2/1~2/25精選容器新聞

#服務網格 #零售業K8s實戰 #POS容器化
年營收40億美元的北歐老牌3C電商如何打造內部K8s平臺來省錢?

最近北歐最大規模的3C零售電商Elkjop雲端架構師Henry Hagnäs,揭露了自建K8s平臺,來維運200支微服務應用,降低了8成主機代管費用的經驗。

發源於挪威的Elkjop創立近60年,在北歐5國(丹麥、芬蘭、冰島、挪威和瑞典)以Elgiganten電商聞名,擁有超過4百家分店,員工超過1萬2千人,年營收高達47億美元。過去Elkjop主要採取委外開發,再由小規模IT部門來管理和負責整合,不過,6年前,Elkjop決定擁抱微服務設計,開始改變策略,自己來改造那些用來串接各委外系統間的API,尤其要自己開發一個進階版支付API,來串接電商平臺和店內POS系統。

最初第一批微服務都部署在Azure Web App服務上,後來Elkjop找來顧問,自己發展出一套微服務主機平臺來維運這些微服務。這個平臺有3個目標,功能要類似Azure Web App服務,但得更便宜更容易使用,也需要容易擴充,能統一自動或手動管理調度不同的應用,可以提高開發產量。另外,也希望藉此來建立一個SRE團隊。

Elkjop先將自家應用容器化,部署到K8s上,因為關閉了ingress控制器的TLS功能,所有服務間的呼叫都沒有加密。Elkjop才意識到,需要一個監控矩陣來管理,所以,進一步採用了Linkerd。Henry Hagnäs解釋,透過Linkerd控制介面,可以提供了一種在資料面的微代理伺服器能力,可以用來提供加密或監控能力。

Elkjop利用Linkerd預設的RED(請求數、錯誤數和持續時間)監控矩陣,就足以可以建立足夠的系統可觀測性。另外,也建立了一個全靠記憶體運作的Prometheus伺服器和Gragana實例提供儀表板功能。

將POS後端也搬上K8s後,原本以為就可以正常啟用,卻發現Linux主機啟動失敗率下滑,開始針對請求失敗率來建立系統健康追蹤機制。利用TCP連線的持續時間和是掰率,來監測POS後端每一支系統對內和對外的流量,最後才發現,是銷售網站應用無法重複利用Socket通訊,這個問題無法從SNAT埠監控發現,需要詳細的網路遙測(Telemetry)才能發現,後來透過增加系統對外通訊埠來解決這個問題。

為了優化後續維運,也採取HA架構來部署Linkerd,這個架構也有助於升級,可以輪流升級而不用關閉服務。透過Linkerd的設定註解和標籤,很容易就可以建立HA架構。隨著Elkjop在各國分店陸續用K8s平臺上的POS,Elkjop也建立了一個跨國備援的叢集。Elkjop預計在2021年底,將K8s上的POS,部署到全球各國的分店據點。

#K8s自學教材 #第一手實戰經驗 #雲端原生架構設計
14本導入和維運K8s必讀的上手書

CNCF基金會推廣大使Chris Short最近整理了14本K8s上手和維運的必讀上手書,從最基本的CNCF發行的兒童K8s讀本《Phippy and Friends》,到雲端架構部署參考書,如以第一線工程師實戰經驗為主的《97件雲端工程師應該知道的事》,提供多種主流雲端原生架構設計樣式的《Cloud Native Patterns》。還推薦了兩位K8s創辦人Brendan Burns和Joe Beda和另一名作者合寫的K8s實踐書《Kubernetes:Up and Running》,在這本書中,介紹了Google如何在一周內啟用20億個容器的管理秘訣,最後如何實踐到K8s這套開源軟體中,也從一個分散式應用系統的開發周期角度來介紹,如何自動擴充這樣的分散式系統,有那些工具或API可用,或是如何自動擴充到實體環境,甚至是樹莓派單版主機上。

特別一提的是,Chris Short也推薦了赫爾辛基大學開設的線上自學教材《DevOps with Kubernetes》,提供了K3s和GKE的入門線上課程,從微服務架構開發到自動化部署的建置都涵蓋。

#雲端K8s #新特色
快速一覽三大雲端龍頭K8s代管服務的2月新功能

三大雲端巨頭的K8s服務GKE、EKS和AKS在這個月有那些新功能呢?快速整理一下,先來看Google的GKE,叢集自動擴充器可以從0節點的資源池開始啟動,自動擴充設定可以預設指定最大支援32個vCPU和128GB記憶體的E2虛擬機器規格。而AWS的EKS在2月的主要新功能則增加了EKS叢集整合OpenID身分提供者(OIDC)的功能,可以用來代替AWS身分識別和IAM管理的替代機制。微軟的AKS服務在2月主要更新是叢集啟動關閉功能進入正式版,也釋出了多項預覽版功能,包括用自訂DNS區域來建立私有叢集,可重複利用負載平衡流出IP作為流入IP,以及pod資安政策預覽版等。

#GPU #K8s維運
Nvidia翻新GPU虛擬化軟體,簡化K8s部署GPU的維運框架

Nvidia發布GPU虛擬化軟體12.0新版,除了支援Nvidia去年下半發表的3款Amepere架構GPU之外,更大幅簡化了在Kubernetes環境部署與管理GPU的維運框架Nvidia GPU Operator。可以自動安裝與更新vGPU Software用於容器平臺的圖形驅動程式。Nvidia GPU Operator就能自動決定vGPU Software圖形驅動程式版本,是否相容於容器平臺搭配的Virtual GPU Manager軟體。可用於裸機、穿透虛擬化平臺的GPU(GPU passthrough virtualization),以及GPU虛擬化共享(vGPU),也可支援vCS與RTX vWS。

#服務網格 #容器管理整合VM
開源服務網格Istio釋出1.9新版,容器服務網格也能整合VM管理

在2月初,開源服務網格專案Istio發布了1.9新版,最大特色是Day2維運功能的改善,主要是推出了虛擬機器整合機制,可以將虛擬機器的維運和管理整合到Istio服務中,例如套用同一個政策,跨容器和VM都使用同樣的遙測監控機制,開發社群也提供了多份參考文件,例如Istio架構如何整合VM,如何安裝、除錯等。不過,這項VM整合功能目前還處於Beta版本中。其他新功能如請求分類功能(Beta版),可在配置檔中預先設定要蒐集的遙測請求資料類型,方便更精細地追蹤流量。另外也開始實驗性的新功能是新增支援K8s服務(Alpha版)和外部授權驗證系統(實驗版本)等。這次新版功能大多聚焦在 Day2後續維運面的強化。

 

#容器資安 #Azure
Azure Functions出現容器脫逃漏洞,惡意程式能進入底層主機

資安公司Intezer研究人員發現微軟的無伺服器運算服務Azure Functions,存在一個特權提升漏洞,且程式碼可從Azure Functions Docker容器逃脫(Escape)至底層的Docker主機,但微軟在收到漏洞報告後,認為這個漏洞並不影響Azure Functions用戶安全,因為即便可以逃脫,但Docker主機本身仍受Hyper-V邊界保護,微軟進一步限制了/etc和/sys的存取來防範。

#GitOPS #企業級K8s
Kubermatic企業級K8s平臺小改版,強化GitOps政策管理

另一家企業級K8s軟體商Kubermatic推出了最新的KKP 2.16版本,主要新增支援開放政策代理(Open Policy Agent,OPA),讓用戶可以更好地控制政策,並且新增動態資料中心和其他GitOps功能。OPA可以讓用戶用高階宣告式語言來配置政策,KKP 2.16透過整合OPA,讓用戶可以在微服務、Kubernetes、CI/CD工作管線和API閘道器等,集中管理任務,並且強制應用政策。官方提到,用戶現在可以透過Kubermatic API存取OPA,並且在稍晚時,將該功能整合到使用者介面中。

 

#Day2維運 #服務網格
網格管理要有企業級工具,Gloo Mesh企業版主推Day2管理觀察工具

FaaS服務新創公司Solo.io正式發布企業級服務網格管理解決方案Gloo Mesh Enterprise,可增加服務網格的可用性和可控制性,簡化Istio在多叢集和多雲環境的複雜操作,同時還可以讓用戶以WebAssembly擴充網格資料平面。

Gloo Mesh強化Day 2操作,藉由進階API和可觀察性工具,協助開發人員監控和維護系統,其提供的Gloo Portal,可以對Istio中運作的API進行分類並且對外開放,讓開發人員或是其他合作夥伴,能夠更容易使用API。隨著企業的服務網格發展,Gloo Mesh可以讓用戶在其網格,加入回退或是委派等進階功能,同時也促進WebAssembly的開發和部署,讓用戶可將WebAssembly擴展多個叢集中,進而供企業自訂出符合特定需求的服務網格。

#政策管理引擎 #OPA
開源政策管理引擎OPA專案正式畢業,Google、微軟和VMware將持續維護

經過3年孵化,政策管理引擎開源專案OPA(Open Policy Agent)正式從CNCF基金會畢業,進入獨力發展階段。這是一個通用型政策管理引擎,主要由Google、微軟、VMware和Styra聯手維護,這也意味著前三家主要科技巨頭的混合雲產品都大力支援同一個政策管理引擎。目前已有超過150家企業或組織採用OPA來派送和管理各種系統政策,尤其可以用OPA來管理微服務API授權政策的擴充和分配。其他常見用途則有用來整合K8s管理控制器,或應用程式授權、雲端資安政策等。不少企業則是專門用OPA來搭配K8s管理控制器,進行政策派送。

責任編輯:王宏仁

更多新聞

#Docker與JFrog進一步合作,JFrog用戶可不受限制存取Docker Hub

#Docker將容器註冊表專案Distribution貢獻給CNCF

熱門新聞

Advertisement