多雲一體就是現在: GOOGLE CLOUD 的 KUBERNETES 混合雲戰略 安玟宇 Wayne An Customer Engineer, Google Cloud WayneAn@google.com 安玟宇 Wayne An Customer Engineer, Google Cloud WayneAn@google.com 多雲一體就是現在: Google Cloud 涵蓋Web/App/DB皆有多 樣化代管服務可以組合出 最適架構 自動化部署 與開放平台以及開發環境 整合，加速應用上線 Google Cloud Taiwan 優勢 Google Infrastructure event driven functions web apps & APIs orchestrate containers infrastructure 使用多層次的架構重塑雲端佈署

热点领域和热点方向，试图在市场上抢得先机。 四是云计算技术不断推陈出新，助力产业高质量发展。随着上 云进程持续加深，企业需求逐步向用云转移，效率、性能、安全等 成为用户关注点，应用现代化、一云多芯、平台工程、云成本优化、 系统稳定性、云原生安全等新技术层出不穷，满足用户多样性场景 需求，助力产业数字化升级。 在此背景下，中国信息通信研究院继《云计算白皮书（2012 年）》 之后第 9 to Reach Nearly $600 Billion in 2023》，Gartner， 2023 年 4 月 云计算白皮书（2023 年） 4 从区域层面来看，全球云计算发展呈现“一超多强”态势。2022 年，北美洲占据了全球 52.14%的公有云市场规模，较 2021 年增长 20.4%。欧洲、亚洲位列市场占比二三位，分别为 23.41%、18.35%。 大洋洲、南美洲、非洲均处于“云发展中”，三大洲占比总和仅 化方 法体系。 来源：中国信息通信研究院 图 7 应用现代化架构图 架构层面，一云多芯既可以贴合多元算力新需求，又能够支撑 业务场景多形态。一云多芯作为云计算的全新技术架构，通常指用 一套云操作系统来管理不同类型芯片、架构、接口、技术栈等硬件 服务器集群。在如今算力需求爆炸的 AI 时代，一云多芯为各行各业 践行数字化转型提供了有力支持。一方面，它可以提供统一管理、 云计算白皮书（2023

程亮 多云多K8S多环境 程亮 • 开课吧 首席架构 技术委员会主席 • 负责公司微服务建设，多环境治理搭建，公司中长期技术规划 • 目录 2018 2019 2020 2021 K8S多环境 • 基于jenkins的传统发布 K8S多环境发布一期方案 • 一期通过K8S发布，一键master • 新增服务模版，自动生成deployment K8S多环境二期优化实战 • 一套代码，支持多种环境 一套代码，支持多种环境 • 物理隔离的多环境 • 共享资源的多环境 收益总结 • 降低服务器使用成本40% • 运维100%自动化 • 多云部署，高可用 P-1 为什么要做多云多K8S多环境 ‣ 标准的dev test pre prod环境 ‣ 存在的问题 • 标准的四套环境 DEV TEST PRE PROD • 标准的CICD流程 Developer LOCAL DEV Jenkins update • 多云多K8S多环境平台建设的初衷 多环境平台建设的初衷 01 02 03 多云多K8S多环境平台 K8S集群(多个) 管理后台 发布平台 提升资源使用率 1 多云冗余高可用 2 环境并行互不影响 3 P-2 线下多环境一期方案 ‣ 一键拉起master镜像新环境 ‣ 如何确保环境间资源互不影响 ‣ 一期方案存在的问题与挑战 ‣ 如何实现线下多环境 • 一键拉起环境

涉及的模块：全局管理、容器管理、云原生网络、云原生存储、信创异构 中间件服务 专为有状态应用设计的云原生本地存储能力，满足中间件高 I/O 的存储需求，提升运 维管理效率。精选各类数据库、分布式消息和日志检索等中间件，提供多租户、部 署、观测、备份、运维操作等全生命周期的中 间件管理能力，实现数据服务的自助化 申请、弹性扩展、高并发处理和稳定高可用。 涉及的模块：全局管理、容器管理、云原生网络、云原生存储、精选中间件 云原生底座 提供云原生计算、网络、存储等能力，兼容各种集群接入，支持集群从部署、版本升 级、证书变更、配置变更、回收等全生命周期管理，突破 K8s API 性能瓶颈，实现企 业超大规模用户并发使用多集群。针对企业环境，提供场景化的网络方案，实现当前 企业网络基础设施复用的最大化，降低企业使用云原生应用门槛。 涉及的模块：全局管理、容器管理、云原生网络、云原生存储 模块化搭建 DCE 镜像仓库 基于 Harbor, Docker Hub 构建的镜像集成和托管服务 网络 多 CNI 融合方案 存储 容器化存储综合方案 容器管理 容器管理是基于 Kubernetes 开源技术构建的面向云原生应用的容器管理平台， 基于原生多集群架构，解耦底层基础设施平台，实现多云与多集群统一化管 理，简化企业的应用上云流程，降低运维管理和人力成本。便捷创建 Kubernetes

客户的需求不仅仅是更多的计算能力 Ø 安全性：更小的Attack Surface Ø 易于提供有状态服务 Ø 传统应用容易迁移 Ø Windows应用容易迁移 Ø 易于部署单体应用 Ø 用于桌面云 Ø 多服务单服务器部署 云平台技术的选择 云平台技术选型 容器编排系统的选择 ——Kubernetes的优势 vs. Mesos and Swarm Ø 来自Google的简单一致的设计理念 原生为容器集群打造 Ø 原生服务发现 Ø 统一的资源模型 Ø 支持丰富的标签Label发现机制 Ø 原生负载均衡，高可用方案 Ø 原生的Rolling Update设计 Ø 为生产环境专门打造的容器集群 Ø 多镜像Pod Ø 多种业务类型：Service+RC/Job/DaemonSet Ø 自动伸缩：AutoScaler Ø 多种Volumn驱动 Ø emptyDir, hostPath, gcePersistentDisk persistentVolumn, persistentVolumnClaim Kubernetes的统一资源模型和 丰富的标签选择器 Kubernetes的架构 Ø Pod： 最小部署单元，可支持多容器镜像 Ø RC：控制Pod的个数和Pod的生命周期 Ø Service：服务入口，由Kube-proxy支持负载均衡 Ø 原生负载均衡，高可用方案 Kubernetes所支持的存储卷类型 Kubernetes最新支持的资源类型

企业级容器云架构 产品功能 企业级容器云解决方案 企业级 场景 易用 • 全组件自动化部署、统一配置管理、多策略灰度升级 • 提供可视化、自动化的运维能力，降低使用者的人力成本和学习成本 可靠 • 所有组件无单点； • 平台本身支持热升级； • 组件自身HA机制，如docker； • 多地域多可用区的容灾设计 • 管理机挂掉：对应用无影响 • 计算节点挂掉：跨机迁移 • 健康探针 ① 存活探针 p挤占 ◼在某个cgroup没有用满其配额时，其他cgroup可以自动使用其空闲的部分带宽 ◼在多个cgroup分享其他cgroup的空闲带宽时，优先级高的优先； 优先级相同 时， 配额大的占用多，配额小的占用少 ◼尽量减少为了流控而主动丢包 下图是两个进程都拼命争抢网络带宽时的效果。两个进程的 带宽和时延都得不到任何程度的保证。 ◼队列： 不增加队列， 对每个报文直接在正常代码路径上进行决策 TCP_RR(64) TCP_CRR(64) Underlay方案性能 Host Bridge NAT IPIP+Gateway混合Overlay方案 •短链接IPIP包量比Vxlan多14.1% •Gateway比Vxlan多40.5% •方案被Flannel社区合并 Underlay方案 • Bridge方式仅比Host差6%，一般 overlay比Host差20~40% • SRIOV方式比Bridge

​整個Kubernetes運作環境是相當不安全的....  原生Kubernetes在安全設計上就有許多改善空間  公版Kubernetes許多預設值是不適當的  關於網路層級的安全實際上還有許多地方並未涵蓋  設計上並不特別考慮企業多團隊/多應用的分工與隔離  有非常多層次例如: 容器/映像/作業系統/基礎架構也須涵蓋 您知道嗎? ©2019 VMware, 透過User Account & Authentication (UAA) 服務達成PKS API 呼叫認證 • 透過 CredHub服務安全地自動化產生與 保存帳號權限 • 這幾項服務可以針對多個 Kubernetes 叢集個別指派授權 Centralized Authentication with RBAC Operator admin Developers Developers PKS API BOSH CredHub ©2019 VMware, Inc. 15 PKS已經做好11大領域超過百項的安全強化措施 PKS對於容器底層核心(Stemcell)就做了非常多的安全強化並驗證 https://docs.pivotal.io/pivotalcf/2-7/security/pcf-infrastructure/stemcell-hardening.html

Initiative，OCI)相容的執行階段，因此具備相當高的彈 性。 容器登錄檔是另一項建構成功Kubernetes策略的基礎。登錄檔是儲存容器映像的地 方，這些映像對應用程式開發及擴充能力至為關鍵。容器登錄檔以多種類型提供， Canonical Kubernetes、Red Hat Openshift及Rancher 均支援私有登錄檔、公有 雲登錄檔及DockerHub。 10.聯網 Kubernetes 及Nagios 等解決方案。 5 13.多雲部署 現代企業很少只仰賴單一雲端平台，一般都會尋求採用多雲策略，依據本身需求 將應用程式託管在不同的公有雲或私有雲(或裸機)。因此在選擇發行版本時，哪一 種 Kubernetes 可輕鬆在各種不同平台部署及連接，應視為關鍵的考量因素。 Canonical Kubernetes利用Juju協助企業導覽多雲佈建、安裝及設定的複雜度。 Juju Charmed 寄送自動化規則， 將第0天至第2天的作業變為可重複及可靠的程式碼。 其他廠商並未採用模型導向作業以隔離模型與平台，而是仰賴範本系統用於多雲部 署，針對不同雲端提供不同的最佳化設定。OpenShift可讓Ansible用於簡化多雲 Kubernetes部署。同樣地，多雲搭配Rancher可運用Helm圖表，並搭配使用雲端 專屬版本的Kubernetes，例如Amazon EKS及Google GKE。這類範本系統通常缺

构建集群与管理理资源 - 73s 视频演示 多集群和镜像仓库 多租户和旧系统的集成 运⾏行行和构建应⽤用 Rudder - 应⽤用编排技术框架 Cyclone - 持续集成与交付引擎 运⾏行行 AI 应⽤用（机器器学习） - 58s 视频演示 Kubeflow 的应⽤用 Kubeflow 之上 构建集群与管理理资源 多集群和镜像仓库 • 企业想要的 • 隔离性和安全性 K8s - 单『控制集群』， 多『⽤用户集群』 • 镜像仓库 - 单『默认仓 库』，多仓库集成 管理理集群和节点 • 技术概览 • cloud provider • custom resource • ansible 管理理镜像仓库 • Cargo （内部项⽬目）- ⽣生产级镜像仓库解决⽅方案，基于 • ⼀一键⾼高可⽤用部署和维护 • 为多租户和复杂权限集成⽽而增强 『token 『token service』 • 管理理基于规则的镜像仓库 • 其他企业需要的优化功能 企业典型的多租户模型 租户 Tenant User User group Namespace Deployment Registry 
 project CI/CD workspace Pod … resources CPU quota MEM quota Storage