I/O 的存储需求，提升运 维管理效率。精选各类数据库、分布式消息和日志检索等中间件，提供多租户、部 署、观测、备份、运维操作等全生命周期的中 间件管理能力，实现数据服务的自助化 申请、弹性扩展、高并发处理和稳定高可用。 涉及的模块：全局管理、容器管理、云原生网络、云原生存储、精选中间件 版权 © 2023 DaoCloud 第 5 页 微服务治理 提供非侵入式流量 应用交付 通过一致性可推广的应用交付流程实现自助式上云，支持柔性租户体系，动态适配用 户组织架构规划和实时资源分配，基于云原生化的 CI/CD 流水线，集成丰富的工具链 并支持流水线高效并发执行流转，自动化完成应用的构建、部署，创新性引入 Gitops、渐进式交付能力体系，实现应用更精细的管理运维。 涉及的模块：全局管理、容器管理、应用工作台、云原生网络、云原生存储、镜像仓 库 云原生底座 提供云原生计算、网络、存储等能力，兼容各种集群接入，支持集群从部署、版本升 级、证书变更、配置变更、回收等全生命周期管理，突破 K8s API 性能瓶颈，实现企 业超大规模用户并发使用多集群。针对企业环境，提供场景化的网络方案，实现当前 企业网络基础设施复用的最大化，降低企业使用云原生应用门槛。 涉及的模块：全局管理、容器管理、云原生网络、云原生存储 模块化搭建

* 无视 unschedulable Kubernetes 控制器 CronJob CronJob Job Pod 1. 定时执行的批处理任务 2. 定时任务并发策略 * Allow * Forbid * Replace 3. 支持单任务并发控制 一个简单的编排案例 Client API DB API Proxy DB Proxy DB Backup Monitoring

制，如 OIDC，来验证流水线，而不是赋予它 们直接访问机密数据的权限。实行最小权限原则去最小化个人用户和执行器账户的权限，而不是使用具有无限 访问权限的万能账户。使用一次性执行器替代重复使用执行器，来减少暴露先前任务的机密数据或在受到攻击 的运行器上运行任务的风险。将执行代理和执行器上的软件更新到最新版本。像监控你的生产软件一样去监控 你的 CI/CD 系统的完整性、保密性和可用性。 团队可以通过对依赖进行健康检查化解包幻觉风险：在选择依赖之前查看它的创建日期、下载数量、github 评论 及星标数、贡献者数量、活动历史记录等。一些依赖健康检查可以在包存储仓库和 GitHub 上执行，而像 deps. dev 和 Snyk advisor 等工具也可以提供帮助。尽管依赖健康不是一项新技术，但随着团队在软件开发过程中越 来越多地尝试 GenAI 工具，该实践正在获得新的关注。 随着平台工程的广泛采纳，我们看到了新一代的工具，它们超越了传统的平台即服务（PaaS）模型，为开发人 员和平台团队之间提供了公开的合约。这个合约可能涉及在不同环境中提供云环境、数据库、监控、身份验证 等功能。这些工具强制执行组织标准，同时允许开发人员通过配置自主访问多种环境。这些平台编排系统的案 例包括 Kratix 和 Humanitec Platform Orchestrator。我们建议平台团队考虑这些工具，作为自己的脚本、本

逻辑层 – Watch（2） 一主多从 1. 仅主节点负责写入和事件生成 2. 从节点只读 逻辑层 – Watch（3） • Master 内存中保留最近写入的 事件 • 写入滑动窗口记录并发写操作的 结果 • 消费滑动窗口中的数据实现有序 的 Event 推送 • 当前消费的最大位置为 Brain 层 的 Committed Index，与 快照 读有关 逻辑层 – 单 Key • 设计思路 • 性能优化 • 落地效果 • 未来演进 性能优化 写优化 - 1 降低锁粒度 存储引擎替换 表锁 -> 行锁，增大了写的并发 写优化 - 2 单点写 -> 多点写 multi raft range 分片，增大写并发 Brain 层无磁盘 io，只有网络 io 写优化 - 3 事务优化 精心设计 key 格式 一个 k8s 对象的索引和数据在同一分区内 对象的索引和数据在同一分区内 跨分区分布式事务 -> 分区内单机事务 读优化 - 1 Range 读 Unary -> Stream 代替分页，降低延迟 内存高效复用，避免 OOM 读优化 - 2 多分片并发读 通过并发，大大减少读时延 读优化 - 3 读写分离 follower 可以无限扩展，没有 raft 同步问题 读写之间无相互影响 读优化 - 4 Count 优化 基于周期性 Compact

全 权限控制简单便捷 提供界面，分配镜像的访问权限 对接DevCloud、GitHub、GitLab，一键式完成从代码下载到 镜像构建的完整流程，并支持对接CCE完成镜像部署 高性能 支持大规模并发构建业务 自动化 代码更新时自动触发镜像构建 容器镜像服务SWR ：支持镜像自动化构建，实现源码到镜像的自动化流程 第三方代码库对接 多租户、多用户权限隔离 17 案例：高性能容器服务，助力 •采用容器混合云方式，业务高 峰时将负载弹性到华为公有云 上，解决降成本后私有云资源不 足的问题 •业务高峰期仅4-5个月，采用弹 性的公有云资源，帮助客户达成 50%的降成本目标 •采用华为云高性能物理机服务 器，满足高并发时的用户体验 容 器 容 器 https (push image) 方案： •通过远程API调用方式，实现线上线下容器集群的统一管理和运维 •线上镜像仓库与线下仓库同步，云上集群直接从线上仓库获取镜像，提升了应用部署速度 租赁及软硬件维保费用530 万元/年 1160 万 … … … 节约投资 Equipment 节约成本 530 万 中移动咕互娱运维平台承担所有业务APP用户鉴权、计费前端和广告推送，高峰并发请求25000次/秒、1.2亿次/小时。 客户问题： •资源利用率低：虚拟化模式弹性能力差，平台容量按最高业务峰值设计（300VM，4C8G），日常负荷下平台利用率<30%（一半时间利用 率<10%），造成资源极大浪费

k8s操作手册 前言： 1.蓝色字体表示命令行命令，正式执行时不要复制前面的#号，#号只是提示应 该使用root权限操作 2.绿色字体表示注释，有时注释太多就不用绿色表示了 3.注意：本文档的所有操作请先在测环境进行实践，请不要直接在真实的服务 器中操作！ 版权声明： 本文档以开源的形式发布，所有条款如下： （1）无担保：作者不保证文档内容的准确无误，亦不承担由于使用此文档所导致的任何后果 restart kubelet 所有节点都要安装docker及cri-docker 已加入集群的，所有节点都要修改 /var/lib/kubelet/kubeadm-flags.env 内容 未加入集群的，执行加入命令时添加--cri-socket选项： # kubeadm join x.x.x.x:6443 --token xxxx \ --discovery-token-ca-cert-hash #查看名为kube-proxy*的 pod # kubectl -n kube-system delete pod kube-proxy-rssd7 #删除pod 开启了ipvs模式的k8s结点上执行ip addr命令会看到名为kube-ipvs0的接口名 ⑥部署flannel网络插件 flannel只是pod容器网络的一种实现方式，还可使用calico，canal等其他网络方 案，一套k8s集群只可使用一种网络插件

ECS ECS ECS ECI ECI ECI ECI ECS ECS ECS ECS 物理机 物理机 弹性计算统一库存调度系统 Serverless容器未来挑战 启动效率 SLO弹性 并发创建 部署密度 咨询和答疑

自动发布和回滚：可以自动实现版本的发布和回滚。 秘钥和配置管理：对于密码等信息，专门提供了Secert对象为其解耦。 存储编排：支持多种不同类型的存储，包括本地存储、云存储、网络存储等。 批量处理执行：除服务型应用，还支持批处理作业CI（持续集成），如有需要，一样可以实现容器故障后修复。 Kubernetes特点： 可移植: 支持公有云，私有云，混合云，多重云（multi-cloud） 可扩展: k8s基本概念和术语介绍（Master） 主节点（Master）： Master是集群的控制节点，每个k8s集群中至少需要一个Master节点来维护整个集群的管理和控制，几乎所有的控制命 令都是发给它，它负责执行具体的动作。它很重要，如果它不可用，那么我们所有的控制命令都会失效。 Master节点上运行一组关键进程： API Server API服务器（kube-apiserver）：提供HTTP R Node节点上运行一组关键进程： kubelet：主节点代理，负责Pod对应的容器的创建启停等任务，同时与Master节点密切协作，实现集群管理的基本功 能。 kube-proxy：它负责节点的网络，在主机上维护网络规则并执行连接转发。它还负责对正在服务的pods进行负载平衡。 比如一个服务可能会运行多个副本（Pod），由他来控制具体由哪个Pod提供服务。为Service提供cluster内部的服务发 现和负载均衡。 Docker

运 维 平 台 容 器 平 台 运 维 平 台 Kubernetes 200 最大不可用数面向终态的应用管理 • 支持终态副本数保持 • 支持容器原地升级 • 保持 IP、卷 • 支持并发更新、容错暂停 • 支持镜像预热、按需下载镜像格式面向终态的风险控制 • 运维决策分散 - controllers - operators - rescheduler - kubelet

stale c-lag -- ❌ ❌ u-lag -- ✅ ✅ d-lag ❌ -- -- 问题抽象 本地 cache 中的对象有两种可能，即及时（latest）与过 期（stale），我们生成的执行计划有3种可能的动作，即 Create、Update 和 Delete。 进一步的，stale 对象意味着本地 cache 落后于 API Server 中对象若干版本，也就是说有一段增量更新还没有 Server 中有该对象，cache 中无该对象。此时 Plan 只应该是 Update 或 Delete 两种 Action，但 因本地无 cache，所以 Update 实际变成了 Create，执行时会报“StatusReasonAlreadyExists”错误，与预期不符； Delete 实际不会生成，意味着操作丢失，与预期不符。 当 u-lag 时，API Server 与 cache 中都有该对象，但版本不同。此时 Plan 只应该是 Create 一种 Action，但因 cache 中有该对象，所以 Create 变成了 Update，执行时会报“StatusReasonNotFound”错误；当新 Spec 中无该对象时， Plan 会错误生成 Delete Action，执行时同样会报对象不存在错。 根据上述分析，stale cache 确实会有问题，如何补救？先看一个 stale 对象。 如下图所示