隨著容器技術(shù)的快速發(fā)展和廣泛應用，毫無疑問云原生技術(shù)是未來發(fā)展的必然趨勢。作為國內(nèi)最早布局容器技術(shù)的阿里云，無論在技術(shù)還是產(chǎn)品上，都取得了極大的成果。阿里云資深技術(shù)專家易立通過阿里云容器服務(wù)，分享容器技術(shù)落地的最佳實踐，希望能夠幫助同學們更好地理解容器技術(shù)和云原生理念，合理地設(shè)計上云架構(gòu)，充分發(fā)揮云的價值。

什么是容器?

容器的英語是 Container，它的意思是集裝箱。我們知道，經(jīng)濟全球化的基礎(chǔ)就是現(xiàn)代運輸體系，而其核心正是集裝箱。集裝箱的出現(xiàn)實現(xiàn)了物流運輸?shù)臉藴驶?，自動化，大大降低了運輸?shù)某杀?，使得整合全球的供應鏈變?yōu)榭赡?。這就是著名經(jīng)濟學人談到的“沒有集裝箱，就沒有全球化”。

集裝箱背后的標準化、模塊化的理念也在推進建筑業(yè)的供應鏈變革。在最近，疫情爆發(fā)之后。10 天 10 夜，在武漢火神山，一個可以容納上千床位的?？漆t(yī)院平地而起，在抗疫過程中發(fā)揮的重要作用。整個醫(yī)院都是采用集裝箱板房吊裝。模塊化的病房設(shè)計，預置了空調(diào)、消殺、上下水等設(shè)施，極大加速了施工速度。

容器的通俗理解

??

軟件集裝箱 ”容器技術(shù)“ 也在重塑整個軟件供應鏈。容器作為一種輕量化的操作系統(tǒng)虛擬化技術(shù)，和和傳統(tǒng)的物理機、虛擬化技術(shù)和使用方式有什么不同呢?打個比喻：

傳統(tǒng)物理機就是獨棟大別墅

• 一家人獨占，住的舒適，不會被別人打擾。
• 應用獨占物理機，性能優(yōu)異。但是缺點就是貴、交付時間長，資源利用率也不高。

虛擬機就是聯(lián)排住宅

• 每戶有獨立的空間，有較好的隔離性。每棟房屋之間共享水電、地基等基礎(chǔ)設(shè)施。容積率提升了，成本下降了，交付速度也加快了。
• 通過虛擬化技術(shù)，虛擬機中的應用可以實現(xiàn)安全隔離，還可以有效提升資源利用率。但是，虛擬機交付后還需進行應用配置和安裝，交付速度還不夠快。

容器就是集裝箱板房

• 集裝箱房采用模塊化設(shè)計，自帶裝修，可以快速搭建，隨時移動。這是 2022 年卡塔爾世界杯一個體育場的設(shè)計。它將完全使用集裝箱方式搭建一個可以容納 4 萬人的體育場。每個集裝箱模塊都在在中國生產(chǎn)，已經(jīng)預置了看臺，衛(wèi)生間，酒吧等功能，在中國生產(chǎn)完畢后在卡塔爾組裝。不但工期可以縮短 3 年，而且賽事結(jié)束后可以拆卸，搬遷到其他地方。
• 容器利用操作系統(tǒng)中 cgroup，namespace 等技術(shù)實現(xiàn)資源隔離。容器共享操作系統(tǒng)內(nèi)核，非常輕量，沒有資源損耗，支持秒級啟動，極大提升了系統(tǒng)的應用部署密度和彈性。容器鏡像將應用和其依賴的系統(tǒng)組件和配置打包在一個標準化的、自包含的格式中。通過容器鏡像方式進行應用分發(fā)和交付，可以讓應用即開即用，并一致地運行在不同環(huán)境。

容器的價值

在過去幾年中，容器技術(shù)得到了越來越廣泛的應用。其中最主要的 3 個核心價值是：

敏捷

天下武功唯快不破。在企業(yè)數(shù)字化轉(zhuǎn)型時代，每個企業(yè)都在面臨著新興業(yè)務(wù)模式的沖擊和眾多的不確定性。一個成功的企業(yè)不是看他現(xiàn)在規(guī)模有多大，過去的戰(zhàn)略有多成功，而是要看他是否有能力持續(xù)創(chuàng)新。容器技術(shù)提升了企業(yè)的 IT 架構(gòu)的敏捷性，從而提升了業(yè)務(wù)敏捷性，可以加速業(yè)務(wù)創(chuàng)新。比如疫情期間，教育、視頻、公共健康等行業(yè)的在線化出現(xiàn)了爆發(fā)性高速增長。通過容器技術(shù)可以很好地把握業(yè)務(wù)快速增長的機遇。在業(yè)界的統(tǒng)計中，使用容器技術(shù)可以實現(xiàn) 3~10 倍交付效率提升，這意味著企業(yè)可以進行快速迭代，低成本試錯。

彈性

在互聯(lián)網(wǎng)時代，企業(yè) IT 系統(tǒng)經(jīng)常需要面對電商大促、突發(fā)事件等可預期和非預期的流量增長。通過容器技術(shù)可以充分發(fā)揮云計算的彈性，通過提升部署密度和彈性來降低計算成本。比如在線教育，面對疫情之下指數(shù)級增長的流量，可以通過容器技術(shù)來緩解擴容的壓力，支持數(shù)十萬教師在線教學，百萬學生在線學習。

可移植性

容器技術(shù)推進了云計算的標準化進程。容器已經(jīng)成為應用分發(fā)和交付的標準，可以將應用與底層運行環(huán)境解耦;Kubernetes 成為資源調(diào)度和編排的標準，屏蔽了底層架構(gòu)的差異性，幫助應用平滑運行在不同的基礎(chǔ)設(shè)施上。CNCF 云原生計算基金會推出了Kubernetes一致性認證，進一步保障了不同 K8s 實現(xiàn)的兼容性。采用容器技術(shù)來構(gòu)建云時代的應用基礎(chǔ)設(shè)施將變得越來越容易。

Kubernetes：云原生時代的基礎(chǔ)設(shè)施

??

現(xiàn)在 Kubernetes 已經(jīng)成為了云應用操作系統(tǒng)，越來越多應用運行在 Kubernetes 基礎(chǔ)之上：從無狀態(tài)的 Web 應用，到交易類應用(如數(shù)據(jù)庫、消息中間件)，再到數(shù)據(jù)化、智能化應用。阿里經(jīng)濟體也基于容器技術(shù)，實現(xiàn)了全面的云原生上云。

阿里云容器服務(wù)介紹

??

阿里云容器服務(wù)產(chǎn)品家族可以在公共云、邊緣計算和專有云環(huán)境提供企業(yè)容器平臺。阿里云容器產(chǎn)品的核心是 Kubernetes Service - ACK 和 Serverless K8s - ASK，它們構(gòu)建在阿里云的一系列基礎(chǔ)設(shè)施能力之上，包括計算、存儲、網(wǎng)絡(luò)、安全等，并提供標準化接口、優(yōu)化的能力和簡化的用戶體驗。ACK 通過 CNCF K8s 一致性兼容認證，并提供了一系列企業(yè)關(guān)注的核心能力，比如安全治理，端到端可觀測性、多云混合云等。

鏡像服務(wù) ACR 是企業(yè)云原生應用資產(chǎn)管理的核心，可以管理 Docker 鏡像，Helm Chart 等應用資產(chǎn)，并和 CI/CD 工具結(jié)合在一起提供完整的 DevSecOps 流程。

托管服務(wù)網(wǎng)格 ASM，提供全托管的微服務(wù)應用流量管理平臺，兼容 Istio，支持多個 Kubernetes 集群中應用的統(tǒng)一流量管理，為容器和虛擬機中應用服務(wù)提供一致的通信、安全和可觀測能力。

托管 K8s 集群

??

我們以托管 K8s 為例介紹集群部署拓撲結(jié)構(gòu)。

ACK 托管 K8s 集群基于 Kubernetes on Kubernetes 架構(gòu)設(shè)計。K8s 集群的 Master 組件，運行在 ACK VPC 中的控制平面 K8s Cluster 之上。

ACK 采用了默認高可用的架構(gòu)設(shè)計：etcd 3 副本分別運行在 3 個不同 AZ 之上。也根據(jù)可擴展性最佳實踐，提供了兩組 etcd。一組保存配置信息，一組保存系統(tǒng)事件，這樣可以提升 etcd 的可用性和可擴展性。用戶 K8s 集群的 API Server/Scheduler 等 master 組件，采用多副本方式部署，運行在 2 個不同的 AZ 之上。master 組件可以根據(jù)工作負載進行彈性擴展，Worker 節(jié)點通過 SLB 來訪問 API Server。這樣的設(shè)計保證了整個 K8s 集群的可用性，即使一個 AZ 的失效，也不會導致 K8s 集群自身失敗。

worker 節(jié)點，運行在 VPC 上。將節(jié)點運行在不同的 AZ，配合應用的 AZ anti-affinity反親和性可以保障應用的高可用。

容器技術(shù)落地的最佳實踐

靈活豐富的彈性能力

彈性是云最核心的能力之一，像雙十一這樣的典型脈沖應用場景，或者像疫情爆發(fā)之后的在線教育和辦公協(xié)同的極速增長，只能依靠云提供的強大彈性算力才能支撐。Kubernetes 可以將云的彈性能力發(fā)揮到極致。

ACK 在資源層和應用層提供了豐富的彈性策略，在資源層目前主流的方案是通過 cluster-autoscaler 進行節(jié)點的水平伸縮。當出現(xiàn) Pod 由于資源不足造成無法調(diào)度時，cluster-autoscaler 會在節(jié)點池中自動創(chuàng)建新的節(jié)點實例，根據(jù)應用負載需求進行擴容。

ECI 彈性容器實例，基于輕量虛擬機提供了 Serverless 化的容器運行環(huán)境。我們可以在 ACK 通過調(diào)度將業(yè)務(wù)應用運行在 ECI 實例上。這非常適合大數(shù)據(jù)離線任務(wù)、CI/CD 作業(yè)、突發(fā)的業(yè)務(wù)擴容等。在微博的應用場景中，彈性容器實例可以在 30 秒內(nèi)擴容 500 Pod，輕松應對突發(fā)的新聞事件。

在應用層，Kubernetes 提供了 HPA 的方式進行 Pod 的水平伸縮，和 VPA 進行 Pod 的垂直伸縮。阿里云提供了 metrics-adapter，可以支持更加豐富的彈性指標，比如可以根據(jù) Ingress 的 QPS 指標，動態(tài)調(diào)整應用 Pod 數(shù)量。另外很多應用負載的資源畫像是具有周期性的。比如證券行業(yè)業(yè)務(wù)的高峰是工作日的股市開盤時間。峰谷資源需求量的差異高達 20 倍，為了解決這類需求，阿里云容器服務(wù)提供了定時伸縮組件，開發(fā)者可以定義定時擴縮容策略，提前擴容好資源，而在波谷到來后定時回收資源。可以很好地平衡系統(tǒng)的穩(wěn)定性和資源成本。

Serverless Kubernetes

K8s 提供的強大的功能和靈活性，但是運維一個 Kubernetes 生產(chǎn)集群極具挑戰(zhàn)。即使利用托管 Kubernetes 服務(wù)，但是依然要保有 worker 節(jié)點資源池，還需要對節(jié)點進行日常維護，比如 OS 升級，安全補丁等，并根據(jù)自己的資源使用情況對資源層進行合理的容量規(guī)劃。

針對 K8s 的復雜性挑戰(zhàn)，阿里云推出了 Serverless Kubernetes 容器服務(wù)—— ASK。ASK 在兼容 K8s 應用的前提下，對 Kubernetes 做減法，將復雜性下沉到云基礎(chǔ)設(shè)施，極大降低了運維管理負擔，讓開發(fā)者更加專注于應用自身。

• 對用戶而言，沒有節(jié)點的概念，用戶無需預留任何資源，免維護，零管理。
• 所有資源按需創(chuàng)建，運行在彈性容器實例之上，按照應用實際消耗的資源付費。
• 無需任何容量規(guī)劃。

??

在 Serverless 容器場景，我們提供了兩種不同的技術(shù)方案：ACK on ECI 和 ASK。

ACK on ECI

ACK 集群兼具功能性和靈活性。非常適合大型互聯(lián)網(wǎng)企業(yè)或傳統(tǒng)企業(yè)的需求?？梢砸粋€集群中運行多種不同的應用、任務(wù)。它主要面向的是企業(yè)中 SRE 團隊，可以對 K8s 進行定制化開發(fā)和靈活性控制。

ACK 集群支持 3 種不同的容器運行時技術(shù)：

• RunC 容器，也就是 Docker 容器，與宿主機 Linux 共享內(nèi)核，簡單、高效，但是安全隔離性比較弱。一旦惡意應用利用內(nèi)核漏洞逃逸，可以影響整個宿主機上其他應用。
• 為了提升安全隔離，阿里云和螞蟻金服團隊合作，引入袋鼠安全沙箱容器技術(shù)。阿里云是行業(yè)中，第一個提供 RunV 安全容器的公共云容器服務(wù)。相比于 RunC 容器，每個 RunV 容器具有獨立內(nèi)核，即使容器所屬內(nèi)核被攻破，也不會影響其他容器。適合運行來自第三方不可信應用或者在多租戶場景下進行更好的安全隔離。此外，RunC 和 RunV 容器都支持資源超售，用戶可以自己靈活控制，來平衡穩(wěn)定性和成本。
• ACK 支持對彈性容器實例 ECI 的調(diào)度，ECI 本質(zhì)上基于輕量虛擬機實現(xiàn)安全、隔離的容器運行環(huán)境。并充分利用整個阿里云彈性計算資源池的算力，來滿足用戶對計算彈性的成本、規(guī)模、效率的訴求。在設(shè)計上，ECI 針對容器場景充分優(yōu)化，利用操作系統(tǒng)剪裁、ENI 網(wǎng)卡直通、存儲直接掛載等技術(shù)，保障了 ECI 中應用的執(zhí)行效率等于甚至略優(yōu)于在虛擬機中的容器運行環(huán)境。ECI 目前不支持資源超售，但是提供了競價實例，可以讓用戶來控制成本和計算效率的平衡。

ECI 在 K8s 集群中適合的場景：

• 在線業(yè)務(wù)突發(fā)流量：用戶可以保有一個靜態(tài)資源池應對日常流量，突發(fā)流量可以通過 ECI 來承載。
• 批量計算任務(wù)：對有些臨時性、周期性的計算任務(wù)，資源規(guī)模不太容易預期或者預留大量的資源會產(chǎn)生浪費。我們可以讓 ECI 來承載這樣的批量數(shù)據(jù)處理任務(wù)。
• 安全隔離：有些業(yè)務(wù)應用需要運行 3 方不可信應用，比如一個用戶上傳的 AI 算法模型，利用 ECI 本身的安全沙箱進行隔離，可以安全地運行。

ASK

ASK 則是針對 ISV 和企業(yè)中的部門/中小企業(yè)度身定制的容器產(chǎn)品。用戶完全不需具備 K8s 的管理運維能力，即可創(chuàng)建和部署 K8s 應用，極大降低管理復雜性，非常適合應用托管、CI/CD、AI/數(shù)據(jù)計算等場景。比如可以利用 ASK 和 GPU ECI 實例構(gòu)建了免運維的 AI 平臺，可以按需創(chuàng)建機器學習環(huán)境，整體架構(gòu)非常簡單、高效。

云原生彈性、高可用架構(gòu)

云原生分布式應用架構(gòu)具備幾個關(guān)鍵特性，高可用、可彈性伸縮、容錯性好、易于管理、便于觀察、標準化、可移植。我們可以在阿里云上構(gòu)建云原生應用參考架構(gòu)，其中包括：

• 云原生基礎(chǔ)設(shè)施：基于神龍架構(gòu)的 ECS 企業(yè)實例
• 云原生應用平臺：ACK 容器服務(wù)
• 云原生數(shù)據(jù)庫：PolarDB

首先是端到端的彈性的應用架構(gòu)。

我們可以將前端應用、業(yè)務(wù)邏輯容器化，部署在 K8s 集群上，并根據(jù)應用負載配置 HPA 水平伸縮。

在后端數(shù)據(jù)層，我們可以利用 PolarDB 這樣的云原生數(shù)據(jù)庫。PolarDB 采用存儲和計算分離架構(gòu)，支持水平擴展。同等規(guī)格下是 MySQL 性能的7倍，并且相較于 MySQL 能夠節(jié)省一半成本。

此外是系統(tǒng)化的高可用設(shè)計：

• 利用 AZ 級別的反親和性，我們可以將應用的副本實例部署在不同 AZ。
• 通過 SLB 負載均衡接入在不同 AZ 的應用入口。
• PolarDB 數(shù)據(jù)庫默認提供了跨 AZ 高可用。

這樣我們可以保障整個系統(tǒng)具備 AZ 級別的可用性，可以容忍一個 AZ 的失效。

此外，阿里云的高可用服務(wù) AHAS，提供了架構(gòu)感知的能力，可以對系統(tǒng)的拓撲結(jié)構(gòu)進行可視化。而且它提供了應用巡檢能力，幫助我們定位可用性問題。比如應用副本數(shù)是否滿足可用性需求，RDS 數(shù)據(jù)庫實例是否開啟了多可用區(qū)容災等等。

多維度可觀測性

??

在一個大規(guī)模分布式系統(tǒng)中，基礎(chǔ)設(shè)施(如網(wǎng)絡(luò)，計算節(jié)點、操作系統(tǒng))或者應用自身都有可能會出現(xiàn)各種穩(wěn)定性或者性能問題?？捎^測性可以幫助我們解分布式系統(tǒng)的狀態(tài)，便于做出決策，并作為彈性伸縮和自動化運維的基礎(chǔ)。

一般而言，可觀測性包含幾個重要的層面：

Logging – 日志(事件流)

我們基于阿里云日志服務(wù) SLS 提供了完整的日志方案，不但可以對應用日志進行收集、處理，并且提供了操作審計，K8s 事件中心等能力。

Metrics – 監(jiān)控指標

對基礎(chǔ)設(shè)施服務(wù)，比如 ECS、存儲，網(wǎng)絡(luò)，云監(jiān)控提供了全面的監(jiān)控。對于業(yè)務(wù)應用的性能指標，比如 Java 應用的 Heap 內(nèi)存利用情況，ARMS無需修改業(yè)務(wù)代碼即可對 Java 和 PHP 應用提供全方位的性能監(jiān)控。對于 K8s 應用和組件，ARMS 提供的托管 Prometheus 服務(wù)，提供多種開箱即用的預置監(jiān)控大盤，也提供開放接口，便于三方集成。

Tracing – 全鏈路追蹤

Tracing Analysis 為開發(fā)者提供了完整的分布式應用調(diào)用鏈路統(tǒng)計、拓撲分析等工具。能夠幫助開發(fā)者快速發(fā)現(xiàn)和診斷分布式應用中的性能瓶頸，提升微服務(wù)應用的性能和穩(wěn)定性。

從 DevOps 到 DevSecOps

??

安全是企業(yè)在應用容器技術(shù)中最大的顧慮，沒有之一。為了系統(tǒng)化提升容器平臺的安全性，我們需要全方位進行安全防護。第一件事，我們需要將 DevOps 提升成為 DevSecOps，強調(diào)需將安全概念融入在整個軟件生命周期中，將安全防護能力左移到開發(fā)和交付階段。

ACR 鏡像服務(wù)企業(yè)版提供了完整的安全軟件交付鏈。用戶上傳鏡像后，ACR 可以自動化地進行鏡像掃描，發(fā)現(xiàn)其中存在的 CVE 漏洞。之后可以利用 KMS 秘鑰服務(wù)，自動化對鏡像添加數(shù)字簽名。在 ACK 中，可以配置自動化安全策略，比如只允許經(jīng)過安全掃描且符合上線要求的鏡像在生產(chǎn)環(huán)境進行發(fā)布。整個軟件交付鏈路可觀測、可追蹤、策略驅(qū)動。在保障安全性的前提下，可以有效提升交付效率。

此外，在應用運行時，也會面對眾多安全風險，比如新發(fā)現(xiàn)的 CVE 漏洞或者病毒攻擊。阿里云安全中心提供了運行時的安全監(jiān)控和防護能力。

云安全中心可以對容器應用進程與網(wǎng)絡(luò)情況監(jiān)控，對應用的異常行為或者安全漏洞進行實時檢測。發(fā)現(xiàn)問題后，會通過郵件、短信對用戶進行通知，也提供了自動化隔離與修復能力。比如我們拿一個去年著名的挖礦蠕蟲病毒為例，它會利用用戶的配置錯誤對容器集群發(fā)動攻擊。在云安全中心的幫助下，我們可以輕松發(fā)現(xiàn)它的蹤跡并進行一鍵清除。

托管服務(wù)網(wǎng)格 ASM

??

今年二月，我們發(fā)布了業(yè)內(nèi)首個全托管，Istio 兼容的服務(wù)網(wǎng)格產(chǎn)品 ASM。服務(wù)網(wǎng)格的控制平面組件托管在阿里云側(cè)，與數(shù)據(jù)平面?zhèn)鹊挠脩艏邯毩?。通過托管模式，極大簡化了 Istio 服務(wù)網(wǎng)格部署和管理的復雜性，解耦了網(wǎng)格與其所管理的 K8s 集群的生命周期，使得架構(gòu)更加簡單、靈活，提升了系統(tǒng)的穩(wěn)定性和可伸縮性。此外，ASM 在 Istio 基礎(chǔ)上進行大量的擴展，整合了阿里云可觀測性服務(wù)、日志服務(wù)等，可以幫助用戶更加高效地管理網(wǎng)格中的應用。

在數(shù)據(jù)平面的支持上，ASM 產(chǎn)品可以支持多種不同的計算環(huán)境，這包括了 ACK Kubernetes 集群、ASK 集群、以及 ECS 虛擬機等。通過云企業(yè)網(wǎng) CEN，ASM 可以實現(xiàn)多地域、跨 VPC 的 K8s 集群之間的服務(wù)網(wǎng)格。這樣 ASM 可以對多地域的大規(guī)模分布式應用實現(xiàn)流量管理和灰度發(fā)布。此外，ASM 也會很快推出多云混合云的支持。

混合云：企業(yè)上云新常態(tài)

上云已是大勢所趨，但是對于企業(yè)用戶而言，有些業(yè)務(wù)由于數(shù)據(jù)主權(quán)和安全隱私的考慮，無法直接上云，只能采用混合云架構(gòu)。Gartner 預測 81% 的企業(yè)將采用多云/混合云戰(zhàn)略，混合云架構(gòu)已經(jīng)成為企業(yè)上云的新常態(tài)。

傳統(tǒng)的混合云架構(gòu)以云資源為中心進行抽象和管理。然而不同云環(huán)境的基礎(chǔ)設(shè)施、安全架構(gòu)能力的差異會造成企業(yè) IT 架構(gòu)和運維體系的割裂，加大混合云實施的復雜性，提升運維成本。

在云原生時代，以 Kubernetes 為代表的技術(shù)屏蔽了基礎(chǔ)設(shè)施的差異性，可以更好地在混合云環(huán)境下，進行統(tǒng)一資源調(diào)度和統(tǒng)一應用生命周期管理。以應用為中心的混合云 2.0 架構(gòu)已經(jīng)到來!

這里有幾個典型場景：

• 利用公共云的彈性算力應對突發(fā)流量。線下數(shù)據(jù)中心承載日常流量，當業(yè)務(wù)突增時，通過云資源擴容，承載突發(fā)流量。
• 利用公共云構(gòu)建低成本的云災備中心。線上線下兩套系統(tǒng)，線上系統(tǒng)作為熱備。當線下數(shù)據(jù)中心發(fā)生故障時，可以快速將業(yè)務(wù)流量切換到云上。
• 構(gòu)建異地多活的應用架構(gòu)。在云上多個地域部署單元化的業(yè)務(wù)系統(tǒng)，并提供統(tǒng)一的服務(wù)治理能力。當一個地域發(fā)生故障時，將業(yè)務(wù)流量遷移到其他地域提升業(yè)務(wù)連續(xù)性。

基于 ACK 和阿里云的混合云網(wǎng)絡(luò)、存儲網(wǎng)關(guān)以及數(shù)據(jù)庫復制等能力，我們可以幫助企業(yè)構(gòu)建全新的混合云 IT 架構(gòu)。

混合云 2.0 架構(gòu)

??

首先 ACK 提供了統(tǒng)一集群管理能力，除了可以管理阿里云 K8s 集群之外，還可以納管用戶在 IDC 的自有 K8s 集群和其他云的 K8s 集群。利用統(tǒng)一的控制平面實現(xiàn)多個集群的統(tǒng)一的安全治理、可觀測性、應用管理、備份恢復等能力。比如利用日志服務(wù)、托管 Prometheus 服務(wù)，可以無侵入的方式幫助用戶對線上、線下集群有一個統(tǒng)一的可觀測性大盤。利用云安全中心，AHAS 可以幫助用戶在混合云的整體架構(gòu)中發(fā)現(xiàn)并解決安全和穩(wěn)定性風險。

此外 ASM 提供統(tǒng)一的服務(wù)治理能力，結(jié)合 CEN、SAG 提供的多地域、混合云網(wǎng)絡(luò)能力，可以實現(xiàn)服務(wù)就近訪問，故障轉(zhuǎn)移，灰度發(fā)布等功能，支持云容災、異地多活等應用場景，提升業(yè)務(wù)連續(xù)性。

云原生混合云解決方案

??

一個案例：職優(yōu)你是一個電子學習職業(yè)發(fā)展平臺，為來自世界多個地區(qū)的用戶提供服務(wù)。它的應用部署在阿里云的 4 個不同地域上多個 Kubernetes 集群中。這些集群通過云企業(yè)網(wǎng) CEN 將多個跨地域 VPC 網(wǎng)絡(luò)打通，并通過一個 ASM 服務(wù)網(wǎng)格，對多個 K8s 集群中的微服務(wù)應用進行統(tǒng)一的流量管理。

服務(wù)路由策略由 ASM 控制平面統(tǒng)一管理，并下發(fā)到多個 K8s 集群。用戶請求會經(jīng)過 DNS 分流到最近地域的入口網(wǎng)關(guān)，之后通過服務(wù)網(wǎng)格的就近訪問能力，優(yōu)先訪問本地域內(nèi)的服務(wù)端點。如果本地域的服務(wù)不可用，可以將請求自動轉(zhuǎn)移到其他地域?qū)崿F(xiàn)流量切換。

云原生混合云管理

阿里云的混合云解決方案有幾個重要特點：

• ACK 提供了統(tǒng)一的集群管理，統(tǒng)一的安全治理，統(tǒng)一的應用管理和可觀測性。
• CEN 實現(xiàn)了全地域網(wǎng)絡(luò)連通，通過高速、低延時的網(wǎng)絡(luò)互連。
• ASM 支持統(tǒng)一的智能化應用流量管理，可以優(yōu)化服務(wù)訪問，提升業(yè)務(wù)連續(xù)性。

Windows 容器平滑上云

??

我們來談一下對 Windows 容器的支持。在現(xiàn)今企業(yè)中，Windows 操作系統(tǒng)依然占據(jù)半壁江山，其市場份額達 60% 之多。企業(yè)還有有大量的 Windows 應用，比如 ERP，CRM，ASP.Net 網(wǎng)站等。利用 Windows 容器和 Kubernetes，可以讓 .Net 應用在代碼不重寫的情況下實現(xiàn)容器化交付，充分利用云上的彈性、敏捷等能力，實現(xiàn)業(yè)務(wù)應用的快速迭代和伸縮。

ACK 支持 Windows 2019，在 K8s 容器集群中：

1)為 Linux 和 Windows 應用提供了一致的用戶體驗和統(tǒng)一的能力。

• 支持 CPU、內(nèi)存、存儲卷等資源調(diào)度和編排
• 支持無狀態(tài)/有狀態(tài)等多種不同應用負載

2)支持 Linux 和 Windows 應用在集群中的混合部署和互連互通，比如我們可以讓運行在 Linux 節(jié)點的 PHP 應用訪問運行在 Windows 節(jié)點的 SQL Server 數(shù)據(jù)庫。

我們已經(jīng)在支持了聚石塔電商平臺和 supET 工業(yè)互聯(lián)網(wǎng)平臺支持了很多 ISV 來對 Windows 應用進行云原生化改造、升級。

阿里云容器服務(wù)的演進方向

下面我們快速介紹一下阿里云在云原生方面的產(chǎn)品市場策略。我們可以總結(jié)為三條：

新基石：容器技術(shù)是用戶使用云資源的新界面，云原生技術(shù)是釋放云價值的最短路徑

• 支撐全球化應用交付：通過 ACR EE，可以實現(xiàn)一次提交、全球發(fā)布，發(fā)布效率提升 7 倍。
• 實現(xiàn) Serverless 化應用架構(gòu)：利用 ASK/Knative，讓開發(fā)者聚焦業(yè)務(wù)應用，無需管理基礎(chǔ)設(shè)施。
• 支持混合云、多云架構(gòu)：幫助企業(yè)用戶平滑上云，讓工作負載在不同環(huán)境動態(tài)遷移。
• 構(gòu)建云-邊-端一體的分布式云架構(gòu)：將云的能力延伸到邊緣和設(shè)備端，更好迎接 5G 和 AIoT 時代的創(chuàng)新機遇。優(yōu)酷在應用邊緣容器技術(shù)后，API 端到端網(wǎng)絡(luò)延遲降低了 75%。

新算力：基于云原生的軟硬一體化技術(shù)創(chuàng)新，提升計算效率，加速業(yè)務(wù)智能化升級

• 容器和神龍架構(gòu)相結(jié)合，性能優(yōu)于物理機 20%。
• 支持 GPU，NPU(含光芯片)等異構(gòu)算力的調(diào)度和共享，可以實現(xiàn)利用率 2 ~ 4 倍提升。
• 安全沙箱容器在強安全隔離的同時，實現(xiàn)原生進程90%性能。也推出了基于 Intel SGX 的機密計算的支持，可以為隱私和機密信息處理提供安全、可信的執(zhí)行環(huán)境。

新生態(tài)：通過開放技術(shù)生態(tài)和全球合作伙伴計劃，幫助更多企業(yè)分享云時代技術(shù)紅利

• 容器云應用市場：鏈接企業(yè)與云原生創(chuàng)新，已入駐 Fortinet、駐云、Intel 等多家合作伙伴，覆蓋了從容器安全、監(jiān)控到業(yè)務(wù)應用的不同商品，便于用戶獲得完整的容器化解決方案。
• 全球合作伙伴生態(tài)：我們和 SAP，紅帽，Rancher，Click2Cloud，BanzaiCloud等全球技術(shù)合作伙伴進行了產(chǎn)品能力集成。幫助企業(yè)用戶在阿里云上用好云原生技術(shù)。