Cube誕生背景
隨著云原生技術(shù)的推廣及落地,容器技術(shù)在企業(yè)生產(chǎn)環(huán)境中的使用比重越來越大。Kubernetes作為容器編排的事實標準,在企業(yè)服務(wù)中被大量采用。UCloud優(yōu)刻得容器團隊在2018年推出了Kubernetes產(chǎn)品UK8S, 這款產(chǎn)品基于UCloud優(yōu)刻得公有云環(huán)境實現(xiàn),無縫集成了UCloud IaaS層計算、網(wǎng)絡(luò)及存儲的服務(wù),使客戶能夠快速獲取到生產(chǎn)可用的Kubernetes集群,并擁有靈活控制集群的能力。
但在UK8S產(chǎn)品推廣及接入客戶過程中,UCloud優(yōu)刻得容器團隊也陸續(xù)收到一些用戶反饋的問題:
>維護Kubernetes集群增加了額外的負擔;用戶除了管應(yīng)用還需要后端資源,并未能實現(xiàn)以應(yīng)用為中心的業(yè)務(wù)管理。
>Kubernetes體系較為復(fù)雜,學習曲線比較陡峭,需要客戶團隊有一定技術(shù)儲備;對于已經(jīng)使用了容器但尚未嘗試Kubernetes的客戶也是如此,一方面需要了解Kubernetes的技術(shù)體系,另一方面需要修改應(yīng)用架構(gòu)適配Kubernetes。
>希望能有一款即開即用的容器產(chǎn)品,通過容器直接拉起應(yīng)用,不需要等待虛擬機就緒再部署應(yīng)用,縮短應(yīng)用就緒等待時間。
為解決上述用戶問題,UCloud優(yōu)刻得容器團隊開發(fā)了一款新的serverless容器產(chǎn)品Cube,目前正處在公測階段。除了降低用戶使用容器的門檻,該產(chǎn)品還具有以下特性:
1. 免運維:沒有維護資源負擔,不需要關(guān)心運行位置,以應(yīng)用為中心,以容器鏡像為應(yīng)用打包標準。
2. 按需付費:按照應(yīng)用實際使用資源付費。
3. 自動擴縮容:基于海量資源,提供API,可按需拉起和關(guān)閉應(yīng)用,自動調(diào)度資源。
4. 高可用:產(chǎn)品本身高可用,同時提供應(yīng)用自愈能力。
技術(shù)選型
在實現(xiàn)Cube產(chǎn)品特性的過程中,容器團隊需要解決幾個技術(shù)問題:
1. 容器運行時的選型
公有云產(chǎn)品必然要考慮多租戶隔離問題。不同于UK8S產(chǎn)品以云主機為基礎(chǔ)構(gòu)建的隔離性,Cube產(chǎn)品則直接在宿主物理機上運行容器。標準docker實現(xiàn)的容器并不能實現(xiàn)同臺宿主機上不同用戶不同容器之間的強隔離,因此Cube產(chǎn)品需要一款同時具備虛擬機強隔離性和容器快速啟動特點的容器運行時方案。
UCloud優(yōu)刻得容器團隊注意到AWS開源了輕量級虛擬機firecracker,具有資源占用少、啟動速度快、易于維護等諸多優(yōu)點,并已用于實際生產(chǎn)環(huán)境,非常符合Cube業(yè)務(wù)場景,因此最終采用了以firecracker輕量級虛擬機為基礎(chǔ)的容器運行時方案。從下面兩張圖可以看出,通過對云計算場景特別的精簡和優(yōu)化, firecracker相對于目前主流的虛擬化組件qemu在啟動速度和內(nèi)存消耗方面有明顯的優(yōu)勢。
VMM啟動時間和內(nèi)存占用對比
2. 容器管理服務(wù)
支持虛擬機容器運行時的容器管理服務(wù)也有多種開源方案,例如containerd/cri-o,kata-container和firecracker-containerd等。經(jīng)過比較,容器團隊選擇了cri-o + firecracker-containerd的組合。這二者在功能上能夠滿足單機容器管理的需求,而且和其他選型相比,代碼架構(gòu)更加清晰,調(diào)用鏈路簡單明了,便于后續(xù)根據(jù)產(chǎn)品需求定制和改造。
3. 容器調(diào)度服務(wù)
Kubernetes已經(jīng)成為了容器調(diào)度的事實標準,具備豐富的功能和良好的可擴展性。因此容器團隊采用Kubernetes作為基本調(diào)度框架,并根據(jù)產(chǎn)品需求做相關(guān)改造,最終基本的服務(wù)架構(gòu)如下所示:
優(yōu)化改進
雖然采用開源方案可以加快開發(fā)進度,但為滿足產(chǎn)品需求仍需解決一些問題,主要包括以下幾個方面:
1. 容器鏡像
在標準的容器鏡像實現(xiàn)中,鏡像是通過分層結(jié)構(gòu)存儲在宿主上的。當創(chuàng)建容器時,容器運行時會在鏡像層之上創(chuàng)建一個可寫層,并掛載在宿主上供容器實例使用。但Cube容器并不是直接在宿主上運行的,也不需要在宿主上掛載容器根目錄。因此容器團隊修改了cri-o中鏡像層的相關(guān)實現(xiàn),直接將容器可寫層以塊設(shè)備的方式掛載到輕量級虛擬機中而非宿主上,減低了宿主對Cube容器的干擾。
另外,為了解決新鏡像拉取緩慢導致的容器實例啟動慢的問題,容器團隊提出了鏡像遠程掛載的解決方案。將容器鏡像以塊設(shè)備的形式存儲在緩存集群,當需要在此鏡像上生成容器實例時,先將容器鏡像通過遠程掛載的形式掛載到宿主上,然后容器運行時會在宿主上創(chuàng)建一層可寫層生成容器實例。同時后臺會將遠程鏡像同步到宿主本地,進一步加速讀取,降低集群風險。上述方法可使宿主上首次獲取鏡像的時間縮短至3s以下,并有進一步優(yōu)化空間。目前這一功能以鏡像緩存的產(chǎn)品形式提供給用戶使用,并正在逐步整合到普通鏡像拉取過程中。
2. 使用公有云資源
網(wǎng)絡(luò)方面,Cube容器的網(wǎng)絡(luò)模型和云主機的基本相同。在將相關(guān)網(wǎng)絡(luò)功能以cni插件的形式實現(xiàn)之后,Cube容器就可以很好的接入到公有云vpc網(wǎng)絡(luò)中。
存儲方面,Cube容器目前支持了兩種類型的存儲:可以多點讀寫的網(wǎng)絡(luò)文件系統(tǒng)nfs和僅單點讀寫的云硬盤udisk。在文件存儲功能上,Cube產(chǎn)品實現(xiàn)了在輕量級虛擬機中自動掛載nfs的功能,用戶只需在配置文件中指定好掛載點和掛載參數(shù),就能直接在容器中使用網(wǎng)絡(luò)文件系統(tǒng),并可以同時支持vpc網(wǎng)絡(luò)內(nèi)用戶自建的nfs和UCloud公有云產(chǎn)品ufs。在塊設(shè)備功能上,容器團隊擴展了firecracker塊設(shè)備的實現(xiàn)。通過添加對vhost-user協(xié)議的支持,Cube輕量級虛擬機可以直接對接到spdk服務(wù),從而實現(xiàn)了對高性能的rssd型云硬盤掛載和使用。
3. 容器運行環(huán)境
為了減少額外資源消耗,容器團隊在容器管理服務(wù)和容器運行時上做了大量優(yōu)化工作。
UCloud優(yōu)刻得容器團隊修改了cri-o管理容器組的架構(gòu),采用了單pod對應(yīng)單shim的模型。通過一個shim管理一個pod內(nèi)全部容器,可以顯著的降低shim資源消耗,簡化容器管理。對于輕量級虛擬機,UCloud優(yōu)刻得容器團隊也對kernel/rootfs/init進程等做了充分地精簡優(yōu)化,只保留了最基本的功能,以加快啟動速度,減小安全攻擊面,降低資源消耗。另外,容器團隊還在輕量級虛擬機中內(nèi)置了infra container的實現(xiàn),Cube作為pod運行時可以不必掛載額外的infra容器。
4. k8s改造
Kubernetes作為一個通用的容器調(diào)度框架,能夠滿足大部分容器管理的需求。但針對Cube特定的使用場景,容器團隊仍需對k8s組件做一些改造。在控制面,容器團隊采用了自定義的調(diào)度器,可以更好的滿足多租戶場景下任務(wù)優(yōu)先級,調(diào)度速度,資源管理的需求。在宿主節(jié)點上,鑒于Cube容器運行時的特點,UCloud優(yōu)刻得容器團隊精簡了一些不需要kubelet實現(xiàn)的功能,例如在宿主上掛載configmap/volume目錄,運行cni插件,收集特定目錄日志等,增強了容器與宿主之間的隔離安全性。
Cube未來展望
在完成了上述開發(fā)改造后,Cube產(chǎn)品成功上線,并取得良好效果。后續(xù)Cube產(chǎn)品會繼續(xù)沿著幫助用戶提升效率、降低開銷、簡化維護、節(jié)約成本的思路持續(xù)迭代更新。在容器性能方面,UCloud優(yōu)刻得容器團隊會繼續(xù)優(yōu)化輕量級虛擬機IO路徑,減少虛擬化及管理組件的性能損耗,確保用戶容器實例穩(wěn)定高效運行。在服務(wù)管理方面,Cube產(chǎn)品層面會推出多種的容器管理控制器,并實現(xiàn)Cube實例直接接入Kubernetes集群的能力,為用戶提供多層次的資源調(diào)度方式,方便用戶按實際需要管理維護。
