云原生发展白皮书（2020年）.pdf-得力文库

资源描述

《云原生发展白皮书（2020年）.pdf》由会员分享，可在线阅读，更多相关《云原生发展白皮书（2020年）.pdf（53页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、云云原生原生发展白皮书发展白皮书（20202020 年）年）云云原生原生产业联盟产业联盟 Cloud Native Industry AllianceCloud Native Industry Alliance，CNIACNIA 20202020 年年 7 7 月月版权声明版权声明本白皮书本白皮书版权属于版权属于云原生产业联盟云原生产业联盟，并受法律保护，并受法律保护。转载、摘编转载、摘编或利用其它方式使用或利用其它方式使用本白皮书文字或者观点的，应本白皮书文字或者观点的，应注明注明“来源：来源：云原云原生生产业联盟产业联盟”。违反上述声明者，本。违反上述声明者，本院院将追究其相

2、关法律责任。将追究其相关法律责任。编写说明编写说明：牵头编写单位：牵头编写单位：中国信息通信研究院参与编写单位：参与编写单位：阿里云计算有限公司、百度云计算技术（北京）有限公司、北京凌云雀科技有限公司、北京金山云网络技术有限公司、华为技术有限公司、杭州谐云科技有限公司、上海道客网络科技有限公司、苏州博纳讯动软件有限公司、腾讯云计算（北京）有限公司、浙江蚂蚁小微金融服务集团。编写组成员：编写组成员：中国信息通信研究院：栗蔚、陈屹力、刘如明、闫丹、郑立阿里云计算有限公司：易立、李小平、朱松、李鹏、石兵、阚俊宝、王炳燊、黄玉奇、张大江百度云计算技术（北京）有限公司：周岳骞、曹剑

3、北京凌云雀科技有限公司：刘嘉伟北京金山云网络技术有限公司：赵琦华为技术有限公司：刘赫伟、马达、张琦、王泽锋、赵华杭州谐云科技有限公司：王翱宇、才振功、方佳伟上海道客网络科技有限公司：郭峰苏州博纳讯动软件有限公司：伞亚鹏、刘欣雨腾讯云计算（北京）有限公司：罗茂政、邹辉、韩欣、任秀森、陈一苇、王玉君浙江蚂蚁小微金融服务集团：宋净超注：注：编写单位按首字母顺序排列前前言言当前全球的数字化浪潮逐步加深，云计算成为当今信息化发展的重要基础设施，云原生在数字化浪潮中的角色逐步提升，成为业务创新发展的重要驱动力。本白皮书是继云原生技术实践白皮书（2019）之后，针对国内云原生

4、产业发展现状进行梳理，从云原生概念到新技术发展特征，以及到云原生支撑行业领域发展，最后再总结云原生未来发展新趋势。 1 目目录录一、新机遇下的云原生 . 2 (一) 重新认识云原生 . 2 (二) “新基建”开启云原生的新篇章 . 3 二、云原生产业规模持续看涨，生态版图快速扩张 . 5 (一) 云原生产业规模分析 . 5 (二) 云原生产业生态分析 . 6 (三) 云原生技术生态分析 . 9 三、云原生热点技术井喷式爆发，细分领域发展趋于多元 . 10 (一) 云原生底层技术 . 10 (二) 云原生编排及管理 . 20 (三) 云原生应用 . 32 (四) 云原生安全 . 3

5、5 四、云原生价值凸显，加速行业创新应用 . 41 (一) 生物医疗 . 41 (二) 智慧交通 . 42 (三) 工业互联网 . 44 (四) 物流 . 46 五、云原生发展趋势 . 47 (一) Kubernetes 编排统一化，编排对象不断扩展延伸 . 47 (二) 服务治理 Mesh 化，加速传统应用转型 . 48 (三) 应用服务 Serverless 化，更加聚焦业务的核心价值 . 49 (四) 从资源云化到业务云化，最终趋于全面云原生化 . 49 2 一、新机遇下的云原生 () 重新认识云原云原生成为近几年云计算领域炙手可热的话题，但业界普遍存在对云原生概念理解不清晰

6、、内涵认知不统一的问题，为了更好的推广云原生理念，信通院针对云原生概念进行重新梳理，重点从产业效用、技术特征和应用价值三个方面进行深入剖析，以帮助不同领域的受众群体更好的理解云原生，进一步推进国内的云原生产业发展和落地实践。从产业效用方面来看，云原生极大的释放了云的红利，云原生充分继承云的设计思想，未来应用将更多基于云上进行本土应用开发，即云原生应用更加适合云的架构，而云计算也为云原生应用提供较好的基础支撑，如资源隔离、分布式、高可用等，云原生最大程度发挥了云的优势。云计算的拐点已至，云原生成为驱动业务增长的重要引擎。云计算的发展已进入成熟期，云原生作为新型基础设

7、施支撑数字化转型的重要支撑技术，逐渐在人工智能、大数据、边缘计算、5G 等新兴领域崭露头角，成为驱动数字基础设施的强大引擎。伴随全行业上云的逐步深化，企业云原生化转型进程将进一步加速。从技术特征方面来看，云原生技术架构具备以下典型特征：极致的弹性能力，不同于虚拟机分钟级的弹性响应，以容器技术为基础的云原生技术架构可实现秒级甚至毫秒级的弹性响应；服务自治故障自愈能力，基于云原生技术栈构建的平台具有高度自动化的分发调度调 3 谐机制，可实现应用故障的自动摘除与重构，具有极强的自愈能力及随意处置性；大规模可复制能力，可实现跨区域、跨平台甚至跨服务商的规模化复制部署能力。从应用价

8、值方面来看，异构资源标准化，容器技术有效解决了异构环境的部署一致性问题，促进了资源的标准化，为服务化、自动化提供了基础；加速数字基础设施升级解放生产力，降低用户数字化技术的使用门槛，提高资源的复合利用率，变革研发运营的生产方式，打破组织壁垒，实现研发与运维的跨域协同，提升交付效率，解放生产力；提升业务应用的迭代速度，赋能业务创新。云原生技术实现了应用的敏捷开发，大幅提升交付速度，降低业务试错成本，高效响应用户需求，增强用户体验加速业务创新。云原生是面向云应用设计的一种思想理念，充分发挥云效能的最佳实践路径，帮助企业构建弹性可靠、松耦合、易管理可观测的应用系统，提升交付效率

9、，降低运维复杂度。代表技术包括不可变基础设施、服务网格、声明式 API 及 Serverless 等。 () “新基建”开启云原的新篇章数字“新基建”带来云计算的空前机遇。2020 年的新冠疫情已经给中国经济发展带来较大冲击，经济下行压力增大，然而数字经济展现出强大的抗压能力，极大程度上对冲了疫情影响。后疫情时代随着企业全面复工复产的稳步推进，“上云用数赋智” 已经成为企业共识，企业上云进入攻坚期，数字化转型进程显著提速。同时为提振国内经 4 济，舒缓疫情压力，中央加紧规划部署“新基建”相关工作，高频发布相关政策，截止 3 月 6 日各省公布的 2020 年重点项目投资计划约 4

10、0 万亿元，其中“新基建”成重点方向。空前的市场需求刺激和政策利好引爆数字技术的资本市场，以云计算为核心的新一代数字技术迎来新的发展机遇。后云计算时代的需求从资源优化转向效能提升。数字化转型大潮下的企业面临着新旧商业形态的剧变，颠覆和重构时刻都在发生。更加快速的感知用户侧的需求变化并做出调整，才能在竞争中持续积累优势。业务的敏捷、弹性、个性化和智能化需求凸显，应用的交付模式也发生深刻变化，轻量化、松耦合、灵活弹性的敏捷技术架构成为主要方向。将支撑业务应用的通用技术模块化、系统化逐渐下沉至云平台，低心智负担且功能丰富的应用支撑能力成为云的突出需求，云计算服务重心逐渐上移

11、。云原生成为下一代云计算的技术“内核”大幅提升用云效能。云原生技术栈统一的标准化交付能力大幅提升云端效能。服务架构标准统一，应用微服务化开发，服务之间使用标准的 API 接口进行通信。松耦合架构会减轻因需求变更导致的系统迭代成本，为多团队并行开发提供基础，并加快交付速度；交付标准统一，标准容器化的打包方式实现了真正的应用可移植性，不在受限于特定的基础架构环境。并且容器技术进程级的资源切分粒度，也会降低系统的资源开销；研运过程标准统一，通过引入 DevOps 理念强化软件研发运营全周期的管理，从软件需求到生产运维的全流程改进和优化，结合统一工具链， 5 实现文化、流程、

12、工具的一致性，降低应用软件高频发布带来的风险，提升软件产品质量。二、云原生产业规模持续看涨，生态版图快速扩张 () 云原产业规模分析 2019 年我国公有云 PaaS 市场规模继续保持高速增长，市场规模为 41.9 亿元，同比增长 92.4%。私有云市场规模为 645.2 亿元，同比增长22.8% 1。云原生产业作为现阶段云计算PaaS市场的重要支点，也延续了高速增长态势，根据中国信息通信研究院相关调研数据显示， 2019 年我国云原生产业市场规模已达 350.2 2亿元。数字经济大潮下传统行业的数字化转型成为云原生产业发展的强劲驱动力，“新基建” 带来的万亿级资本投入，

13、也将在未来几年推动云原生产业的发展迈向新阶段。数据来源：中国信息通信研究院，2020 年 5 月图 1 中国公有云细分市场规模及增速 1 数据来源：中国信息通信研究院云计算发展白皮书（2020） 2 数据来源：中国信息通信研究院中国云原生用户调查报告 2020 42.0 87.4 148.7 270.4 452.6 5.2 7.6 11.6 21.8 41.9 55.3 75.1 104.5 145.2 194.8 0 200 400 600 800 20152016201720182019 SaaS市场规模 PaaS市场规模 IaaS市场规模 6 我国云原生产业发展已呈现几个明显特征：

14、大中型互联网企业主导云原生产业发展，技术应用快速向垂直行业扩展。超 6 成的云原生技术用户为互联网企业，其中千人以上企业规模的企业占比高达 35.11% 3，互联网头部企业在云原生产业发展中举足轻重。同时金融、制造、服务业、政务、电信等垂直行业的应用占比有所攀升，行业数字化转型的带动效应初步显现；云原生技术在传统领域尚处发展期IT 技术投入占比较低，技术研发是资金流出的主要方向。80%的调研企业在云原生技术领域的投入不足整体 IT 投入的 30% 4，云原生架构尚未成为企业数字基础设施建设的核心支柱，有近 7 成的用户表示投入的资金主要用于相关技术的研发；云原生架构采

15、纳用户的生产集群以中小型规模为主，规模化应用仍存在较高技术门槛。云原生技术栈在规模化应用时的安全性、连续性及性能等因素成为用户侧落地的主要顾虑（调查占比为 61%），同时陡峭的学习曲线以及与现有平台的整合演进也成为用户摇摆的重要因素（调查占比分别为 47%和 46% 5）。 () 云原产业态分析 2019 年 Gartner 在容器报告中预测，到 2020 年将有 50%的传统老旧应用被以云原生化的方式改造，到 2022 年将有 75%的全球化企业将在生产中使用云原生的容器化应用。云原生已成为新常态，容器化需求从行业头部企业下沉到中小规模企业，从领先企业尝鲜变为主 3 数据来

16、源：中国信息通信研究院中国云原生用户调查报告 2020 4 数据来源：中国信息通信研究院中国云原生用户调查报告 2020 5 数据来源：中国信息通信研究院中国云原生用户调查报告 2020 7 流企业必备。随业务的发展，服务器规模相较去年却有了一定的缩减，这一定程度上是容器化带来的效果。K8S 拥有极高的扩展性、自动化和可伸缩性，通过容器化改造，可以最大化地利用服务器资源，按需使用，有效节约服务器成本。在降本增效的目标下，加快数字化业务发展成为传统企业的必然选择。由于业务场景、用户习惯迅速变化，许多行业数字化业务出现急速增长。数字化业务意味着大刀阔斧的企业敏捷文化，只有借助更

17、加快速、灵活的开发和交付模式，才能满足市场快速变化的需求。通过使用容器、Kubernetes、DevOps、微服务等这些年轻且先进的技术，能够大大加快软件开发迭代速度，提升应用架构敏捷度，提高 IT 资源的弹性和可用性，帮助企业客户加速实现价值。对于大部分传统企业而言，云原生 PaaS 平台是未来企业业务的核心竞争力的底层支撑，而非核心竞争力本身所在。企业应该将更多的人员、精力和成本投入到与业务相关的研发上，而不是重复造底层基础设施的轮子，造成重复性浪费投资。对于云原生生态中的软件开发商、行业解决方案商等各个领域的合作伙伴也是如此。最终用户是推动产业发展的原生需求，不同的

18、企业在基础设施和应用架构方面都有自身的个性化差异、任务复杂性等挑战。有的企业只关注云原生中的某一项技术，解决某个切肤痛点。有的企业则希望同时考虑完整体系化的解决方案，追求云计算技术生产力的最大化。每家企业的云原生之路都应该是个性化、量身定制，而且循序渐进的。中国率先控制住疫情为国内企业在数字化转型方面争取到窗口期，数 8 字化转型在疫情和后疫情时期越发重要。企业上云已经成为一种必然趋势。疫情之下，虽然各行各业都受到了不同程度的影响，但那些数字化能力健全的企业抵御风险的能力更强。生态伙伴是联接产业供需的重要纽带，最终用户的 IT 应用开发形式（自研或和第三方技术厂商合作

19、）决定云原生生态的格局。除互联网企业外，对于更多中大型企业来说，经过仔细调研会发现云原生技术难度和自研成本很高，大部分企业需要和专业技术厂商合作，共同落地云原生技术，打造技术中台。专业的技术厂商能够提供完善的咨询服务、解决方案和方法论。同时云原生技术的部署也一定程度上伴随着对企业 IT 文化、流程的变革，也需要技术厂商和企业的配合。传统软件服务体系，纷纷与云原生技术对齐，构成云原生生态合作，其中典型代表有：独立软件开发商，长期聚焦某些行业或者垂直领域，在技术、产品和客户方面都有深厚积累的企业，有能力依托云原生核心技术和平台优势，开发可规模推广的行业产品或解决方案。软

20、件集成商，具备系统集成资质，有一定的客户基础和方案整合能力，为企业提供优质的云原生解决方案和服务。 IT 服务与交付厂商，有企业信息化实施、服务和行业客户交付能力，通过参与云原生产品解决方案完善、项目咨询、项目实施、项目交付等工作，为企业提供服务。 9 (三) 云原技术态分析云原生的理念经过几年发展，不断丰富、落地、实践，云原生已经渡过了概念普及阶段，进入了快速发展期。云原生技术以其高效稳定、快速响应的特点驱动引领企业的业务发展，帮助企业构建更加适用于云上的应用服务。过去几年中，云原生关键技术正在被广泛采纳，如 43.9% 6的用户已在生产环境中采纳容器技术，超过七成

21、的用户已经或计划使用微服务架构进行业务开发部署等，这使得用户对云原生技术的认知和使用进入新的阶段，技术生态也在快速的更迭，特征明显。图 2 CNIA 中国云原生技术生态图景云原生技术生态日趋完善，细分项目不断涌现。相较于早年的云原生技术生态主要集中在容器、微服务、DevOps 等技术领域，现如今的技术生态已扩展至底层技术、编排及管理技术、安全技术、监测分析技术以及场景化应用等众多分支，初步形成了支撑应用云原生化构建的全生命周期技术链。同时细分领域的技术也趋于多元化发展，如 6 数据来源：中国信息通信研究院中国云原生用户调查报告 2020 10 在容器技术领域，从 doc

22、ker 这种通用场景的容器技术逐渐演进出安全容器、边缘容器、serverless 容器、裸金属容器等多种技术形态。开源技术主导生态，本土力量日益凸显。“软件即服务”的概念逐渐深入人心，在云计算服务化转型的大趋势下，软件开源的经营模式逐渐成为主流，开源的价值也被国内外的公司所深刻认同：开源技术也有助于构建高质量的开发人员社区，实现全球精英人才的协同贡献，加速技术创新的覆盖率指数级增长。鉴于此，全球云计算厂商都在积极布局云原生开源项目，加速企业的技术竞争力。我国云原生技术领域也涌现出大量的国内公司主导的优质开源项目，本土开源力量在支撑国内需求的基础上开始反哺国际社区，如腾讯

23、开源的微服务框架 TARS 贡献给了 Linux 基金会、阿里开源的分布式服务框架 Dubbo 贡献给了 Apache 基金会、容器镜像仓库项目 Harbor 已经从 CNCF （云原生计算基金会）毕业深度应用于企业生产。三、云原生热点技术井喷式爆发，细分领域发展趋于多元 () 云原底层技术 1. 云原服务器：兼顾性能与管理的新算载体传统 IaaS 层计算产品形态主要分为裸金属物理机和云服务器两大类。两者在计算性能，管理运维方面各有优势，又都存在不足。云原生服务器则兼顾了物理机的性能优势、完整特性和云服务器的管理便利，进一步解决客户对高性能计算的强需求。 11 云原生服务器

24、是指基于专用硬件、芯片，利用软硬融合虚拟化等技术将负载或任务转移，提升资源使用效率、用户体验和整体性能的新型服务器。云原生服务器采用软硬一体的硬件卸载和加速技术，通过专用的硬件，将原来在物理机上运行的网络、磁盘、管控等负载，完全下沉到定制的硬件上，物理服务器上的资源可以被最大程度的释放出来，从而提升资源的使用效率，降低成本。同时，通过使用 ASIC 或者 FPGA 等专用芯片来处理存储、网络等任务，可以使用较低的成本将性能提升数倍甚至一两个数量级。此外，软硬融合的虚拟化技术能够支持裸金属形态的计算产品，使其同时具备虚拟机的使用体验和物理机的强大性能。云原生服务器不仅具有虚

25、拟机的灵活性和弹性，同时具备物理机的一切特性和优势，因此也具备再次虚拟化的能力，而不用担心嵌套虚拟化带来的性能开销。 2. 云原存储：加速云存储的云原化改造云原生存储是云原生应用场景下的存储解决方案，存储形态可为块、对象、文件、键值存储等。云原生存储可以以“声明”的形式被云原生应用申请使用，支持容器编排层对接存储控制面，完成对存储资源的生命周期管理。编排层与存储的交互架构如下图，通过控制面接口直接对接到编排层（下图中 A 所示）为应用负载提供存储资源的动态供应能力，通过 API 框架或者工具间接对接到编排层（下图中 B 所示），提供数据存储的一些高阶能力，如数据保护，数据迁

26、移等。 12 图 3 云原生编排系统与存储交互示意图 Kubernetes 对云存储的原生调度方案难以满足云原生环境下企业核心/智能应用的部署需求。云原生技术已被企业广泛采用，应用容器化运行的比例大幅攀升，使用云原生存储来部署生产可用的有状态应用正呈现加速上升趋势。越来越多的互联网、数据库、消息队列等企业有状态核心应用，逐步迁移到云原生平台，对不同的云上块存储的性能在时延和吞吐，以及稳定性提出新的要求。随着云原生应用对可迁移性，扩展性和动态特性的需求，对云原生环境下的存储也提出了相应的密度、速度、混合度的新要求，对云存储基本能力之上又提出了在效率，弹性，自治，稳定，应用低耦合

27、，GuestOS 优化，安全等方面的诉求。云原生存储在数据、控制双平面提升存储使用效率与安全性。云原生存储是指通过整合多种云存储形态，完整匹配 Kubernetes 环境下的存储声明机制，提升存储的质量、稳定性及安全等能力，以满足不同应用场景下的存储使用需求的新型存储解决方案。当前主要有两种方式来构建云原生存储能力： 13 一是对已有存储系统的对接改造。这种构建方法适用于已经具备可用存储系统的公有云或私有云环境，通过标准的 CSI 接口来对接各类存储，通过完善声明式接口和增强原有存储系统能力（扩展性、性能、安全性、稳定性等）来构建云原生存储系统。这种构建方式可以复用云

28、计算基础设施，无需重复发明轮子。二是面向云原生场景设计全新的存储系统，云原生存储系统通常基于具体平台存储层（块或者文件）再构建一层分布式存储层，屏蔽了不同平台的存储层差异，提高了应用部署的灵活性，使存储系统可以像云原生应用一样能被部署到任意平台上。图 4 多场景下的云原生存储选择示意图 3. 云原络：面向用户应用场景不断演进云原生网络的基本目标是满足云原生服务的网络端点和服务间的互通性、安全性和负载均衡要求。 Kubernetes 已经成为容器编排的事实标准，容器网络也需与 Kubernetes 的调度机制相匹配。容器网络接口 CNI(Conteinre Network

29、Interface)是现行的网络接口标准， CNI 接口只实现创建、删除容器时的调用方法，其他所有的网络能力 14 都交由网络厂商实现增值服务，这在一定程度上加速了网络方案的繁荣，但是给用户的方案选型造成了较大困扰。大部分的用户场景都是基于网络的通讯协议进行方案选择，根据网络协议的不同，可将网络方案分为路由模式、Overlay 和 L2 方案三种。表 1 云原生网络方案对比路由模式路由模式 OverlayOverlay 模式模式 L L2 2 模式模式优点优点网络性能高支持 Kubernetes 原生负载均衡和网络策略机制符合传统网络的监管要求物理网络无侵入支持

30、Kubernetes 原生负载均衡和网络策略机制网络性能高可直接与 IaaS 网络层通信，易于迁移符合传统网络的监管要求缺点缺点大规模应用场景需要交换机与 BGP 打通存在封装影响性能排查问题难，需引入额外排查工具无法与传统的网络监管模式兼容网络管理依赖于物理网络大部分方案无法复用 Kubernetes 的网络优势实现技术实现技术方案方案 Calico BGP Flannel Host Gateway Kube-router Contiv BGP Calico IPIP,VXLAN Flannel VXLAN, UDP WEAVE Canal SDN

31、方案 Lunix Bridge Macvlan SRIOV OVS Bridge Contiv Vlan Ovn-kubernetes 数据来源：中国信息通信研究院自 CNI 标准发布到 2020 年，云原生网络已经演进近 6 年时间。也积累了大量的用户落地案例和大规模的实践案例。未来对于云原生 15 网络的演进，依旧会在用户落地场景方向上深度演进。总结起来主要是以下几个趋势：大规模、复杂的互访场景要求云原生网络扁平化。随着云原生技术的普及，容器集群规模快速增长，跨集群、跨 VPC 互访场景越来越丰富，这要求容器端点具有与宿主节点相同的互通能力，容器和服务具有独立 VPC 的子

32、网地址，甚至具有独立的直通网口,这样在获得更高转发性能、更低损耗的同时，兼顾更好的隔离性。通过在容器挂接的网口配置安全组规则，能够实现容器级别的微分段网络管控策略。但是，容器端点规模和发放速度相对于现有 VPC 网络规格存在数量级的差距，规模扩展问题仍有待解决。 eBPF 等技术将有效改善容器网络复杂链路的高延时问题。容器网络中大量依赖了 Linux 的网络虚拟化的技术，例如 iptables、 bridge 等，这些复杂的链路导致网络延时显著增加。而在 Linux 新版本内核中引入的 eBPF 7技术可以通过可编程的方式去简化内核的网络转发链路，通过把 XDP 程序注入到了网

33、卡驱动程序中，大幅度缩短网络处理链路，降低复杂度，提升了网络的可靠性和性能，在未来会有广泛的应用。网络安全将成为云原生技术底座的重要组成部分，平台的安全问题在所有的平台演进和建设过程中一直扮演着非常重要，但是不十分紧急的角色，在容器安全建设上，大部分组织都是采取防守和被动姿态。但是本身在近几年陆续爆出大量的基于容器平台的安全隐患以及 7 eBPF：Extended Berkeley Packet Filter，Linux 内核中的一种报文过滤机制 16 在国内“护网行动”的大背景之下，容器安全已经成为云原生底座无法绕开的一个问题，容器网络安全在整个底座安全里面扮演了非常重

34、要的角色，也将成为之后的 CNI 网络演进的方向和趋势。云原生网络的规模扩展问题仍然有待解决。容器网络和 VPC 网络的扁平融合的趋势之下，容器端点规模和发放速度相对与现有 VPC 网络规格存在数量级的差距，单节点的弹性网口密度和弹性扩容速度依然不能满足云原生工作负载的要求，规模扩展问题仍待解决。 4. 容器技术：从通用向多元化发展（1）安全容器容器技术的采纳率连年提升，已经开始进入企业的生产环境。以 Docker 为代表的普通容器通过 Namespaces 和 cGroups 实现的隔离，共享内核的机制使得隔离性具有天然的缺陷无法根除，在多租户场景下安全问题更加凸

35、显：内核 Bug 引发容器逃逸，操作系统内核漏洞、Docker 组件设计缺陷、不当的配置等都会导致 Docker 容器发生逃逸。由于频发的安全及逃逸漏洞，一般在云环境中的容器应用不得不运行在虚拟机中，以满足多租户安全隔离要求。而分配、管理、运维这些传统虚拟机与容器轻量、灵活、弹性的初衷相悖，同时在资源利用率、运行效率上也存在不足。内核资源竞争影响业务性能，同一个宿主机上的不同 Pod，实际上是不同的用户态进程的集合，这些用户态进程虽然在 namespace 上是相互隔离的，但他们还是会共享很多内核资源，比如 17 调度器、某些内核线程或者对象。这种级别的资源共享会引入很多可以观测

36、到的性能抖动，对在线业务的影响也很明显。与 Docker 普通容器不同，安全容器通过添加隔离层，给进程分配了一个独立的操作系统内核，从而避免了让容器共享宿主机的内核。因此容器进程能够看到的攻击面，就从整个宿主机内核变成了一个极小的、独立的、以容器为单位的内核，从而有效解决了容器进程发生 “逃逸”或者夺取整个宿主机的控制权的问题。（2） Serverless 容器 FaaS 平台提供的是函数级别的 Serverless 化部署，且应用场景多依赖于其绑定的触发器，对函数的执行有一些配置限制，并且不支持进程常驻。传统的应用大都是单体应用或者微服务应用，在迁移到 FaaS 平台时，需

37、要拆分函数，迁移成本较高。 Serverless 容器，可以很好地弥补 FaaS 的不足，Serverless 容器可以支持进程常驻的服务形态，不限运行时长，并扩大 Serverless 的应用场景。 Serverless 容器支持服务的形态，传统的单体应用或者微服务应用，几乎可以无缝迁移到 Serverless 容器平台上。 Serverless 容器和传统的容器相比，为了实现 Serverless 的理念，在如下几个方面做了加强：免运维的纯托管模式，传统的容器往往是直接将容器集群托管给业务方，业务方需要分担容器集群的一些运维工作。 Serverless 容器则把容器集群完

38、全托管给云厂商，由云厂商进行集群的运维工作，用户不用关注这些运维工作，只需部署自己 18 的业务逻辑即可；以实际资源用量计费，传统的容器是按照容器的实例配置进行计费的，Serverless 容器是按照实际资源使用量进行计费；秒级弹性伸缩响应，传统的容器往往借助于容器编排工具来实现弹性伸缩，比如通过 Kubernetes 可以实现 Docker 的容器的弹性伸缩，但是 Kubernetes 伸缩时间是分钟级的，而 Serverless 容器能够提供更加极致的伸缩能力，做到秒级伸缩并且资源实例和伸缩至零。（3）裸金属容器容器服务最早部署形态是基于 IAAS 虚拟机，以虚拟机节点

39、作为容器集群的计算节点，并基于此构建容器的网络、存储和编排能力，这样的堆叠架构虽然可以让整个软件栈分工明确、边界清晰，但是带来了较大的性能损耗和功能冗余。此外如果用户对实例安全隔离性要求较高，就需要借助虚拟化技术，而虚拟化平台不能很好支持该能力。基于以上痛点，在裸金属服务器上搭建容器服务成为一些对性能和实例隔离性较高用户的选择。随着裸金属容器的发展，为了进一步提高容器负载性能和稳定性，原来部署在裸金属之上的非业务负载组件也逐步的由专门的卸载硬来承载，比如容器存储、容器网络、容器引擎以及服务网格组件。将容器组件下沉到卸载卡后，有几方面好处： l 裸金属节点就可以被当

40、做纯粹的计算资源，可以“完全”被业务负载使用。同时避免了对业务负载的性能干扰。 19 l 容器网络、容器存储组件下沉到卸载卡后可以与传统 IAAS 层的网络、存储组件垂直打通，减少冗余功能；直接以硬件设备直通方式将存储、网络资源分配给容器实例，缩短 I/O 路径，提高性能。 l 容器层组件下沉到卸载卡后，裸金属成为纯粹的计算资源，可以被容器实例或者虚机实例共享，为虚拟机和容器实例共节点奠定了基础，提高资源整体利用率。虽然裸金属容器可以通过卸载技术获得诸多益处，但同时也面临着较大的挑战： l 资源占用问题。由于卸载卡上的资源非常有限，容器组件需要进行轻量化瘦身后才能较好的适配

41、卸载卡，当前业界也在推动容器引擎层面的轻量化改造，比如 kata-shim-v2 和 isulad。 l 实例密度问题。由于容器存储和网络资源都是走 VF 直通方式，而当前卸载卡上支持的 VF 数量比较有限，在小规格实例场景， VF 会成为实例密度提升的限制。此外，裸金属容器不仅在资源利用率和性能上有优势，对系统运维管理的自动化和敏捷性上有较高诉求。为了获得较高的自动化运维能力，很多的依赖组件都进行了微服务改造，借助容器编排自身能力来自动化管理所依赖的服务，甚至是节点操作系统本身。比如 AWS 为了提高容器计算节点操作系统更新管理的灵

42、活性，推出了 bottlerocket 产品，放弃原来基于包更新的升级机制，采用镜像粒度 20 一步更新方法，降低了 OS 更新的失败率，提高运维自动化程度和容器应用的稳定性。 () 云原编排及管理 1. 云原消息队列消息队列是指利用高效可靠的消息传递机制进行与平台无关的数据交流，并基于数据通信来进行分布式系统的集成。传统应用架构设计中系统组件与应用紧耦合，消费者出现任何问题（升级停服、宕机、不可用等），都会影响生产者的业务；系统可用性和效率低，突发的海量消息压力，消费者无法实时高效的处理消息时，容易产生雪崩效应；缺少持久化机制，系统发生故障会丢失消息；消息本地存储

43、难扩展，单机的处理能力和内存容量都是有限的，不具备可扩展性，同时系统组件高度耦合，扩展难度大。为解决传统架构中的种种问题，云原生消息队列服务应运而生，它为微服务和事件驱动架构提供核心的解耦、异步和削峰的能力。通过消息队列能够让用户很容易架构出分布式的、高性能的、弹性的、鲁棒的应用程序。程序组件与应用解耦分离独立运行，同时还可以简化组件间的消息管理。分布式应用程序的任何组件均可将消息存储在队列中，云云消息服务确保每条消息至少传送一次，并且支持多次读取和写入。单个队列可由多个分布式应用程序组件同时使用而无需这些组件之 21 间的互相协作。所有组件均可使用云消息服务

44、API 以编程方式检索和操作消息。可靠的基于消息的异步通信机制，能够将分布式部署的不同应用（或同一应用的不同组件）之间的收发消息，存储在可靠有效的消息队列中，防止消息丢失。云原生消息队列支持多进程同时读写，收发互不干扰，无需各应用或组件始终处于运行状态。消息同步多副本落盘保障消息高可靠，通过分布式 Raft 等算法保证消息强一致，提供消息队列、发布订阅、消息回溯、延时消息、顺序消息、消息轨迹等服务。具有高可靠、高可用、高性能、动态伸缩等优势。云消息服务不仅具备处理系统解耦，异步通信等传统消息队列所必备的能力，而且在数据的可靠传递，性能，快速部署等方面提供有力的支

45、持，满足使用者针对特定场景下的消息的高可靠堆积，动态扩缩容，系统监控，消息轨迹查询等方面的需求。 2. 服务格服务网格（Service Mesh）是一个用于管理、观测、支持工作负载实例之间安全通信的管理层。服务网格通常以轻量级网络代理阵列的形式实现，这些代理与应用程序代码部署在一起，而对应用程序来说无需感知代理的存在。服务网格通常由控制平面和数据平面两部分组成。数据平面运行在 Sidecar 中，Sidecar 作为一个独立的容器和业务系统运行在同一个 Kubernetes 的 Pod 里面，或者作为一个独 22 立的进程和应用程序进程运行在同一个虚拟机上，其主要充当业务

46、系统的网络流量的代理。传统 RPC 中的服务发现、限流、熔断、链路追踪等能力都会下沉到 Sidecar 中。Sidecar 为应用程序提供了一个透明的网络基础设施，让业务在低侵入或者零侵入的情况获得更健壮的网络通信能力。图 5 服务网格控制平面示意图服务网格为微服务带来新的变革，主要体现在：服务治理与业务逻辑解耦，服务网格把 SDK 中的大部分能力从应用中剥离出来，拆解为独立进程，以 Sidecar 的模式部署，将服务通信及相关管控功能从业务程序中分离并下层到基础设施层，使其和业务系统完全解耦，使开发人员更加专注于业务本身；异构系统的统一治理，通过服务网格技术将主体的服务治理能力下沉到基础设施，可方便地实现多语言、

展开阅读全文