基于kubernetes的企业级容器云 周彩钦 | 联想PaaS团队资深工程师 2017/04/18 2 2016 Lenovo Internal. All rights reserved. 3 2017 Lenovo Internal. All rights reserved. 大纲 • 背景和挑战 • 企业级容器云设计与思考 • 让一切自动化 • 监控与日志 • Showcase Showcase • 那些坑，那些事 4 2017 Lenovo Internal. All rights reserved. 背景和挑战 • IT环境比较复杂 • 集中运维模式，人少活多 • 应用类型比较复杂 • 缺少标准和规范 5 2017 Lenovo Internal. All rights reserved. 背景和挑战 • 内部系统演进 每个项目自维护 难以规范和升级 01 脚本化 reserved. 企业级容器云设计与思考 • 设计思路 从需求出发 需求驱动，勿求大而全，没有银弹 从用户的角度思考 简单，学习成本低，改变成本小 从技术的角度评估 从成本方面衡量 资源利用率，人力成本，投入产出比 从长远技术方向考虑 未来方向，新技术潮流，公司战略 高效，稳定，可扩展 9 2017 Lenovo Internal. All rights reserved. 企业级容器云设计与思考

Harbor - 企业级 Docker 私有仓库 一、安装底层需求 一、安装底层需求 Python应该是 应该是2.7或更高版本 或更高版本 Docker引擎应为 引擎应为1.10或更高版本 或更高版本 Docker Compose需要为 需要为1.6.0或更高版本 或更高版本 docker-compose： ：curl -L https://github.com/docker/comp 建私钥和根证书 建私钥和根证书 ssl_cert： ：SSL证书的路径，仅当协议设置为 证书的路径，仅当协议设置为https时才应用 时才应用 ssl_cert_key： ：SSL密钥的路径，仅当协议设置为 密钥的路径，仅当协议设置为https时才应用 时才应用 secretkey_path：用于在复制策略中加密或解密远程注册表的密码的密钥路径 ：用于在复制策略中加密或解密远程注册表的密码的密钥路径 原理说明 1、软件资源介绍 、软件资源介绍 Harbor是 是VMware公司开源的企业级 公司开源的企业级DockerRegistry项目，项目地址为 项目，项目地址为https://github.com/vmware/harbor。其目 。其目 标是帮助用户迅速搭建一个企业级的 标是帮助用户迅速搭建一个企业级的Dockerregistry服务。它以 服务。它以Docker公司开源的 公司开源的registry为基础，提供了管理

Reserved. 应用容器化最佳实践 2020.11.14 Dehua Ye dehua@rancher.com © Copyright 2020 Rancher Labs. All Rights Reserved. Confidential 云原生应用 云原生（Cloud Native）是一种充分利用云计算优势，用于构建和部署应用的方式。云原生应用专为云模型而开 发，团队可以快速将应用构建和部 发，团队可以快速将应用构建和部署到可提供横向扩展和硬件解耦的平台，为企业提供更高的敏捷性、弹性和云 间的可移植性。 https://12factor.net/zh_cn/ 云原生应用 传统的企业应用 可预测 不可预测 操作系统抽象化 依赖操作系统 合适的容量 过多容量 协作 孤立 持续交付 瀑布式开发 独立 依赖 自动化可扩展性 手动扩展 快速恢复 恢复缓慢 十二因素应用（Twelve-factor App） Reserved. Confidential 应用容器化一般流程 分析解耦 基础镜像 配置管理 制作镜像 应用编排 运行测试 • 组成模块分析 • 外部组件依赖 • 模块拆分 • …… • 基础镜像选择 • 内置工具确认 • 应用版本需求 • 内部运维管理需求 • …… • 日志级别和位置 • 数据库位置和凭据 • 安全信息 • 应用程序设置 • …… • Dockerfile编写

从开源 Istio 到企业服务 ——如何在企业中落地服务网格 From Istio OSS to Enterprise Service Mesh 宋净超（Jimmy Song） September 24, 2022 Shanghai, China Cloud Native Application Networking Secure, Observe and manage microservices

Li Ma 云原生企业级安全的最佳实践 Cloud Native Security Cluster Security • Securing the cluster components that are configurable • Securing the applications which run in the cluster AKS Security Network Security Secret Store CSI Driver Log & Monitor Log & Monitor Azure Policy Secure Center Li Ma Microsoft 云原生企业级安全的最佳实践

在网格的边缘试探 企业Istio试水指南 崔秀龙 2019.1.6 Service Mesh Meetup #5 广州站感谢 • 蚂蚁金服 • ServiceMesher 社区 • Istio贡献者们关于我自己 • HPE（前惠普）软件分析师 • 从业第二十个年头，中老年乙方技术人员 • Istio、Kubernetes项目成员 • Istio.io全球贡献第二 • Kubernetes权威指南系列作者之一 不能做什么 • Istio 能做什么 • 现阶段 Istio 有什么问题 • 那Istio还用不用 • 如何安全的试用 Istio目标听众 • 我 • 乙方 • 给大型企业开发某某管理系统 • 系统资源好像没缺过 • 手上有各个时代的应用 • 没有能力/不想维护Istio源码 • 业务负载不算大Istio不能做什么 • 提高代码质量 • 增强负载能力 • 改善交付流程 • 客户充满 Love • 开发需求保持 • 根据性能和功能测试方案完成测试。 • 如果性能下滑，可以尝试扩张资源。 • 如果无法达成测试目标，建议取消——无侵入的好处就是可以撤 退。 • 评估关联服务的工作情况——尤其是重试、超时特性的应用切换演练 • 在测试版本和后备版本之间根据预案进行切换。 • 验证相关服务的工作状况。 • 最终保障试点上线 • 在通过测试验证和切换演练的过程之后，就可以将试用的网格应 用上线到生产 环境开始试运行了。和所有其他上线活动一样，在

0 Service Mesh 高可用在企业 级生产中的实践 罗广明 百度高级研发工程师1/总页数 讲师介绍 • 罗广明、百度高级工程师 • ServiceMesher 社区（servicemesher.com）治理委员会核心成员 • 云原生社区（cloudnative.to）联合创始成员 • 百度云智学院认证讲师 • 目前在「百度云云原生团队」负责微服务治理与相关中间件研发 • 对云 通过治理策略 保证服务高可用3/总页数 Service Mesh 与 Spring Cloud 应用的互通、共治 /014/总页数 优点 • 微服务架构的集大成者 • 轻量级组件 • 开发灵活、简便 • 社区生态强大、活跃度高 Spring Cloud 的优缺点 缺点 • 仅适用于 JAVA 应用、Spring Boot 框架 • 侵入性强 • 升级成本高、版本碎片化严重 • 内容多、门槛高 Mesh Config Server SDK Sidecar21/总页数 治理策略 & 高可用 • 微服务高可用设计手段 - 服务限流 • 对于一个应用系统来说一定会有极限并发/请求数，即总有一个TPS/QPS阀值， 如果超了阀值则系统就会不响应用户请求或响应的非常慢，因此我们最好进行过 载保护，防止大量请求涌入击垮系统。 • 服务限流其实是指当系统资源不够，不足以应对大量请求，即系统资源与访问量

腾讯基于kubernetes的企业级容器 云实践 罗韩梅 腾讯 专家工程师 自我介绍 罗韩梅，腾讯 T4 专家工程师，2009 年加入腾讯，现任数据平台部容器云开发组组长。 拥有多年分布式系统研发经验，对大数据、云计算、容器等有深刻理解。从事过自研容 器云平台，大数据云平台，以及面向公司内外的通用容器云平台，从无到有，从自研到 开源生态，从公司内部平台到同时面向To B市场。目前专注于容器云平台领域，负责腾 B市场。目前专注于容器云平台领域，负责腾 讯企业级容器云平台 。 2009年-2013年 2014年-今 2015年-今 自研容器云平台 腾讯大数据云 通用云平台 目录 • 架构简介 • 企业级容器云解决方案 • Next 企业级容器云架构 产品功能 企业级容器云解决方案 企业级 场景 易用 • 全组件自动化部署、统一配置管理、多策略灰度升级 • 提供可视化、自动化的运维能力，降低使用者的人力成本和学习成本 组件自身HA机制，如docker； • 多地域多可用区的容灾设计 • 管理机挂掉：对应用无影响 • 计算节点挂掉：跨机迁移 • 健康探针 ① 存活探针 ② 就绪探针 • 负载均衡 • 重启机制 ① 区分异常原因 ② 本地重启/跨机重启 • 黑名单机制 • 集群核心数据的备份和恢复 ① Etcd ② 核心数据库 • 云盘机制保护应用数据 • 举例：1.4升级1.9版本 • Pod Hash发生变化 •

Kubernetes 容器编排与应用编排 郭维 才云科技 目录 Speech content Kubernetes 容器编排技术 容器编排与应用架构 容器编排的困境 应用编排架构 Kubernetes Caicloud Kubernetes 控制器架构 Controllers Deployment StatefulSet DaemonSet Job CronJob Pod Kubernetes 的现状 1. 对于大型应用而言，需要组合使用大量的 Kubernetes 资源 2. 缺乏统一的依赖管理机制，需要用户自行解决依赖关系 3. 极简的部署方式也给用户带来了新的负担 应用编排架构 应用单元 应用是什么？ = + + 应用 Services Pods Volumes 应用编排架构 应用单元 基于 Kubernetes 的应用单元 Services Volumes StatefulSet DaemonSet Job CronJob = 无状态应用 有状态应用 守护型应用 批处理任务 应用编排架构 重新审视这个例子 Client API DB API Proxy DB Proxy DB Backup Monitoring 无状态应用 有状态应用 守护型应用 批处理任务 应用编排架构 应用编排架构 API Gateway APP API Service