OpenKruise v1.6 版本解读:增强多域管理能力

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: OpenKruise 在 2024.3 发布了最新的 v1.6 版本(ChangeLog),本文对新版本的核心特性做整体介绍。

作者:立衡


前言


OpenKruise[1]是阿里云开源的云原生应用自动化管理套件,也是当前托管在 Cloud Native Computing Foundation (CNCF) 下的孵化项目。它来自阿里巴巴多年来容器化、云原生的技术沉淀,是阿里内部生产环境大规模应用的基于 Kubernetes 之上的标准扩展组件,也是紧贴上游社区标准、适应互联网规模化场景的技术理念与最佳实践。


OpenKruise 在 2024.3 发布了最新的 v1.6 版本(ChangeLog[2]),本文对新版本的核心特性做整体介绍。


重要更新


  • 从 v1.6.0 开始,OpenKruise 要求在 Kubernetes >= 1.18 以上版本集群安装和使用。如果你关闭了 Kruise-Daemon 组件(featureGates="KruiseDaemon=false"),你依然可以在 K8S 1.16 和 1.17 的集群上安装。
  • OpenKruise Leader 选举默认使用 leases 模式。对于使用 OpenKruise 1.3.0 或更低版本的用户,请先将 OpenKruise 升级到 1.4 或 1.5 版本,然后再升级到 1.6,以避免在升级过程中出现意外的 Multiple Leader 问题。
  • 为避免潜在的循环依赖问题,依赖 webhook 的功能将不再适用于 kube-system 下的资源,例如 SidecarSet、WorkloadSpread、PodUnavailableBudget、ContainerLaunchPriority 和 PersistentPodState。


增强多域管理能力


随着企业数字化转型的加速推进,越来越多的关键业务选择部署在云托管的 Kubernetes 集群。随着 Kubernetes 中部署业务和种类的增加,对于单一 Kubernetes 集群内的部署模式,也呈现出日益多元化的诉求,比如:


  • 分时弹性:周期性高峰的业务,定时扩容到弹性资源池,高峰期过去后把弹性资源实例缩容掉
    • 多架构算力:集群同时包含 x86 和 arm 算力资源
    • 多机房容灾:应用的实例同时部署到多个 A/Z 可用区来进行灾备


    WorkloadSpread 是 OpenKruise 在 v0.10 版本提出来的多域管理解决方案,旨在解决上述问题。常见的使用场景如下:

    image.png


    Fix:Deployment/CloneSet 滚动升级时,会破坏 subset replicas 比例


    Deployment/CloneSet 滚动升级时如果配置 maxSurge>0,会出现先扩容后缩容的情况。如下图所示,Pod-10 创建时,因为 x86 资源池 已经有了六个 Pod(一个 v1,五个 v2),所以 Pod-10 会被分配到 arm 资源池。v1-Pod 删除后,就造成了 x86 和 arm 各有 50% replicas Pod 的情况,破坏了 workloadSpread subset replicas 比例配置。

    image.png

    此版本 WorkloadSpread 在分配 subset pod 的时候,会考虑 pod version,进而修复了该问题。所以,如果您在生产环境使用了 workloadSpread 能力,我们建议您升级到 kruise 1.6 版本。


    镜像预热支持 'Always' 策略


    OpenKruise 镜像预热能够将 Base、业务镜像提前预热到 Node 机器上面,进而能够极大的提升业务扩容的速度,满足业务高峰期极速弹性的诉求。

    image.png

    OpenKruise 在做镜像预热时,首先会判断 Node 节点上该 Tag 的镜像是否存在,如果存在将不进行预热。因此,对于镜像 Tag 不变,镜像内容变化的场景不能进行预热,比如:Latest Tag 的镜像。


    此版本新增了 imagePullPolicy='Always' 策略,用于对上述场景的支持。此外,它可以与 completionPolicy.type=Never 搭配来常态化的预热 Base 镜像:a. 每天晚上 12 点左右会进行一次镜像预热;b. 如果有 Node 机器扩容会自动预热。


    apiVersion: apps.kruise.io/v1alpha1
    kind: ImagePullJob
    metadata:
      name: job-with-base
    spec:
      image: base:latest
      imagePullPolicy: Always
      parallelism: 10 
      completionPolicy:
        type: Never
      pullPolicy:                    
        backoffLimit: 3
        timeoutSeconds: 300


    防级联删除支持 Service&Ingress


    为了提升 Kubenetes 集群的稳定性和安全性,OpenKruise 对于一些资源提供了防级联删除的能力,比如:CRD、Namespace、Deployment 等。该版本我们又新增加了对于 Service、Ingress 资源的防护,当前策略只支持 'Always',表示:会拦截所有对于 Service、Ingress 资源的删除(除非去掉 label[policy.kruise.io/delete-protection])。配置如下:


    apiVersion: v1
    kind: Service
    metadata:
      labels:
        policy.kruise.io/delete-protection: Always
      name: test-web


    未来展望


    当前我们共规划了三个未来版本:


  • release 1.7:CloneSet/Advanced StatefulSet 支持 PVC 原地变配、kruise api 升级到 v1beta1、新增 Liveness Probe 特性
    • release 1.8:SidecarSet 支持 K8S 1.28 Sidecar Containers、kruise 组件最小化部署方案
    • release 1.9:CloneSet/Advanced StatefulSet 支持 Resource 资源原地 VPA


    欢迎大家积极参与到 kruise 的建设和版本规划当中。此外,非常欢迎你通过 Github/Slack/钉钉/微信 等方式加入我们来参与 OpenKruise 开源社区。你是否已经有一些希望与我们社区交流的内容呢?可以在我们的社区双周会[3]上分享你的声音,或通过以下渠道参与讨论:


    • 加入社区 Slack channel[4](English)
    • 加入社区钉钉群:搜索群号 23330762 (Chinese)
    • 加入社区微信群(新):添加用户 openkruise 并让机器人拉你入群 (Chinese)


    相关链接:

    [1] OpenKruise

    https://github.com/openkruise/kruise

    [2] ChangeLog

    https://github.com/openkruise/kruise/blob/master/CHANGELOG.md

    [3] 社区双周会

    https://shimo.im/docs/gXqmeQOYBehZ4vqo

    [4] Slack channel

    https://kubernetes.slack.com/channels/openkruise

    相关实践学习
    通过workbench远程登录ECS,快速搭建Docker环境
    本教程指导用户体验通过workbench远程登录ECS,完成搭建Docker环境的快速搭建,并使用Docker部署一个Nginx服务。
    深入解析Docker容器化技术
    Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。     相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
    相关文章
    |
    6天前
    |
    弹性计算 运维 安全
    提升云上资源稳定性的两大利器,事件驱动体系构建&自诊断工具
    阿里云弹性计算团队十三位产品专家和技术专家共同分享云上运维深度实践,详细阐述如何利用CloudOps工具实现运维提效、弹性降本。
    |
    6天前
    |
    弹性计算 运维 监控
    提升云上资源稳定性的两大利器:事件驱动体系构建&自诊断工具
    阿里云弹性计算技术专家王子龙和阿里云弹性计算技术专家樊超在本次课程中带来了题为《提升云上资源稳定性的两大利器:事件驱动体系构建&自诊断工具》的主题分享, 课程涵盖基于事件构建可观测体系、基于事件的云上运维、ECS事件驱动最佳实践、使用ECS遇到故障时的痛点分析、一眼排障ECS健康状态、一键定位ECS健康诊断等内容。
    |
    7月前
    |
    监控 安全 Cloud Native
    云原生环境下的安全实践:保护应用程序和数据的关键策略
    云原生环境下的安全实践:保护应用程序和数据的关键策略
    536 0
    云原生环境下的安全实践:保护应用程序和数据的关键策略
    |
    10月前
    |
    算法 安全 调度
    隐语v0.7.18版本更新,构建跨机构分布式底座RayFed
    隐语v0.7.18版本更新,构建跨机构分布式底座RayFed
    440 0
    |
    缓存 运维 Kubernetes
    CNStack 网络插件:hybridnet 的设计与实现
    CNStack 网络插件:hybridnet 的设计与实现
    CNStack 网络插件:hybridnet 的设计与实现
    |
    边缘计算 缓存 运维
    OpenYurt v1.2 新版本深度解读(一): 聚焦边云网络优化
    云原生边缘计算智能开源平台 CNCF OpenYurt 于近期发布了 v1.2 版本。OpenYurt 是业界首个对云原生体系无侵入智能边缘计算平台,具备全方位的“云、边、端一体化”能力,能够快速实现海量边缘计算业务和异构算力的高效交付、运维及管理。
    OpenYurt v1.2 新版本深度解读(一): 聚焦边云网络优化
    |
    Kubernetes 安全 机器人
    Lyft 微服务研发效能提升实践 | 3. 利用覆盖机制在预发环境中扩展服务网格
    Lyft 微服务研发效能提升实践 | 3. 利用覆盖机制在预发环境中扩展服务网格
    1202 0
    Lyft 微服务研发效能提升实践 | 3. 利用覆盖机制在预发环境中扩展服务网格
    |
    前端开发 关系型数据库 MySQL
    开源测试平台横向测评系列『流马』篇:流马部署
    【简介篇】 • 项目概述:技术栈、工作原理 • 项目功能简介:功能特点 【部署篇】 • 部署规划 • 依赖环境部署(JDK、MySQ、NGINX、Git、NodeJS、Python3) • 代码打包:克隆项目、前端代码打包、后端代码打包 • 项目部署:前端部署、后端部署、执行引擎部署
    开源测试平台横向测评系列『流马』篇:流马部署
    |
    存储 Prometheus 监控
    KubeVela 1.5:灵活框选 CNCF 原子能力打造独特的企业应用发布平台
    KubeVela 1.5 于近日正式发布。在该版本中为社区带来了更多的开箱即用的应用交付能力,包括新增系统可观测;新增 Cloud Shell 终端,将 Vela CLI 搬到了浏览器;增强的金丝雀发布;优化多环境应用交付工作流等。
    KubeVela 1.5:灵活框选 CNCF 原子能力打造独特的企业应用发布平台
    |
    边缘计算 Kubernetes 监控
    OpenYurt v0.7.0 版本解读:无侵入的跨网络域解决方案 Raven
    新版本中重点发布 Raven 解决方案,该方案在对原生的容器网络方案无侵入的状态下,优雅的解决跨公网的云边,边边的 Pod 间通信问题,方便的满足了云边协同场景下对容器网络的诉求。同时在 OpenYurt v0.7.0 中,也完成对 EdgeX Foundry 的 LTS 版本(Jakarta)的支持,以及 K8s 版本 v1.22 的支持。
    OpenYurt v0.7.0 版本解读:无侵入的跨网络域解决方案 Raven