云+社区技术沙龙 腾讯云提高K8S集群资源利用率实践 庄鹏锐 腾讯云高级工程师 资源利用率分析 Node节点资源碎片 Pod Resource（requests）配置不合理 WorkLoad/HPA 副本数设置不合理 业务空闲时间 解决方案 Pod 压缩 Node 超卖 HPA VPA 动态 调度 碎片 处理 Pod 资源压缩 • MutatingAdmission limits 两种资源计算方式 • CronHPA • HPA对象Enable 和 Disable • 动态调整 minRepliacs VPAPlus • 动态调整Container Cgroup • requets 和 limit 比例设置 • Resource Range设置 • CheckPoint对象timeout时间 • Pod对象更新时间 ` • 资源合法性校验 THANKS

...................25 3 纳管云账号及资源...................................................................................................................26 3.1 纳管 VMware 资源池............................... ....................47 3.9 纳管 SmartX 资源池...................................................................................................49 3.10 纳管 Nutanix 资源池..................................... 77 4.3.5 配置对接 Radius 实现多因子认证................................................................. 86 5 资源及人员分权分域............................................................................................

1. 主要特性 2.2. OPENSHIFT GITOPS 常用术语表 2.3. 其他资源 第 第 3 章 章 为 为支持收集 支持收集诊 诊断信息 断信息 3.1. 关于 MUST-GATHER 工具 3.2. 为 RED HAT OPENSHIFT GITOPS 收集调试数据 3.3. 其他资源 3 4 4 5 9 10 10 11 13 目 目录 录 1 Red Hat 环境与上述状态匹配的自 动过程。 Red Hat OpenShift GitOps 使用 Argo CD 来维护集群资源。Argo CD 是一个开源声明工具，用于应用程 序的持续部署(CD)。Red Hat OpenShift GitOps 将 Argo CD 实现作为一个控制器，以便持续监控 Git 存 储库中定义的应用程序定义和配置。然后，Argo CD 将这些配置的指定状态与集群中的实时状态进行比 将这些配置的指定状态与集群中的实时状态进行比 较。 Argo CD 报告与指定状态不同的配置。报告允许管理员自动或者手动将配置重新同步到定义的状态。因 此，ArgoCD 可让您提供全局自定义资源，如用于配置 OpenShift Container Platform 集群的资源。 2.1. 主要特性 Red Hat OpenShift GitOps 可帮助您自动执行以下任务： 确保集群具有类似的配置、监控和存储状态 对多个 OpenShift

...........................................................................................15 2.2 资源概览面板............................................................................................... ...................................................................................41 3.13 变更安全组访问控制.......................................................................................... 42 3.14 云安全组在线申请部署及操作变更回收..........................................................................57 5.1 变更存量虚拟机安全组访问控制.......................................................................... 57 5.2 查看查找安全组及关联实例....

事中监察 事后审计 管理者期望 堡垒机的 4A 能⼒ 堡垒机 身份鉴别 Authentication 授权控制 Authorization 安全审计 Auditing 账号管理 Accounting 堡垒机需要具备的四个核⼼能⼒ 身份鉴别 账号管理 授权控制 安全审计 - 运维安全审计的 4A 规范 - Authentication Accounting Authorization 标准》正式实施，等级保护正式 进⼊ 2.0 时代。 堡垒机助⼒企业满⾜等保三级技术要求 安全物理环境 安全通信⽹络 安全区域边界 安全审计 - 帮助企业快速构建身份鉴别、访问控制、安全审计等能⼒ - 堡垒机 安全计算环境 身份鉴别 访问控制 安全审计 系统管理 审计管理 安全管理 安全管理中⼼ 堡垒机的典型⾏业应⽤场景 ⾦融 银⾏、证券、基⾦、保险等⾦融机构⻓期遵循着严格的安全审计规范，堡垒机已经成为其企业 22,200+ 90+ Contributors 累计安装部署超过 250,000 次 强⼤的市场影响⼒：堡垒机 = JumpServer JumpServer 堡垒机的能⼒范围 身份鉴别 授权控制 账号管理 安全审计 站内信 邮箱 企业微信 钉钉 ⼯单 通知 / 审批 LDAP 对象存储 ⽇志存储 … Linux Windows ⽹络设备 数据库 Web 虚拟应⽤ … 基础设施

项目间依赖复杂，环境管理难 • 交付版本依赖工单，发布风险高 • 公共资源 / 业务资源利用率低 赋能多业务：一个平台解决了多异构项目的管理和规范 团队高效协作：定义团队角色工作流模板，随时可用云上环境 价值清晰呈现：为管理者提供全视角效能数据，赋能数字决策 人工低效操作减少 80% 构建资源利用率提升 60% 业务资源利用率提升 30% 统一治理内部规范，开发 自助上线；解放运维，工 面向多服务并行部署，安全发布， 0 维护负担 支撑云原生构建 / 运行环境，多云异构支持及企业 级登录权限支持 传统运维管理类平台 蓝鲸 Rainbond KubeSphere KubeVela 面向资源管理的运维工具集 面向开发者，需结合 CI/CD 工具额外搭建 全流程能力 专门面向开发者的生产力平台，涵盖全流程需求到 开发，测试，运维的云原生一体化技术底座支撑 云厂商 DevOps 平台 度，无需与运维持续沟通 降低个人心智负担 • 通过平台工程，将底层的复杂性 抽象化，降低个人心智负担，提 高开发效率 可重用降低运维成本 • 一些组织可能过度依赖高级工程 师管理发布流程和基础设施，导 致资源浪费和效率低下 Zadig 平台工程模式 工程规模数据： • 1500+ 产研工程师 Vs. 2 人运维 • 50 + 个 Kubernetes 全球集群 • 300+ 个数字产品（资产沉淀）

项目间依赖复杂，环境管理难 • 交付版本依赖工单，发布风险高 • 公共资源/业务资源利用率低 赋能多业务：一个平台解决了多异构项目的管理和规范 团队高效协作：定义团队角色工作流模板，随时可用云上环境 价值清晰呈现：为管理者提供全视角效能数据，赋能数字决策 人工低效操作减少 80% 构建资源利用率提升 60% 业务资源利用率提升 30% 统一治理内部规范，开发 自助上线；解放运维，工 作重心向业务稳定性保障， 面向多服务并行部署，安全发布，0 维护负担 支撑云原生构建/运行环境，多云异构支持及企业 级登录权限支持 传统运维管理类平台 蓝鲸 Rainbond KubeSphere KubeVela 面向资源管理的运维工具集 面向开发者，需结合 CI/CD 工具额外搭建 全流程能力 专门面向开发者的生产力平台，涵盖全流程需求到 开发，测试，运维的云原生一体化技术底座支撑 云厂商 DevOps 平台 度，无需与运维持续沟通 降低个人心智负担 • 通过平台工程，将底层的复杂性 抽象化，降低个人心智负担，提 高开发效率 可重用降低运维成本 • 一些组织可能过度依赖高级工程 师管理发布流程和基础设施，导 致资源浪费和效率低下 Zadig 平台工程模式 工程规模数据： • 1500+ 产研工程师 Vs. 2 人运维 • 50 + 个 Kubernetes 全球集群 • 300+ 个数字产品（资产沉淀）

大幅减少获取应用运行环境资源排期及总体等待时间................................. 7 1.3.2 大幅减少资源部署人工操作工作量及操作风险，解放人力..........................8 1.3.3 简化流程，降低协作沟通成本，缩短交付时间............................................ 9 1.3.4 减少资源浪费降低成本、IT 1 建立 IT 在线服务自动化门户......................................................................11 1.5.2 实现资源运行环境全生命周期管理............................................................12 1.5.3 实现运维工具深度整合、联动自动化.. ................................................................................23 2.4.2 虚拟化及云平台纳管资源同步....................................................................24 2.4.3 分权分域管理.............

PLANE 工作 工作负载 负载 1.1. 将 GITOPS CONTROL PLANE 工作负载移到基础架构节点 1.2. 将 GITOPS OPERATOR POD 移到基础架构节点 1.3. 其他资源 3 3 4 6 目 目录 录 1 Red Hat OpenShift GitOps 1.13 基 基础 础架 架构节 构节点上的 点上的 GitOps 工作 工作负载 负载 2 第 工作负载，包括此命名空间中的默认 Argo CD 实例。 使用 GitOps control plane 工作负载，您可以通过在集群中创建多个隔离的 Argo CD 实例来安全地并声明 性地隔离基础架构工作负载，并完全控制 Argo CD 实例的功能。另外，您可以在多个开发人员命名空间 中以声明性方式管理这些 Argo CD 实例。通过使用污点，您可以确保只有基础架构组件在这些节点上运 行。 注意 注意 在用户命名空间中安装的所有其他 openshift-gitops-redis-server statefulset 流程 流程 1. 运行以下命令，将现有节点标记为基础架构： 2. 编辑 GitOpsService 自定义资源(CR)以添加基础架构节点选择器： $ oc label node node-role.kubernetes.io/infra= 第 第 1 章 章 在基 在基础 础架 架构节

互联网，向产业互联网的升级的决心。 业务上云价值 • 开发效率更高 • 云上特性（VM热迁移等） • 丰富的标准化云服务 • 云原生TKE、研发CICD流程 • 计算资源重用 • 公共组件产品化 • 丰富的公有云海外资源 • 使用业界标准化的云原生服 务，离开封闭的开发环境和组 件 • 工程师输出优秀的组件到云上 成为标准服务，孵化成更好的 云服务 • 服务开源生态 • 为行业输出公有云迁移经验 TKE 腾讯云(IAAS) 基础服务 计算资源（CVM） 存储资源（CBS） 网络资源 ……. Kubernetes多集群管理 Cluster1 Cluster2 ……. 应用服务管理 集群监控 集群日志 集群告警 基础设施监控 基础设施日志 基础设施告警 管理体系 业务管理 用户体系 权限 审计 安全 资源调度 服务监控 服务告警 远程日志 自动扩缩容 IP跨集群访问 网络 •支持CLB •支持L5/CMLB •支持VIP 路由与服务发现 •StatefulsetPlus •原地重启 分批发布 •接口证书认证 •基于RBAC授权 权限控制 •基于项目管理 •角色鉴权认证 镜像仓库 •CBS(SSD/SATA) •Cehp/NFS 网络存储 •远端日志挂载 •页面日志查询 远程日志 CI/CD/CO 需求 设计 开发