阿里云容器服務(wù)介紹

KubernetesOnAlibaba

Cloud阿里云容器服務(wù)介紹阿里云容器服務(wù)介紹Kubernetes集群阿里云CloudProvider阿里云容器服務(wù)發(fā)展20162017專有云企業(yè)版1際化正20業(yè)化5月0月2月專有云敏4版Kubernetes5持5月4月全新升級(jí)0月3阿里云容器服務(wù)監(jiān)控管理集群監(jiān)控，應(yīng)用監(jiān)控集群生命周期管理與容器編排公共云

/

專有云Docker

EngineVolume

PluginEBS/NAS/OSSNetworkPluginOverlay/VPC/…應(yīng)用Web/Mobile/MachineLearning/Serverless/

…鏡像管理?DevOpsCI/CD工具安全管理日與志運(yùn)維監(jiān)控服務(wù)發(fā)現(xiàn)與負(fù)載均衡生命周期管理集群與應(yīng)用：創(chuàng)建、刪除，自動(dòng)擴(kuò)縮容，故障恢復(fù)，健康監(jiān)控服務(wù)發(fā)現(xiàn)提供四層、七層服務(wù)路由，支持阿里云SLB提供負(fù)載均衡編排與調(diào)度支持docker與kubernetes雙核心編排引擎網(wǎng)絡(luò)管理多種網(wǎng)絡(luò)選擇，VPC，vxlan持久化存儲(chǔ)支持多種存儲(chǔ)選擇，阿里云盤，NAS網(wǎng)絡(luò)文件存儲(chǔ)日志管理支持對(duì)接阿里云日志系統(tǒng)容器服務(wù)Kubernetes與開源社區(qū)OKubernetesOut-of-tree

CloudProviderE阿里云盤Flexvolume

driverNOSS存儲(chǔ)Registry

后端存儲(chǔ)！日志Fluentd-pilot日志PVPC網(wǎng)絡(luò)Flannelvpc

driver阿里云容器服務(wù)介紹Kubernetes集群阿里云CloudProvider高可用的kubernetes用戶集群高可用阿里云SLB為多副本組件提供統(tǒng)一負(fù)載均衡。master的本地組件訪問(wèn)apiserver直接走本機(jī)IP，不經(jīng)過(guò)內(nèi)網(wǎng)SLB。安全ETCD節(jié)點(diǎn)之間通過(guò)證書認(rèn)證，客戶端通過(guò)證書訪問(wèn)etcd集群。Kubernetes各個(gè)組件通過(guò)證書認(rèn)證。VPC網(wǎng)絡(luò)提供安全隔離，自定義最小安全組策略控制節(jié)點(diǎn)訪問(wèn)。云資源提供阿里云CloudProvider集成，輕松訪問(wèn)阿里云資源。擴(kuò)縮容應(yīng)用和集群動(dòng)態(tài)擴(kuò)縮容。鏡像加速默認(rèn)提供dockerhub官方鏡像加速，解決官方鏡像下載緩慢的問(wèn)題。一些建議Kubeadm

支持部署單機(jī)開發(fā)測(cè)試集群Cloud-Config路徑問(wèn)題新版的Kubeadm為了安全原因，不在整體掛載/etc/kubernetes目錄到組件容器中，同時(shí)也漏掉了cloud-config文件，造成升級(jí)故障。鏡來(lái)源問(wèn)題修改kubeadm可以使用非gcr.io來(lái)源的鏡像。處理證書方面Cluaster

CA。EXTRA

CN

允許通過(guò)LoadBalancer訪問(wèn)。處理kubeproxy問(wèn)題kubeadm生成的ds默認(rèn)適合單集群，kubeproxy在訪問(wèn)apiserver時(shí)需要修改成LoadBalancer的地址。kubeproxy在處理externalTraffic的時(shí)候，依賴hostname來(lái)判斷Pod是否屬于本地節(jié)點(diǎn)。apiserver_countkubernetes

service

的endpoint會(huì)在多個(gè)master

IP里面隨機(jī)跳來(lái)跳去。Dashboard權(quán)限阿里云容器服務(wù)介紹Kubernetes集群阿里云CloudProviderKubernetesout-of-treealibaba

cloudproviderCloudProvider定義了一組接口，不同的云廠商通過(guò)實(shí)現(xiàn)這組接口來(lái)將本廠提供的各種服務(wù)集成到kubernetes集群中。能力集成網(wǎng)絡(luò)路由配置、負(fù)載均衡動(dòng)態(tài)配置、可用區(qū)管理、虛擬機(jī)管理進(jìn)化In-tree-cloudprovidercloud-out-of-treecloud

controller11進(jìn)化In-Tree

vs

Out

tree傳統(tǒng)

In-tree

問(wèn)題所有的云廠商的provider代碼放在core

kubernetes倉(cāng)庫(kù)可維護(hù)性低。Cloud

provider實(shí)現(xiàn)發(fā)布周期與kuberentes

core耦合，無(wú)法快速迭代解決方案out-of-treecloud

providers使用kubernetes的controller的概念來(lái)設(shè)計(jì)重構(gòu)cloud

provider,

即cloud-controller-manager。將與云廠商實(shí)現(xiàn)相關(guān)代碼移動(dòng)到一個(gè)單獨(dú)倉(cāng)庫(kù)，作為單獨(dú)的二進(jìn)制文件發(fā)布路線圖Alpha:1.7=>Beta:1.8=>Stable:

1.10開源/AliyunContainerService/alicloud-controller-managerKubernetes集群網(wǎng)絡(luò)支持高效互聯(lián)和混合云CNI規(guī)范定義了如何處理容器內(nèi)網(wǎng)絡(luò)設(shè)置。創(chuàng)建網(wǎng)卡分配IP，設(shè)置路由，DNS。Meta/Main集群容器間網(wǎng)絡(luò)VPC：路由轉(zhuǎn)發(fā)，去往/24網(wǎng)段的數(shù)據(jù)包的下一跳是ECS1，性能最優(yōu)的方案。VXLAN：

數(shù)據(jù)封包，overlayFlannelalivpc

driver開源，連接容器網(wǎng)絡(luò)混合云支持#571

AddalibabacloudVPCnetwork

support12主辦：案例分析：一個(gè)神奇的內(nèi)核網(wǎng)絡(luò)配置問(wèn)題排查流程kubectl

get

po

檢查pod是否正常啟動(dòng)kubectl

get

svc

檢查服務(wù)是否創(chuàng)建kubectl

logs

mysql

查看服務(wù)日志是否正常ketstat–anp|grep

3307查看端口iptable

-tnat

–vnL

查看數(shù)據(jù)流規(guī)則…..然而。。。

一切看似正常=> tcpdump13案例分析：一個(gè)神奇的內(nèi)核網(wǎng)絡(luò)配置問(wèn)題你會(huì)發(fā)現(xiàn)：目的Pod返回給請(qǐng)求方的數(shù)據(jù)包里直接使用了自己的IP作為源IP。DNAT規(guī)則沒被iptables正確處理？Linux

網(wǎng)橋的一項(xiàng)內(nèi)核參數(shù)控制流經(jīng)網(wǎng)橋的數(shù)據(jù)包是否會(huì)被iptables規(guī)則進(jìn)一步處理。net.bridge.bridge-nf-call-iptables====>案例分析：Docker

的默認(rèn)網(wǎng)絡(luò)轉(zhuǎn)發(fā)策略iptables–PFORWARD

ACCEPT15阿里云負(fù)載均衡SLB集成LoadBalancer能力地址類型：internet/intranet協(xié)議類型：

tcp/udp/http/httpsRegion選擇：

默認(rèn)與自定義收費(fèi)類型：

按量付費(fèi)/按帶寬收費(fèi)，自定義帶寬健康檢查：

自定義健康檢查16案例分析：阿里云SLB

源IP保留原則:

負(fù)載均衡是否能夠保留客戶請(qǐng)求的源IP取決于連接是否被SNAT過(guò)。Type:

ClusterIP永遠(yuǎn)不會(huì)被SNAT，因此始終可以獲得源IPType:

NodePort訪問(wèn)不在本節(jié)點(diǎn)上的Pod后端時(shí)會(huì)被