何為云原生

隨著云計算的應用普及，最近幾年，云原生技術(shù)(Cloud Native)的概念很火。Pivotal公司的Matt Stine于2013年首次提出云原生的概念;云原生的具體含義在過去的幾年中也在不斷發(fā)生變化。最近Pivotal官網(wǎng)對云原生的概念概括為4個要點：DevOps、持續(xù)交付、微服務、容器。

云原生的概念組成

符合云原生架構(gòu)的應用應該是這樣的：采用以kubernetes(k8s)和容器(docker)為代表的技術(shù)對應用進行容器化部署;基于微服務架構(gòu)提高應用的靈活性和可維護性;借助敏捷方法、DevOps支持持續(xù)迭代和運維自動化;利用云平臺設(shè)施實現(xiàn)彈性伸縮、動態(tài)調(diào)度、優(yōu)化資源利用率。

云原生技術(shù)在邊緣計算

如前文《物聯(lián)網(wǎng)關(guān)鍵技術(shù)：邊緣計算》所述，邊緣計算技術(shù)已廣泛應用于物聯(lián)網(wǎng)應用中，已在云計算領(lǐng)域?qū)嵺`多年的各種云原生技術(shù)，也可引入到邊緣計算的場景中。

在邊緣計算場景中應用云原生技術(shù)，可以為邊緣計算帶來很多好處：

• 體驗：云原生技術(shù)以統(tǒng)一的標準，實現(xiàn)在邊緣基礎(chǔ)設(shè)施上和云上一致的體驗。
• 魯棒：基于云原生技術(shù)的邊緣容器能力，能保證弱網(wǎng)、斷網(wǎng)的自治性，提供有效的自恢復能力
• 運維：在海量邊、端設(shè)備上實現(xiàn)應用的大規(guī)模批量交付、運維和管控
• 安全：提供安全的工作負載運行環(huán)境，以及流量控制、網(wǎng)絡策略能力，有效提升邊緣服務和邊緣數(shù)據(jù)的安全性

依托云原生領(lǐng)域強大的社區(qū)和廠商支持，云原生技術(shù)對異構(gòu)資源的適用性逐步提升。在物聯(lián)網(wǎng)領(lǐng)域，云原生技術(shù)已經(jīng)能夠支持多種 CPU 架構(gòu)和通信協(xié)議，并實現(xiàn)較低的資源占用，這意味著云原生技術(shù)不僅僅可以應用在云端，還可以應用在邊緣網(wǎng)絡及終端設(shè)備上。

目前已經(jīng)有不少廠商在進行云原生邊緣計算的嘗試，并有了部分成功案例。適用于邊緣計算的云原生容器技術(shù)主要可分為微虛機(MicroVM)和沙箱(Sandbox)兩大類。

微虛機技術(shù)

所謂的微虛機是指可以在容器環(huán)境下運行的虛擬機，這樣既可以服用容器化的便利，輕量，同時又考慮了虛擬機的隔離安全性。亞馬遜AWS的Firecracker、OpenStack基金會的Kata Container以及VMWare的vSphere Integrated Containers都屬于微虛機技術(shù)。

Firecracker是一種利用 KVM 的虛擬化技術(shù)，專門用于創(chuàng)建和管理多租戶容器以及基于函數(shù)的服務。 可以在幾分之一秒內(nèi)在非虛擬化環(huán)境中啟動輕量級微虛擬機，充分利用傳統(tǒng)虛擬機提供的安全性和工作負載隔離，同時兼具容器的資源效率。通過 RESTful API 控制 Firecracker 進程，可精確控制同一臺計算機上數(shù)千個微虛機使用的網(wǎng)絡和存儲資源。

Kata Containers是由OpenStack基金會管理，但獨立于OpenStack項目之外的容器項目。Kata Containers能夠支持不同平臺的硬件 (比如x86-64，arm等)，符合開放容器規(guī)范(OCI：Open Container Initiative)，同時還可以兼容k8s的 容器運行時接口規(guī)范(CRI：Container Runtime Interface)。這意味著Kata Container可以和容器生態(tài)的各種已有產(chǎn)品兼容，如docker、k8s等。

Docker引擎以前啟動容器使用runc，現(xiàn)在可以換成kata了。

Kata Container可以當做docker的一個插件，可以通過docker命令啟動Kata Container。Kata最大的亮點是解決了傳統(tǒng)容器共享內(nèi)核的安全和隔離問題，辦法就是讓每個容器運行在一個輕量級的虛擬機中，使用單獨的內(nèi)核。

k8s也使用kata取代runc創(chuàng)建容器

k8s傳統(tǒng)創(chuàng)建pods的方法默認也是使用 runC 創(chuàng)建容器，現(xiàn)在是使用kata container先創(chuàng)建一個虛擬機，在虛擬機中再創(chuàng)建pods，這樣就更安全。

沙盒技術(shù)

沙箱不同于傳統(tǒng)的容器以及微虛機，容器是通過namespace跟cgroup實現(xiàn)資源隔離，微虛機則是通過虛擬化技術(shù)實現(xiàn)資源隔離，而沙箱技術(shù)是通過對系統(tǒng)調(diào)用的劫持以及重定向，進而實現(xiàn)資源隔離的。Google公司的gVisor就屬于此類技術(shù)。

gVisor在內(nèi)核之外實現(xiàn)了一個“內(nèi)核進程”，叫做“哨兵”(Sentry)，它能夠提供大部分 Linux 內(nèi)核的系統(tǒng)調(diào)用。用戶進程的大部分系統(tǒng)調(diào)用都被轉(zhuǎn)化為對這個“哨兵”進程的訪問。

傳統(tǒng)系統(tǒng)調(diào)用和gVisor沙箱系統(tǒng)調(diào)用的對比

Google 將 gVisor 定位為“Sandbox”，而不是安全容器，主要因是 Sentry 還不能完全代替 Linux 系統(tǒng)內(nèi)核，部分系統(tǒng)調(diào)用還是要轉(zhuǎn)接到 Host Kernel 上。

gVisor 其能夠為容器進程提供安全的隔離措施，同時繼續(xù)保持遠優(yōu)于虛擬機的輕量化特性。而且gVisor還能夠與Docker及Kubernetes實現(xiàn)集成，從而在生產(chǎn)環(huán)境中更輕松地建立起沙箱化容器系統(tǒng)。

總結(jié)

隨著微虛機、沙箱等輕量級容器技術(shù)的出現(xiàn)，使得容器對系統(tǒng)資源的要求進一步降低，非常適合于資源有限的邊緣場景中應用，將邊緣計算資源容器化，用云端一致的方式來進行資源管理。