近年來，容器已成為云原生應(yīng)用程序架構(gòu)的同義詞。它們重新定義了打包、分發(fā)、部署和管理應(yīng)用程序的方式。但是，容器本身就是已有Linux技術(shù)的重新興起，只不過這些技術(shù)以一種新的、更有用的方式結(jié)合在一起。

[[280160]]

雖然許多組織正在將基于虛擬機(jī)(VM)的應(yīng)用程序遷移到容器，但虛擬化在數(shù)據(jù)中心和公有云中仍然普遍存在。我們還看到虛擬化技術(shù)以新的方式與容器和Kubernetes結(jié)合在一起，為新問題提供創(chuàng)新的解決方案。換句話說，虛擬機(jī)也正在成為云原生架構(gòu)的一部分——這就是容器原生虛擬化。

Kubernetes的基石仍然是Linux容器的編排和管理，以創(chuàng)建一個(gè)功能強(qiáng)大的分布式系統(tǒng)，用于跨混合云環(huán)境部署應(yīng)用程序。Kubernetes通常運(yùn)行在基于VM的基礎(chǔ)設(shè)施之上，而基于VM的工作負(fù)載通常仍然是IT組合的重要組成部分。進(jìn)入2019年，Kubernetes和虛擬化的交匯有三個(gè)主要趨勢(shì)：

1、Kubernetes編排微虛擬機(jī)，為不受信任的工作負(fù)載提供更嚴(yán)格的多租戶隔離。

2、Kubernetes編排和管理傳統(tǒng)的基于VM的工作負(fù)載(通過KubeVirt)和基于容器的工作負(fù)載。

3、Kubernetes集群越來越多地部署在裸機(jī)服務(wù)器上，作為基于VM環(huán)境的Kubernetes的替代品。

這些都不是新想法，但在2019年我們期望看到這些趨勢(shì)背后的動(dòng)力成為現(xiàn)實(shí)。這些功能共同說明了Kubernetes將如何繼續(xù)發(fā)展并應(yīng)用于更廣泛的應(yīng)用程序。

Kubernetes編排微VM

當(dāng)采用Kubernetes和容器時(shí)，核心考慮因素之一是安全性以及如何確保容器在多租戶環(huán)境中安全運(yùn)行。容器在共享Linux主機(jī)上作為獨(dú)立進(jìn)程運(yùn)行，并且你經(jīng)常在由多個(gè)主機(jī)組成的Kubernetes集群中運(yùn)行多個(gè)容器化應(yīng)用程序。

從Linux主機(jī)級(jí)別到Kubernetes集群級(jí)別有多層容器安全性，可以保護(hù)這些應(yīng)用程序不被惡意利用。其中包括Linux內(nèi)核級(jí)功能，如cGroups、namespaces、seccomp和SELinux——它們確保容器無法利用底層Linux主機(jī)或其他容器。

在Kubernetes集群級(jí)別，基于角色的訪問控制(RBAC)、命名空間租戶隔離和pod安全策略等功能使多個(gè)應(yīng)用程序可以在同一個(gè)集群上安全地運(yùn)行。

如今，大多數(shù)用戶對(duì)這些功能提供的安全性充滿信心，因此，我們看到在任務(wù)關(guān)鍵型生產(chǎn)環(huán)境中運(yùn)行Kubernetes的用戶數(shù)量呈爆炸式增長。

對(duì)于某些用戶而言，可能需要更強(qiáng)大的多租戶隔離，無論是由于運(yùn)行不受信任的工作負(fù)載，還是是否有更嚴(yán)格的安全要求或其他原因。這就是基于微型VM(如Kata Containers、Firecracker或gVisor)的方法的用武之地。

Micro-VM與你可能在VMWare、AWS或其他提供商上運(yùn)行的傳統(tǒng)VM不同。相反，它們?cè)趹?yīng)用程序容器的上下文中重新混合現(xiàn)有的硬件輔助虛擬化技術(shù)(如基于內(nèi)核的虛擬機(jī)(KVM))以提供非常輕量級(jí)的虛擬機(jī)。

這種方法不是像傳統(tǒng)虛擬化那樣嘗試提供完整的“機(jī)器”，而是專注于提供足夠的VM來成功執(zhí)行應(yīng)用程序容器或功能。因此，由于其功能差異和限制，你不能只使用傳統(tǒng)VM并在基于微VM的容器中運(yùn)行它。相反，微VM旨在提供相對(duì)于標(biāo)準(zhǔn)Linux容器的硬隔離，同時(shí)最大限度地減少傳統(tǒng)VM在冷啟動(dòng)時(shí)間和性能方面的折中。

雖然Firecracker、Kata和gVisor等技術(shù)引起了很多關(guān)注，但目前在用戶采用方面還沒有明確的領(lǐng)導(dǎo)者，每種方法都有權(quán)衡和取舍。雖然我們預(yù)計(jì)Kubernetes編排的絕大部分工作負(fù)載仍將是標(biāo)準(zhǔn)的應(yīng)用程序容器，但隨著微VM在2019年的不斷發(fā)展，它值得關(guān)注。

Kubernetes編排標(biāo)準(zhǔn)虛擬機(jī)

Kubernetes編排引擎為企業(yè)生產(chǎn)工作負(fù)載提供了更具可擴(kuò)展性和靈活性的模型。最初，這意味著，生產(chǎn)工作負(fù)載打包為應(yīng)用程序容器。但是有了像KubeVirt這樣的開源項(xiàng)目，我們看到同樣強(qiáng)大的Kubernetes編排引擎可以應(yīng)用于管理通常在云或虛擬化平臺(tái)上運(yùn)行的標(biāo)準(zhǔn)虛擬機(jī)。

在2019年，我們預(yù)計(jì)這種趨勢(shì)將持續(xù)下去并轉(zhuǎn)變?yōu)楦鼜V泛的思維模式變化。以前在以虛擬機(jī)為中心和以容器為中心的基礎(chǔ)設(shè)施之間的選擇將沒有實(shí)際意義。Kubernetes將開始使容器和虛擬機(jī)的混合運(yùn)維成為可能，而且將是在裸機(jī)環(huán)境中運(yùn)行。

容器原生虛擬化是一種概念，它使虛擬機(jī)能夠遵循與Kubernetes中基于容器的應(yīng)用程序相同的工作流程。以前，虛擬化堆棧是與Kubernetes和云原生是完全獨(dú)立的孤島——獨(dú)立的工作流程、獨(dú)立的工具、獨(dú)立的團(tuán)隊(duì)等。

但隨著數(shù)字化轉(zhuǎn)型的實(shí)施，統(tǒng)一這些不同的技術(shù)、流程和團(tuán)隊(duì)的需求變得至關(guān)重要。使用KubeVirt進(jìn)行容器原生虛擬化，企業(yè)將能夠更有效地集成其應(yīng)用程序操作并保留現(xiàn)有的IT技能，同時(shí)擁抱基于Kubernetes構(gòu)建的現(xiàn)代基礎(chǔ)設(shè)施。

裸機(jī)上的Kubernetes(沒有虛擬機(jī))

雖然虛擬機(jī)成為Kubernetes工作負(fù)載組合中的重要組成部分，但我們發(fā)現(xiàn)它們作為Kubernetes底層基礎(chǔ)設(shè)施的一部分變得不那么受歡迎了。雖然目前大多數(shù)Kubernetes平臺(tái)都部署在基于VM的基礎(chǔ)設(shè)施上，但容器不依賴于VM來運(yùn)行。我們發(fā)現(xiàn)對(duì)在裸機(jī)上運(yùn)行Kubernetes和容器的興趣繼續(xù)增長。

在裸機(jī)上運(yùn)行Kubernetes將使應(yīng)用程序能夠充分利用底層硬件，這對(duì)于為Kubernetes帶來更多機(jī)器和性能敏感應(yīng)用程序的用戶來說非常重要。在裸機(jī)上運(yùn)行Kubernetes和容器還可以幫助用戶減少VM蔓延并簡(jiǎn)化操作。

為了避免被任何一個(gè)提供商或供應(yīng)商鎖定，用戶將重點(diǎn)放在Kubernetes上，作為跨物理、虛擬、私有云和公有云環(huán)境運(yùn)行的應(yīng)用程序的通用抽象層。我們需要滿足用戶的需求。這意味著跨開放的混合云提供Kubernetes，包括內(nèi)部部署和在裸機(jī)上部署。