����� ����� ������� ��������� ������� �������� �� ���� Online service Batch jobs Category Online shopping web apps, payment service MR, spark, flink Latency Sensitive Insensitive Priority high low ������� ������ �� ��� ���� �������� �� ����������� Scheduling Isolation Efficient placement of service container and tasks When placed together, don’t affect each other Resource contention ���� ������ ���������� on long running service. Driving current state towards desired state with control loops YARN Focus on scheduling jobs ���������� ���� Kubernetes Container centric – bottom up. Container is the primitive

Elastic Kubernetes Service (EKS) 初探秘 © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential AWS 容器服务概览 镜像仓库 容器镜像保存地址 Amazon Elastic Container Registry 管理 容器化应用的部署，调度，扩 容器化应用的部署，调度，扩 展和管理 Amazon Elastic Container Service Amazon Elastic Container Service for Kubernetes 主机 容器在哪里运行 Amazon EC2 AWS Fargate 服务注册发现 云端服务的黄页 AWS Cloud Map 服务网格 服务间通信的基础设施层 © 2019 New Amazon EKS Region: Paris, London, Mumbai - CNI v1.5.0 - New Regions: Hong Kong 即将发布 - Service linked role for Amazon EKS - EKS Support for K8s version 1.13 + ECR AWS PrivateLink - EKS-optimized

Containers VMware Hypervisor VMs Docker Containers User Cases 9 •Ready-to-go development •Self-service portal Developer Sandbox • New application development • 12-factor apps, PCF Cloud Native •Simplify Application Repackaging Application Refactoring Application Journey App packaged in VM App packaged in Container Platform Evolution 11 Confidential │ ©2018 VMware, Inc. 11 Confidential │ ©2018 VMware, Inc Kubernetes Services $docker run container1 $docker run container2 $docker run container3 $docker run container4 $kubectl create –f App.yaml The “App” Wanted: Container Orchestrator! Kubernetes in

Kubernetes安全求生指南 ©2019 VMware, Inc. 2  您的Kubernetes環境夠安全嗎?  Kubernetes安全最佳實務  VMware Enterprise PKS平台如何實踐K8s與容器的安全強化  最困難的部分其實是....  總結 本日議程 3 ©2019 VMware, Inc. 您的Kubernetes環境夠安全嗎? ©2019 (Configure secure context for containers)  分隔敏感的工作負載 (Segregate sensitive workloads)  掃描容器映像 (Scan container images)  開啟稽核日誌 (Enable audit logging)  跟上最新的 Kubernetes版本 (Keep your Kubernetes version up NIST在容器安全指南中揭露了五種容器應用最應關注的風險 映像風險 Image Risk 登錄風險 Registry Risk 容器調度平台風險 Orchestrator Risk 容器風險 Container Risk 實體作業系統風險 Host OS Risk ©2019 VMware, Inc. 9 針對Kubernetes的安全強化實作參考: CIS Benchmark

������Kubernetes Service�������� �� ��Cloud BU - PaaS��� Github: @m1093782566 Kubernetes�Service�� Iptables��Service���� ��Iptables������� IPVS��Service���� Iptables vs. IPVS Kubernetes�Service ����onl��a�o� Kubernetes Service�Endpoints Label Selector Label: app=backend IP: 172.17.10.1 Port: 80 Label: app=MyApp Container Container Label: app=backend IP: 172.17.10.2 Port: 80 Label: app=MyApp Container Container Container Replication Controller Label: app=MyApp Replicas: 2 Service <10.0.0.11>:<9376> Label: app=MyApp Endpoints: track backend pod changes <172.17.10.1>:<80> <172.17.10.2>:<80> ... Cluster DNS record:

19-配置最佳实践 20-管理容器的计算资源 21-Kubernetes资源分配 22-将Pod分配到Node 23-容忍与污点 24-Secret 25-Pod优先级和抢占 26-Service 27-Ingress Resources 28-动态⽔平扩容 29-实战：使⽤K8s编排Wordpress博客 2 简介 Kubernetes开源书。不啰嗦了，JUST READ IT ：在构建/发布期间⽽⾮部署期间创建镜像，从⽽将应⽤程序与基础架构分离。 开发、测试和⽣产环境⼀致 ：在笔记本电脑运⾏与云中⼀样。 云和操作系统可移植性 ：可运⾏在Ubuntu、RHEL、CoreOS、内部部署，Google Container Engine以及任何其他 地⽅。 以应⽤为中⼼的管理：从在虚拟硬件上运⾏操作系统的抽象级别，提升到使⽤逻辑资源在操作系统上运⾏应⽤程序 的级别。 松耦合，分布式，弹性，解放的微服务： Controller：负责维护系统中每个replication controller对象具有正确数量的Pod。 Endpoints Controller：填充Endpoint对象（即：连接Service＆Pod）。 Service Account & Token Controllers：为新的namespace创建默认帐户和API access tokens。 cloud-controller-manager

SACC2017 Pod部署在K8s中 23 Pod 1 Container 1 Tools, Libs, SW Container 2 Tools, Libs, SW Pod 2 Container 1 Tools, Libs, SW Container 2 Tools, Libs, SW Kubernetes LoadBalancer • 服务发现 – DNS – 环境变量 25 Worker Node Service Pod 1 Pod 2 Pod N Node IP: 192.168.10.10 IP: 10.2.3.14 DNS: service1.cluster.local Port: 9443 NodePort: 31233 Protocol: TCP Controller • 自动恢复 • 手动扩展 • 滚动更新 • 多版本追踪 Worker (Container Host) P1R1 Worker (Container Host) P1R2 P2R1 P1R1 P2R1 Worker (Container Host) P1R3 P2R2 P2R2 Master API K K K

with Kubernetes Ø How to provide a fast & reliable way to release stateful service Ø Advanced scheduling to improve service stability Ø Quota management to optimize resource orchestration efficiency autoscaling What is TKEx Ø Based on TKE (Tencent Kubernetes Engine) & EKS (Tencent Elastic Kubernetes Service). Ø Serve Tencent’s business by using kubernetes native approach. • Adapt to various internal systems services. • Support Service Mesh. • Large-scale and high-performance autoscaling capabilities. • Multi-tenant and quota management. • etc. TKEx Architecture EKS (Elastic Kubernetes Service) TKE (Tencent

是一套集自动部署，弹性扩容，并且基于容器的集群管理工 具。 • 快速部署应用程序 • 弹性负载均衡 • 无缝升级应用 • 硬件隔离 Kubernetes 介绍 LXC (Linux Container) 介绍 在单一系统的内核层通过一套 API 在应用层提供硬件及软 件环境隔离的 Linux 环境（containers 。在内核层，通过 cgroup 来提供硬件环境的隔离（例如 CPU，Memory， tree，网络，user IDs 和挂载的文件 系统 。 Container 框架 通过在 Kernel 层面提供的 API 来达到上层可以容器化应 用程序。 Container VS VM (Virtual Machine) 由于采用系统当前的内核，Container会启动加载更快，更 轻量，并且更省资源。 Container Image 用来将需要容器化的应用程序及其环境进行打包后存储的镜像。 只包含软件环境的配置 • 硬件配置需要运行时去指定 OCI (Open Container Initiative) • From Linux Foundation • 旨在为 Container 格式和运行时创建开放行业标准。 • 该组织于2015年6月22日由Docker，CoreOS等 Container 行 业的领导人推出。 • OCI目前包含两个规范： • 运行时规范（runtime-spec

⽅法⼆：Ingress 外⽹访问 WordPress 配置⽅法 �. 创建 Namespace 和 PVC 资源 �. 部署MySQL容器组 �. 部署WordPress容器组 �. 创建 Service �. 创建 Ingress �. Haproxy 策略配置上述 Ingress 与服务映射的 �� 端⼝ �. 访问 Wordpress 容器服务 Kubernetes 版（CCK）， 最⼤申请：可指定该应⽤所能使⽤的最⼤资源额度，包括 CPU 和内存两种资源，防⽌占⽤过 多资源。其中，CPU 资源的单位为 Core（即⼀个核）、内存的单位为 MiB。 Init Container：勾选该项，表示创建⼀个 Init Container，在主容器启动前执⾏，进⾏初始化 ⼯作，详情参考https://kubernetes.io/docs/concepts/workloads/pods/init- ⽤于 检测何时重启容器；就绪检查⽤于确定容器是否已经就绪，且可以接受流量。更多信息，请参 ⻅https://kubernetes.io/docs/tasks/configure-pod-container/configure-liveness- readiness-probes。 24 请求类型 配置说明 HTTP/HTTPS 即向容器发送⼀个