作者:瑶靖、阳磊
2022 年,越来越多的行业开始积极拥抱云原生,以快速响应市场需求,实现降本增效。
丽迅物流是百丽旗下专注于时尚产业、为企业提供专业物流及供应链解决方案的服务商。其产品服务主要包括城市落地配、仓配一体、干线运输及定制化解决方案。通过自研智能化物流管理平台,全面助力企业合作集约化发展。目前,丽迅物流已在全国拥有 70+ 全渠道实体云仓、5 大中心电商仓,总面积达 100 万+平方米,服务覆盖 300+城市、3000+商圈,为多家知名时尚品牌及其品牌门店提供全渠道配送服务。
为了降低业务各环节中的运维成本、提高物流服务效率,2021 年 8 月起,丽迅物流开始了在阿里云上完成自身从 IDC 自建到全面云原生化的进程。容器镜像作为承载云原生应用的重要载体,是云原生应用生命周期的源头。为了应对规模化场景下的云原生应用交付挑战,丽迅物流将核心容器镜像资产均迁移至阿里云容器镜像仓库企业版(简称 ACR EE) ,并深度使用 ACR EE 和阿里云容器服务 ACK 作为容器制品管理及调度平台。
通过本文,丽迅物流运维总负责人阳磊分享了关于基于 ACR EE 加速企业业务云原生化进程的实践经验。
云原生规模化场景下的容器镜像管理挑战
在技术架构转型及业务快速发展的背景下,丽迅物流原有在 IDC 自建 Harbor 托管容器镜像制品方案的问题逐渐显现,阳磊介绍:“开源版 Harbor 在初期还能满足基本需求,但是随着企业业务不断迭代发展,在大规模分发场景下,运维 Harbor 会非常复杂,不仅要考虑到高可用、网络带宽、安全性等等运维需要解决的问题,一些镜像版本安全管理及部署还要涉及二次开发需求。在市场环境和消费者需求快速变化的现状下,我们更希望将精力专注于核心业务的研发。”
丽迅核心容器镜像从 Harbor 迁移至 ACR EE 实践
ACR EE 可提供企业级容器镜像、Helm Chart 安全托管能力,拥有企业级安全独享特性,具备千节点镜像分发、全球多地域同步能力;提供云原生应用交付链,实现一次应用变更,全球化多场景自动交付,尤其适用于安全需求高、业务多地域部署、拥有大规模集群节点的企业级客户使用。
阿里云容器镜像服务 ACR 架构图
为了帮助企业快速满足实际生产环境下对云原生制品的管理需求,ACR EE 提供了镜像极速导入和自定义域名等功能,可在短时间内迁移自建 Harbor 至容器镜像服务企业版。阳磊从实践的角度分享了迁移至 ACR EE 的过程:“为了降本增效,我们直接选择了 ACR EE 服务,整个从 Harbor 迁移 ACR EE 的过程是自动化的,可以兼容之前的域名使用。迁移后,我们的镜像版本管理也更加便捷,不需要再担心镜像的分发、拉取性能问题。”
丽迅科技 ACR EE 部署架构图
谈及从 Harbor 迁移至 ACR EE 的原因,阳磊主要分享了以下几个核心优势:
便捷迁移,兼容使用
从 Harbor 可以迁移至 ACR EE 的操作非常便捷:
- 基于镜像导入功能将镜像数据导入 ACR EE 实例;
- 在 ACR EE 实例上添加自定义域名,可无缝兼容镜像使用习惯。
丽迅仅花费了 1 个小时左右的时间,就完成了将 Harbor 中的全部镜像实例向 ACR EE 的平滑迁移。
高性能镜像分发保障
存储和分发容器镜像看似是一个相对简单的任务,但是在企业实际生产环境,特别是像丽迅这样拥有大规模集群的场景下,镜像中心的性能很容易遭遇瓶颈。尤其是在多区域和混合云系统场景中,镜像分发会变得更具挑战性。ACR EE 的优势主要体现在:
- ACR EE 拥有无限的、稳定的存储空间,可以大大降低运维的成本,不会产生自建 Harbor 仓库时对磁盘容量、数据安全性等方面的焦虑;
- ACR EE 在大并发拉取、同步镜像的场景下,性能表现更加稳定可靠;
- 在多区域、混合云场景下,ACR EE 与 PrivateZone 结合,可以方便地使用相同的自定义域名在不同区域、不同混合云场景下访问镜像仓库,而 Harbor 在自定义域名,SSL 证书安装等方面并不容易处理。
ACR EE 承诺 99.95% 的业内最高 SLA 保障,并且具备大规模分发场景的 P2P 分发加速能力,可实现大镜像分发场景的按需分发加速、跨海分发场景的全球分发加速等。在确保企业镜像镜像分发极致性能的同时,也可实现人力运维扩容 Harbor 成本的降低。
端到端镜像安全治理
云原生生态的繁荣大大丰富了云原生应用制品的多样性,像容器镜像和 Helm Charts 都是常见的制品格式。对于企业来说,制品供应链环节的安全性是企业应用生产安全的源头,而容器镜像本身、容器平台、网络和运行环境等都可能为云原生应用带来安全威胁。
ACR EE 的镜像安全扫描功能比 Harbor 强悍很多,漏洞扫描引擎也完善很多,因此更能够保障镜像的安全性。基于 ACR EE 默认存储加密、自动化镜像安全扫描、镜像加签功能,企业不需要再担心容器镜像的安全可信问题。同时 ACR EE 也提供云原生应用交付链功能,支持全链路自动交付、全链路可观测、可追踪,确保云原生 DevSecOps 场景落地。
镜像版本管理便捷性
ACR EE 提供的镜像清理功能非常好用,可以将仓库容量控制在一个合理的水平。虽然 Harbor 高版本也提供了镜像清理功能,但功能并不是特别可靠,有时候会产生悬挂镜像。通过设置自动版本管理的功能,每周定时做 OSS 存储静默清理工作,清理同时不会影响业务镜像推送/拉取的正常使用,帮助丽迅物流镜像仓库累计清理数万个镜像版本。
另外,自建 Harbor 仓库需要在 K8s 集群内添加秘钥,并与编排文件绑定,ACR EE 可以与 ACK 免密插件结合,更加方便、安全地拉取镜像,使应用在确保认证鉴权安全的同时,避免了配置的复杂性。
ACR EE 助力丽迅物流安全高效交付业务需求
云原生是企业数字化转型的最短路径,将自建 Harbor 仓库迁移至 ACR EE 后,丽迅物流全面降低了应用的运维部署成本。在完善的功能之外,ACR EE 可以与容器服务 ACK、云效流水线 Flow 等阿里云产品深度结合,提供灵活易用的持续集成、持续验证、持续发布功能,帮助丽迅物流高质量、高效率地交付业务,实现全链路云原生 DevSecOps。
通过将核心镜像迁移至 ACR EE,使丽迅物流的镜像管理及运维 Registry 实例复杂度降低了 50%,将容器镜像分发效率提升 60%,并且确保了容器镜像端到端的安全。
点击此处,了解 ACR EE 更多产品能力。
