阿裡雲技術專家解讀：2021 年六大容器技術發展趨勢

作者 | 阿裡雲容器服務團隊

來源|

阿裡巴巴雲原生公衆号

2020 終于過去。在這一年，特殊的環境讓企業的生存和發展充滿着不确定性。在持續應對由變化帶來的挑戰過程中，數字化創新能力對于企業來說似乎比以往任何時候都更加重要。

疫情之下，越來越多的企業堅定了上雲和實作數字化轉型的信念和步伐，并且積極探索雲原生架構轉型落地。2020 年 雙11，阿裡巴巴實作了核心系統全面雲原生化的重大技術突破。基于雲原生架構，企業可以最大化使用雲的能力，聚焦于自身業務發展，開發者也可以基于雲原生的技術和産品，提升開發效率，将精力更多地聚焦于業務邏輯的實作。可以看出，以容器為代表的雲原生技術正在成為釋放雲價值的最短路徑。

作為雲原生發展的基石，容器技術的新趨勢和新挑戰備受關注。2021 年伊始，阿裡雲容器服務團隊的技術專家們為大家帶來了他們對新一年容器技術趨勢的六個重要解讀。

趨勢一：以 Kubernetes 為代表的容器技術，已成為雲計算的新界面

湯志敏｜阿裡雲容器服務資深技術專家

在最新釋出的 “CNCF 2020 年中國雲原生調查”中顯示，有 72% 的中國受訪者在生産中使用了 Kubernetes。過去一年，我們觀察到的阿裡雲上雲原生生态的蓬勃發展也印證着雲原生技術正成為釋放雲價值的最短路徑。從早期的無狀态應用、到 AI 大資料和存儲類應用都在擁抱容器技術。可以看見，以 Kubernetes 為代表的容器技術已成為雲計算的新界面，并将繼續帶來更大價值。

1. 企業從上雲，到通過雲原生加速分布式雲管理

• 對于企業來講，容器持續向下封裝基礎設施，屏蔽底層架構的差異性。
• 而 Kubernetes 的新界面進一步促進雲和邊的基礎能力對齊，推動“邊”的産品能力豐富度和标準化，進而加速容器應用在邊緣、IoT 和 5G 等場景的落地。

2. 容器應用的高密高頻挑戰，持續重構（Refactor）雲計算的架構

• 在容器應用的高密高頻的應用場景推動下，面向容器優化的 OS、裸金屬協同、硬體加速等技術持續演進，進一步催熟雲計算架構的全棧優化和軟硬一體，并給雲計算使用者帶來極緻的靈活、彈性等紅利。
• 而在容器新界面之上的 Serverless、新一代的中間件、新一代的應用 PaaS 方興未艾。

3. 容器大規模應用進入深水區，在自動化運維、企業 IT 治理、端到端安全等迎來挑戰

• 随着越來越多的工作負載、AI 大資料、資料庫等應用容器化，如何統一容器和基礎資源形成統一的人、财、物、權等企業 IT 治理能力，是大規模落地容器的關鍵述求。
• 随着越來越多的自定義控制器、越來越豐富的雲原生制品格式，如何保障大規模 K8s 叢集的穩定性帶來強需求，而資料化智能化的 K8s 自動化叢集運維和細粒度的 SLO 能力更加迫切。
• 零信任安全、容器身份認證、雲原生制品生命周期管理、安全容器、機密計算等 DevSecOps 實踐，持續打造端到端的容器安全網。

趨勢二：圍繞雲原生應用的高度自動化

王思宇｜阿裡雲技術專家，雲原生應用自動化引擎開源項目 OpenKruise 作者&初創團隊成員

得益于 Kubernetes 面向終态的理念，雲原生架構天然具備高度自動化的能力。在應用雲原生化的過程中會充分享用到自動化帶來的優勢，副本數維持、版本一緻性、錯誤重試、異步事件驅動等能力，相比過去面向過程的運維模式而言是一次新理念、新技術帶來的進步。在這片蓬勃發展的土壤之上，如何圍繞雲原生、為應用打造更加自動化的基礎設施是未來 2021 年探索的重點方向之一：

• 應用部署運維更加自動化：雲原生業務類型及其多樣化，不管是傳統 IT、網際網路，還是 Web 服務、搜尋、遊戲、AI、邊緣等細分領域，每一種都會有自身特殊應用場景，而抽象、提煉出其中核心通用的部署運維訴求并轉化為更加自動化的能力則是深耕雲原生的必經之路。
• 風險防控能力更加自動化：面向終态的自動化是一把 “雙刃劍”，它既為應用帶來了聲明式的部署能力，同時也潛在地會将一些誤操作行為被終态化放大，例如在發生操作故障時副本數維持、版本一緻性、級聯删除等機制反而很可能導緻爆炸半徑擴大。是以，通過防護、攔截、限流、熔斷等防控自動化能力來抑制其他功能性自動化能力的缺陷和副作用，是伴随着雲原生規模急劇擴大的必要防護措施。
• Operator 運作時更加自動化：Kubernetes 能成為容器叢集排程管理引擎的事實标準，其強大而又靈活的擴充能力功不可沒。Operator 既是一種特殊的應用，也是不少有狀态應用的自動化管理者。而過去社群整體 Operator 趨勢還停留在數量野蠻增長、周邊運作時機制卻無太大進步，2021 年 Operator 的運作時将會在水準擴充、灰階更新、租戶隔離、安全防護、可觀測性等方面獲得充分的自動化增強。

趨勢三：以“應用”為中心建構高可擴充的上層平台

孫健波｜阿裡雲技術專家，開放應用模型 OAM 開源項目負責人

随着容器技術的進一步成熟，越來越多的企業開始關注容器技術如何更好的為業務帶來價值。我們可以看到以 Kubernetes 為傳遞界面的雲原生生态日益龐大，越來越多的團隊會基于 Kubernetes 建構上層抽象，增加更多的擴充能力，以“應用”為中心建構高可擴充的雲原生平台。

• 基于 Kubernetes 與标準應用模型建構的易用、可擴充的上層平台将取代傳統 PaaS 成為主流。目前雲原生生态的軟體雖然日益豐富，但是學習和使用門檻依舊非常高，易用性将成為“以應用為中心”的首要突破點。除此之外，在易用的同時保證可擴充性，保證以 Kubernetes 為接入點的開源軟體無需或隻要較小改造便可接入使用，也是這樣類型應用管理平台的重要特征。
• “關注點分離”的标準化應用建構方式進一步深入人心。圍繞 Kubernetes 建構應用傳遞平台已經逐漸成為共識，任何一個 PaaS 平台都不想把 Kubernetes 屏蔽掉。但是這并不意味着直接把 Kubernetes 所有的資訊暴露給使用者，PaaS 平台的建構者們極度渴望給使用者最佳的體驗。解決這個問題的突破點就是大家使用一個标準化的、關注點分離的應用構模組化型，平台的建構者們關注 Kubernetes 接口（CRD 和 Operator），而平台的使用者，也就是應用開發者們關注的則是一個标準化的抽象應用模型。
• 應用中間件能力進一步下沉，應用邏輯與中間件邏輯逐漸解耦。随着雲原生以及整個生态的發展，中間件領域也在逐漸發展變化，從原先的中心化 ESB 到如今通過 Sidecar 模式提供能力的 Service Mesh 。應用中間件不再是通過一個胖用戶端提供能力，而是成為一個能力的标準接入層，能力的提供則由應用管理平台通過 Sidecar 的方式在應用運作時注入。相信 Sidecar 這種模式将在除流量治理、路由政策、通路控制之外的更多中間件場景中得到應用，“以應用為中心”，讓業務更專注，更聚焦。

趨勢四：“雲邊一體”迎來快速發展

黃玉奇｜阿裡雲進階技術專家，邊緣計算雲原生開源項目 OpenYurt 負責人  

随着 5G、IoT、直播、CDN 等行業和業務的發展，越來越多的算力和業務開始下沉到距離資料源或者終端使用者更近的位置，以期獲得很好的響應時間和成本，這是一種明顯差別于傳統中心模式的計算方式——邊緣計算。未來，邊緣計算将存在三個非常明顯的發展趨勢：

• AI、IoT 與邊緣計算的融合，邊緣計算場景中業務種類會越來越多、規模越來越大、複雜度越來越高。
• 邊緣計算作為雲計算的延伸，将被廣泛應用于混合雲場景，這裡面需要未來的基礎設施能夠去中心化、邊緣設施自治、邊緣雲端托管能力。
• 5G、IoT 等基礎設施的發展将會引爆邊緣計算的增長。

邊緣計算的規模、複雜度正逐日攀升，而短缺的運維手段和運維能力也終于開始不堪重負。在這個背景下，“雲邊端一體化運維協同”已經開始成為一種架構共識。通過雲原生加持，雲邊融合的程序也正在被急劇加速：

• “雲”層，讓我們保留了原汁原味的雲原生管控和豐富的産品能力，通過雲邊管控通道将之下沉到邊緣，使海量邊緣節點和邊緣業務搖身一變成為雲原生體系的工作負載。
• “邊”側，通過流量管理和服務治理使其更好的和端進行互動，獲得和雲上一緻的運維體驗，更好的隔離性，安全性以及效率，進而完成業務、運維、生态的一體化。

邊緣計算雲原生即是雲原生的新邊界，也是邊緣計算的新未來。

趨勢五：雲原生 AI 隻是起點，雲原生驅動資料變革是新主題

張凱｜阿裡雲進階技術專家，負責容器服務和雲原生 AI 解決方案研發 車漾 | 阿裡雲進階技術專家，開源項目 Fluid 聯合發起人

資料是企業的核心資産，雲原生為了更好地支撐企業 IT 數字化和智能化轉型，擁抱資料驅動應用是其未來幾年中最重要的使命之一。除了生在 Docker 裡、長在 Kubernetes 下的雲原生 AI 之外，如何能讓傳統的大資料和 HPC 應用也平滑遷移到 Kubernetes 平台上來，實際上也是雲原生社群需要回答的問題。我們看到的趨勢是緻敬傳統任務排程器、容器化資源精細排程、彈性資料任務全新場景、AI 與大資料的統一雲原生底座。

• 緻敬傳統任務排程器: Kubernetes 關注于資源排程，但是對于大資料和 HPC 的排程功能比起 Yarn 等離線傳統排程器還有很多需要借鑒的地方，最近在 Kubernetes 的 Scheduler Plugin Framework 的靈活架構下，适配于大資料和 HPC 場景的批量排程，Capacity 排程正在逐漸落地。
• 容器化資源精細排程：Kubernetes 利用容器特性和插件化排程政策，可以原生地支援 GPU 資源共享排程，并且可以進行 GPU 資源隔離，Nvidia Ampere 的排程也在 Kubernetes 上做了 Mig 原生支援。這也是 Kubernetes 獨特的能力。而資源共享不僅僅限于 GPU，對于 RDMA，NPU 甚至儲存設備，這種排程能力都是必不可少的。
• 彈性資料任務全新場景：随着大資料和 AI 應用的彈性化越來越普及，如何讓資料也有彈性的能力，讓資料像流體一樣，在諸如 HDFS、OSS、Ceph 等存儲源和 Kubernetes 上層雲原生應用之間，靈活高效地移動、複制、驅逐、轉換和管理，推動廣闊雲服務場景下的大資料、AI 落地新應用。
• AI 與大資料的統一雲原生底座：基于作業排程、資源使用率優化和資料編排這些原子能力，越來越多 AI、機器學習平台和大資料分析平台建構在容器叢集之上。而 AI 與大資料對資料的依賴度，對計算、網絡和存儲資源的需求特點、工作負載特征、運作政策、對線上服務的重要性，甚至影響企業 IT 成本的因素，都有很多相似之處。是以如何以統一的雲原生底座同時支援 AI 和大資料作業，将成為企業 CTO、CIO 思考的主題之一。

趨勢六：容器安全成為重中之重

楊育兵｜阿裡雲容器服務進階技術專家

容器已經成為應用傳遞的标準，也是雲原生時代計算資源和配套設施的傳遞單元。以 runC 為代表的使用 linux container 技術實作的容器運作時，以輕量、高效、自包含、一次打包到處運作等優秀特性，深受廣大容器開發者和使用者的喜愛。

容器技術及應用日漸普及，正成為雲計算的新界面。但雲計算下的容器技術正面對新的挑戰。多個容器共享了同一核心，在隔離和安全性方面必然存在天然缺陷，并進一步限制了容器的應用場景和發展，使其隻能應用于企業内部環境等單租場景。但雲原生産品傳遞給不同租戶的容器，即使運作在同一台主控端上也必須具備強隔離的安全保證；在雲原生産品時代，容器運作時除了需繼續保持輕量、高效、自包含、一次打包到處運作的優秀特性外，還需進一步確定良好的安全隔離性，容器安全成為重中之重。以 KATA 為代表的使用輕量虛拟化實作的容器時逐漸成為多租場景的标準容器運作時。

除了運作時的安全隔離，網絡、磁盤、鏡像、K8s API 等層面的安全隔離也是必須要解決的問題。涉及到多租戶和運作不可信代碼，使用者可接觸到的一切資源都是需要隔離的，包含網絡可達的目标，可以使用的存儲，可以下載下傳或本地通路的鏡像内容都需要隔離。為了防止隔離實作本身有漏洞被使用者利用，安全防護需要多層次的深度防護，網絡防護除了 VPC 隔離，還需要網絡政策細化隔離；計算的隔離除了虛拟化技術的隔離還需要有命名空間、系統調用等方面的隔離；存儲的隔離除了有虛拟化相關的隔離，還需要在主控端上面做 DiskQuota 隔離；鏡像的隔離除了要做網絡隔離，還需要做本地的鏡像引用隔離。這些實作都是向強隔離、多層深度隔離方向發展。

容器安全技術也面對其它新的挑戰：引入虛拟化後，容器技術實作不再輕量，如何對虛拟化技術優化，并盡可能輕量、高效成為我們必須要解決的問題；業界也有像 Google 的 gVisor 和 Crosvm、Amzon 的 Firecracker 等輕量虛拟化支援容器化的技術，阿裡内部也有相應的 Daishu 虛拟化容器技術來解決這個問題。

下載下傳《雲原生大規模落地應用指南》，收藏更多雲原生規模化落地實踐經驗！

點選即可下載下傳