Lenovo Internal. All rights reserved. 大纲 • 背景和挑战 • 企业级容器云设计与思考 • 让一切自动化 • 监控与日志 • Showcase • 那些坑，那些事 4 2017 Lenovo Internal. All rights reserved. 背景和挑战 • IT环境比较复杂 • 集中运维模式，人少活多 • 应用类型比较复杂 • 缺少标准和规范 rights reserved. 背景和挑战 • 内部系统演进 每个项目自维护 难以规范和升级 01 脚本化 多个工具集成 最佳搭配 合力作战 03 平台化 抽象成工具 模板化 一键化 零散，不成体系 02 工具化 6 2017 Lenovo Internal. All rights reserved. 背景和挑战 • 挑战 依然不够自动化 服务割裂，申请流程 人工参与的半自动化 资源使用率低 底层资源使用率低 规范落地困难 系统分散，难以统一 自服务平台 高效协作，加速迭代 7 2017 Lenovo Internal. All rights reserved. 背景和挑战 • 容器之道 加速 交付 统一 规范 构建 平台 节约 资源 8 2017 Lenovo Internal. All rights reserved. 企业级容器云设计与思考 •

发布平台 提升资源使用率 1 多云冗余高可用 2 环境并行互不影响 3 P-2 线下多环境一期方案 ‣ 一键拉起master镜像新环境 ‣ 如何确保环境间资源互不影响 ‣ 一期方案存在的问题与挑战 ‣ 如何实现线下多环境 • 一键拉起环境 注意点 • 数据建设依赖于规划 • 数据如何切分 原理 • 所有镜像自动生成 • 一键master镜像部署 1. 注册中心 2. Mysql 全搭建 • 数据全部物理隔离 发布平台 • 按需分支发布 • 多环境完全并行 • 一期方案的问题与挑战 1 2 3 多环境资源“假”隔离 Namespace隔离，共享资源 数据依赖成本高 所有存储都是独立搭建的 集群规模大，运维工作量大 环境数目越多，资源成本，维护成本越高 挑战 P-3 多环境优化实战 ‣ 为什么要多环境访问严格隔离 ‣ 如何借助多云保证有状态服务高可用 Gateway 负载均衡 Ribbon 负载均衡 Ribbon Axxx Hxxx Eureka Eureka 注册 注册 Redis ES Mysql • 多云多K8S多环境的挑战 挑战 多云发布一致性 1 跨云数据同步保证 2 多环境一套模板适配性 3 多K8S的监控 4 • 基于Istio的智能路由 Istio层 IstioIngressGateway v5897

战略获取全球优势。美国国立卫生研究院（NIH）表示将在 2023 年 实施新的数据管理政策，促进更多的研究人员使用云计算。此外， 美国在 2022 年 9 月发布了《国家竞争力面临的十年中期挑战》，其 中提到通过发展云计算等高新科技，健全数字基础设施，以扩大其 在经济、军事、科技等方面的竞争优势。 欧盟强调数字主权发展，发布一系列计划和准则，在主权云、 可信化监管等方面进行了重点部署。欧盟高度重视云计算行业发展， 的应用将会采用云原生技术。与此同时，用户对云原生安全的需求 日渐加强，各大厂商建设重心向高效、灵活、全面的云原生安全转 变。云厂商方面，大力发展云原生安全能力保障云上安全。云原生 的微服务架构、容器化部署等特性对传统安全提出了新的挑战，为 保障云上安全，AWS、微软、阿里云等头部云厂商积极布局云原生 安全体系，完善云原生安全能力。目前，AWS已上线Amazon Inspector、 AWS Security Hub 等云原生安全产品，并持续在 企业内部规划统一完整的云成本体系架构。目前，阿里云、腾讯云 等企业已开展 FinOps 理念落地实践，并通过云成本优化技术和工具 赋能用云企业，满足企业多样性场景需求，提升企业云管理与优化 治理成效。 稳定性层面，云上系统稳定性挑战持续存在，系统稳定性保障 云计算白皮书（2023 年） 20 体系不断完善、技术不断创新。云上系统自带“分布式”属性，各 模块之间依赖关系错综复杂，给服务性能分析、故障定位、根因分 析等带

Kubernetes社区Member� ➔ OpenSDS社区Memeber� ➔ OpenStack社区数据保护项⽬目联合发起⼈人� Outline� ➔ 边缘计算 & 应⽤用场景 & ⾯面临的挑战� ➔ Why KubeEdge & 基础架构 & 设备管理理 & 实战� ➔ 后续规划 & 社区贡献 & 技术交流� 边缘计算� 云计算是集中化的，离终端设备（如摄像头、传感器器等）和 应⽤用推送、应⽤用管理理、边缘设备托管� …...� 数据上传� 容器器� 容器器� 智能电器器控制� 安防监控系统� 智能灯光控制� 设备控制� 数据接⼊入� 边缘计算⾯面临的挑战� 当前的边缘计算领域主要⾯面临以下五个挑战：� ➔ 协同：AI/安全等业务在云和边的智能协同、弹性迁移。� ➔ ⽹网络：云和边缘之间的⽹网络可靠性和带宽限制。� ➔ 管理理：边缘节点的资源管理理与边缘应⽤用⽣生命周期管理理。� 。� ➔ 扩展：⾼高度分布和⼤大规模的可扩展性。� ➔ 异构：边缘侧异构AI硬件接⼊入。� Why KubeEdge� KubeEdge通过更更优的架构和技术实现，完美应对边缘计算遇到的挑战：� ➔ 通过将AI能⼒力力、⼤大数据能⼒力力等延伸到边缘，解决与云上服务的数据协同、任务协同、管理理协同、安全协同诉求。� ➔ 通过数据本地化处理理、边缘节点离线⾃自治，解决了了云和边缘之间的⽹网络可靠性和带宽限制的问题。�

开源的轻量量级 Kubernetes 发⾏行行版 2021 年年 6 ⽉月 1 2 企业在云原⽣生时代的挑战 3 KubeOperator 开源容器器平台的技术优势 KubeOperator 开源容器器平台企业版 云原⽣生（Cloud Native）正在吞噬世界 云原⽣生的三个维度 企业本地部署 公有云 + 物理理资源 虚拟化资源 容器器化资源 瀑布模型 敏敏捷开发 集群如何⽆无缝升级？ b. 集群如何快速扩容？ c. 监控、告警、⽇日志是否完善？ d. 如何进⾏行行快速安全加固？ e. 集群如何进⾏行行备份和恢复？ 1 2 企业在云原⽣生时代的挑战 3 KubeOperator 开源容器器平台的技术优势 KubeOperator 开源容器器平台企业版 KubeOperator 的使命 KubeOperator 是开源的轻量量级 Kubernetes 易易⽤用 可维护 完备 √ √ √ KubeOperator 的 UI 界⾯面 KubeOperator 集群⼯工具 KubeOperator 集群概览 1 2 企业在云原⽣生时代的挑战 3 KubeOperator 开源容器器平台的技术优势 KubeOperator 开源容器器平台企业版 KubeOperator 开源版 KubeOperator 企业版 • 开源的轻量量级

15 全球首发云容器实例服务CCI ：更快的弹性，更高的资源利用率 持续发布： 小时级->分钟级 弹性伸缩： 分钟级->秒级 应用交互性能提 升1~2倍 资源利用率提 升50% 挑战 收益 传统虚机应用上线慢 业务扩容时间长 同业务压力下资 源利用率低 传统虚机应用交 互性能低 • 应用可以基于容器镜像一站式自动化“构建发布上线” • 应用快速上线、扩容、升级，秒级弹性扩缩容 案例：高性能容器服务，助力图灵生物Pipeline灵活编排和复用，自定义基因测序SaaS 服务效率提升60% 陕西图灵生物主要面向医院、研究机构等提供基因测 序，人体健康监测，大数据分析等生物健康产品及解决 方案。 挑战： • 全基因测序原始数据约100GB/人，数据分析性能要 求高 • 测序需求多样，测序流程难以灵活自定义 基于容器的生物信息分析平台 • 结合FPGA加速计算可进一 步压缩成本 基因测序（测序仪） 案例：容器服务助力腾科教育，构建新型实验平台，提升课程运营效率 实验环境配置复 杂，基础运维工作 繁多 为闲置资源付费，无 法做到真正Pay as Use 实验效果评估粗 糙，实验数据易丢 失。 挑战 基于云容器引擎的解决方案 实验环境秒级恢 复，无需感知底层 自动评估实验效 果、保存实验数据 充分利用资源，平 台成本降低20% 收益 • 基于容器镜像上线和扩容快，秒级伸缩 • 基于容器更细粒度共享，提升资源利用率

没有变化 © Thoughtworks, Inc. All Rights Reserved. 12 技术 1. 设计系统 采纳 随着应用开发变得越来越动态和复杂，交付风格一致且好用的产品成为了一项挑战，尤其是在有多个团队参与 不同产品开发的大型组织中。设计系统定义了一系列的设计模式、组件库以及良好的设计和工程实践，以确保 数字产品的一致性。设计系统从过去的企业风格指南演变而来，提供易于查找和使用的共享组件库和文档。通 进行版本控制，比简单的文档记录更加清晰且易于维护。设计系 统已经成为跨团队和学科进行产品开发时的标准方法，每当需要新的视觉组件时，团队不用重新发明轮子，因 此能够集中精力，专注解决产品本身的种种挑战。 我们的经验表明，团队在构建设计系统时很少采用产品为中心的思维方式。共享组件库和文档的主要消费者是 产品开发团队。在使用产品为中心的思维方式时，设计系统所有者应该与消费者（开发团队）合作，建立共情。 Inc. All Rights Reserved. 27 46. AWS Control Tower 试验 在 AWS 中，多团队的账户管理是一项挑战，尤其是在设置和治理方面。AWS Control Tower 通过简化设置和自 动化治理来应对这个挑战，并通过防护措施应对监管要求。AWS Control Tower 内置了一个账户工厂，帮助自 动化账户的配置流程。您可以通过账户工厂来取消账户托

jianbo.sjb@alibaba-inc.com • 阿⾥存量 PaaS 对接 Kubernetes 的新挑战 • 研发和运维对 Kubernetes YAML ⽂件的看法 • 阿⾥对解耦研发和运维的实践与教训 • 标准化、统⼀化的应⽤管理 阿里巴巴大规模容器化基础设施 新挑战 • 研发：Kubernetes API 太复杂？ • 运维：如何上手 Kubernetes 的扩展能力？

RestNet50 模型训练时间(hours) V100 8卡 : 157.9元/小时 x 4 = 631.6 元 P100 1卡：12.78 元/小时 x108 = 1380.24 元 数据访问的新挑战 1.强大的算力需要匹配的I/O吞吐 2.计算存储分离导致I/O延迟 3.单机缓存无法满足海量数据加速 9993.6 3189.6 0 2000 4000 6000 8000 10000 install $ helm install -f config.yaml alluxio-repo/alluxio --version 2.3.0-SNAPSHOT Alluxio支持AI模型训练场景的挑战 1252.5 2518.8 4981.6 9993.6 1165.6 2221.92 3761.64 2875.2 0 2000 4000 6000 8000 10000

务都会动态更新LVS 配置，可重入 云厂商集群，多一层 HAProxy 日志服务  更轻量的客户端FileBeat  容器退出后延迟回收  日志目录规范+自发现  行检索的挑战 免密安全登录 基于服务树节点授权 每登录认证凭据 动态服务安全 仅需Server端嵌入SDK和配置 数据库，DB-Proxy简化接入 IP+JOBNAME共同生效，防