7 月 10 日,「GOTC 全球开源技术峰会“开源云原生计算时代论坛”」在上海世博中心召开。「GOTC 全球开源技术峰」是会由开放原子开源基金会与 Linux 基金会联合开源中国共同举办的开源盛会,包含多个主题分论坛,其中“开源云原生计算时代论坛”出品方为 CNCF 云原生计算基金会。
“中国是云原生成长的关键力量。”CNCF 云原生计算基金会总经理 Priyanka Sharma 为本次分论坛做了开场主题演讲,她介绍,全球范围内,云原生领域中国贡献者排名第 2,Kubernetes 的贡献中,中国排名第 3。目前,CNCF 中已经有 18+ 项目来自中国,有 72 家中国企业成员。Priyanka Sharma 还表示,疫情之下,云原生引领了数字转型。在云原生浪潮席卷的今天,CNCF 致力于培育和维护一个厂商中立的开源生态系统,来推广云原生技术,通过将最前沿的模式民主化,让这些创新为大众所用。
云原生概念发展至今,全球已经有超过 650 万的开发者投入云原生领域,并且这个数字还在持续增长中。CNCF 中国区总监兼 Linux 基金会亚太区策略规划总监 Keith Chan 表示,国内云原生开发者越来越多,同时,不仅仅是某个行业,在许多不同的行业中,云原生技术应用都有非常大的增长,现在是大家加入云原生非常好的时机。
此次峰会也正是聚集了来自不同行业的云原生技术大咖,为开发者介绍云原生前沿趋势。
VMware 中国主任工程师,Harbor 开源项目的贡献者张道军和 VMware 中国高级研发工程师,Harbor 开源项目的贡献者张子明介绍了 Harbor 的优势及最新功能, 如 Harbor 作为一个镜像管理软件,除了可以镜像存储以外,还可以做权限管理;可通过各种方式集成第三方的软件平台;增加了对于性能数据的收集和指标的监控的原生支持等等。Harbor 2010 年开源,2018 年进入 CNCF 云原生计算基金会,以非常快速的速度孵化完成并晋升顶级项目,现在已经有超过 15000 个 star,被广泛地应用于企业软件中。
当下云原生发展的一大趋势就是与边缘计算结合。据 KubeEdge 社区 Maintainer,华为云高级工程师徐飞介绍,目前边缘计算领域还存在一些挑战,包括架构领域多,可操作性差;通信网络质量低;边缘的资源受限。云原生的一些优势恰恰可以解决这些问题:解耦开发;支持将业务打包到容器;多云支持,云原生领域 API 已经达到空前统一,方便部署;嵌入式定制,做边缘扩展会更加容易。徐飞还介绍了 CNCF 中的首个边缘计算项目——KubeEdge,其在 2018 年开源,核心理念包括:开放生态、支持海量边缘设备管理、轻量化、边云一体和边缘流量协同。
阿里巴巴技术专家,ChaosBlade 开源项目负责人肖长军带来了一场关于混沌工程的分享。混沌工程可以推动整个系统的云原生化,通过故障注入的方式,验证系统自愈能力,保证业务的连续性,旨在帮助企业解决云原生化过程中高可用的问题。阿里开源的混沌工程项目 ChoaBlade 包括整体故障注入工具,以及上层通用的混沌工程控制台,可以通过控制台实施整个故障服务。后续,ChaosBlade 计划托管更多实验工具,支持更多语言,持续优化实施流程,稳态度量等等。
SODA 基金会主席,Futurewei 云解决方案 - 存储副总裁兼 CTO Steven Tan 也出席了本次会议,并带来“SODA:建立数据和存储的生态系统”主题演讲。SODA 基金会成立于 2020 年 6 月,旨在解决企业用户 IT 基础设施架构在云原生与多云场景下的数据管理挑战,以及数据存储领域标准建设。SODA 框架是 SODA 基金会旗下的核心项目,它通过统一的 API 层,将应用平台和解决方案与后端存储无缝连接起来,使应用平台能够专注于建立更有价值的业务代码,而无需关注底层存储后端和数据管理。
那么混沌工程加上云原生如何做到 1+1 大于 2?Chaos Mesh 核心开发成员周志强带来了相关解答。混沌或者故障无时无刻都在发生,可能是过于复杂的服务依赖关系导致故障概率上升,也有可能是人为原因。而云原生应用本身的弹性就是为失败而设计,可快速伸缩,但即便如此,也不能保证百分之百的问题复现。混沌工程此时就是一个很好的途径,可以在某些情况下模拟生产环境中可能发生的故障。Chaos Mesh 作为开源的云原生混沌工程平台,可以进行混沌实验的注入和编排,进行可视化操作。目前,Chaos Mesh 一个较为经典的案例是用在车联网场景中,模拟低延时网络情况,检测告警系统有效性。
云原生的安全问题也是此次论坛中的重要话题。探真科技 CTO,国家级别高层次海外引才专家黄鹤清介绍,传统的安全运维人员常常因不了解云原生架构,不知道如何解决问题。云原生本身相较传统的企业级网络,IP 不固定,基础设施是动态变化的,多云的环境也非常复杂,对安全与运维的完整解决方案要求较高。目前,探针针对云原生安全问题的架构思路大体是从云原生基础设施的合规开始,以及业务上线前的容器加固和凭证管理等等做一些基础设施的能力加固,在应用层安全做是服务的动态健全,和分布式的应用防火墙等等。
阿里云技术专家,OpenKruise 作者王思宇在分享中总结了未来的云原生应用负载发展趋势是:规模化、深度化、全面化、抽象化。在原生 Kubernetes 应用负载基础上,通过 3rd party 扩展出符合更多真实生产业务场景的高级能力。以 OpenKruise 为例,它来自阿里巴巴多年来容器化、云原生的技术沉淀,既是阿里经济体上云的部署基座,也是紧贴上游社区标准、适应互联网规模化场景的最佳实践之一。
云原生发展至今,多云、多集群部署已经成为常态。华为云云原生开源负责人,Kubernetes 资深维护者王泽锋介绍了多集群容器编排历史和现状,以及开源的云原生多云容器编排平台 Karmada 设计原理。多云容器集群管理现在仍充满挑战,如集群繁多、业务分散、集群的边界限制、厂商绑定。而 Karmada 项目的核心价值包括:K8s 原生API兼容,丰富云原生生态;内嵌策略,开箱即用;丰富的多集群调度支持;集群资源空间隔离;多种模式集群同步,屏蔽地域、网络限制。使用 Karmada 构建无限可扩展的容器资源池 ,开发者像使用单个 K8s 集群一样使用多云。
中移(苏州)软件技术有限公司软件工程师毕小红分享了 Knative Eventing 系统应用实践。 Knative Eventing 是一个事件系统,为驱动服务执行,制定了事件处理标准,有四个特点:可以在不同的开放平台上进行独立开发和部署,第二是和事件消费者相互独立,第三是在不改变原有服务情况下可以支持第三方服务的接入,第四是跨服务、跨平台的互操作性。Knative 主要是绑定了事件消费者本身需要的一些事件源的资源,同时也实现多种事件传递机制,当产生事件之后可以通过事件适配器接受这个事件,最后转发出去,可以转发事件消费者,也可以通过适配器转化为 Knative 里面提供的传递机制,最后转发给消费者。
华为云云原生开源团队核心成员,Istio 项目维护者,Kubernetes 项目核心贡献者徐中虎带来了“云原生服务网格安全技术解密”相关分享。服务网格的安全主要是提供服务与服务之间通信的安全保障。微服务安全需求包括:为防御中间人攻击,流量需要加密;为了提供灵活的服务访问控制,需要双向 TLS 和细粒度的访问策略;为了明确服务访问细节,需要 Audit。Istio 服务网格安全目标包括:默认安全、深度防御、零信任网络。
华为云容器服务架构师王雷博从批量计算领域的发展谈起,介绍了云原生批量计算面临的关键挑战,以及云原生批量计算平台 Volcano 的演进和落地时间。关键挑战包括:作业管理缺失,如 Pod 级别调度,无法感知上层应用;调度策略局限;领域计算框架支持不足,如 1:1 的 operator 部署运维复杂;资源规划复用、异构计算支持不足。Volcano 具备高性能、智能混合调度、应用感知、集群联邦调度、大规模、高扩展、易运维等特点,已支持众多的主流AI、大数据、高性能计算框架,众多用户已应用于生产环境。
来自唯品会 Noah 云平台的资深开发工程师何颖鹏紧接着讲述了“唯品会如何基于 Volcano 和 AI 训练场景提高集群资源利用率”。何颖鹏介绍,最初他们的 AI 平台并没有上云,各个业务组之间也是野蛮生长,今年开始统筹上云,出现了集群内资源竞争的问题。最后,解决方案的概况为:使用 helm 发布 tfjobs,由 tf-operator 管理训练任务流程;使用 Volcano 对 tfjobs 的任务容器进行批量调度;对 tf-operator 进行改造,按业务划分 Volcano 队列,并支持任务优先级;改造 kubelet 实现资源超卖,提高容器部署密度;通过自研的 vpa,实现在容器运行时动态调整资源。
支流科技云原生技术专家张晋涛总结了 Kubernetes 生产环境下的几大安全困境及应对措施,包括:攻击面增加,应对方式可通过把 kube-apiserver 放在 LB 后、不暴露在公网,Node 禁止 SSH,最小化权限;针对供应链攻击,可使用可信基础镜像等;针对网络安全挑战,可以使用NetworkPolicy 控制进出流量规则等;此外,张晋涛还介绍了权限提升、资源安全、数据安全、组件安全。运行时安全等安全困境以及应对措施。
云原生环境下,已经有了以容器化为基础的软件隔离方案,但是也有许多制约。WasmEdge 维护者吕艺介绍了一种新的软件隔离方案——使用 WebAssembly。WebAssembly 诞生于前端,现在也有方案将其用在云端和边缘端。WebAssembly 提供沙箱机制,有了沙箱机制就提供了比较好的隔离;提供基于能力的安全机制;此外,WebAssembly 很重要的一个特点是轻、快。在 WebAssembly 的基础上,WasmEdge 出现了,这是为边缘计算优化的 Wasm 虚拟机,同时也是全球范围内首个被 CNCF 纳入托管的开源 WebAssembly runtime 项目。
LFAPAC 开源布道师,云原生 DevSecOps 一线实践者马景贺的演讲主题为“利用 Tekton + ArgoCD 打造云原生 GitSecOps”。马景贺从云原生交付之痛谈起,人们可以用 GitOps 解决部分云原生交付之痛,但是 GitOps 在敏感信息处理和镜像转换上也存在不足。目前,他们打造出的持续交付系统可以概述为Tekton + Kustomize + SOPS(gpg) + ArgoCD = GitSecOps。其中如 Tekton 是用来完成源码到镜像的转换。
“开源云原生计算时代论坛”的压轴演讲由旷视云平台资深工程师王续带来。王续从旷视 PaaS 平台的演进开始,逐步介绍 eBPF 的实践之路。 旷视 PaaS 平台在混合云场景下,定义基于Kubernetes 的 Application 概念,提供 CI 和周边基础设施,形成内部完善的、面向云原生的、GitOps 驱动的 PaaS 平台。目前,已经覆盖 900+个应用,10+个集群,达到每日 200+次上线。
“开源云原生计算时代论坛”不仅有来自业内大咖的技术分享,也邀请众多开源界资深人士,共同探讨当下开源发展的热点话题。CNCF 中国区总监兼 Linux 基金会亚太区策略规划总监 Keith Chan,中国移动通信研究院开源社区经理郁志强,华为云云原生开源负责人,Kubernetes 资深维护者王泽锋,字节跳动高级法务孙振华,开源之道主创,Linux Foundation APAC 开源布道者李建盛(适兕)围绕“开源成功,企业开源办公室(OSPO)先行”展开了圆桌讨论,探讨当下企业中开源办公室的发展现状,并提出了一些企业和个人参与开源切身可行的措施。
相信未来会有更多企业设立开源办公室,深度参与开源。而毋庸置疑,云的时代和开源的时代已经到来,如何在新一波技术浪潮中寻找一席之地,贡献一己之力?本届「GOTC 全球开源技术峰会“开源云原生计算时代论坛”」全体嘉宾已从多角度解析云原生技术并分享经验,希望能对开发者有所助益。“开源云原生计算时代论坛”回放视频已上线 GOTC 全球开源峰会官网:https://play.itdks.com/watch/10468548?player
7 月 31 日至 8 月 1 日,「GOTC 全球开源技术峰会」深圳会场将在深圳会展中心召开,届时,将有更多技术领域论坛与大家见面,敬请期待!
