DockOne微信分享( 一零一):构建容器服务平台(CaaS)

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 本文讲的是DockOne微信分享( 一零一):构建容器服务平台(CaaS)【编者的话】容器技术作为这两年最令人瞩目的技术,在各个行业无论是互联网还是传统行业都得到广大的应用。作为致力于打造金融行业领先的平安云,于今年引进容器技术,研发平安云容器服务平台,吧容器技术应用到业务中,推动业务和技术快速发展。
本文讲的是DockOne微信分享( 一零一):构建容器服务平台(CaaS)【编者的话】容器技术作为这两年最令人瞩目的技术,在各个行业无论是互联网还是传统行业都得到广大的应用。作为致力于打造金融行业领先的平安云,于今年引进容器技术,研发平安云容器服务平台,吧容器技术应用到业务中,推动业务和技术快速发展。本次分享的核心内容即是从用户 痛点及特征分析想如何构建平安云容器平台。分为4个部分:
  1. 容器平台定位
  2. 容器平台设计
  3. 容器平台架构
  4. 容器平台设计技术

一、定位

用户

首先平安集团旗下的子公司包含了金融行业各个类别,每个子公司有自己的开发模式,对底层计算资源的需求也各有不同。
对做平台来说,所有需求都是合理的,因此平安云为用户提供不同类型的计算资源。

在提供容器之前,云平台已经存储云主机、云存储,现在云平台将提供容器服务。

定位

因此我们将容器定义为虚拟机式的容器服务。提供符合平安基础架构,用户自助服务的容器服务。

计算服务“三剑客”,满足不同种类的计算需求:物理机+虚拟机+容器
容器入伍作为一种轻量、便捷的计算方式,需要发展其长处。
QQ图片20170103163653.png

二、平台的设计

平台建设

1、面向多租户

“内部公有云”,需要满足多租户安全隔离的需求,有足够的权限控制
支持多种计算方式互联互通

2、融合用户体验
  • 符合云服务的特征,简化交付流程
  • 兼顾用户使用习惯和既有的流程
  • 汲取容器的优势进行微创新

下面是我的产品:
QQ图片20170103163720.png

平台设计-概念模型

QQ图片20170103163747.png

  • 租户:对应云门户的租户概念,可以理解为一个部门,或者一个产品开发组。
  • 环境:即容器运行的载体,环境中包含若干台主机,环境内的主机共同承担容器的运行。
  • 主机:只能属于某个指定的环境,不能跨环境部署。
  • 应用:与系统概念相似,对应容器的stack概念
  • 编排:即Docker Compose
  • 服务:即Docker Service
  • 容器:即Docker Container
  • 镜像:即Docker Image

平台设计-平台功能

1、 容器环境

租户在一个数据中心拥有一套单独容器服务
用户可以根据需求创建多套容器环境,并将自己的计算节点添加到环境中,实现底层资源的弹性扩容。

环境之间资源、服务等完全隔离,仅在管理态存在关联。

2、应用

支持Docker Compose V1编排方式创建。

提供常见的编排方案,一键式部署应用,应用和编排相互转,个人编排发布到应用商城。

3、服务

支持服务连接、端口映射、环境变量、目录挂载等多种策略等配置。

详细的服务管理:服务信息、服务事件、服务配置。

支持shell、文件上传、镜像制作等扩展功能。

4、镜像管理

镜像商城:提供多种官方镜像,所有租户均可使用。

公共仓库:每个租户拥有自己的公共仓库,租户内用户共享租户内镜像.

个人镜像:支持将容器提交成镜像,下载官方和公开镜像.

支持多区域分布式镜像管理。

上述是我们针对容器领域提供的四大功能。

三、容器部署架构

先整体看我们目前的平台系统架构:
QQ图片20170103163814.png

其中上述的各个区是公司针对金融行业所架设的网络架构。

具体考虑如下:

首先 ,门户部署在云管区中,保证所有租户都能通过门户使用容器服务。

另外 ,我们的镜像商城也部署在云管区中。

在每个数据中心的都部署一套或者多套容器编排调度系统,针对不同区域和用户需求。

如在开发区域,我们提供一套编排系统,所有租户使用一套容器服务。

而在生产环境,我们会为每个租户搭建一套编排系统,这样租户之间完全隔离。

另外容器平台会和监控平台以及配置管理中心对接。

其中上述的各个区是平安云正对金融行业所架设的网络架构。

介绍完部署组件,再详细介绍每个组件的功能以及使用到的技术。
QQ图片20170103164845.png

云管区(对外)

  1. CaaS Portal 是我们核心,也是用户直接接触的界面。具体介绍就是前一章的功能介绍的界面。

    CaaS Portal 后台数据库我们采用mysql集群,使用的Galera Cluster集群技术。
  2. Pub Hub是我们为平安用户搭建的镜像商城,由于网络以及规范原因,我们采取自行搭建镜像hub。将Docker hub最主要的镜像下载到商城中。

公共服务区(云平台资源区,对内)

  1. Docker Server:我们在remote docker api的基础上封装了一套java实现的docker api,并将它作为docker server agent部署。

    用于执行Docker命令,比如提交镜像为容器,获取镜像数据。
  2. 编排:我们采用开源容器编排平台rancher,通过调用api方式管理容器。
  3. Registry Mirror:为了不让租户VPC下的所有docker host一起访问Pub Hub,也减少网络之间的传输以及安全。

    我们在每个数据中心搭建了一套Registry,与Pub Hub通信。当用户需要创建容器后。

另外我们配置工具采用Ansible,该工具主要到docker host上执行相应命令。例如将vm变成docker host,并且添加到环境里。

我们将Ansible包装成restful。

四、容器平台技术

整体的架构分享完毕,后面针对容器服务所涉及的技术以及我们的方案进行介绍。

容器领域所涉及的技术包括:
  • 容器网络
  • 容器存储
  • 容器日志
  • 容器监控
  • 镜像管理

整个容器技术也就这5大块:

容器网络

先介绍容器网络历史,我将容器忘了的发展分为3个阶段:

第一阶段:

容器最早的网络模型,提供了4种方式。bridge桥接模式,即使用主机IP,而将容器端口映射到主机的端口中。缺点在于端口大量使用会导致冲突。

host方式: 使用host ip,缺点就是一个容器使用了某个端口后,其他容器再也不能使用该端口。

Container方式: 即和主机上的其他容器共享网络。

none方式: 不设置网络,需要手工配置、

第二阶段:

为了解决上述问题,涌现了很多方案,比较有名的就下面三种,这三总都是为了解决跨主机通讯,最大程度弥补容器本身的网络模型缺点。

从技术层面讲,这些容器技术可以归为两个技术流派:隧道模式和路由模式。

IPSec,Fannel属于隧道模式,而calico属于路由模式。

第三阶段:

后来Docker公司和Google公司分别为自己的容器网络模型指定标准。

其中Docker公司推出的标准是CNI,可以通过docker命令直接管理网络模型。

介绍完网络知识,我们看看CaaS选择网络。

对外: Container Bridge,采用端口映射

对内: 容器之间采用实现的IPsec隧道实现(直接使用编排框架Rancher自带的)

如果某个容器需要对外服务,则采用端口映射方式,连通所在vm,就可以暴露服务。

如果容器不需要对外提供服务,只需要在同个应用内提供服务,那么采用ipsec方式,这样避免浪费过多端口。

容器与容器之间建立私有忘了,只有容器与容器之间可以访问。每个容器都拥有一个私有网络地址:10.42.网段。

下面我是我们通过容器平台创建的一个tomcat容器,同时我将该容器映射到主机上,以便可以从外面访问。

其中,对外的端口占用问题,我们统一分配和回收。
QQ图片20170103164910.png

可以看到该容器又主机IP239,以及容器IP10.42.243.155。这里就综合使用的端口银色和ipsec。

容器存储

目标:极快的创建速度,极小的存储资源消耗以及容器迁移的便捷性

技术:分层和写时复制CoW

实现:AUFS,Device Mapper,ZFS,OverlayFS

目前我们容器服务统一运行在CentOS,还没使用其他操作系统。因此我们选择DeviceMapper作为容器存储驱动。
QQ图片20170103164931.png

下面是docker官方提供的所有存储驱动的成熟度。可以看到目前比较成熟的是AUFS和DeviceMapper。

目前只有这两个是官方建议的production-ready。我们的容器平台选择DeviceMapper。

Docker存储系统选择发展比较早比较成熟的DeviceMapper,一方面是因为该技术已经纳入linxu内核,稳定成熟,另一方面我们选择VM是CeotOS,其默认使用的是DeviceMapper。

DeviceMapper底层直接使用云磁盘作为pool,采用LVM管理。

除了容器和镜像存储外,另外一块存储是大家所忽视的:应用数据存储,包括配置文件,我们的方案是:采用了volume接口或者直接volume映射
QQ图片20170103164947.png

这样解决容器可以自动迁移。

日志

  • 容器服务平台日志:本地+云平台ELK日志服务
  • 容器自身运行日志:本地云磁盘+云平台ELK日志服务
  • 容器内应用(业务方)日志:业务自行规划,已经提供目录挂载
    QQ图片20170103165319.png

容器监控

这块监控,我们依赖于云平台原有 监控,另外补充了针对容器特有的监控。

1、主机监控
QQ图片20170103165348.png


2、容器监控

自研发脚本,提供容器本身的性能监控(cpu/mem/network/storage),监控平台定时获取,同时,能够在portal上查看。
QQ图片20170103165413.png


3、特定的中间件监控

提供常见中间件的性能监控(WebLogic/Tomcat/Nginx等),为中间件镜像制作脚本,中间件监控程序整合到Docker镜像中,容器一启动,就能即时上报性能数据到监控平台,无需任何外部干预。该监控能够到监控平台查看。

监控平台是由本部门另外团队研发。目前采用zabbix/open-falcon。

镜像管理

QQ图片20170103165432.png

针对镜像管理,我们从单节点->双节点->跨区域分布式进行演进。

1、镜像管理使用Distribution,前端设置LVS+Keepalived作负载均衡和高可用,镜像存储采用DNAS。

2、Docker Server是我们自行开发的服务组件,每个区域(例如深圳、上海)都部署一套,对接本区域的Registry。一方面监听当前区域的registry事件,然后主动发起同步操作。另一方面:执行Dockcer命令,管理该区域的所有运行容器的机器。

该功能近期才刚刚完成。关于跨区域分布式镜像管理,基本只有三种方式:
  1. 主动执行同步,比如调用docker remote api,执行docker push /docker pull。
  2. 事件监听,采用registry的notification监听。
  3. 底层存储同步。

我们综合三种方案,结合实际,采用的第1和第2中方案。

Q&A

Q:跨区域的容器集群间是否能通信?
A:目前跨区域机器不能通讯。跨区域之间机器是租户完全隔离。如果租户需要通讯,需要针对具体机器进行开墙。
Q:请问使用DeviceMapper其中遇到了那些问题?
A:最常遇到的是device busy。会导致容器无法删除。此时需要人工干预。
Q:镜像管理如果只是基于distribution的话,权限与多租户管理是如何实现的?
A:权限纳入平台管理,由我们自行实现。租户之间的镜像不可共享。租户内的可共享和私有。
租户间的镜像必须通过发布,由平台审核方能在各个区域和各个租户间共享。
Q:监控是用什么语言开发的,是自主开发还是用开源的?
A:监控,我这边针对镜像和容器这块做了一些监控数据的收集,然后提供给监控平台。监控平台由部门另外一组开发。目前基于Zabbix进行开发。
Q:请问:1. DockerHUB只有一个实例吗?如何保证高可用?2. Docker Server间同步的是什么内容呢?Docker事件?
A:所有区域,包括pub和mirror,都是keepalive+lvs搭建。目前使用双registry+共享nas。而这两个Registry所在的vm是跨az。也就是一个Registry宕完全不影响另外一个提供。而nas是双写nas,我们这边的存储组提供的DNAS服务。备份策略也是可以根据自己定义。
Q:pub hub获取docker hub 镜像的方式,目前是自动维护吗?
A:不是,从docker hub进入公司官方镜像仓库,都是人工维护同步。我们需要针对一些镜像做特殊处理。
Q:IPsec的性能传说不是很好,你们有遇到过网络的问题吗?Rancher 的IPsec网络性能怎么样?容器有涉及到弹性伸缩吗?容器间采用Rancher 实现网络通信,为什么没有选择类似组件?
A:这3个问题统一回答。目前是使用IPsec。由于当前每个Rancher对接的容器数目不是特别大,还没产生网络问题。另外对外网络走的是云主机网络。
有考虑过其他组件,由于之前起步阶段,所有直接采取rancher提供的。最近Rancher提供支持CNI的方案。目前正在研究对应的组件。
Q:我能想到的一个方案是自己的用户体系加云平台的租户和云平台的用户体系,多对1的映射,当审核通过后,使用不同的云平台用户,这样权限就不一样了。是这样吗?
A:目前容器服务只针对公司内部开放,直接兼容云平台租户。
Q:请问内核版本是?用4.9的计划吗?平安云是OpenStack吗?用Magnum吗?
A:使用CentOS 7.2,内核版本是3.10.xxx,平安云使用Cloud Foundry,平安云使用了多种虚拟机,VMware和KVM是主要。
Q:容器是跑在物理机上还是虚拟机上,容器所在的操作系统归租户所有还是运营商所有?容器的分配规则由谁决定?一个宿主机跑多少个容器由谁决定?
A:目前资源限制还是交给Rancher来管理,我们对Rancher的规划是:让Rancher管理资源,分配容器。在页面提供Docker目前支持的资源参数。
容器所在的操作系统归租户所有。租户可以任意添加自己的云主机到容器华环境中。
Q:目前这个系统是内部用的吧?安全性有没有考虑?
A:安全:目前针对公司内部,使用公司AD认证登录。而计算资源限制采用租户隔离。镜像这块安全采用主机互信。
Q:很多业务日志是不直接输出到stdout 的,这些业务日志如何搜集?容器日志的采集采用什么方式?容器规模大约有多大呢?当采集方出现采集中断的时候会有报警提示吗?打入到es后,做了哪些比较有效的报表数据呢?
A :日志需要分为三种:
容器服务平台日志:本地+云平台ELK日志服务
容器自身运行日志:本地云磁盘+云平台ELK日志服务
容器内应用日志:业务自行规划,已经提供目录挂载
平台这边目前集中负责前两个日志。
日志这块也会根据重要程度选择上报告警。
业务日志:我们提供方案。
针对业务方的日志管理:需要帮助业务方将系统容器化,其中一个重要的方面就是日志管理。
目前采用方案:让业务方将日志容器化,这样日志不会打在容器本身的所在的机器上。

以上内容根据2016年12月27日晚微信群分享内容整理。分享人朱玉华,平安科技云平台事业部容器服务平台负责人。14年入职平安,先后担任平安科技架构师软对应用架构师,云平台自身开发工程师,目前负责容器服务平台的架构设计。 DockOne每周都会组织定向的技术分享,欢迎感兴趣的同学加微信:liyingjiesz,进群参与,您有想听的话题或者想分享的话题都可以给我们留言。

原文发布时间为:2017-01-03

本文作者:朱玉华

本文来自云栖社区合作伙伴Dockerone.io,了解相关信息可以关注Dockerone.io。

原文标题:DockOne微信分享( 一零一):构建容器服务平台(CaaS)

相关实践学习
巧用云服务器ECS制作节日贺卡
本场景带您体验如何在一台CentOS 7操作系统的ECS实例上,通过搭建web服务器,上传源码到web容器,制作节日贺卡网页。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
相关文章
|
3月前
|
负载均衡 网络协议 开发者
掌握 Docker 网络:构建复杂的容器通信
在 Docker 容器化环境中,容器间的通信至关重要。本文详细介绍了 Docker 网络的基本概念和类型,包括桥接网络、宿主网络、覆盖网络和 Macvlan 网络等,并提供了创建、管理和配置自定义网络的实用命令。通过掌握这些知识,开发者可以构建更健壮和灵活的容器化应用,提高应用的可扩展性和安全性。
|
3月前
|
人工智能 数据可视化 API
10 分钟构建 AI 客服并应用到网站、钉钉或微信中测试评
10 分钟构建 AI 客服并应用到网站、钉钉或微信中测试评
120 2
|
15天前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
本文基于2024云栖大会演讲,探讨了软件供应链攻击的快速增长趋势及对企业安全的挑战。文中介绍了如何利用阿里云容器服务ACK、ACR和ASM构建云原生软件供应链安全,涵盖容器镜像的可信生产、管理和分发,以及服务网格ASM实现应用无感的零信任安全,确保企业在软件开发和部署过程中的安全性。
|
25天前
|
开发框架 安全 开发者
Docker 是一种容器化技术,支持开发者将应用及其依赖打包成容器,在不同平台运行而无需修改。
Docker 是一种容器化技术,支持开发者将应用及其依赖打包成容器,在不同平台运行而无需修改。本文探讨了 Docker 在多平台应用构建与部署中的作用,包括环境一致性、依赖管理、快速构建等优势,以及部署流程和注意事项,展示了 Docker 如何简化开发与部署过程,提高效率和可移植性。
53 4
|
1月前
|
机器学习/深度学习 数据采集 Docker
Docker容器化实战:构建并部署一个简单的Web应用
Docker容器化实战:构建并部署一个简单的Web应用
|
1月前
|
存储 运维 Kubernetes
云端迁移:备份中心助力企业跨云迁移K8s容器服务平台
本文将简要介绍阿里云容器服务ACK的备份中心,并以某科技公司在其实际的迁移过程中遇到具体挑战为例,阐述如何有效地利用备份中心来助力企业的容器服务平台迁移项目。
|
2月前
|
Kubernetes 监控 数据中心
容器化与微服务:构建高效开发环境的双剑合璧
【10月更文挑战第20天】本文探讨了容器化技术(如Docker和Kubernetes)与微服务架构的结合,如何共同构建高效、灵活的开发环境。容器化解决了环境一致性、快速部署和资源隔离的问题,而微服务架构则提升了系统的可维护性和可扩展性。通过容器编排工具、CI/CD流程和服务网格,两者的结合进一步优化了开发和运维效率。文章还分享了实施这两项技术的最佳实践和职业心得。
|
3月前
|
人工智能 运维 负载均衡
10 分钟构建 AI 客服并应用到网站、钉钉或微信中
《10分钟构建AI客服并应用到网站、钉钉或微信中》的解决方案通过详尽的文档和示例代码,使具有一定编程基础的用户能够快速上手,顺利完成AI客服集成。方案涵盖高可用性、负载均衡及定制化选项,满足生产环境需求。然而,若文档不清晰或存在信息缺失,则可能导致部署障碍。实际部署中可能遇到网络、权限等问题,需逐一排查。云产品的功能、性能及操作配置便捷性直接影响解决方案效果,详尽的产品手册有助于快速解决问题。总体而言,该方案在各方面表现出色,值得推荐。
|
2月前
|
Kubernetes Cloud Native 云计算
云原生之旅:构建你的第一个容器化应用
【8月更文挑战第75天】在数字化浪潮中,云原生技术成为推动企业创新和效率提升的关键动力。本篇文章将引导你开启云原生之旅,通过一个简易的步骤指南,帮助你构建并部署第一个容器化应用。我们将一起探索Docker容器的魅力,以及如何利用Kubernetes进行集群管理,实现服务的自动化部署、扩展和管理。无论你是云原生新手还是希望深化理解,这篇文章都将为你提供实践操作的启示和深入思考的契机。
|
2月前
|
监控 Kubernetes 测试技术
掌握Docker网络模式:构建高效容器通信
【10月更文挑战第3天】本文深入探讨了Docker的网络模式,包括它们的工作原理、使用场景以及如何配置和优化容器间的通信。希望能够帮助开发者在项目中有效地应用Docker网络模式,构建高效的容器化应用。

相关产品

  • 容器计算服务