混合云环境云原生应用交付和管理平台

议题简介：在云原生理念迅速普及的今天，混合环境部署（混合云/多云/分布式云/边缘）已经成为了大多数企业应用、SaaS 服务、应用持续交付平台的必然选择，而云原生技术的发展趋势也正在朝着“一致的、跨云、跨环境的应用交付”不断迈进。CNCF 沙箱项目 KubeVela，作为一个开箱即用、面向现代微服务架构的应用交付与管理平台，面对混合云环境的应用交付难题，提出一个开源、标准，又不失灵活度的解法。

分享人：曾庆国（悦达），KubeVela 开源产品经理，阿里云技术专家。目前负责 OAM/KubeVela 产品和开源社区布道，从事云原生、应用交付、开源领域研究和实践多年，致力于推动云原生应用标准化和云原生技术“亲民化”。

 

目录：

•      云原生应用交付流水线案例

•      CIOps：做 CI 很好，CD 问题很多

•      云原生应用持续交付，用户的核心诉求

 

正文：

 

云原生生态里已经出现了大量的优秀实践和技术，都可以给我们提供生产力，但各种方案如何有效的组合，更简单地呈现给广大的开发者，变成了一个课题。

 

一、一个典型的云原生应用交付流水线

 

目前中大型企业在做应用发布时，较多的企业都已经将其应用运行环境升级为了K8s 容器化环境，与云原生实践接轨。上图是一个典型的云原生应用交付过程，也就是我们常说的DevOps，我们大体上可以分为CI、CD两部分：

 

1、CI：

 

如图示上方是一个典型的CI流程， 可分为三个部分：镜像构建（Build）、测试(Test)和应用打包(Artifacts)。这个流水线过程的目的是输入源码到输出云原生制品。在这个过程中针对代码处理和制品处理的工具链已经很丰富，比如Jenkins的插件体系。

 

目前也有比较多的企业在 CI 流水线的最后一步直接进行应用的部署，它的目标可能有主机、容器环境、K8s环境、甚至更大规模的多集群K8s环境等，把服务进行发布上线的过程就是接下来我们要聊的CD环节。

 

2、CD：

 

图示下方是将CD环节拆开来看，将制品进行部署的过程包括环境和参数配置、资源组装、流程编排、部署到多环境等，在开发环境、预发环境、生产环境、私有环境或各个边缘环境中去部署和发布。 发布过程需要可观测，可追踪、可回退，发布的后续动作还会包括监控、运维等。我们可以发现，CD 环节需要面对的复杂性不亚于CI环节，相反，它还是影响业务稳定的最重要环节。

 

3、CIOps: 围绕 CI 工具的持续交付

 

•      kubectl apply

•      helm upgrade

•       其它模板方案然后apply...

 

以上是围绕CI做发布的常见形式，比较笼统的将服务配置下发的目标集群上。

 

二、CIOps：做 CI 很好，CD 问题很多

 

1.  问题一：“基础设施的复杂性”暴露给开发者

业务开发者需要学习的东西很多，比如：原子的、碎片化的声明式对象，海量的、琐碎的基础设施细节。在整个发布过程中用到的云原生技术有很多，包括可视化、安全、灰度、自动扩缩容、微服务治理等等。这里我们都希望有一种技术，把海量的基础设施配置，通过一种标准形式更简单化的管理起来。

 

2.  问题二：“编排的复杂性” 需要开发者人工处理

 

目前中大型公司已经开始了上云、 容器化的工作，整个云的形态已经朝着分布式的形式发展，但由于发布环境各异，需求各异，导致编排极其复杂。

 

a.  场景现状：

•        同一个应用，在不同环境下部署的组件依赖差异巨大；

•        数据库、负载均衡、K8s, 在不同云上也存在诸多差异；

 

b.  开发现状：

•        开发者心智负担重，单一系统缺乏统一交付能力；

•        需要补充大量人工操作，缺乏自动化；

 

c.  同一个应用，在不同场景下的运维能力要求差异巨大

•        开发测试环境：需要进行热加载、调试、查看开发日志以及实时运行的情况等；

•        预发联调环境：需要考虑服务之间的调用，测试时需要观看响应指标，绑定资源，错误定位，进行攻防演练等；

•        生产环境：包括可观测性、流量、云服务等。

 

3.  问题三：以“脚本”为中心的系统缺乏自动化

 

上图中用Jenkins做脚本执行流水线，发布服务到不同的集群。在需要把应用从低版本向高版本升级时，假设我们先在发布到预发布环境，此时服务配置可能还不稳定，开发者进行在线开发调试。甚至当我们进行生产上线时，可能也会因为不同的环境因素导致故障从而进行紧急运维变更，但此时脚本侧不会进行记录。

如果我们发布的环境包括国内国外多个集群，网络不稳定会导致可能部分集群发布失败，一次性执行的脚本服务不会再维护状态，这时又不得不人工接入排查。

 

以“脚本”为中心的弊端：

 

a.  管理成本高：难以扩展、复用、维护

b.  配置漂移：难以维护、追踪和审计；大规模应用管理的噩梦；

c.  不具备自愈能力：部署动作执行后的任何异常都意味着需要重新发布。

 

当然它的优势就是使用简单，对于简单业务，简单环境场景非常适用。

 

4.  问题四：权限和安全风险没有收敛

 

上图在做CI/CD的过程中，CI环节读取源代码到制品库，需要有源代码的读取权限，打包时需要调用一些计算资源，推送到镜像仓库时，需要镜像仓库的写入权限；CD环节读取镜像，需要镜像仓库的读取权限，需要K8s等相应集群的管理权限。

 

问题：

•   CI/CD的安全域无法隔离，各种权限混合使用；

•   CI系统的权限难以控制，多集群、多租户。

 

三、云原生应用持续交付，用户的核心诉求是什么？

 

1.  用户对云原生应用持续交付的核心诉求

 

CD持续发布过程中的诉求：

•        统一抽象：K8s持续演进帮助我们把底层各种各样的基础设施完全抽象化，抽象化过程需要不同企业的相应类似描述文件，描述文件相同的是描述、日志等，不同的是服务名称、镜像、服务端口等；

•        自动化编排：屏蔽编排的复杂性，提供自动化能力；

•        部署能力：安全、稳定、大规模地把此资源分发到不同环境和集群里。

 

目标是开发者在制品仓库输入变量，后面的过程可以完全自动化的进行，将复杂巨大的程序都屏蔽在底层，如果有问题可以由专业的工程师做相应的维护和调试。

 

2.  如何实现

 

K8s带来的启示：声明式是用户侧抽象的最佳表达方式，将复杂管理逻辑下沉到K8s中，对用户仅暴露终态/意图的输入。

 

K8s是基于终态的状态机维护，通过当前状态和预期状态持续比对，基于K8s控制平面来达到最终状态，这也是K8s的一个很好的理念。平台最终操作的资源各种各样，包含有K8s资源、云厂商资源、自建私有云资源等。各种资源都可能是我们的操作对象，来匹配用户的诉求。

 

基于Kubernetes的工作流让我们的交付具备了以下特性，也是大规模应用交付的核心要素：

•        自动化

•        收敛性

•        幂等性

•        确定性

 

四、阿里巴巴的开源解决方案– KubeVela

 

 

KubeVela为广大开发者提供了一个面向现代云原生环境的应用交付/持续交付系统：

 

•        以应用为中心的开发者体验；

•        面向终态的声明式交付工作流；

•        面向混合环境，基础设施无关；

•        laC/可编程，高度可扩展；

 

CNCF项目地址：https://github. com/oam-dev/kubevela

 

1.  基于 K8s 控制平面，面向混合环境统一交付

 

基于K8s的“应用交付控制平面”架构

 

基于K8s的“应用交付控制平面”，不侵入到用户的应用运行时集群，架构分为两层：

•        下方是核心控制器，运行交付工作流帮我们到达终态，架构在多集群（易构的边缘集群、中心集群等）多环境基础之上；

•        上方是面对用户是标准的Application描述文件；面对开发者，业务包括服务、第三方、云服务等。核心应用包含了服务组件，组件可以挂相应的标准描述运维特征（日志收集、指标监控、链路追踪、服务注册、网关策略等），可以通过UI或命令行两种终端形态进行完整的生命周期管理。

 

2.  架构特点：

 

a.  与运行时解耦：

用户可以使用任何来自社区的K8s插件运维和管理应用，交付引擎在控制平面管理和操作这些插件；

b.  天然支持多环境/多集群应用交付：

围绕着应用描述，提供了完整的多集群应用交付能力、用户可通过配置应用在多个集群的调度策略、差异性配置策略即可便捷完成多集群复杂应用的安全交付。

c.  面向终态的统一云资源管理；

KubeVela集成了Terraform 的云资源描述能力，继而集成了Terraform 的云资源支持生态，通过Application 描述用户可以同时交付普通服务和云服务组成完整交付应用。

 

d.  云边一体的统一交付模式；

集成边缘应用的描述规范，边缘环境以KubeAPI 规范接入到管控平面，实现边缘应用的维护和分发。

 

e.  面向不同场景需求用户分层集成；

KubeVela 架构上分为核心模块和上层终端产品VelaUX，对于大型企业的PaaS平台开发者，可直接集成 KubeVela 核心模块，获取应用引擎能力。对于中小型终端客户，可借助终端产品生态快速落地。同时VelaUX也具备了必要的扩展能力，通过编辑配置即可适应不同企业的应用管理诉求。

 

3.  Application Demo示例：

 

1)  待交付组件

比如容器镜像、Helm chart、云资源Terraform模块等...定义任意可交付制品!

2)  运维能力

应用部署后的持续运维，比如路由规则、自动扩缩容规则等...像乐高一样可以附着作用于组件上!

3)  交付策略

比如环境部署策略、差异性配置策略、健康检查策略、防火墙规则等，任何一个部署前需要遵守的规则都可以在这个阶段声明和执行!

4)  工作流定义

比如跨环境部署、手动审批、通知等管道式持续交付能力!

 

统一的声明式应用交付抽象定义：

•        开发者唯一需要用户学习的API；

•        完全声明式，面向终态的自动化管理,可以直接被GitOps驱动。

 

4.  灵活的扩展机制

 

 

KubeVela的设计就是一个微内核状态，先安装基础的微内核，然后需要什么能力就去安装对应的扩展插件，整个完整的插件体系可以帮助开发者快速的接入相应的能力。

 

5.  生态项目对比

 

a.  纯粹的GitOps系统：本质上是在运行时集群中的agent,无法跨环境交付；

b.   经典应用CI/CD交付平台：

•   本质上是面向过程的执行，不具备声明式系统的自动、幂等、收敛、确定等特性；

•   安全性问题的本质：基于过程式的Push vs基于统一模型的Pull；

c.  各类Kubernetes发行版：定位上就严格遵守K8s的API,不提供K8s之.上的应用层能力；

d.  经典PaaS/各类“云原生"应用管理平台：本质上是不具备开放性的封闭抽象

•   只能处理容器交付，不能面向云进行统一交付

•   不可扩展(需要重写代码和重新部署)，不能跟随用户一起成长和演进

•   被集成性差:用户需要做出唯-性选择，不能够跟其他平台共存

 

6.  OAM：现代微服务与应用交付模型

 

 

要屏蔽繁杂的底层，一个重要的问题就是标准化。将应用通过标准化的描述，让业务和基础测试有完美的衔接，KubeVela体系完全基于OAM的生态去做，欢迎各大厂商共建，普惠云的开发者。

 

7.  实践案例 - Serverless 应用引擎（SAE）

 

 

SAE的核心能力是支持微服务或者PHP应用的开发者，只需要提供war、jar、php的源码包，就可以完成后面所有微服务治理和整个部署链路的管理事项，其背后就是KubeVela进行支撑。

 

8.  社区和生态

 

•        Star: 超过3300个

•        镜像下载: 超100万次

•        贡献者超过: 120位

•        Commit: 超过2000个

 

参考资料：

GitHub地址：https://github.com/oam-dev/kubevela

KubeVela文档：https //kubevela.io

给项目点Star：https //gith:ib. com/oam-dev/kubeveta

用户注册登记：https:// github.com/oam-dev/ kubevela/issues/1662s