众所周知,虚拟机的优势是资源弹性、秒级交付、自动化运维、接口标准统一,物理机的优势是性能无损、特性无损、硬件级隔离,而弹性裸金属服务器(神龙)则兼具虚拟机和物理机的优势。ECS弹性裸金属服务器基于自研神龙技术架构,通过自研虚拟化芯片和自研Hypervisor系统软件,以及重新定义服务器硬件架构等,打造了全球领先的深度融合物理机和虚拟机特性的创新型计算产品,100%兼容阿里云产品生态,实现性能“零”损耗、上云“零“障碍,安全“零”风险等,充分满足关键业务系统、高强度负载应用等上云要求。
阿里云ECS弹性裸金属服务器(神龙)已经与其容器服务全面兼容,这也意味着除虚拟机和物理机之外,还可以选择在弹性裸金属服务器上直接运行容器、管控Kubernetes/Docker容器集群,如此将会获得非常出色的性能、数倍提升的资源利用率、芯片级加密的安全性等优势。
容器on‘神龙’的三大优势
神龙(X-Dragon)弹性裸金属服务器的无任何虚拟化开销。容器on‘神龙’ 具备如下三大优势:
- 资源零争抢、利用率提升:在广泛的容器化场景中,使用Kubernetes的容器调度能力,可以实现应用的混布,提升3倍以上的资源利用率,充分利用到神龙(X-Dragon)弹性裸金属服务器的极致性能。
- 网络带宽扩大、性能加强:配有RoCE网络互联的“SCC超级计算集群”实例,不仅确保计算的高度并行效率,而且其网络速度达到RDMA网络的性能,且能支持更广泛的Ethernet应用。在网络方面,容器服务基于阿里云的虚拟化网络能力分别实现了支持Kubernetes/Docker的网络驱动,相比原生的网络驱动没有做额外的overlay的开销,经过之前的测试,配合神龙(X-Dragon)弹性裸金属服务器的高性能网络和容器服务的网络驱动,容器间跨主机的网络带宽相对宿主机几乎无性能损耗,非常适合运行高性能计算等网络密集型应用。
- 物理级别的加密 + 应用层面的隔离:神龙具备物理机级别的安全隔离。而神龙(X-Dragon)弹性裸金属服务器的CPU和内存具备零虚拟化和彻底独占的特点,具备更高的安全隔离性。阿里云是亚洲第一家支持intel SGX加密计算的公有云厂商,神龙(X-Dragon)弹性裸金属服务器采用了芯片级可信执行环境(Intel SGX),确保加密数据只能在安全可信的环境中计算。在芯片级的硬件安全保障之外,用户可自行掌控数据加密和密钥保护的全部流程。而在神龙(X-Dragon)弹性裸金属服务器上,使用容器服务可以不但可以使用容器技术加强应用的安全和资源隔离,还可以充分利用SGX提供的可信计算能力支撑区块链应用加密等场景。所以通过神龙(X-Dragon)弹性裸金属服务器+容器服务可以提供给用户在云上环境的安全性以及云上环境中应用间的隔离和安全性。
以网络方面为例,‘神龙’多网卡的强力加持,使得容器网络性能显著提升。‘神龙’大规格实例支持32个弹性网卡。弹性网卡支持动态热插拔,可以更好地匹配容器网络,无需要利用Linux VETH及Bridge等技术,同时报文转发下移到了位于神龙Hypervisor上的虚拟交换机(Virtual Switch,vSwitch),通过减少流程提升网络性能。
弹性网卡使得容器具备多网卡直通的能力,直接接入VPC网络平面,能让每个容器都具备全量的VPC网络功能,包括:EIP、SLB、高防、安全组、HAVIP、NAT、用户路由等众多高级功能。容器服务计划结合神龙(X-Dragon)弹性裸金属服务器将来的多网卡支持,提供更原生的高性能网络体验。
阿里云容器服务提供的Terway网络驱动可以直接利用弹性网卡为容器应用提供无损的高速网络互联,以及网络策略、带宽保障等高级功能。
何时需要考虑“召唤神龙”?
场景一:在线游戏等绝杀应用,满足高性能的苛刻要求
在对应用性能有比较极端需求场景下,如在线游戏,提供物理机一样的性能体验。结合容器服务的调度和分发能力,做到资源高效利用、应用快速迭代,从而确保核心业务在高压的情况下依然可以飞速增长。比如,在提速游戏发布前的玩家体验测试、增强3D场景渲染、改善联机游戏的延迟和丢包等场景。
另一方面,阿里云容器服务提供了对弹性计算全系列规格的完美支持,容器服务为高性能计算、深度学习应用打call。除了神龙(X-Dragon)弹性裸金属服务器之外,容器服务还提供了基于GPU的调度能力,配以GPU设备状态的监控,方便高性能计算的应用的部署和运维。线上单GPU集群规模超过几百台。并且,容器服务提供了优化的深度学习解决方案,内建了云端部署运行的最佳实践。容器服务,充分简化了复杂分布式应用的部署、运维,提供了云端最佳实践和优化,把阿里云弹性技术强大的计算力充分发挥出来。
场景二:芯片级加密,区块链领域及金融行业的杀手锏
最近大热的区块链技术,是用分布式账本技术和共识算法识别、传播和记载信息的智能化对等网络,其对计算、网络、安全有着极高的要求。
神龙(X-Dragon)弹性裸金属服务器内置的Intel SGX,确保加密数据(如最为关键的私钥及签名过程)只能在安全可信的环境中计算,并可为智能合约处理交易和账本数据提供安全的运行环境。容器可以通过挂载设备将原生的加密设备挂载到容器中,神龙(X-Dragon)弹性裸金属服务器上的容器服务也可以使用到这种加密能力。利用它,在区块链中的数据可以被加密存储,只有交易时才被解密,极大提升了整体的安全性。
阿里云容器服务已经发布了基于容器集群的开源区块链Hyperledger Fabric解决方案,利用容器技术可以在2分钟之内部署完成一个生产级别安全、高可用的区块链应用运行环境,帮助企业可以加速业务创新。
通过容器召唤‘神龙’的正确姿势
用户可以根据自己需要选择在ECS、EGS或神龙(X-Dragon)弹性裸金属服务器上使用阿里云容器服务。和其他类型节点的运行方式一样,神龙(X-Dragon)弹性裸金属服务器加入到集群中之后作为集群的一个节点,容器根据调度规则运行在神龙(X-Dragon)弹性裸金属服务器上面。
具体到使用层面而言,通过Kubernetes容器服务添加神龙(X-Dragon)弹性裸金属服务器与添加ECS的操作是完全相同的,建议用户:
- 集群的Manager节点使用ECS虚拟机,阿里云Kubernetes服务支持Manger节点跨3AZ来保障集群的可用性。
- Worker节点可以自由组合,根据业务的对资源的要求不同,可以给通过容器服务调度的约束让应用运行在不同类型的节点上,比如对于高性能计算、网络类型应用选择弹性裸金属服务器节点,对深度学习应用选择GPU节点。对GPU节点,阿里云Kubernetes服务会自动开启相应调度能力。
- 在对集群资源出现变化时,可以动态扩缩容。
另外,关于专业术语“镜像”,这里有必要进行详细的解读。对于ECS、神龙(X-Dragon)弹性裸金属服务器,镜像(快照)是自定义镜像是 ECS 实例系统盘某一时刻的快照。而对于容器而言,镜像则是Docker 镜像是容器应用打包的标准格式。
- 基础操作系统镜像:基础操作系统镜像是指虚拟机或物理机启动需要的完整的磁盘镜像,其中包含了磁盘的引导、启动的内核、系统的服务等一系列内容,大小在G级别,一般用于安装在裸机上启动操作系统,不方便用于应用的分发。
- 容器应用镜像:而容器镜像只包含了基础的运行库以及用户自己的应用程序,一般总大小在百兆级别,而且默认是分层存储,使用Copy-on-write机制,多个镜像间可以共享相同的部分,可以使用镜像仓库做镜像的存储、版本管理和分发。一般用作应用及应用依赖环境的交付。
更多精彩,敬请期待
未来,神龙(X-Dragon)弹性裸金属服务器还会输出专有云版本,容器服务可以结合神龙(X-Dragon)弹性裸金属服务器专有云版本实现和公共云上一致的体验。目前已有的线上神龙(X-Dragon)弹性裸金属服务器提供高性能和高配置的版本,满足用户在专有云IaaS中使用的物理机的要求,客户可以使用容器服务将已有应用和环境打包成容器镜像,在神龙(X-Dragon)弹性裸金属服务器的容器集群上运行起来,大大降低应用迁移的成本,甚至可以轻松实现混合云环境应用部署管理。
随着大数据和人工智能的热潮,将会有更多高性能计算的诉求,但自建高性能计算的成本以及发布复杂度高。依靠神龙(X-Dragon)弹性裸金属服务器和容器服务的敏捷性会为高性能计算的资源利用和快速迭代提供方便的环境,提升效率简化管理,让用户们专注于业务的研发。
