多雲一體就是現在: GOOGLE CLOUD 的 KUBERNETES 混合雲戰略 安玟宇 Wayne An Customer Engineer, Google Cloud WayneAn@google.com 安玟宇 Wayne An Customer Engineer, Google Cloud WayneAn@google.com 多雲一體就是現在: Google Cloud Cloud 的 Kubernetes 混合雲戰略 分散一切 的世界即將來臨 #容器化 / #分散式 / #微服務 #混合雲 / #新世代開發監控工具 # Cloud Native 使命 Meet customers where they are and partner with them in their transformation to cloud native Rigid Infrastructure event driven functions web apps & APIs orchestrate containers infrastructure 使用多層次的架構重塑雲端佈署 應用佈建於 IaaS / PaaS 的思考方向 高 應用 模組化程度 低 低 自動化成熟度 高 VMs (GCE) Kubernetes (GKE) PaaS (GAE) Serverless

Kubernetes支援最新的5個Kubernetes版本。其中最新的3個版本可獲 得完整功能、產品更新及安全性修補程式，比較舊的2個版本則僅獲得安全性更新。 這種更為廣泛的支援方式，可消除混合雲之中的問題，因為雲端供應商採用現行 Kubernetes修訂版的步調緩慢，並持續支援舊版本。 6. 邊緣支援 在邊緣運作對Kubernetes產生全新挑戰：資源的規模、大小及可存取性很快 將成為限制因素 Kubernetes可讓企業選擇在裸機、OpenStack或任何公有雲使用完 全受管叢集。Canonical將建構及運作叢集，並由24小時全年無休的內部專家支 援及調整部署規模。此外使用者可隨時選擇完全接手控制運作，甚至使用完全相 同的工具重新部署或複製部署。Red Hat OpenShift Managed Services的運作 方式大致相同，不過只有在特定硬體才能支援私有雲和裸機部署。Rancher目前 並沒有提供完全託管的Kubernetes服務。 的地 方，這些映像對應用程式開發及擴充能力至為關鍵。容器登錄檔以多種類型提供， Canonical Kubernetes、Red Hat Openshift及Rancher 均支援私有登錄檔、公有 雲登錄檔及DockerHub。 10.聯網 Kubernetes的聯網是由容器網路介面(CNI)推動，讓Kubernetes元件和應用程式能夠 彼此通訊。目前有各式各樣的網路功能解決方案可供選擇，但並不是所有

風險。如果管理員能夠不受限制的存取容器映像和其中 儲存的資料，則企業可能遭受針對特權層級的攻擊。 • 跨容器存取 - 不當的權限配置可能造成多個容器存取應 該保持隱私的機敏資料。此外，當容器被託管在共享的 虛擬化或雲端環境中，關鍵資訊可能會暴露給第三方。 • 合規風險 - 許多合規性要求有嚴格的存取控制與稽查規 範。然而，許多資安團隊在管理和追蹤容器與映像內留 存資料，控制權受到限制。因此，這些資安團隊發現很 難遵守相關的資安政策與法規命令。 制的加密，讓特權用戶如 Docker 或 OpenShift等群組 管理員，能夠像一般用戶執行操作，不會獲得未經授權 的機敏資料存取。 • 實現強大的安全性 - 無論容器在資料中心、虛擬環 境、甚至是雲端，任何地方儲存或使用，CipherTrust Transparent Encryption for Kubernetes 都將實現強 大的資料安全政策。無需對應用程式、容器或基礎架構 進行任何變更的情況下，企業可以選擇部署並使用容器 具有虛擬化和實體版本，可用於儲存具有信任根 (root of trust) 的主金鑰。這些設備可以被部署在企業內部，也可 以部署在私有或公有雲端基礎架構。 關於 Thales 雲端保護與授權 任何企業都信賴 Thales 來保護他們資料的隱私權。在資料 安全方面，企業面臨著越來越多的決定性時刻。 無論是建 置加密策略，移轉到雲端還是滿足合規性要求，在邁向數 位化轉型時，您可以信賴 Thales 來保護您的有價資料。 關鍵時刻 關鍵技術

從微軟角度看 Kubernetes 對公有雲所帶來的改變與挑戰 Tom Lee 雲端解決方案架構師 合作夥伴暨商務事業群 台灣微軟 Policy Routing Telemetry 智慧端點卻連接著笨管線 Smart endpoints, dumb pipes 過去 25 年都是如此運作 服務數量越來越多，端點越來越多，該如何管理 ? 服務網格 Service Mesh 更聰明的管線

Kubernetes 和容器。 • Kubernetes-native monitoring and logging for security and availability • 中央管理面板必須包含強大的雲原 生環境監控功能 • Resource utilization tools • Kubernetes Day2 管理運營必須包 括幫助公司了解其成本、優化資源 利用率並最終降低總體成本的工具。 Click to edit Master title style 14 GitOps 與資安合規守門員一拍即合 14 iThome SRE 2022 - 結合 IaC 與 PaC 提供企業上雲與應用部署（K8S）的資安偵測與修補 Click to edit Master title style 15 GitOps 的好朋友 – xxxOperator • Operator 的目標是將

赵明� FreeWheel� 演讲大纲 • 基于Kubernetes平台概览与架构 • 基于Kubernetes的应用部署最佳实践� • 服务在混合云上的部署架构与演示 • 基于Consul的混合云服务发现与演示 • 应用在混合云上的端到端测试方案 • 后续工作展望 公司与项目背景介绍 FreeWheel, A Comcast Company（以下简称FreeWheel）以全方位强化新型电视生态系 版本 • 服务部署后做自动化post check 服务在混合云上的部署架构 � 混合云部署应用演示 基于Consul的混合云服务发现 服务在Kubernetes中部署时会通过Consul client将新启动的服务通过环境变量 SERVICE_NAME和SERVICE_TAGS注册到Consul server中 混合云服务发现演示 本地环境 dbMysql: cap_add:

，全新 搭建的新一代容器化平台能够满足企业上云的各类场景需求。 多云编排 支持多云和混合云的统一集中管理，提供跨云资源检索及跨云的应用部署、发布和运 维能力，实现多云应用高效管控，提供基于集群资源的应用弹性扩缩，实现全局负载 均衡，具备故障恢复能力，有效解决多云应用灾备问题，助力企业构建多云、混合云 的数字基础设施。 涉及的模块：全局管理、容器管理、云原生网络、云原生存储、信创异构 信创异构 采用信创云原生技术架构，兼容国产芯片及服务器，支持信创操作系统及信创应用生 态体系，屏蔽底层异构基础设施的复杂性，把传统操作系统从需要长期积累的软件生 态兼容适配中解放出来，实现混合异构集群的灵活调度，保证信创应用运行环境的稳 定高可靠，助力信创进程进一步提速。 涉及的模块：全局管理、容器管理、集群生命周期管理](community/kubean.md)、信创 中间件、云原生网络、云原生存储 集群，帮助企业快速搭建企业级的容器云平台。容器管理模块的主 要功能如下： 集群管理 ➢ 集群的统一纳管，支持特定版本范围内的任意 Kubernetes 集群纳入容器管理范围， 实现云上、云下、多云、混合云容器云平台的统一管理。 ➢ 集群的快速部署，基于 DaoCloud 自主开源项目 Kubean 支持通过 Web UI 界面快速 部署企业级的 Kubernetes 集群，快速搭建企业级容器云平台，适配物理机和虚拟机

不同的应用可以选择不同的网络模式 • 同一主机的不同容器可以选择不同的网络模式 自研容器网络解决方案Galaxy（CNI网络插件+调度器插件+控制器），面向所有场景： 高性能互联网业务、离线业务、在线离线混合场景、传统有状态服务、公有云… 性能 22190 7261 16462 4861 17442 5548 21461 6828 0 5000 10000 15000 20000 5000 10000 15000 20000 25000 TCP_RR(64) TCP_CRR(64) Underlay方案性能 Host Bridge NAT IPIP+Gateway混合Overlay方案 •短链接IPIP包量比Vxlan多14.1% •Gateway比Vxlan多40.5% •方案被Flannel社区合并 Underlay方案 • Bridge方式仅比Host差6%，一般

建效率 CI/CD系统 客户交付 运维系统 •发放速度（部署上线）： 小时 -> 分钟级； •运维效率（升级&弹 性）：天 -> 小时级 客户数据中心 华为公有云 20 案例：容器混合云方案，助力上海某互联网公司实现50%的降成本目标 裸金属服务器 kubectl for HWC 镜像仓库 Portal 私有集群1 Node Podcontain er Podcontain •稳定运行的成熟期业务（ 15年 发行），希望通过降成本措施提 升利润率 •计划通过释放部分私有云服务 器等固定资产方式降低成本。为 应对业务阶段性的高峰，希望采 用公有云的资源池作为补充 华为方案价值： •采用容器混合云方式，业务高 峰时将负载弹性到华为公有云 上，解决降成本后私有云资源不 足的问题 •业务高峰期仅4-5个月，采用弹 性的公有云资源，帮助客户达成 50%的降成本目标 •采用华为云高性能物理机服务