导图社区 阿里云容器服务 Kubernetes 版
- 75
- 1
- 2
- 举报
阿里云容器服务 Kubernetes 版
详细介绍了阿里云容器服务 Kubernetes 版的产品特性和功能,阿里云容器服务 Kubernetes 版 ACK(Container Service for Kubernetes)是全球首批通过Kubernetes一致性认证的容器服务平台,提供高性能的容器应用管理服务,支持企业级Kubernetes容器化应用的生命周期管理,让您轻松高效地在云端运行Kubernetes容器化应用。
编辑于2023-10-12 10:17:39- 容器
- 阿里云
- Kubernetes
- 计算器
- DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图,主要内容包括:DPIA模版,DPIA概述和范围,如何执行DPIA,可接受的DPIA标准,DPIA解决什么问题,DPIA执行标准。
- GDPR全文和解析
本文翻译了GDPR并且添加了解析,深入剖析GDPR的各个方面,可以更好地理解这一法规的重要性,并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
- 信息安全技术 、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术 、数据安全能力成熟度模型Informatio的思维导图,主要内容包括:附 录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法,附 录 B (资料性附录) 能力成熟度等级评估参考方法,DSMM架构,附 录 A(资料性附录) 能力成熟度等级描述与 GP,DSMM-数据安全过程维度,DSMM-安全能力维度。
阿里云容器服务 Kubernetes 版
社区模板帮助中心,点此进入>>
- DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图,主要内容包括:DPIA模版,DPIA概述和范围,如何执行DPIA,可接受的DPIA标准,DPIA解决什么问题,DPIA执行标准。
- GDPR全文和解析
本文翻译了GDPR并且添加了解析,深入剖析GDPR的各个方面,可以更好地理解这一法规的重要性,并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
- 信息安全技术 、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术 、数据安全能力成熟度模型Informatio的思维导图,主要内容包括:附 录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法,附 录 B (资料性附录) 能力成熟度等级评估参考方法,DSMM架构,附 录 A(资料性附录) 能力成熟度等级描述与 GP,DSMM-数据安全过程维度,DSMM-安全能力维度。
- 相似推荐
- 大纲
阿里云容器服务 Kubernetes 版
什么是容器服务
阿里云容器服务 Kubernetes 版 ACK(Container Service for Kubernetes)是全球首批通过Kubernetes一致性认证的容器服务平台,提供高性能的容器应用管理服务,支持企业级Kubernetes容器化应用的生命周期管理,让您轻松高效地在云端运行Kubernetes容器化应用。
产品形态
容器服务 Kubernetes 版 包含 ACK托管集群 和 ACK专有集群 。其中, ACK托管集群 支持 ACK集群基础版 和 ACK集群Pro版
比较项 ACK专有集群 ACK托管集群 主要特点 您需要自行创建集群控制面板(Master节点)及集群节点。 您只需创建集群节点,控制面板由ACK创建并托管。 可以对集群基础设施进行更细粒度的控制,需要自行规划、维护、升级服务器集群。 简单、低成本、高可用,无需管理控制面板。 收费方式 集群管理免费,但需要承担Master节点、Worker节点以及其他基础资源的费用。 ACK集群基础版:集群管理免费,但需要承担节点以及其他基础资源的费用。 ACK集群Pro版:按照集群数量方式收费。 应用场景 适用于所有场景。 适用于所有场景。 用户画像 成本相对不敏感 懂Kubernetes 有运维技术能力 资源规划明确 对集群控制面板(Master节点)有定制需求 可以完全自管集群 期望降低成本 更关注业务应用 Kubernetes刚上手 减少Kubernetes运维投入 不用维护集群控制面板
ACK托管集群
核心功能
集群管理
集群创建:您可根据需求创建多种形态集群,选择类型丰富的工作节点,并进行灵活的自定义配置。
集群升级:一键升级K8s版本,统一管理系统组件升级。
弹性伸缩:通过控制台一键垂直扩缩容来快速应对业务波动,同时支持服务级别的亲和性策略和横向扩展。
调度:支持不同弹性资源的混合调度、异构资源的精细化调度、批量计算的任务调度等,提升应用的性能和集群整体资源的利用率。
多集群管理:支持线下IDC和多云多区域的集群统一接入实现混合云应用管理。
授权管理:支持RAM授权和RBAC权限管理。
节点池
支持节点池生命周期管理,支持在同一集群中配置不同规格的节点池,例如交换机、运行时、OS、安全组等。
应用管理
应用创建:支持多种类型应用,从镜像、模板的创建,支持环境变量、应用健康、数据盘、日志等相关配置。
应用全生命周期:支持应用查看、更新、删除,应用历史版本回滚、应用事件查看、应用滚动升级、应用替换升级以及通过触发器重新部署应用。
应用调度:支持节点间亲和性调度、应用间亲和性调度、应用间反亲和性调度三种策略。
应用伸缩:支持手动伸缩应用容器实例,HPA自动伸缩策略。
应用发布:支持灰度发布和蓝绿发布。
应用目录:支持应用目录,简化云服务集成。
应用中心:应用部署后,以统一的视角展现整体应用的拓扑结构,同时对于持续部署等场景进行统一的版本管理与回滚。
应用备份和恢复:支持对Kubernetes应用进行备份和恢复。更多信息,请参见
Knative
一款基于Kubernetes的Serverless框架。部署Knative组件后,您可以利用Knative开展服务管理和事件驱动。
存储
存储插件:支持CSI存储插件。
存储卷和存储声明
支持创建块存储、NAS、OSS和CPFS 类型的存储卷。
支持持久化存储卷声明(PVC)挂接存储卷。
支持存储卷的动态创建和迁移。
支持以脚本方式查看和更新存储卷和存储声明。
网络
支持Flannel容器网络和Terway容器网络。
支持定义Sevice和Pod的CIDR。
支持NetworkPolicy。
支持路由Ingress。
支持服务发现DNS。
GPU/NPU
支持对各种异构计算资源进行统一调度和运维管理,能够显著提高GPU、NPU等异构计算集群资源的使用效率。
运维与安全
可观测性
监控:支持集群、节点、应用、容器实例层面的监控;支持prometheus插件。
日志:支持集群日志查看;支持应用日志采集;支持容器实例日志查看。
报警:支持容器服务异常事件报警,以及容器场景指标报警。
集群巡检与诊断(AIOps)
使用集群检查
:支持在集群升级、迁移等操作前执行集群检查,确认集群是否符合要求。
使用集群巡检
:扫描集群运行状况,发现集群中存在的潜在风险,例如云资源配额余量、Kubernetes集群关键资源水位等,排查风险项并根据推荐的解决方案修复问题。
使用集群诊断
:提供一键故障诊断能力,包括节点诊断、Pod诊断、Service诊断、Ingress诊断、内存诊断、网络诊断,可以辅助您定位集群中出现的问题。
成本分析
:支持可视化集群资源使用量及成本分布,以提升集群资源利用率。
安全中心
:支持运行时刻的安全策略管理,应用安全配置巡检和运行时刻的安全监控和告警,提升容器安全整体纵深防御能力。
安全沙箱
:可以让应用运行在一个轻量虚拟机沙箱环境中,拥有独立的内核,具备更好的安全隔离能力。适用于不可信应用隔离、故障隔离、性能隔离、多用户间负载隔离等场景。
机密计算
:基于Intel SGX提供的可信应用或用于交付和管理机密计算应用的云原生一站式机密计算平台,帮助您保护数据使用中的安全性、完整性和机密性。机密计算可以让您把重要的数据和代码放在一个特殊的可信执行加密环境。
产品架构
容器服务 Kubernetes 版产品线的整体架构如下图所示。
关联产品相关说明如下
大类 关联产品说明 计算 云服务器ECS:提供节点池工作节点 弹性容器实例ECI:提供ACK Serverless集群的容器实例 弹性伸缩ESS:支持节点池的配置和弹性伸缩 网络 专有网络VPC:提供集群私网网络 负载均衡SLB:提供集群APIServer访问入口,以及应用服务的访问入口 NAT网关:提供集群所有节点池的公网访问出口 弹性公网IP(EIP):提供节点池内单个工作节点的公网通信能力 云解析PrivateZone:在ACK Serverless集群提供内网域名解析服务 存储 块存储EBS:为工作节点挂载数据盘,为工作负载挂载块存储数据盘 文件存储NAS:为工作负载挂载文件存储 对象存储OSS:为工作负载挂载共享存储 安全 RAM访问控制:结合RBAC,为RAM用户(子账号)设置集群访问权限 云安全中心(态势感知)SAS:提供容器运行时安全检测能力 密钥管理服务KMS:提供Secret落盘加密的能力 可观测性 Prometheus监控服务:为集群提供Prometheus监控服务以及集群拓扑能力 日志服务SLS:为集群提供日志记录服务 云原生资产 容器镜像服务ACR:为工作负载部署提供镜像仓库 其他 资源编排ROS:集群资源模板化
相关链接
信息项 说明 产品优势 容器服务 Kubernetes 版在集群管理、资源扩缩、一站式容器管理、安全合规等方面提供丰富且强大的能力。更多信息,请参见产品优势。 产品计费 ACK集群涉及集群管理、节点管理和相关云产品资源费用。更多信息,请参见计费概述。 快速入门 快速体验容器服务 Kubernetes 版,例如搭建魔方游戏、部署无状态应用等。更多信息,请参见快速入门。 操作指南 使用容器服务 Kubernetes 版的操作指南,包括集群、节点与节点池、网络、应用、Knative、存储、可观测、成本套件、弹性伸缩等功能。更多信息,请参见操作指南。 最佳实践 使用ACK集群中不同场景下的最佳实践,包括集群、节点与节点池、网络、应用、Knative、存储、可观测、成本套件、弹性伸缩等方面。更多信息,请参见最佳实践。 开发参考 除控制台和kubectl外,您可以通过API、SDK、CLI和Terraform使用容器服务 Kubernetes 版。更多信息,请参见开发参考。 联系我们 如果您在使用ACK过程中有任何疑问,欢迎您联系我们。 学习资料 ACK Workshop CNCF × Alibaba 云原生技术公开课 阿里云云原生容器工程师ACP认证课程 Kubernetes官网
产品优势
ACK的优势
优势 说明 强大的集群管理 三种集群形态:专有版Kubernetes集群、托管版Kubernetes集群、Serverless Kubernetes集群。 托管版Kubernetes集群的管控节点默认为3个可用区的高可用部署。 单集群支持千量级ECS节点。详细配额,请参见配额限制。 支持跨可用区集群以及注册外部集群。关于注册集群的介绍,请参见注册集群概述。 极致弹性的资源扩缩 根据容器资源使用情况,快速自动地调整容器数量。 数分钟内扩展到上千个节点。 如果您使用了Serverless Kubernetes 版 (ASK) 和弹性容器实例ECI,可在30秒内启动500个容器组。 支持一键垂直扩缩容。 支持应用横向扩展以及设置与资源的亲和性策略。 提供社区标准的HPA、VPA、Autoscaler等能力。 提供类似CronHPA的定时伸缩能力,vk-autoscaler的无服务器弹性能力等。 针对在线业务提供elastic workload的精细化调度弹性能力。 针对不同的弹性场景提供了alibaba-metrics-adapter,实现诸如Ingress网关、Sentinel微服务限流等应用层弹性场景优化。 一站式容器管理 应用管理: 支持灰度发布,蓝绿发布、应用监控,应用弹性伸缩。 内置应用商店,支持一键部署Helm应用。 镜像仓库(什么是容器镜像服务ACR): 高可用,支持大并发。 支持镜像加速。 支持大规模P2P分发,可自动执行并优化基本镜像分发流程,最大分发到1万个节点,效率提升4倍。 说明 您如果使用自建的镜像仓库,在百万级的客户端同时拉取镜像的时候,会存在镜像仓库崩溃的可能性。使用容器服务ACR可以提高镜像仓库的可靠性,减少运维负担和升级压力。 日志: 支持日志采集及将采集的日志集成到日志服务。 支持集成第三方开源日志解决方案。 监控: 支持容器级别和VM级别的监控。 支持集成第三方开源监控解决方案。 丰富的工作节点 按资源类型划分: x86计算资源:x86计算类型ECS。 异构计算资源:GPU ECS、NPU ECS、FPGA ECS。 裸金属计算资源:神龙服务器。 Serverless计算资源:ACK virtual node。 边缘节点:ACK@Edge支持统一管理云端和边缘节点,以及统一的应用发布,发布效率提升3倍。 按付费模式划分: 抢占式实例 包年包月 按量付费 最优的IaaS层能力 网络: 提供高性能VPC/ENI网络插件,性能比普通网络方案提升20%。 支持容器访问策略和流控限制。 存储: 支持阿里云云盘、文件存储NAS、对象存储OSS,提供标准的CSI驱动。 支持存储卷的动态创建和迁移。 负载均衡: 支持创建负载均衡实例(公网、内网)。 说明 如果您在使用自建Kubernetes集群的过程中,使用自建的Ingress,频繁的业务发布可能会造成Ingress的配置压力并增加出错概率。容器服务ACK的SLB方案支持原生的阿里云高可用负载均衡,可以自动完成网络配置的修改和更新。该方案经历了大量用户长时间的使用,稳定性和可靠性都大大超过自建Ingress方案。 企业级的安全稳定 在开发生命周期之初便集成了多层安全防护功能,从底层基础设施到中间软件供应链,再到顶层运行时环境,为云原生架构提供全面保护。 端到端的安全能力: 基础架构安全:支持全方位网络安全隔离管控和全链路数据加密,提供阿里云主子账号和Kubernetes RBAC权限体系的联动,并支持细粒度的权限管理和完备的审计能力。 软件供应链安全:支持镜像扫描、安全云原生交付链、镜像签名、镜像扫描、镜像同步构成的完整DevSecOps。 运行时安全:提供应用维度的安全策略管理,配置巡检,运行时刻监控和告警,密钥加密和管理等运行时刻的纵深防御能力。 默认安全: 提供容器优化的操作系统镜像,提供经过稳定测试和安全加固的Kubernetes集群和Docker版本。 基于CIS Benchmark和容器安全最佳实践,对集群配置和系统组件/镜像的安全合规进行加固。 节点默认云资源权限的最小化收敛。 安全沙箱:可以让应用运行在一个轻量虚拟机沙箱环境中,拥有独立的内核,具备更好的安全隔离能力。适用于不可信应用隔离、故障隔离、性能隔离、多用户间负载隔离等场景。 机密计算:基于Intel SGX提供的可信应用或用于交付和管理机密计算应用的云原生一站式机密计算平台,帮助您保护数据使用中的安全性、完整性和机密性。机密计算可以让您把重要的数据和代码放在一个特殊的可信执行加密环境。 全天候技术支持 通过工单系统,为您提供7*24小时的专业技术支持。
自建Kubernetes的劣势
搭建集群繁琐。您需要手动配置Kubernetes相关的各种组件、配置文件、证书、密钥、相关插件和工具,整个集群搭建工作需要花费专业人员数天到数周的时间。
在公共云上,需要投入大量的成本实现和云产品的集成。与阿里云上其他产品的集成,需要您自己投入成本来实现,如日志服务、监控服务和存储管理等。
容器是一个系统性工程,涉及网络、存储、操作系统、编排等各种技术,需要专门的人员投入。
容器技术一直在不断发展,版本迭代快,需要不断地试错、升级、测试。
应用场景
DevOps 持续交付
配合 Jenkins 帮您自动完成从代码提交到应用部署的 DevOps 完整流程,确保只有通过自动测试的代码才能交付和部署,高效替代业内部署复杂、迭代缓慢的传统方式。
能够实现:
DevOps 自动化
实现从代码变更到代码构建、镜像构建和应用部署的全流程自动化。
环境一致性
容器技术让您交付的不仅是代码,还有基于不可变架构的运行环境。
持续反馈
每次集成或交付,都会将结果实时反馈。
推荐搭配使用:
云服务器 ECS + 容器服务
基于云原生技术的机器学习
帮助数据工程师在异构计算资源集群上轻松开发、部署机器学习应用,跟踪试验和训练、发布模型,自动集成多种数据部署在分布式存储系统,加速训练数据读写,无需关心繁琐部署运维,专注核心业务,快速从 0 到 1。
能够实现:
支持生态
内置对 TensorFlow、Caffe、 MXNet、Pytorch 等主流深度学习计算框架支持和优化。
快速弹性
一键部署机器学习开发、训练、推理服务,秒级启动和弹性伸缩。
简单可控
轻松创建、管理大规模 GPU 计算集群,并且可以监控 GPU 利用率等核心指标。
深度整合
无缝接入阿里云存储、日志监控和安全基础架构能力。
推荐搭配使用:
云服务器 ECS/GPU 服务器 EGS/高性能计算服务 (Alibaba Cloud HPC)+ 容器服务 + 对象存储 OSS/文件存储 NAS/CPFS
微服务架构
企业生产环境中,通过合理微服务拆分,将每个微服务应用存储在阿里云镜像仓库帮您管理。您只需迭代每个微服务应用,由阿里云提供调度、编排、部署和灰度发布能力。企业生产环境中,通过合理的微服务拆分,可以享受微服务带来的高内聚、低耦合、高容错性的优势。在微服务上生产的过程,依托于阿里云产品提供的微服务治理能力。
可以在不修改任何代码和配置的情况下,实现:
全面消除变更过程中的风险
依托于配置管理、无损上下线和全链路灰度能力,全面消除变更过程中的风险。
全面消除偶发问题引发的风险
依托于限流、降级、熔断、隔离等能力,可以在出现偶发的流量洪峰和依赖服务出异常时,有效地限流保护、削峰填谷、隔离故障、降级保护。
低成本实现微服务敏捷开发
依托于开发环境隔离能力,可以在不增加物理机器成本的前提下,低成本扩展出多套逻辑隔离的开发环境,有效地解决环境抢占和冲突问题,实现敏捷开发。
推荐搭配使用:
微服务引擎 MSE + 云服务器 ECS + 云数据库 RDS 版 + 对象存储 OSS + 容器服务
混合云架构
在容器服务控制台上同时管理云上云下的资源,不需在多种云管理控制台中反复切换。基于容器基础设施无关的特性,使用同一套镜像和编排同时在云上云下部署应用。
能够实现:
在云上伸缩应用
业务高峰期,在云端快速扩容,把一些业务流量引到云端。
云上容灾
业务系统同时部署到云上和云下,云下提供服务,云上容灾。
云下开发测试
云下开发测试后的应用无缝发布到云上。
推荐搭配使用:
云服务器 ECS + 专有网络 VPC + 高速通道(Express Connect)
弹性伸缩架构
容器服务可以根据业务流量自动对业务扩容/缩容,不需要人工干预,避免流量激增扩容不及时导致系统崩溃,以及平时大量闲置资源造成浪费。
能够实现:
快速响应
业务流量达到扩容指标,秒级触发容器扩容操作。
全自动
整个扩容/缩容过程完全自动化,无需人工干预。
低成本
流量降低自动缩容,避免资源浪费。
推荐搭配使用:
云服务器 ECS + 云监控
基本概念
集群
集群指容器运行所需要的云资源组合,关联了若干服务器节点、负载均衡、专有网络等云资源。
ACK支持的集群类型如下表。
集群类型 描述 Pro托管集群 ACK Pro托管集群是在ACK基础托管版基础上针对企业大规模生产环境进一步增强了可靠性、安全性,并且提供可赔付的SLA的Kubernetes集群。 基础托管集群 只需创建节点,控制面板由容器服务创建并托管。具备简单、低成本、无需运维管理Kubernetes集群控制面板的特点。 专有集群 需要创建3个Master(高可用)节点及若干Worker节点,可对集群基础设施进行更细粒度的控制,需要自行规划、维护、升级服务器集群。 异构计算集群 ACK异构计算集群,是阿里云推出的支持英伟达GPU,含光NPU等异构节点,并且可以与传统CPU节点混合部署的集群,无需关心驱动的安装和管理,支持主流的AI计算框架,并且支持GPU和NPU的多容器共享和隔离。 安全沙箱集群 创建一个以弹性裸金属(神龙)实例为工作节点的集群,神龙服务器为您提供超高性能容器实例,适合高负载、高带宽需求的业务场景。 加密计算集群 创建一个基于Intel SGX加密计算的托管集群,可以保护您的敏感代码和数据,适合隐私数据保护、区块链、密钥、知识产权、生信基因计算等场景。 边缘集群 边缘托管版是针对边缘计算场景推出的云边一体化协同托管方案。边缘托管集群采用非侵入方式增强,提供边缘自治、边缘单元、边缘流量管理、原生运维API支持等能力,以原生方式支持边缘计算场景下的应用统一生命周期管理和统一资源调度。 ACK Serverless集群 无需创建和管理Master节点及Worker节点,即可通过控制台或者命令配置容器实例的资源、指明应用容器镜像以及对外服务的方式,直接启动应用程序。 注册集群 注册集群是用于将本地数据中心Kubernetes集群或其他云厂商Kubernetes集群接入ACK服务平台统一管理的集群形态。
节点
一台服务器(可以是虚拟机实例或者物理服务器)已经安装了Docker Engine,可以用于部署和管理容器。容器服务ACK的Agent程序会被安装到节点上并注册到一个集群上。集群中的节点数量可以伸缩。
节点池
节点池是集群中全都具有相同配置的一组节点,节点池可以包含一个或多个节点。
ACK节点池类型分为节点池和托管节点池。
节点池类型 描述 节点池 节点池是集群中具有相同配置的一组节点,节点池可以包含一个或多个节点。节点池与弹性伸缩组实例一比一对应。当对节点池进行扩容和缩容时,ACK通过弹性伸缩服务下发扩容和移除节点的操作。您可以根据自己的需要创建和管理多个节点池。 说明 由于默认节点池中安装了部分系统组件,弹性伸缩时可能会造成集群功能的不稳定。如果您需要实现弹性伸缩功能,建议您另建节点池。 托管节点池 托管节点池是ACK全新推出的自动化运维型节点池,可以自动完成部分节点运维操作,如CVE更新、部分故障修复等,从而降低您的节点运维负担。 更多信息,请参见托管节点池概述。
专有网络VPC
专有网络VPC是您自己独有的云上私有网络。您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,您可以在自己定义的专有网络中使用阿里云资源如云服务器、云数据库RDS版和负载均衡等。
安全组
安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。安全组是一个逻辑上的分组,由同一地域内具有相同安全保护需求并相互信任的实例组成。
应用目录
应用目录功能集成了Helm,提供了Helm的相关功能,并进行了相关功能扩展,例如提供图形化界面。
编排模板
编排模板是一种保存Kubernetes YAML格式编排文件的方式。
Knative
Knative是基于Kubernetes的Serverless框架。其目标是制定云原生、跨平台的Serverless编排标准。
Kubernetes
Kubernetes是一个开源平台,具有可移植性和可扩展性,用于管理容器化的工作负载和服务,简化了声明式配置和自动化。
容器(Container)
打包应用及其运行依赖环境的技术,一个节点可运行多个容器。
镜像(Image)
容器镜像是容器应用打包的标准格式,封装了应用程序及其所有软件依赖的二进制数据。在部署容器化应用时可以指定镜像,镜像可以来自于Docker Hub,阿里云镜像服务,或者用户的私有镜像仓库。
镜像仓库(Image Registry)
容器镜像仓库是一种存储库,用于存储Kubernetes和基于容器应用开发的容器镜像。
管理节点(Master Node)
管理节点是Kubernetes集群的管理者,运行着的服务包括kube-apiserver、kube-scheduler、kube-controller-manager、etcd组件,和容器网络相关的组件。
工作节点(Worker Node)
工作节点是Kubernetes集群中承担工作负载的节点,可以是虚拟机也可以是物理机。工作节点承担实际的Pod调度以及与管理节点的通信等。一个工作节点上的服务包括Docker运行时环境、kubelet、Kube-Proxy以及其它一些可选的组件。
命名空间(Namespace)
命名空间为Kubernetes集群提供虚拟的隔离作用。Kubernetes集群初始有3个命名空间,分别是默认命名空间default、系统命名空间kube-system和kube-public,除此以外,管理员可以创建新的命名空间以满足需求。
容器组(Pod)
Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod封装多个应用容器(也可以只有一个容器)、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。
副本控制器(Replication Controller,RC)
RC确保任何时候Kubernetes集群中有指定数量的Pod副本在运行。通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。指定的数目可以是多个也可以是1个;少于指定数目,RC就会启动运行新的Pod副本;多于指定数目,RC就会终止多余的Pod副本。
副本集(ReplicaSet,RS)
ReplicaSet(RS)是RC的升级版本,唯一区别是对选择器的支持,RS能支持更多种类的匹配模式。副本集对象一般不单独使用,而是作为Deployment的理想状态参数使用。
工作负载(Workload)
工作负载是在Kubernetes上运行的应用程序。工作负载包括以下几种类型:
工作负载类型 描述 无状态工作负载(Deployment) 无状态工作负载表示对Kubernetes集群的一次更新操作。适用于运行完全独立、功能相同应用的场景。 有状态工作负载(StatefulSet) 有状态工作负载支持应用部署、扩容、滚动升级时有序进行。如果希望使用存储卷为工作负载提供持久存储,可以使用StatefulSet作为解决方案的一部分。 守护进程集(DaemonSet) 守护进程集确保全部(或者某些)节点上运行一个Pod。与Deployment不同,DaemonSet会在指定的节点上都部署定义的Pod,确保这些节点都运行守护进程Pod。适用集群的日志、监控等部署场景。 任务(Job) Job指运行一次性的任务。您可以使用Job以并行的方式运行多个 Pod。 定时任务(CronJob) CronJob指根据规划时间周期性地运行反复的任务。适用于执行数据备份或者发送邮件的场景。 自定义资源(CustomResourceDefinitions,CRD) 在庞大的Kubernetes生态系统中,您可以通过CRD添加第三方工作负载资源。CRD资源允许您定义定制资源。
标签(Label)
Labels的实质是附着在资源对象上的一系列Key/Value键值对,用于指定对用户有意义的对象的属性,标签对内核系统是没有直接意义的。标签可以在创建一个对象的时候直接赋予,也可以在后期随时修改,每一个对象可以拥有多个标签,但key值必须唯一。
服务(Service)
Service是Kubernetes的基本操作单元,是真实应用服务的抽象,每一个服务后面都有很多对应的容器来提供支持,通过Kube-Proxy的ports 和服务 selector 决定服务请求传递给后端的容器,对外表现为一个单一访问接口。
路由(Ingress)
Ingress是授权入站连接到达集群服务的规则集合。您可以通过Ingress配置提供外部可访问的URL、负载均衡、SSL、基于名称的虚拟主机等。通过POST Ingress资源到API Server的方式来请求Ingress。Ingress Controller负责实现Ingress,通常使用负载均衡器,它还可以配置边界路由和其他前端,这有助于以高可用的方式处理流量。
配置项(ConfigMap)
配置项可用于存储细粒度信息如单个属性,或粗粒度信息如整个配置文件或JSON对象。您可以使用配置项保存不需要加密的配置信息和配置文件。
保密字典(Secret)
保密字典用于存储在Kubernetes集群中使用一些敏感的配置,例如密码、证书等信息。
卷(Volume)
和Docker的存储卷有些类似,Docker的存储卷作用范围为一个容器,而Kubernetes的存储卷的生命周期和作用范围是一个Pod。每个Pod中声明的存储卷由Pod中的所有容器共享。
存储卷(Persistent Volume,PV)
PV是集群内的存储资源,类似节点是集群资源一样。PV独立于Pod的生命周期,可根据不同的StorageClass类型创建不同类型的PV。
存储卷声明(Persistent Volume Claim,PVC)
PVC是资源的使用者。类似Pod消耗节点资源一样,而PVC消耗PV资源。
存储类(StorageClass)
存储类可以实现动态供应存储卷。通过动态存储卷,Kubernetes将能够按照用户的需要,自动创建其所需的存储。
弹性伸缩(Autoscaling)
弹性伸缩是根据业务需求和策略,经济地自动调整弹性计算资源的管理服务。典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。ACK支持的弹性伸缩服务如下表。
弹性伸缩维度 弹性伸缩分类 描述 调度层弹性 容器水平伸缩(HPA) ACK容器水平伸缩基于CPU使用率自动扩缩Pod数量。适用于Deployment、StatefulSet等实现了scale接口的对象。 容器定时伸缩(CronHPA) 应对资源浪费的场景,ACK提供kubernetes-cronhpa-controller组件,实现资源定时扩容。适用于Deployment、StatefulSet等实现了scale接口的对象。此外CronHPA提供了HPA对象的兼容能力,您可以同时使用CronHPA与HPA。 容器垂直伸缩(VPA) 容器垂直伸缩会基于Pod的资源使用情况自动为集群设置资源占用的限制,从而让集群将Pod调度到有足够资源的最佳节点上。容器垂直伸缩也会保持最初容器定义中资源request和limit的占比。适用于无法水平扩展的应用,通常是在Pod出现异常恢复时生效。 资源层弹性 节点自动伸缩 ACK的自动伸缩能力是通过节点自动伸缩组件实现的,可以按需弹出普通实例、GPU实例、竞价付费实例,支持多可用区、多实例规格、多种伸缩模式,满足不同的节点伸缩场景。全场景支持,适合在线业务、深度学习、大规模成本算力交付等。
可观测性(Observability)
Kubernetes可观测性体系包含监控和日志两部分,监控可以帮助开发者查看系统的运行状态,而日志可以协助问题的排查和诊断。
Helm
Helm是Kubernetes包管理平台。Helm将一个应用的相关资源组织成为Charts,然后通过Charts管理程序包。
节点亲和性(nodeAffinity)
节点亲和性指通过Worker节点的Label标签控制Pod部署在特定的节点上。
污点(Taints)
污点和节点亲和性相反,它使节点能够排斥一类特定的Pod。
容忍(Tolerations)
应用于Pod上,允许(但并不要求)Pod调度到带有与之匹配的污点的节点上。
应用亲和性(podAffinity)
应用亲和性决定应用Pod可以和特定Pod部署在同一拓扑域。例如,对于相互通信的服务,可通过应用亲和性调度,将其部署到同一拓扑域(例如同一个主机)中,以减少它们之间的网络延迟。
应用反亲和性(podAntiAffinity)
应用反亲和性决定应用Pod不与特性Pod部署在同一拓扑域。例如,将一个服务的Pod分散部署到不同的拓扑域(例如不同主机)中,以提高服务本身的稳定性。
服务网格
Istio是一个提供连接、保护、控制以及观测服务的开放平台。阿里云服务网格 提供一个全托管式的 服务网格 平台,兼容社区Istio开源 服务网格 ,用于简化服务的治理,包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。
计费概述
集群管理费用
容器服务 Kubernetes 版 整合了阿里云虚拟化、存储、网络和安全等方面能力,以提供高性能、可伸缩的容器应用管理能力,并简化集群的搭建和扩容等操作,让您专注于容器化应用的开发与管理,所以ACK针对不同集群类型会收取不同的集群管理费用。
节点管理费用
因为阿里云容器服务 Edge 版支持丰富的异构边缘节点资源,包括自建IDC资源、ENS、IoT设备、X86、ARM架构等;并支持异构资源的混合调度,所以会收取节点的管理费用。
云产品资源费用
如果您在使用ACK集群过程中使用了其他的阿里云云产品资源,您需要按照各云产品规定的计费规则,为您使用的这些资源付费,费用由各云产品收取。如果您未使用其他阿里云云产品,则不收取云产品资源费用。