Kubernetes 分配，核心链路100%落地支撑 大促。5/19 大促规模 Part 1：蚂蚁金服的Kubernetes现状 数万台 服务器和ECS 超一万 单集群规模 90%+ 应用服务 数十万 应用 Pods业务 6/19 统一资源调度架构 Part 1：蚂蚁金服的Kubernetes现状 非云 资源 云化 资源 基础 服务 蚂蚁 k8s 核心 CRI Kubernetes nanovisor 日志服务 云盘 本地多盘 弹性网卡 网络安全组 GPU 安全可信 数据库服务 OB serverless 平台 kata SOFAMesh 资源分时复用 神龙裸金属 VPC 云存储 应用服务器 数据库服务器 国产化服务器7/19 二、双十一 Kubernetes 实践 Part 2：8/19 资源分时调度 Part 2：双十一 Kubernetes 实践 快速腾挪的问题 1

Report的AdapterMixer反省之一：对性能的影响 ü 按照Istio的设计，每次请求Envoy都 要执行对Mixer的两次远程调用： • 转发前执行Check(包含Quota) • 转发后执行Report ü 我们的观点： • 需要请求同步阻塞等待的功能都应该在 Sidecar中完成 • 远程调用带来的性能开销代价太高 • 其他尽量优化为异步或者批量Istio的解决方案：添加Mixer Cache • 认可这样的抽象和隔离，确实有必要从应用中剥离出来 • 但是要加多一层Mixer，多一次远程调用 • 抽象和隔离在Sidecar层面完成，也是可以达到效果的 • 对于Check和Quota，性能损失太大，隔离的效果并不明显 应用 Sidecar Mixer 基础设施后端 但是多付出一次远程 调用是否有足够必要？ 对基础设施后端的访问的确 可以下沉到Service Mesh探讨：何为基础设施后端？是否可以区别对待？

硬件故障率 硬盘1年故障率 2% 0.8%% (无本地盘) 硬件维修周期 [周, 月] [分钟，天]成本 效率 稳定云化架构 物理机 + 本地存储 + Underlay网 络 神龙/ECS + 远程存储 + Overlay网络 集团机房 云上机房 基础设施 IDC 系统 基础运维 天基系统 CMDB 安全审计 单机监控 ASI 平台 kubelet/Pouch CI/CD k8s extended

ervice Mesh是下一代的SDN吗？ 通信网络 l 互不兼容的专有设备 l 基于IP的通信缺乏质量保证 l 低效的业务部署和配置 ... 微服务系统 l 互不兼容的代码库 l 不可靠的远程方法调用 l 低效的服务运维 ... 通信网络和微服务系统面临类似的问题：Service Mesh是下一代的SDN吗？ Network Layer Look at Solution Layer

复杂代码嵌入对客户端进程影响大服务化体系2.0 - Service Mesh雏形 • 物理机、sidecar • Local & Remote，主与备 • 轻量级客户端、本地调用 • Local Proxy负责服务治理与 远程通信 • Remote Proxy负责备份和非 主流流量 JavaApp Local Proxy OSP Server Service Registry Service Config Center

net/webassembly-introduction/)使用Web Assembly扩展Envoy的好处 Part 2：ServiceMesh灵魂拷问二：性能有了，架构怎么办？ • 避免修改Envoy • 避免网络远程调用（check & report） • 通过动态装载（重载）来避免重启envoy • 隔离性 • 实时A/B测试 （内容来自”Extending Envoy with WebAssembly”）Envoy支持Web