 链接管理 系统安全 09 新技术的应用——K8S部署业务 模块化 • 模块业务逻辑All In导致相互影响，更新升级难度大 • 功能按照业务拆分解耦 • 数据和业务分离 • 快速迭代 • 模块间通过MQ/RPC交互 极光推送后台系统架构 安全校验，异常行为识别，过载保护，白名单/黑名单，服务降级 • 监控及告警 • 多维度监控，告警系统 极光推送后台系统架构 08 K8S部署业务 • 原有系统的运维工作繁杂，资源利用率低 • 弹性扩容 • 配置统一管理 • 内外集群隔离 • Pod包含多个容器 - 辅助容器，业务容器 • 业务模块代码架构调整 • 监控体系调整 极光推送后台系统架构 09 结束语 • 高性能/低成本、高可用、高运维

Docker Registry, Harbor, JHipster ■���� ■ Kubernetes, Mesos, Docker Swarm ������������K8s������WireMock� ����� k8s�������� ���� ������������� ��Kubernetes�������������� ������������� ■ ������ ■ ������� VLAN������������������� ■ ���� IP � MAC ■ ����� Network Policy������ IP ■ ������ ■ ���������� LB � IP/Port������ Pod IP �� – Networking �4� L3 Routing: Flannel – HostGateway ■ ����� IP (��������� IP �) ■ �������������