作者 | 朱鹏,阿里云 Serverless 技术专家
基于 ECS 的 FaaS
在阿里云传统架构,用户通过互联网进入到负载均衡系统中,再通过负载均衡把系统的请求调度到不同的机器上去。这种传统的架构带来的问题比较多,一方面是多应用配比比例容易失衡,造成资源浪费;另一方面是镜像升级比较繁琐,整个过程的开机速度在分钟级,扩容速度也相对较慢。
架构设计
基于 ECS 的 FaaS 架构设计同样也是通过互联网进入,落到 SLB 负载均衡上。SLB 负载均衡这个系统是部署在阿里云内部的,主要用于抵挡 DDoS 攻击及请求均衡到多台 api server 上。api server 再发起函数的 CRUD 操作,并向 Scheduler 申请容器。Scheduler 管理容器在 worker 的放置,请求落在容器上的调度分发。用户所在 worker 就是我们称之为的计算节点,如果需要访问用户的 VPC 环境则在计算节点上通过 ENI 网卡打通到用户 VPC 环境。
多租户多应用部署的支持
namespace 是 linux 前几年推出的一个资源隔离方案,可以在内核层面做一些设置指定一部分进程固定。并且可以在 cgroup 的这一套设置方案里设置,控制资源的访问。在 namespace、cgroup 整套方案下,衍生出了 container,社区中常用的的 Docker 方案把镜像操作系统中的很多细节包装成一个方案,用户看到了一个相对比较完整的操作系统,把用户当成一个单个用户放置在虚拟机当中。这就是一个 vm,相当于说一台 ECS,这里就是操作系统层面,把整个 cpu、memory、包括设备全部给屏蔽掉,在上面用 cgroup 封一层,对应的就是 Docker 容器。
应用放置策略包括用户独占虚拟机、同 VPC 独占虚拟机、资源访问权限一致的 APP 混部在同机器。把两个不同的用户混在一个 vm 下,也就是 ECS 上面,对于用户之间来说是存在风险的。为了屏蔽掉共用 kernel 带来的风险,ECS 上的实现,我们单个 ECS 只有一个租户,这样处理也存在一些问题,最突出的就是对于低频调用函数资源使用率低。
快速水平弹性扩容
如何做到水平弹性扩容?
1、通过应用容器部署,可以定制一些特别的语言、Runtime 容器、通用 LIB/SDK,并保持社区生态一致,这样就不需要另外去下载,用户用起来也比较方便,启动速度也非常快。
2、 通过设置公共容器镜像、容器镜像写入 ECS 镜像、ECS 镜像启动机器、快速补充机器池等控制机器资源池,从而能够兼顾性能与成本。
3、在池化的机器中池化容器创建、代码目录延迟挂载、提前启动 runtime、提前 health check,用户请求来临的时候需要启动的时间会变得更短。
4、通过限制用户应用大小、鼓励拆分业务逻辑、内置 SDK/Lib 来控制应用大小。
5、通过 P2P 镜像分发、避免对下载服务造成冲击、按需加载、降低下载延迟、提升启动速度等完成 P2P 镜像下载加速。
如何提升资源使用率?
在实际研发过程中发现,相同 QPS 下单位时间片内调度对资源量的影响非常大,我们可以通过调度提升资源使用率。例如在下图中,我们看到宏观状态下的整体 TPS 是非常稳定的,然而事实上,我们放大到毫秒级别会发现,其实非常不均匀!那么这种不均匀到底会给我们带来什么影响?
假设我们每个容器被设置的最大并发度为 1,即任意时刻一个容器只处理一个任务。下图展示了 a,b,c,d,e,f 多个请求在不同时刻点被调度时对容器数目的影响。
可以看到场景一时,每个请求均匀打入时,任意时刻只需要一个容器就够了,这种情况就是我们理想中希望能达到的;
而在场景二下,如果调度发生了滞后,可能导致前置的请求和后来的请求混到了一个时间点,导致容器数目翻倍,在中间的空白处,这些容器又没有被充分利用造成了资源的浪费;
在场景三下,如果容器启动耗时较长,或者调用耗时变长,原来的 b 请求会和 a 请求出现时间上的叠加,导致又需要创建新的容器,而新的容器如果需要较长时间的冷启动, 又会导致和 c 请求出现时间上的叠加。如果调度系统实现得不够好,这样一来就可能产生雪崩效应,导致资源使用量暴涨,而实际使用率却极其低下。
通过上面几个场景,我们可以大致为资源使用率的开销上总结一个优化方向:
- 尽可能让调度更均匀、更合理,避免扎堆唤起容器
- 尽可能降低冷启动时长,避免短期大量容器都处于创建当中,避免无意义的系统调度开销
- 除了上述外,我们还可以考虑高密部署,将单机的资源使用率提升上去
如何容灾、防止雪崩?
在实际操作中发生异常的时候,用户请求会出错,出错后会重启或调动新资源创建新的容器,但这样会导致整个延迟增大。用户有又会重复尝试,重复尝试则会导致负载升高,从而又引起异常,如此恶性循环。可以通过优化启动速度、多 Partition 容灾部署、指数退避重试、Breaker 阻断异常请求、多可用区备灾、SLB 阻断 DDoS 攻击来防止雪崩。
基于神龙高密部署的 FaaS
为什么需要做高密部署?
一是因为弹性启动速度要求高,希望做到每秒1万个容器实例的启动、启动延迟控制在300毫秒以内、容器的存活时间在分钟级别、资源粒度128MB;
二是成本更低,ECS 架构因安全隔离问题资源碎片多,突发调用延迟高,影响资源数目;
三是性能,ECS 单机缓存少、请求毛刺率较高、请求最大延迟高;
四是稳定性,高并发对系统冲击、频繁的创建删除资源、ECS 管控压力,爆炸半径难以控制。
高密部署架构带来的技术难题
整个高密部署架构带来的一些技术难题:
首先要面对的是如何解决单机多租户隔离安全风险,如果不解决这个问题那么就无法做到单机多租户的安全高密部署,这样资源使用率密度无法有效提升;
其次是如何解决高并发下启动速度问题,如果无法做到这点,如我们前面所提到的,冷启动时间较长会严重加剧资源的开销,同时严重影响用户延迟体验;
再就是如何解决单机多租户 VPC 网络打通及安全问题,这一点其实非常重要,我们在 ECS 上建立 VPC 网络连接的速度非常慢,这也严重影响了用户冷启动及资源的使用;
另外我们还需要考虑如何设计高密部署下的技术容灾方案,因为任何一个计算节点的异常会带来大量用户的服务异常。
基于安全容器模板技术的优化
我们是如何做到基于安全容器模板技术的优化的?每个容器独占一个虚拟机沙箱,这个沙箱相当于是一个独立的虚拟机,有自己独立的 linux 内核,这样一来每个容器都是通过独立的 kernel 来做安全隔离。神龙启动时模板化大量虚拟机用于提升启动速度,通过 virtiofs 延迟挂载用户代码目录,通过虚拟机微内核隔离用户,可以做到单台机上每个微内核 20M 左右的内存,单机至少 2000 个容器,控制它的冷启动时间是在 250 毫秒左右。通过调度算法,我们可以合理地使用资源,承诺用户的资源 quota。
代码按需加载
代码按需加载是通过以下几个方面做到的:用户容器会重复使用同一份代码,单台神龙只需下载一次;脚本语言包含了大量用不到的代码;使用使用 FUSE(用户空间文件系统)来做中间层文件的真实读取;底层使用 NAS 做低延迟的数据下载;OSS(阿里云对象存储)做高带宽支持的数据下载。注意到,我们这里混用了 NAS 及 OSS 一同来做代码的加载,需要注意的是,NAS 的访问延迟相对而言更低,对于小文件的加载更快。我们在加载初始阶段开始全量异步从 OSS 下载代码。而对于需要立即访问的数据,我们则从 NAS 上读取。由于我们将整个用户代码目录做成了两个文件:一个为目录文件索引数据,另一个为文件内容数据。由于 NAS 访问延迟低,我们可以通过类似 GetRange 的方式去数据文件上获取小文件内容。这样就可以用最快的速度即时加载用户代码来达到快速冷启动了。
VPC 网络优化
基于网络服务网格的 VPC 网关代理是通过用户VPC网络安全隔离。我们过去在 ECS 方案上插拔 ENI 网卡非常耗时,至少需要 2~3s,P99 甚至达到 6~8s。在高密部署的神龙方案上,我们没有必要为每个安全容器做多次网卡插拔,只需要在神龙机器上统一打通到网关代理,而用户 ENI 网卡常驻在网关集群上,这样整个网卡的加载速度会变得很快。这样对于用户体验和资源开销都会是一个巨大的优化。
资源分配率
通过混合部署多租户各类业务提升部署密度,合理配比不同资源需求的容器到一台物理神龙,从而提升资源分配率。
