摘要:环境复杂性生态系统易变性跨不同分布式基础架构的部署本文将为你解析生产环境部署容器的五大挑战及应对之策。因此,在整个生产环境中创建监视和销毁的组件需求总量呈指数级增长,从而显著增加了基于容器的管理环境的复杂性。
Docker容器使应用程序开发变得更容易,但在生产中部署容器可能会很难。
环境复杂性、生态系统易变性、跨不同分布式基础架构的部署......
本文将为你解析生产环境部署容器的五大挑战及应对之策。
软件开发人员通常只关注在特定基础架构上运行的单个应用程序、应用程序堆栈或工作负载。然而,在生产环境中,一组不同的应用程序常需在各种技术(例如Java,LAMP等)上运行,而这些技术又需在本地、云上或二者结合的异构基础设施上部署。这给生产环境中容器化应用程序的运行带来了一些挑战:
控制高度密集、快速变化的环境的复杂性
充分利用极为易变的技术生态系统
确保开发人员自由创新
跨不同的分布式基础架构部署容器
执行组织战略管理
控制高度密集、快速变化的环境的复杂性2016年6月Cloud Foundry公司发布的《希望与现实:容器,2016》报告显示,45%的受访者表示,他们最担心的是Docker部署太复杂,无法融入到他们的环境中。[1]其中很大的原因是容器化环境的密度和波动性。由于不需要为每个容器加载操作系统和内核,因此与传统的虚拟化环境相比,容器化环境能够在给定数量的基础架构内实现更高的工作负载密度。因此,在整个生产环境中创建、监视和销毁的组件需求总量呈指数级增长,从而显著增加了基于容器的管理环境的复杂性。
容器时代,不仅有更多的东西需要管理,而且它们相比以往任何时候都要变化更快。Datadog调查显示,传统的和基于云的虚拟机的平均寿命大约只有短短15天,Docker容器的平均寿命更短,仅为2.5天。[2]这就导致了需要多带带管理和监控的事物数量呈数量级增长。
由于架构的复杂性,这些高密集、快变化的环境就更进一步复杂化了。容器通常部署在高度分布式的单个集群或多集群环境中。这些群集的组成是高度分散的,它们可以在本地、云中部署或两者并举。虽然60%的容器在亚马逊网络服务(AWS)上运行,但仍有40%在本地运行。[3]
因此,组织需要一种更便捷的方法来编排容器,以及管理多容器、多主机应用程序的底层基础架构服务。这对于具有微服务体系结构的应用程序尤为重要,例如,一个Web应用程序,包括一个容器集群运行Web服务器前端的多个实例的主机(故障转移和负载均衡)以及多个后端服务,是各自运行在不同的容器中的。
利用高度波动的技术生态系统Docker的生态系统复杂多变。在过去几年中,第三方工具和服务大量出现,帮助开发人员在开发过程中部署、配置和管理他们的容器化工作流程。基于开源技术,这些工具和服务的变化之快以及新文档的数量之多,使构建稳定的技术栈以实现在生产中运行容器变得充满挑战。这也使得公司难以建立和维护利用丰富的生态系统所需的工程技能。根据RightScale公司第五个年度“云调查状况”显示,对于目前还未使用容器的公司而言,迄今为止,缺乏经验是采用容器面临的最大挑战(39%)。[4]
确保开发人员自由创新在简化容器管理中,开发人员能够不失灵活创新、不断探索新技术的重要性越发凸显。他们需要有足够的自由来挑选他们需要的工具和框架。RedMonk分析公司将这称为“无限发展时代”。[5]当开发人员需要解决什么问题时,他们不再询问他们“可以”使用什么工具,而是会直接寻找最佳工具。 他们还喜欢选择最新版本,虽然新版本不一定是最稳定的,但是他们可以快速利用其新功能。与此同时,他们也越来越需要承担责任,确保他们创建的任意应用程序逻辑在生产中能够正常运行,如果出现问题,也能快速修复它。这表示如果部署遇到问题,就需要他们能够回滚部署。
开发人员需要root访问的自由,他们希望能够安装任何他们喜欢的开源软件。因此他们通常会避免传统的平台即服务(PaaS)解决方案。把PaaS从容器中抽取出来,这样开发人员就可以不用管理容器而是专注于编码。然而,一家供应商或基础设施提供商提供的多是专用服务,不像本地开源堆栈那样通用。开发人员的创造力很大程度上也受限于此。
跨不同的分布式基础架构部署容器容器的主要优点之一就在于它们是可移植的——一个应用程序,其所有的依赖关系可以捆绑到一个独立于Linux内核、平台分布或部署模型的主机版本的单个容器中。此容器可以传输到另一台运行Docker的主机上,并且在没有兼容性问题的情况下执行。云和数据中心之间的基础设施服务差异巨大,这导致应用程序几乎不可能实现真正的可移植性。因此利用容器使应用程序跨不同基础设施需要的不仅仅是一个用于运输代码的标准化单元,它还需要基础设施服务,包括:
运行Docker容器的主机(CPU、内存、存储和网络连接),包括在本地以及云上运行的虚拟机或物理机器;
协调好端口映射或软件定义的网络,使不同主机上的容器能够相互通信;
向Internet提供负载均衡器服务;
DNS,通常用于实现服务发现;
集成的健康检查,确保应对请求的使用的都是健康的容器服务;
某些事件触发执行操作时的应对措施,例如在主机发生故障后重新启动新容器,确保可用的正常容器始终维持一个固定的数量,或者创建新主机和容器以响应增加的负载;
通过现有容器创建新容器来扩展服务;
借助存储快照和备份功能以备份状态容器,从而进行灾难恢复;
部署好这些基础架构服务,组织面临的难题就变成了如何监控它们。DevOps团队需要迅速解决这些问题。因此,监控和记录基础架构性能,并在出现问题时提醒DevOps团队,这是任何一个容器管理所要具备的重要功能。
执行组织策略和管理与部署容器相关的安全性和合规性问题是必须解决的,这是所有在生产中使用容器的大企业都一定会关注的问题,特别是那些受监管的行业,如金融和医疗保健。Docker等公司正在努力修复这些问题,并通过在工具链上创建新的软件和集成作为应对这个问题。
然而,在应用程序容器安全性和企业使用虚拟机之间仍缺乏平衡。这包括实施组织策略,确保安全访问容器和集群管理,包括管理传输层安全(TLS)证书。通过基于角色的访问控制(RBAC),用户和用户组能够共享或拒绝访问资源和环境(例如开发或生产)。 用户身份验证需要与Active Directory、LDAP和/或GitHub等活动目录集成。
巧妙利用工具,应对五大挑战容器使软件开发变得更容易,使您能够更快地编写代码并更好地运行它。 然而,在生产中运行容器可能会很困难。 有各种各样的技术需要集成和管理,并且新的工具层出不穷。 Rancher使您可以轻松管理运行容器的方方面面。那些集成复杂的开源技术必备的技术技能,你可能再也不需要了。
想在生产环境中的任一基础设施上运行Docker,Rancher可以提供你需要的一切。Rancher让你可以轻松配置和集成可移植的基础设施服务层。Rancher提供了一个易于使用的用户界面,您可以利用其丰富的集合编排功能,随后通过单击来部署容器。Rancher强大的Catalog可以将配置文件打包为模板并在组织中共享。目前, Rancher已经拥有超过2000万次下载和并提供企业级支持,很快成为在生产环境中运行容器的首选开源平台。
Rancher使用起来非常简单只需按照下列步骤操作:
尝试一下:您可以先使用Rancher Sandbox。它是公开托管的,并且会自动更新。
下载:您可以把Rancher部署为一个Docker容器,甚至还可以在您的集群或笔记本电脑上部署Rancher。
开始:如果您按照快速入门指南中的步骤操作,部署Rancher只需不到5分钟。
使用文档:Rancher使用起来非常简便。但Rancher的技术文档中仍有大量信息,以备用户不时之需。
利用我们的强大的用户社区:您可以登陆我们的论坛,这里是新产品发布、与同行以及和Rancher工程师交流互动的最佳场所。
资料来源:
[1] https://www.cloudfoundry.org/...
[2] https://www.datadoghq.com/doc...
[3] https://clusterhq.com/assets/...
[4] http://www.rightscale.com/blo...
[5] http://redmonk.com/fryan/2016...
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/26813.html
摘要:年月日,研究人员通过邮件列表披露了容器逃逸漏洞的详情,根据的规定会在天后也就是年月日公开。在号当天已通过公众号文章详细分析了漏洞详情和用户的应对之策。 美国时间2019年2月11日晚,runc通过oss-security邮件列表披露了runc容器逃逸漏洞CVE-2019-5736的详情。runc是Docker、CRI-O、Containerd、Kubernetes等底层的容器运行时,此...
摘要:爆出中等严重性安全漏洞拒绝服务漏洞。本文将进行漏洞解读和情景再现,并分享漏洞修复方案,用户来看应对之策了漏洞美国当地时间年月日,社区发布了拒绝服务的漏洞,即有写入权限的用户在写入资源时会导致过度消耗资源,此漏洞被评级为中等严重性。 Kubernetes爆出中等严重性安全漏洞——Kubernetes API Server拒绝服务漏洞CVE-2019-1002100。 本文将进行漏洞解读和...
摘要:导读近期灵雀云技术专家邵明岐翻译了所著的一书的部分内容,可以说是对科普与观察的上佳素材。移动应用程序可以无缝访问同一个数据库,以检索过去的结果和排行榜数据。这些是统计信息,例如执行持续时间和面向客户的指标,而不是可用磁盘空间或使用率。 导读:近期灵雀云技术专家邵明岐翻译了Mike Roberts & John Chapin所著的《What is Serverless》一书的部分内容,可...
摘要:近期,仪表盘和外部代理接连被发现存在安全问题。本文将更深入解读这两个安全漏洞的原理会对您的部署造成的影响以及相应的应对之策。在中,仪表盘作为每个集群环境的一部分包含在内但是,部署不受影响,因为充当了仪表盘的身份验证授权和代理。 近期,Kubernetes仪表盘和外部IP代理接连被发现存在安全问题。针对这两个漏洞,Kubernetes发布了相应的补丁版本供会受漏洞影响的用户解决问题。本文...
摘要:云计算发展备受瞩目的五大方向云计算带来了前所未有的工作方式,也改变了传统软件工程企业。云端安全仍不容忽视云计算自备受关注之日起其安全性就饱受诟病,这个永恒的话题,一直高烧不退。 自2006年3月亚马逊(Amazon)推出弹性计算云服务起,云计算就引起了业内外人士广泛关注。在这将近八年的时间里,其作为一个新的技术趋势已经得到了快速的发展。2015年,互联网、金融、制造、物流等行业内企业根据自...
阅读 1817·2021-11-22 15:29
阅读 3082·2021-10-14 09:43
阅读 1019·2021-10-08 10:22
阅读 3145·2021-08-30 09:46
阅读 1238·2019-08-30 15:55
阅读 1813·2019-08-30 15:44
阅读 764·2019-08-30 14:19
阅读 1279·2019-08-30 13:13
