分享人:谢晓清 英特尔软件技术副总裁,英特尔亚太研发有限公司总经理
正文:
本篇内容将通过三个部分来介绍开源构筑云原生基础架构。
一、英特尔与云原生
二、沙箱容器
三、机密容器
四、硬件增强的K8S
一、英特尔与云原生
阿里云是云原生的领导者,英特尔是整个数据中心硬件平台的领导者。我们在云原生领域,开源社区建立多种的技术合作。英特尔期待更多的开发者和阿里云的同事加入云原生技术的使用,共同推进云原生技术的广泛发展和深入部署。我们可以看到开源对云原生技术的推动作用,以及云原生技术在业界的发展方向。
英特尔从2012年就开始参与云基础架构的建设。2015年,英特尔非常清楚云原生的发展方向,也积极参与云原生的社区建设。
二、沙箱容器
英特尔从2012年就开始参与云基础架构的建设。2015年,英特尔非常清楚云原生的发展方向,也积极参与云原生的社区建设。接下来,我们看看容器技术。容器技术是整个云原生技术的基石,但传统容器技术是共享内核,所以它天生的隔离性并不好。在大规模的应用和部署过程中,难免会有安全性以及稳定性的问题。出于对传统容器技术安全性的担忧,英特尔在2015年通过硬件虚拟化技术,切入隔离层,实现了安全和故障隔离,提高了系统的安全性,隔离性,同时保证了整个容器生态的兼容性。
总之,硬件虚拟化技术,加上每个容器自带内核,自然而然就可以满足公有云和私有云的业务需求。解决了了安全稳定和兼容性。接下来,我们要解决资源效率的问题。2019年,英特尔在上游社区推出一个轻量级的BMI项目,目的是为业界带来一个轻,快,稳的一个虚拟机。同时,英特尔跟阿里云的容器服务团队做了战略性合作。我们合作的主要目的,是针对沙箱容器的优化,来满足整个容器部署的高密弹性的需求。
三、机密容器
随着应用场景越来越丰富,数据安全已经成为容器技术的核心考量。保证租户的数据不被宿主机窥探,成为容器技术发展的重要核心诉求。如何实现机密计算的同时,把它无缝集成到云原生和容器生态呢?所以机密容器就应运而生。英特尔技术通过硬件加密客户端的内存,依赖硬件生成并存储,通过远程验证和秘钥管理。保用户的数据和隐私,不被组织窥探。本质把用户的容器放在密室里面运行,从而打消高价值的服务和数据安全的顾虑。
机密容器必须提供一套完整的端对端的解决方案,实现容器生命周期安全保障。我们的容器机密完整运行,包括镜像安全,安全运行时的环境,以及秘钥管理和远程。首先,机密容器必须无缝的集成到容器生态。所以我们的这一套方案,支持容器的安全存储,并且支持安全存储的多种格式。在安全传输方面,我们也提供标准协议对它进行保障。那么最关键的呢。英特尔技术能够完全保证运行时的安全加密。并且用硬件的方式来保护高价值数据。让它跟系统软件,基于硬件进行隔离。
四、硬件增强的K8S
接下来,我们谈一谈英特尔Kubernetes。Kubernetes的可扩展性给云厂商,芯片厂商带来很多差异化的机会。英特尔在Kubernetes上的主要工作,是对英特尔芯片,以及片内加速器做做计算加速。促进整个计算的资源管理,同时提供微服务,达到集群效率的最大化。
我们举了四个例子,第一个例子是在集群中使用英特尔的傲腾持久内存。英特尔傲腾持久内存可以兼顾非易事性存储,既能够作为存储使用,同时又能作为系统内存使用。我们跟阿里云的容器服务团队合作,以声明式的方式对傲腾内存做挂载声明。对很多应用不需要修改任何的用户代码,对IO的整个性能提升了二倍到十倍。我们对内存数据库做了一些测试。测试表明,它达到了我们对内存使用效率以及内存的成本控制。
第二个例子,今天我们为了提供提高数据中心的整体使用率,把高优先级的应用和低优先级的应用,做了统一的混合部署。高优先级的应用通常对延时的要求非常敏感。所以缓步的技术挑战在于,要保证低优先级的应对高优先级应用的干扰,达到最小。同时,要最大程度保证,低优先级应用的部署密度达到最高。所以我们对低优先级的应用做了进程的隔离,对不同优先级的任务进行隔离。从而保证高优先级任务的服务质量,以及系统整体的使用效率。
第三个用场景是容器的迁移,英特尔为内存拷贝和清零做了加速,减轻CPU的开销。我们已经实现了内存迁移的策略,可以应用于多种内存迁移的场景。包括容器迁移,容器牵引加速。最后一个例子,基于TDX技术的镜像服务以及远程验证的接口可以跟容器产品做到无缝对接。
最后,我们认为这个云原生基础架构,对于推动云计算的发展非常的重要。英特尔提供的软硬件一体的技术,希望通过客户和合作伙伴实现产品化。我们也非常希望我们的合作伙伴能够充分利用开源品牌,共同开发软硬件结合的开源解决方案,推动云原生技术的深入发展。
