Kubernetes 容器编排与应用编排 郭维 才云科技 目录 Speech content Kubernetes 容器编排技术 容器编排与应用架构 容器编排的困境 应用编排架构 Kubernetes Caicloud Kubernetes 控制器架构 Controllers Deployment StatefulSet DaemonSet Job CronJob Pod Forbid * Replace 3. 支持单任务并发控制 一个简单的编排案例 Client API DB API Proxy DB Proxy DB Backup Monitoring Deployment StatefulSet Service CronJob DaemonSet Kubernetes 编排案例 Application Ingress Business Logic A Business Logic A Cache 需要多少 Services, Deployments, StatefulSets DaemonSets, CronJobs? 容器编排的困境 Kubernetes 为我们带来了什么？ 1. 提供了多种多样的基础资源封装：Service，Controllers，ConfigMap，Batch … 2. 自动化的运维机制：HPA

1 梁成 腾讯云, barryliang@tencent.com 基于Consul的多Beats接入 管控与多ES搜索编排 2 拥抱开源、释放云原生的力量 • 背景与挑战 • 多Beats/Logstash接入管控 • 多ES搜索编排系统 • 日志AIOps探索 3 背景与挑战 产品数量 人员规模 主机规模 100+ 1000 + 10000 + 如何降低日志接入门槛 间设置等组件提高用户体验，尽量减少直接填 文本 前后端强类型 前端采用基于ts 的angular开发所有数据定义 与后端golang数据保持强一致，保证数据一致 性 15 多ES搜索编排系统 提供多ES多索引搜索编排功能，帮助 业务快速定位异常 16 故障定位遇到的困扰 客服 产品 运维 研发 多es切换 系统切换 采集 高负载 合作伙伴 OthersDB 17 案例:非APM场景下多组件日志搜索探索

......................................................................................26 2.4 路径 3：编排工具攻击................................................................................26 2.4.1k8s 组件攻击 主机安全是云安全 的核心；在云原生阶段，容器和无服务器计算成为核心工作负载，容器安全、 Serverless 安全、DevSecOps 成为云安全的核心。自开源 Docker 容器和 k8s 编排引擎出现以来，云原生生态不断扩大。当前，云原生作为云计算深入发展的 产物，已经开始在 5G、人工智能、大数据等各个技术领域得到广泛应用。云原 生技术的广泛应用，带来了一系列云原生安全问题，因此，要保障云原生的安全， 需求设计（Plan）、开发（Dev）、 运营（Ops）,细分为需求、设计、编码、测试、集成、交付、防护、检测和响 应阶段；而纵轴则是按照云原生系统和技术的层次划分，包括容器基础设施安全、 容器编排平台安全、微服务安全、服务网格安全、无服务计算安全五个部分，二 维象限中列举安全机制（蓝色标注部分）已经基本覆盖全生命周期的云原生安全 能力。此外，DevSecOps 涉及的能力范围几乎覆盖了横轴和纵轴的各个阶段，

消息 DMS 分布式 数据库 DDM 应用编排引擎 AOS App/PaaS/IaaS 资源一键式创建 应用运维 AOM 应用性能管理 APM 应用拓扑 调用链 SLA指标 日志关联分析 异常预警 故障回溯 软件开发服 务 DevCloud 云性能测试 CPTS PaaS IaaS 开发测试 统一编排 自动化部署、微服务注册发现与治理、中间件运行环境 容器技术是一种轻量级的操作系统虚拟化方案， 可以基于操作系统虚拟出更加细粒度的资源单位。 5 什么是容器编排调度引擎？ • 容器编排引擎提供资源的管理和容器的调度技术，提供容器应用生命周期管理、弹性伸缩、监控运维的基本机制，决定容器 之间如何进行交互。 • Kubernetes（简称K8S）是主流的容器编排部署管理平台。它基于Google Borg商用系统开发，具有轻量级，可移植性，高 灵活性等特点。 宰容器编排调度引擎市场 2017年10月，Docker公司宣布支持Kubernetes 2017年10月17 日，在 DockerCon 欧洲大会上，容器供应商 Docker 宣布重磅消息，将拥抱容器编排对手Kubernetes。 在全球3大容器调度编排引擎中，Kubernetes占据近70%的市场份额， 已成为行业事实标准。 Kubernetes已成为业界最主流的容器调度编排引擎 7

目录 简介 3 九大能力 4 多云编排 4 中间件服务 4 微服务治理 5 可观测性 5 应用商店 6 应用交付 6 信创异构 7 云边协同 7 云原生底座 8 模块化搭建 8 容器管理 9 全局管理 10 可观测性 10 应用工作台 11 多云编排 11 微服务引擎 12 服务网格 13 简介 DaoCloud Enterprise 5.0（DCE 5.0）是一款高性能、可扩展的云原生操作系统。 它能够在任何基础设施和任意环境中提供一致、稳定的体验，支持异构云、边 缘云和多云编排。 DCE 5.0 集成了最新的服务网格和微服务技术，能够跟踪每 一个流量的生发始终， 帮助您洞察集群、节点、应用和服务的详细指标，并通 过动态仪表盘和拓扑大图可视化掌握应用健康状态。 DCE 5 这些模块就像乐高搭积木一样，糅合社区最优秀的几十种开源技术，经过众多 辩证选型、攻坚克难、编码调试、海量测试，“十年磨一剑，一朝试锋芒，全新 搭建的新一代容器化平台能够满足企业上云的各类场景需求。 多云编排 支持多云和混合云的统一集中管理，提供跨云资源检索及跨云的应用部署、发布和运 维能力，实现多云应用高效管控，提供基于集群资源的应用弹性扩缩，实现全局负载 均衡，具备故障恢复能力，有效解决多云应用灾备问题，助力企业构建多云、混合云

、 数据库单机部署时 使用创建管理非集群产品以及部署包创建管 理功能进行配置 当需要支持中间件、数据机多机集群部署时 使用创建集群产品功能配置，创建集群产品功 能可定义虚拟机与脚本的组合编排任务支持 实现中间件、数据机多机集群部署。 需要配置主机名自动生成命名规则，用户侧申请 向导中的选项是否显示、是否必填，如是否允许 指定 SSH root 登录密码，是否可选择安全组时 可产品模版功能配置，配置各个云平台对应的 选择产品中间件类型、版本  选择产品图标 填写完成后点击右下角【下一步】按钮打开向导第二页任务编排页面。 杭州飞致云信息科技有限公司 134 图 7-23 创建集群产品向导第一页基本信息页面 （4）添加创建虚拟机任务。 1. 在【创建集群产品】向导第二页任务编排页面中，按需从左侧任务箱中拖动创 建虚拟机任务到右侧编排任务区，打开如图 7-25 所示【添加任务】向导页面， 在页面中填写任务名称、描 创建集群产品向导第二页任务编排页面 图 7-25 添加创建虚拟机任务向导第一页-设置基本信息 杭州飞致云信息科技有限公司 136 图 7-26 添加创建虚拟机任务向导第二页-设置任务详情 图 7-27 完成添加创建虚拟机任务 （5）添加部署 MySQL 主节点脚本任务。 杭州飞致云信息科技有限公司 137 1. 在【创建集群产品】向导第二页中，从左侧任务箱中拖动脚本任务到右侧编排 任务区。打开如图

云原生安全演进。云原生经过多年发展，已实现全行业高质量规模化 落地。云原生革新了传统用云方式，驱动传统应用充分享受云原生 化红利，也给传统安全防护体系带来了新的挑战。同时，云原生轻 量敏捷、高可靠、可编排的技术优势又为传统安全注入了新的活力， 为安全与基础设施、业务应用的深度融合提供了可能。云原生安全 已成为云上安全防护的最佳路径，并呈现以下态势：一是云原生安 全体系日趋成熟。当前，云原生安全产业生态日趋完善，技术创新和 可运行在多种芯片类型的服务器上，支持多种处理器混合部署、统 一调度，为用户提供计算服务；天翼云云骁平台将通用算力、智能 算力、超算算力融合在一起通过云的方式提供，使用户可一站式获 取多样性算力资源。 调度方面，云计算编排能力不断升级，使算力资源跨区域跨架 构调度成为可能。一是云计算资源池化技术为物理资源池提供算力 规模弹性空间，支撑算力调度模式由“按量”发展为“按需”。传统 云计算白皮书（2023 年） 29 类型”。传统算力调度要素仅考虑算力这种单一类型资源的调度，云 计算中虚拟化技术使得算力、网络、存储等多种资源可在同一个应 用场景下被协同管理、编排、调度。例如，电信运营商依托网络基 础设施优势，综合评估算力、网络、存储等复合资源状态，推出能 够提供融合统一调度服务的“算网大脑”，通过实现“算”和“网” 资源的拉通、编排调度层的拆解、标识、感知、映射等能力，结合 调度算法，提供算网融合类的业务支撑。三是分布式云技术推动算

以上解耦的结果，隐含着更深层次的能力，不是简单解耦那么简单，它使得统一通用PaaS成为可能 组件市场|仓库 平台运维特性 应用编排 运维特性编排 版本化 应用 • 两端解耦之后，两端方面都可以形成一个没有 私有PaaS特征依赖的市场，而强大的开源社区 比平台提供商自己还要强大，利用容器底座的 承载能力和OAM抽象化编排能力，可以不等排 期的构建各种特征的Paas。业务应用由于不依 赖于运维特性，也实现了标准化，也可以加入 赖于运维特性，也实现了标准化，也可以加入 组件市场，此时开放PaaS+开放应用市场可以 构建对应各种环境的应用了。 • 云原生蓬勃而多样的生态成了这种Paas的基础。 • 编排不在以服务为单位，而是以应用为单位， 再也不会出现由于理解不一致导致的交付失败 的情况，而不论底层容器云实现如何，应用的 交付的方式都是一致的。 DevOps是一种文化，是一种组织赋能，在无所不在，OAM除了在交付过程中提供了基于应用的 交付方案，同时将CI OAM使得整体PAAS在通用化的情况下，向多种客户环境交付赋能。 OAM应用实例 从基础设施，到容器运行环境，再到应用都可以加入编排，想要在K8s上编排一切并不是容易的事情，通常一个应用，除了本身的容器之外还有许 多的依赖，常见的依赖有RDS，LB，MNS（SNS，SQS）等这类非容器资源。OAM在使用一体的“编排”语言即可将容器资源和非容器资源定义在一起。 比如要使用AWS的块存储 后续如果某个应用需要存储，可以直接引用。

作为基础设置提供远程过程调用的功能，用于不同 服务之间的通信和数据传输 PhxRPC Motan 消息队列类 异步通信功能，实现服务之间消息 传送 PhxQueue 容器编排管理类 容器编排类管理和编排容器化应用 程序 TKE 服务治理类 提供了服务注册与发现、负载均衡、熔断降级等功 能，用于构建和管理微服务架构 Pebble 其他类 分布式事务类 解决分布式系统中 中间件开源展望：云原生中间件 云原生中间件开源能降低企业构建更敏捷云原生应用的门槛，但目前开 源项目较分散，需要进一步集中开源力量 来源：根据专家访谈、公开资料，由艾瑞咨询研究院自主研究及绘制。 云原生应用编排及管理 编排与调度 远程调用 服务代理 API网关 服务网格 分布式架构 消息处理 Serverless 自动化配置 数据库 镜像制作 … 边缘计算 人工智能 大数据 区块链 … 云原生底层技术 原 生 应 用 安 全 云 原 生 应 用 监 测 分 析 灰色填充内容表示非中间件范围，其余均为含本篇报告 的中间件研究范围的部分 云原生生态概览 云原生的意义：通过底层云原生技术与相关应用编排管理 组件的使用，在云原生生态之上运行的应用，能在构建时 更快速、运行时更稳定、修改时更简便，提升企业应对快 速业务变化的敏捷调整能力。 云原生生态与云原生中间件 云原生中间件特色：底层资源容器化，同时通过组件化、