云平台容器技术
容器安全使用建议
CCE给用户提供的是一个独享集群,不建议以共享集群方式为多租户使用。当用户以共享集群的方式提供给多租户使用时,请参考如下容器安全使用建议进行安全加固。
网络隔离
集群内容器之间的网络隔离安全加固:通过networkpolicy策略实现访问控制,详情请参见网络策略(NetworkPolicy)。
容器和集群外主机的网络隔离安全加固:通过VPC内的安全组实现访问控制,详情请参见安全组配置示例。在特定业务场景下,如需实现容器和宿主机之间的网络隔离,建议优先考虑使用CCE Turbo集群的安全容器。
容器和集群管理面的网络隔离安全加固:由于CCE集群是私有集群,且工作负载有访问集群apiserver的场景,因此CCE未限制容器和Kubernetes管理面的网络通信,用户如通过限制Pod的QoS保证加固网络安全,详情请参见容器网络带宽限制。
禁止挂载敏感主机目录
如非必须,在启动容器时请不要挂载主机上的/var/run/docker.sock文件到容器内。
不要将主机上的hostPath目录挂载到容器中,如确有必要,则以只读的方式挂载,例如:/、/boot、/dev、/etc、/lib、/proc、/sys、/usr等。
云容器引擎的优势
云容器引擎是基于业界主流的Docker和Kubernetes开源技术构建的容器服务,提供众多契合企业大规模容器集群场景的功能,在系统可靠性、高性能、开源社区兼容性等多个方面具有独特的优势,满足企业在构建容器云方面的各种需求。
简单易用
- 通过WEB界面一键创建Kubernetes集群,支持管理虚拟机节点或裸金属节点,支持虚拟机与物理机混用场景。
- 一站式自动化部署和运维容器应用,整个生命周期都在容器服务内一站式完成。
- 通过Web界面轻松实现集群节点和工作负载的扩容和缩容,自由组合策略以应对多变的突发浪涌。
- 通过Web界面一键完成Kubernetes集群的升级。
- 深度集成应用服务网格和Helm标准模板,真正实现开箱即用。
高性能
- 基于在计算、网络、存储、异构等方面多年的行业技术积累,提供业界领先的高性能云容器引擎,支撑您业务的高并发、大规模场景。
- 采用高性能裸金属NUMA架构和高速IB网卡,AI计算性能提升3-5倍以上。
安全可靠
- 高可靠:集群控制面支持3 Master HA高可用,3个Master节点可以处于不同可用区,保障您的业务高可用。集群内节点和工作负载支持跨可用区(AZ)部署,帮助您轻松构建多活业务架构,保证业务系统在主机故障、机房中断、自然灾害等情况下可持续运行,获得生产环境的高稳定性,实现业务系统零中断。
- 高安全:私有集群,完全由用户掌控,并深度整合IAM和Kubernetes RBAC能力,支持用户在界面为子用户设置不同的RBAC权限。
开放兼容
- 云容器引擎在Docker技术的基础上,为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能,提高了大规模容器集群管理的便捷性。
- 云容器引擎基于业界主流的Kubernetes实现,完全兼容Kubernetes/Docker社区原生版本,与社区最新版本保持紧密同步,完全兼容Kubernetes API和Kubectl。
云平台容器技术
以容器为核心的云原生技术是企业数字化和智能化的一次进化,没有云原生,就没有真正的数字化和智能化
三大加速 打造飞跃性的容器集群
随着容器的全面规模化应用,企业对容器性能、弹性、调度能力提出了更高的要求,华为云CCE Turbo从计算、网络和调度三方面全方位加速,更好应对业务全面容器化的诉求。
- 计算加速
业界独家实现容器100%卸载,服务器资源和性能双零损耗。
- 网络加速
采用独创的容器直通网络,让两层网络变成一层,端到端连通时间缩短一半,有效支撑业务秒级扩容千容器。
- 调度加速
通过感知AI、大数据、WEB业务的不同特征,以及应用模型、网络拓扑等,实现业务混合部署、智能调度,还自动优化任务调度策略,实现1万容器/秒的大规模并发调度能力。
云平台容器技术
云容器引擎对比自建Kubernetes集群
表1 云容器引擎和自建kubernetes集群对比
|
对比项
|
自建kubernetes集群
|
云容器引擎
|
|---|---|---|
易用性 |
自建kubernetes集群管理基础设施通常涉及安装、操作、扩展自己的集群管理软件、配置管理系统和监控解决方案,管理复杂。每次升级集群的过程都是巨大的调整,带来繁重的运维负担。 |
简化集群管理,简单易用 借助云容器引擎,您可以一键创建和升级Kubernetes容器集群,无需自行搭建Docker和Kubernetes集群。您可以通过云容器引擎自动化部署和一站式运维容器应用,使得应用的整个生命周期都在容器服务内高效完成。 您可以通过云容器引擎轻松使用深度集成的应用服务网格和Helm标准模板,真正实现开箱即用。 您只需启动容器集群,并指定想要运行的任务,云容器引擎帮您完成所有的集群管理工作,让您可以集中精力开发容器化的应用程序。 |
可扩展性 |
自建kubernetes集群需要根据业务流量情况和健康情况人工确定容器服务的部署,可扩展性差。 |
灵活集群托管,轻松实现扩缩容 云容器引擎可以根据资源使用情况轻松实现集群节点和工作负载的自动扩容和缩容,并可以自由组合多种弹性策略,以应对业务高峰期的突发流量浪涌。 |
可靠性 |
自建kubernetes集群多采用单控制节点,一旦出现故障,集群和业务将不可使用。 |
服务高可用 创建集群时若“高可用”选项配置为“是”,集群将创建3个Master节点,在单个控制节点发生故障时,集群仍然可用,从而保障您的业务高可用。 |
高效性 |
自建kubernetes集群需要自行搭建镜像仓库或使用第三方镜像仓库,镜像拉取方式多采用串行传输,效率低。 |
镜像快速部署 云容器引擎配合容器镜像服务,镜像拉取方式采用并行传输,确保高并发场景下能获得更快的下载速度,大幅提升容器交付效率。 |
成本 |
自建kubernetes集群需要投入资金构建、安装、运维、扩展自己的集群管理基础设施,成本开销大。 |
云容器引擎成本低 您只需支付用于存储和运行应用程序的基础设施资源(例如云服务器、云硬盘、弹性IP/带宽、负载均衡等)费用和容器集群控制节点费用。 |
容器和传统虚拟机对比
表2 容器对比传统虚拟机总结
|
对比项
|
自建kubernetes集群
|
云容器引擎
|
|---|---|---|
易用性 |
自建kubernetes集群管理基础设施通常涉及安装、操作、扩展自己的集群管理软件、配置管理系统和监控解决方案,管理复杂。每次升级集群的过程都是巨大的调整,带来繁重的运维负担。 |
简化集群管理,简单易用 借助云容器引擎,您可以一键创建和升级Kubernetes容器集群,无需自行搭建Docker和Kubernetes集群。您可以通过云容器引擎自动化部署和一站式运维容器应用,使得应用的整个生命周期都在容器服务内高效完成。 您可以通过云容器引擎轻松使用深度集成的应用服务网格和Helm标准模板,真正实现开箱即用。 您只需启动容器集群,并指定想要运行的任务,云容器引擎帮您完成所有的集群管理工作,让您可以集中精力开发容器化的应用程序。 |
可扩展性 |
自建kubernetes集群需要根据业务流量情况和健康情况人工确定容器服务的部署,可扩展性差。 |
灵活集群托管,轻松实现扩缩容 云容器引擎可以根据资源使用情况轻松实现集群节点和工作负载的自动扩容和缩容,并可以自由组合多种弹性策略,以应对业务高峰期的突发流量浪涌。 |
可靠性 |
自建kubernetes集群多采用单控制节点,一旦出现故障,集群和业务将不可使用。 |
服务高可用 创建集群时若“高可用”选项配置为“是”,集群将创建3个Master节点,在单个控制节点发生故障时,集群仍然可用,从而保障您的业务高可用。 |
高效性 |
自建kubernetes集群需要自行搭建镜像仓库或使用第三方镜像仓库,镜像拉取方式多采用串行传输,效率低。 |
镜像快速部署 云容器引擎配合容器镜像服务,镜像拉取方式采用并行传输,确保高并发场景下能获得更快的下载速度,大幅提升容器交付效率。 |
容器云平台是什么-视频帮助
了解容器基础使用方法
19:38
介绍Kubernetes基本概念
30:20
使用控制台部署WordPress
17:21
使用Deployment调度Pod
17:16
