IstioMeetup 服务网格数据平面热升级技术分享 ServiceMesh Data-Plane Hot-Upgrade 阿里云服务网格团队 – 史泽寰 • 为什么需要服务网格数据面热升级 • 实现热升级 • 实践热升级 目录 Catalog 2 为什么需要服务网格数据面热升级 Why do we need Hot-Upgrade for ServiceMesh Data-Plane 造成请求失败，影响业务质量 • 重启Pod导致业务容器也被重启，需要执行重新初始化 • 不增加workload数量升级，则服务容量受损 • 增加workload保持服务容量不变，应对大规模场景难以在扩容规模和操作便捷度上取 得令人满意的平衡 传统Sidecar升级方式的缺点 3 为什么需要服务网格数据面热升级 Why do we need Hot-Upgrade for ServiceMesh Data-Plane 败 • 易于运维，可以控制升级策略 理想的Sidecar升级 4 • 为什么需要服务网格数据面热升级 • 实现热升级 • 实践热升级 目录 Catalog 5 • Envoy热重启 • 以Epoch + 1的方式启动新实例，触发热重启 • ListenSocket转移到新实例 • 旧实例进行排水，不再接受新的请求 • 排水结束后旧实例退出，热重启完成 References:

1.22 升级 OpenShift Data Science Self-managed 了解如何在 OpenShift Container Platform 上升级 Red Hat OpenShift Data Science Last Updated: 2023-07-03 Red Hat OpenShift Data Science Self-managed 1.22 升级 OpenShift OpenShift Data Science Self-managed 了解如何在 OpenShift Container Platform 上升级 Red Hat OpenShift Data Science 法律通告 法律通告 Copyright © 2023 Red Hat, Inc. The text of and illustrations in this document are licensed trademarks are the property of their respective owners. 摘要 摘要 了解 OpenShift Data Science Operator 升级过程。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

公司代表作品： Sealos 云操作系统 Laf 函数计算 FastGPT AI 知识库 Sealos 介绍 以 kubernetes 为内核的云操作系统 整个数据中心抽象成一台服务器，一切皆应用，让用云像用个人电脑一样简单！ Kubernetes是云操作系统内核，整个集群是一个整体 Sealos是云操作系统发行版本 Linux发行版，如redhat Linux kernel CPU 内存 Linux kernel CPU 内存 磁盘 有了 sealos 就可以一条命令构建一朵云 抛弃 IaaS PaaS SaaS 拥抱 云内核 架构 传统云计算架构 基于云内核的云计算架构 SaaS PaaS IaaS 分层架构代表 openstack 内核架构代表 linux 我快黄了 我经久不衰 我一锅大杂烩 我高内聚高抽象 我装起来都费劲 我一键安装 我运行起来一堆问题 我小白都能稳定运行 ubuntu redhat suse 麒麟 欧拉 ARM 裸金属/云服务器/私有云虚拟机 x86 除了 kubelet 其他都跑容器里 为了更好的兼容性，不用系统依赖如rpm 只 依赖内核如 systemd 借助集群镜像能力自动识别系统架构 自己实现控制器对接公有云对比其他方案 ，且不触发 API 调用限制 Apply 了这连个 yaml 就会自动在各种公有云上启动 虚拟机并按照要求安装好

#IstioCon 百度APP基于Istio实现 基础架构升级 许超 #IstioCon 背景 l 核心业务线已完成微服务改造，数万个微服务对架构服务治理能力提出了更高的要求。 l 高级架构能力能否多语言、多框架支持？ l 运维架构能力是否具备可移植性？是否能低成本复制新的产品线？ l 可观测性不足，是否有通用机制提升产品线可观测性？ Ø 部分模块上下游超时配置不合理，超时倒挂，集中管理调整成本比较高。 部分模块上下游超时配置不合理，超时倒挂，集中管理调整成本比较高。 Ø 多数模块对单点异常，慢节点等异常缺乏容忍能力，推动每个模块独立修复，成本高，上线周期长。 Ø 因重试导致雪崩，底层RPC框架需要重复建设来定制动态熔断能力。 Ø 升级一级服务建设中，发现很多模块单点、多点故障不能容忍，能否低成本解决？ Ø 比如常用运维降级、止损能力各个产品线重复建设，方案差异大，OP期望运维能力在不同产品线之间能够通用化， 集中化管理，甚至做到自动决策 服务发现实现透明流量劫持。 Ø 自建配置中心，产品化封装。 l 关键技术 Ø 内核劫持，使用Loopback IP 与 服务发现一一对应。 Ø RPC劫持，构建可快速扩展标准方案。 Ø 自身稳定性，降级（兜底）、隔离、监控多种方式保证。 ①bns, 百度内部基础设施层,服务发现。 ②bns-agent,服务发现接入层。 ㊟ 内核劫持：Loopback方案 Ø loopback地址的管理和分配。

4.13 支持在 OpenShift Container Platform 4.13 集群中使用。要使用 OpenShift Virtualization 的最新 z-stream 版本，您必须首先升级到 OpenShift Container Platform 的最新版本。 1.2. 关于虚拟机磁盘的存储卷 如果您将存储 API 与已知的存储供应商搭配使用，则会自动选择卷和访问模式。但是，如果您使用没有存 vmi-status 等待特定 VMI 状态，然后根据该状态失败或成功。 2.8. 关于 VIRT-OPERATOR virt-operator 在不影响当前虚拟机(VM)工作负载的情况下部署、升级和管理 OpenShift Virtualization。 表 表 2.7. virt-operator 组 组件 件 组 组件 件 描述 描述 deployment/virt-api 用作所有与虚拟化相关的流的入口点的 集群中使用。要使用 OpenShift Virtualization 的最新 z-stream 版本，您必须首先升级到 OpenShift Container Platform 的最新版本。 重要 重要 不支持从 OpenShift Virtualization 4.12.2 升级到 OpenShift Virtualization 4.13。 5.2.2. 支持的客户端操作系统 要查看 OpenShift

4.10 支持在 OpenShift Container Platform 4.10 集群中使用。要使用 OpenShift Virtualization 的最新 z-stream 版本，您必须首先升级到 OpenShift Container Platform 的最新版本。 第 第 1 章 章 关于 关于 OPENSHIFT VIRTUALIZATION 5 第 2 章 OPENSHIFT 4.10 支持在 OpenShift Container Platform 4.10 集群中使用。要使用 OpenShift Virtualization 的最新 z-stream 版本，您必须首先升级到 OpenShift Container Platform 的最新版本。 3.1.2. 支持的客户端操作系统 要查看 OpenShift Virtualization 支持的客户机操作系统，请参阅 NodeNetworkConfigurationPolicy 清单同时配置多个支持的节点。 现在，附加到 SR-IOV 网络接口的虚拟机不默认支持实时迁移。 3.3.4. 存储 具有热插虚拟磁盘的虚拟机支持 在线快照。但是，没有在虚拟机规格中的热插磁盘不会包含在快 照中。 您可以使用带有 hostpath 置备程序 (HPP)的 Kubernetes Container Storage Interface(CSI

1 移动应用开发现状 2 小程序发展趋势 3 移动应用如何利用小程序转型升级 4 实战操作 为何小程序是当下流行且应用场景广泛的新一代技术生态 通过打造小程序生态，企业的数字化创新能力将得到什么样的松绑、激活 如何基于Rancher容器云平台快速搭建小程序，扩大企业数字化系统生态 传统移动应用开发模式以及转型升级顾虑 #移动应用开发现状# 单体应用 工具型APP 服务化、模块化 保障APP动态更新的情况 下，如何保证用户体验 缺乏客户端经验的开发者， 如何做到业务极速迭代 如何丰富现有功能，开放自 己的业务生态 百万级日活 高频发版需求 业务功能单一 业务模块繁杂 移动应用转型升级过程中存在的顾虑 #小程序发展趋势# 小程序数量 DAU MAU 人均单日使用时长 数据来源：微信小程序2020上半年发展报告，截止时间2020年7月 小程序数量 DAU MAU 人均单日使用时长 可实现动态更 新与APP隔离 可独立更新 用户没有学习成本 响应速度响应快 能够快速裂变分享 打通社交媒体 触达海量用户 小程序成为互联网巨头争夺的流量入口是因为？ #移动应用如何利用小程序转型升级# 组合 索引 推荐 灰度 拆分 分享 应用场景小程序化 “上下架” 打破传统APP 信息孤岛 重组 自营APP 业务功能独立 拆分成小程序 第三方 终端应用 移动应用演进趋势

worker线程： • 通过启动配置参数concurrency指定，不支持动态调整。 • 启动virtualoutbound/virtualinbound网络监听，每个工作线程都对此监听端口进行监听。 由内核随机挑选监听线程处理新连接。 • 进行连接负载均衡处理后，选择最终的业务监听器处理新连接。 • 之后对于此连接的所有处理都在此线程进行，包括下游数据集解码，路由选择、上游数据编 码发送等。 • 状态。 Copyright © Huawei Technologies Co., Ltd. All rights reserved. Page 14 Envoy网络及线程模型-网络处理 系统内核 Worker Thread Dispatcher LibeventDispatcher 待清理对象 ListenerManager Listener Connection 创建 监听 监听器 • Envoy启动时创建的Listener与工作线程绑定并启动监听 （向libevent注册Read回调onSocketEvent），并进入阻 塞运行状态，直到进程退出。 • 当新连接到达时，内核网络协议栈调用回调并创建新连接 的Socket。 • 通过ConnectionHandler调用监听过滤器获得真实访问目 标地址 • 根据目标地址匹配得到业务监听器后创建Connection连接

来管理进程 ii. 创建 tomcat/weblogic 集群 iii. 多台物理主机之间的容器互联 iv. 标准化开发测试和生产环境 12. 安全 i. 内核名字空间 ii. 控制组 iii. 服务端防护 iv. 内核能力机制 v. 其它安全特性 vi. 总结 13. Dockerfile i. 基本结构 ii. 指令 iii. 创建镜像 14. 底层实现 i. 基本架构 更容易理解应用程序是如何创建和工作的。 Docker 容器很轻很快！容器的启动时间是秒级的，大量地节约 开发、测试、部署的时间。 Docker 容器的运行不需要额外的 hypervisor 支持，它是内核级的虚拟化，因此可以实现更高的性能和效 率。 Docker 容器几乎可以在任意的平台上运行，包括物理机、虚拟机、公有云、私有云、个人电脑、服务器 等。 这种兼容性可以让用户把一个应用程序从一个平台直接迁移到另外一个。 list.d/docker.list" $ sudo apt-get update $ sudo apt-get install lxc-docker 如果是较低版本的 Ubuntu 系统，需要先更新内核。 $ sudo apt-get update $ sudo apt-get install linux-image-generic-lts-raring linux-headers-generic-lts-raring

三剑客之 Docker Swarm Swarm mode 基本概念 创建 Swarm 集群 部署服务 使用 compose 文件 管理敏感数据 管理配置信息 安全 内核命名空间 控制组 服务端防护 内核能力机制 其它安全特性 总结 底层实现 基本架构 4 1.18.2 1.18.3 1.18.4 1.18.5 1.18.6 1.19 1.19.1 1.19 群 X （已满）：145983035 如果你有关于 Docker 的问题，请通过 Issues 来提出你的问题。 进阶学习 《Docker 技术入门与实战》第二版已经正式出版，针对初版进行内容升级，欢迎大家阅读使 用并反馈建议。 京东图书 前言 8 China-Pub 鼓励项目 欢迎鼓励项目一杯 coffee~ 前言 9 主要修订记录 0.9.0: 2017-12-31 6.5 开始对 Docker 进行支持；Google 也在其 PaaS 产品中广泛应用 Docker。 Docker 使用 Google 公司推出的 Go 语言 进行开发实现，基于 Linux 内核的 cgroup，namespace，以及 AUFS 类的 Union FS 等技术，对进程进行封装隔离，属于 操作 系统层面的虚拟化技术。由于隔离的进程独立于宿主和其它的隔离的进程，因此也称其为容