容器服务

阿里云容器服务一直探索如何更好支撑混合云、云边一体的分布式云架构和全球化应用交付，帮助广大企业降本提效。

本期发布会阿里云将首推两款重磅新品，容器服务企业版 ACK Pro和边缘容器服务 ACK@Edge，深度解析阿里云面向云原生的新思考和新动态。

容器技术从1979年发展至今已经超过40年，docker 只能说是目前为止，其中一种比较著名而流行的实现。可以说，docker 解决了应用分发的难题，为日后 kubernetes 的流行奠定了基础。 但是，俗话说得好，勇士战胜恶龙之日，自身亦化作恶龙。不管是 Docker 公司后来各种神操作（把项目改名 Moby ，docker swarm 的弱鸡编排）也好，CoreOS 的崛起也罢。开源世界的战争，是一种技术标准的全球话语权争夺，这种争夺远比你想象的要残酷。

在7月29日的2020可信云大会上，信通院发布了国内云厂商的容器安全评估结果。阿里云容器服务荣获最高级别先进级可信云安全能力认证，特别是在最小化攻击面，二进制镜像验签名，密文的BYOK加密等能力上国内领先，达到国际先进水平。

在7月29日的2020可信云大会上，信通院发布了国内云厂商的容器安全评估结果。阿里云容器服务荣获最高级别先进级可信云安全能力认证，特别是在最小化攻击面，二进制镜像验签名，密文的BYOK加密等能力上国内领先，达到国际先进水平。

在现实中的应用交付实践中，常常需要将同一应用同时部署到多个集群中。应用中心支持将同一个数据源定义的应用，通过应用组的形式一键部署到多个集群中，实现统一管理。

今年4月，完美日记IT系统实现全面云原生化。

服务网格包含两种认证方式： • 传输认证：基于双向TLS技术，常用于服务间通信认证。 • 来源认证：基于JWT技术，常用于客户端和服务之间的请求认证。 在服务网格中配置JWT请求授权，可以实现来源认证(又称为最终用户认证)。在接收用户请求时，该配置用于认证请求头信息中的ACCESS TOKEN是否可信，并授权给来源合法的请求。

继MicroServices之后，ServiceMesh是又一个推动软件工业的革命性技术。其服务治理的方法论，不仅改变了技术实现的方式和社会分工。 运行于数据平面的用户服务与治理服务的各种规则彻底解耦。运行于控制平面的规则定义组件，将流量控制的具体规则推送给运行于数据平面的proxy，proxy通过对用户服务的ingress和egress的实际控制，最终实现服务治理。 grpc协议相比http而言，既具备http跨操作系统和编程语言的好处，又提供了基于流的通信优势。而且，grpc逐渐成为工业界的标准，一旦我们的grpc服务可以mesh化，那么更多的非标准协议就可以通过转为grpc协议的方式

Template数据源发布实战

阿里云容器服务的技术专家易立为大家带来容器技术企业落地最佳实践的介绍。内容包括容器技术的背景，阿里云容器服务概述，容器技术在企业落地的正确姿势，以及容器服务的演进方向。

参赛者需要实现两个功能，一个用于实现规模化的容器静态布局功能，一个用于实现规模化的容器动态迁移功能。

本文摘自于由阿里云高级技术专家王夕宁撰写的《Istio 服务网格技术解析与实践》一书，讲述了如何使用 Istio 进行多集群部署管理来阐述服务网格对多云环境、多集群即混合部署的支持能力。

本文摘自于由阿里云高级技术专家王夕宁撰写的《Istio 服务网格技术解析与实践》一书，在展望服务网格未来的同时，讲述了如何使用 Istio 进行多集群部署管理，来阐述服务网格对多云环境、多集群即混合部署的支持能力。

新产品、新版本、新技术、新功能、价格调整，评论在下方，下期更新！关注更多新品发布会！

简介 ASM ASM当前处于公测阶段，欢迎扫码入群进一步交流： 阿里云服务网格（Alibaba Cloud Service Mesh，简称 ASM）提供了一个全托管式的服务网格平台，兼容于社区 Istio 开源服务网格，用于简化服务的治理，包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力，从而极大地减轻开发与运维的工作负担。

前面的系列文档中介绍了如何创建服务网格ASM实例，并介绍了如何将一个应用示例部署到 ASM 实例中，本文在此基础上介绍如何在ASM中支持自定义外部授权。

前面的系列文档中介绍了如何创建服务网格ASM实例，并介绍了如何将一个应用示例部署到 ASM 实例中，本文在此基础上介绍如何通过定义EnvoyFilter来添加HTTP请求头，以满足一些场景下的要求，例如使用安全请求头保护应用程序的安全等。

阿里云支持基于SAML 2.0的SSO（Single Sign On，单点登录），也称为身份联合登录。本文以Microsoft Active Directory (AD) 为例为您介绍企业如何使用自有的身份系统实现与阿里云的SSO并在容器服务ACK集群中进行身份验证。 本文主要介绍 ** AD FS的安装部署 **， ** 用户SSO ** 配置和登录， 如需了解 **角色SSO** 配置和

在容器服务的应用目录里找到“ack-alibaba-cloud-metrics-adapter” 填入AccessKeyId、AccessKeySecret、RegionId这三个参数，“创建”即可 部署完成后可以参考这里的例子

Kubernetes提供了多种容器开放接口用于对接不同的后端来提供资源，如提供计算资源的容器运行时接口（Container Runtime Interface, CRI），提供网络资源的容器网络接口(Container Network Interface, CNI)，提供提供存储资源的容器存储接口（Container Storage Interface, CSI）。这篇作为这系列的开篇，主要介绍了kubelet的CRI接口实现。

容器，是一个视图隔离、资源可限制、独立文件系统的进程集合，它将系统的其他资源隔离开来，具有自己独立的资源视图。“视图隔离”，指的是能够看到部分进程、有独立的主机名，“资源可限制”，指的是可以限制内存大小、CPU 使用个数等。

本文由阿里云高级技术专家熊鹰分享，希望通过介绍现在阿里云在边缘计算和边缘原生这些技术领域的经验，让大家能了解到现在边缘计算的发展现状、边缘适合的业务场景、以及5G和MEC时代我们对于边缘原生的一些思考。

kubernetes下监控体系的构建 整体结构如图所示，下面我们来分别介绍每一部分的构建方案，以及相关的参考 k8s本身的监控 k8s事件监控体系的补全 大家都知道k8s本身的事件体系还是比较强大的，非常适合其本身的声明式API的特征。

阿里云Prometheus服务经过近半年的公测试用，终于在新年伊始开始提供商业化服务，感谢广大用户在这半年里和我们一起成才和蜕变。我们坚信阿里云Prometheus服务会在云原生时代提供给大家最佳的监控体验。欢迎开通免费试用，入群更能享受专属优惠。

istio ingress gateway 生产配置调优

接入日志服务 在容器服务的应用目录里找到“ack-sls-log-controller” 填入合适的参数后，“创建”即可，图中红框标注处均需要填入自己集群对应的值 如果集群和vpc有专线打通 InstallParam参数可以去掉'-internet'后缀 Endpoint参数可以在{regio.

容器服务建立 kubernetes 集群后，系统默认建立一批 kubernetes 集群的系统组件与进程，理解他们的部署配置方式和含义，是优化集群,排除 k8s 集群故障的技术基础之一。本文将为大家详细讲解 kubernetes 集群系统组件的功能及用法。

本篇我们根据上篇架构图，尝试实战部署之旅，并且探讨可能遇到的坑 。

阿里云容器服务从2015年上线后，一路伴随并支撑双十一发展。在2019年的双十一中，容器服务ACK除了支撑集团内部核心系统容器化上云和阿里云的云产品本身，也将阿里多年的大规模容器技术以产品化的能力输出给众多围绕双十一的生态公司和ISV公司。通过支撑来自全球各行各业的容器云，容器服务已经沉淀了支持单元化架构、全球化架构、柔性架构的云原生应用托管中台能力，管理了超过1W个以上的容器集群。本文会介绍下容器服务ACK在海量k8s集群管理上的实践经验。