容器在國內(nèi)的火熱程度毫不亞于國外，這從基于容器的創(chuàng)業(yè)公司的數(shù)量上就能看出來。而大部分容器相關(guān)的創(chuàng)業(yè)公司都瞄準(zhǔn)了同一個(gè)方向：CaaS（容器即服務(wù)）。時(shí)速云就是這樣的一家公司，他們基于Docker、Kubernetes、Mesos等開源技術(shù)實(shí)現(xiàn)了大規(guī)模容器集群的調(diào)度、部署和管理。目前他們的容器云平臺(tái)上已經(jīng)運(yùn)行了上萬個(gè)容器，并且非常穩(wěn)定。為了了解時(shí)速云的創(chuàng)業(yè)背景以及他們的容器云平臺(tái)的架構(gòu)等細(xì)節(jié)，InfoQ記者采訪了時(shí)速云CEO黃啟功。另外，時(shí)速云CTO王磊也將在8月28日舉行的CNUTCon全球容器技術(shù)大會(huì)上分享題為《時(shí)速云基于Kubernetes打造容器云平臺(tái)的實(shí)踐》的演講，敬請(qǐng)關(guān)注。

InfoQ：時(shí)速云的定位和愿景是什么？為什么當(dāng)時(shí)會(huì)選擇創(chuàng)業(yè)以及選擇Docker創(chuàng)業(yè)？

黃啟功：時(shí)速云TenxCloud是一家云計(jì)算領(lǐng)域的初創(chuàng)公司，我們的定位是輕量級(jí)的容器云平臺(tái)（Container as a Service）。CaaS很好的結(jié)合了IaaS和PaaS兩者的優(yōu)勢(shì)，我們以Docker為代表的容器技術(shù)作為切入點(diǎn)，整個(gè)云平臺(tái)都是以容器化應(yīng)用作為交付的標(biāo)準(zhǔn)。TenxCloud目前立足于公有云，為開發(fā)者和企業(yè)提供了一個(gè)快速構(gòu)建、集成、部署、運(yùn)行容器化應(yīng)用的平臺(tái)，幫助開發(fā)者和企業(yè)提高應(yīng)用開發(fā)的迭代效率，簡(jiǎn)化運(yùn)維環(huán)節(jié)，降低運(yùn)維成本。 我們希望可以為容器技術(shù)在中國的發(fā)展貢獻(xiàn)我們的力量，惠及更多的開發(fā)者和企業(yè)，與各界合作伙伴一起打造一個(gè)健康的、快速增長的容器云生態(tài)。

談到創(chuàng)業(yè)的初衷，就要說起我在IBM期間的工作了。在IBM的幾年，剛好經(jīng)歷IBM從傳統(tǒng)的IT服務(wù)商擁抱云計(jì)算的戰(zhàn)略轉(zhuǎn)型，我有幸從事過各種類型的云計(jì)算產(chǎn)品。 IaaS解決了資源的問題，但應(yīng)用的構(gòu)建、部署、運(yùn)維等并沒有得到很好的解決。Docker的出現(xiàn)讓我們看到了希望，Docker的部署速度比虛擬機(jī)高出一個(gè)量級(jí)，占用資源極少，共享HostOS，秒級(jí)部署，Namespace隔離以及集裝箱的理念很好的解決了環(huán)境構(gòu)建的問題，加上我本身在做IBM Bluemix PaaS平臺(tái)，我們當(dāng)時(shí)研究過國內(nèi)外主流的PaaS平臺(tái)，以及分析他們?yōu)槭裁礇]有起來的原因，感覺到以Docker為代表的容器技術(shù)未來在云計(jì)算領(lǐng)域會(huì)有很大的機(jī)會(huì)，CaaS很有可能會(huì)改變用戶使用IaaS和PaaS的方式， 于是決定基于Docker創(chuàng)業(yè)做些事情。
InfoQ：時(shí)速云使用了哪些技術(shù)棧？目前的架構(gòu)是怎么樣的？

黃啟功：目前時(shí)速云使用的技術(shù)棧比較多樣化。基于Docker給我們帶來的輕量級(jí)、自滿足的打包特性，很好的消除了不同技術(shù)棧之間的差異，并以微服務(wù)形式進(jìn)行封裝，互相提供服務(wù)接口，可以簡(jiǎn)化一些開發(fā)技術(shù)上的問題。主要涉及Node.js和Golang，以及一些Python、 Ruby、Shell腳本的使用，根據(jù)不同的使用場(chǎng)景使用不同的技術(shù)，滿足快速開發(fā)、方便維護(hù)、容易擴(kuò)展的需求。在設(shè)計(jì)和實(shí)現(xiàn)上，嚴(yán)格遵循了微服務(wù)的理念，比如每個(gè)模塊盡量實(shí)現(xiàn)單一服務(wù)功能，服務(wù)之間的通信接口盡量簡(jiǎn)單輕量，每個(gè)服務(wù)可以比較輕松的實(shí)現(xiàn)橫向伸縮等。
目前的架構(gòu)可以分為4個(gè)大的區(qū)域：

容器集群管理主要由Kubernetes作為基礎(chǔ)服務(wù)，并進(jìn)行了很多優(yōu)化，包括替換相關(guān)表現(xiàn)不佳的組件、對(duì)系統(tǒng)進(jìn)行性能調(diào)優(yōu)、系統(tǒng)的自動(dòng)伸縮等；
鏡像服務(wù)采用類似Docker Hub的架構(gòu)，分布式的鏡像存儲(chǔ)后端，提供豐富和穩(wěn)定的鏡像服務(wù)；
對(duì) CI/CD 的支持，實(shí)現(xiàn)從代碼到部署上線的一站式服務(wù)；
對(duì)私有主機(jī)的集群管理。通過集群化管理用戶的實(shí)體主機(jī)、虛擬機(jī)或者云主機(jī)上的資源，合理規(guī)劃和充分利用現(xiàn)有的計(jì)算和存儲(chǔ)資源，同時(shí)把我們平臺(tái)的技術(shù)和優(yōu)勢(shì)傳遞給用戶，為用戶提供集群的部署、管理和監(jiān)控的一整套解決方案。架構(gòu)上既要考慮上面這些功能獨(dú)立運(yùn)作的能力，也要清晰定義彼此之間的交互接口，形成一個(gè)有機(jī)的整體。
InfoQ：你認(rèn)為時(shí)速云產(chǎn)品中，最吸引人的特性有哪些？

黃啟功： 1. 國內(nèi)首個(gè)跨IaaS的容器云平臺(tái)。時(shí)速云北京2區(qū)開放，率先支持跨集群、跨底層IaaS提供鏡像和容器服務(wù)的能力。同時(shí)，2區(qū)使用了更先進(jìn)的底層技術(shù)，包括更大規(guī)模的集群支撐、分布式的數(shù)據(jù)存儲(chǔ)等等，將提速整個(gè)平臺(tái)的運(yùn)行效率和穩(wěn)定性。

2.TenxCloud推出了國內(nèi)首個(gè)Docker容器主機(jī)集群管理混合云服務(wù)。這是我們基于容器技術(shù)在混合云方面的探索和嘗試，可以幫助企業(yè)輕松的搭建基于容器技術(shù)的私有主機(jī)集群，并提供和公有云平臺(tái)一致的容器管理服務(wù)。

3.更易于微服務(wù)和服務(wù)編排的實(shí)現(xiàn)。由于底層技術(shù)的差別，時(shí)速云在微服務(wù)架構(gòu)和服務(wù)編排的實(shí)現(xiàn)上更有優(yōu)勢(shì)。用戶之間的服務(wù)會(huì)有安全的隔離，平臺(tái)內(nèi)部通過自組網(wǎng)絡(luò)進(jìn)行安全通信，用戶服務(wù)之間通過環(huán)境變量獲取互相的信息，用戶只需在一個(gè)服務(wù)中引用其他服務(wù)即可。

4.本地代碼直接構(gòu)建鏡像支持。如果用戶的代碼沒有托管到GitHub或者BitBucket等代碼托管平臺(tái)上，只有本地的代碼或者可部署的應(yīng)用，時(shí)速云同樣支持從代碼到鏡像的構(gòu)建。并且具有以下優(yōu)勢(shì)：支持 Windows、Linux和 Mac 三種平臺(tái)；無需關(guān)聯(lián)代碼托管服務(wù)；如同使用本地Docker一樣的體驗(yàn)；不需要打包源代碼文件，保證用戶的源代碼安全。

5.完整的開放API，可以供開發(fā)者和SaaS廠商自由調(diào)度和連接。
InfoQ：在Docker的使用過程中，你們做了哪些重點(diǎn)優(yōu)化？

黃啟功：在TenxCloud時(shí)速云的平臺(tái)構(gòu)建中，我們對(duì)Docker本身并沒有修改，而是對(duì)與之相關(guān)的技術(shù)進(jìn)行了深入的研究和嘗 試，比如以下幾個(gè)方面：

資源限制，嘗試了Docker的各種存儲(chǔ)driver，為了做到存儲(chǔ)空間限制和避免一些潛在問題；然后對(duì)內(nèi)存、CPU、硬盤、可用進(jìn)程數(shù)、磁盤讀寫等進(jìn)行控制，避免多租戶情況下產(chǎn)生資源沖突和相互干擾。
剔除Docker本身的網(wǎng)絡(luò)，搭建自己的自組網(wǎng)絡(luò)，做到Docker容器的跨機(jī)器通信。
實(shí)現(xiàn)自己的存儲(chǔ)管理，做到跨機(jī)器掛載到相應(yīng)Docker容器，隨容器自由移動(dòng)，保證數(shù)據(jù)和容器的一致性；對(duì)用戶數(shù)據(jù)進(jìn)行分布式存儲(chǔ)，做到容器數(shù)據(jù)的高可用。
鏡像存儲(chǔ)同樣采用分布式，保證用戶鏡像的安全高可用，并動(dòng)態(tài)調(diào)整后端存儲(chǔ)的容量。
上面幾個(gè)問題只是冰山一角，在容器云平臺(tái)的構(gòu)建中會(huì)遇到各種各樣的挑戰(zhàn)，在以后我們的線下活動(dòng)中再慢慢和大家分享。

InfoQ：如何解決容器的安全問題？

黃啟功：容器部署運(yùn)行上有輕量快速的特點(diǎn)，而它的內(nèi)核共享的特性可能會(huì)給宿主機(jī)及網(wǎng)絡(luò)環(huán)境帶來安全問題。對(duì)于開發(fā)及運(yùn)維人員，我們需要以容器特性為出發(fā)點(diǎn)，可以從以下幾方面改善容器的安全問題：

權(quán)限及資源限制
限制用戶運(yùn)行特權(quán)及訪問資源。對(duì)于多租戶應(yīng)用，不同的容器共享同一主機(jī)的資源和環(huán)境，普通用戶權(quán)限的惡意提升將會(huì)使宿主主機(jī)完全處于被非法操控的險(xiǎn)境，而對(duì)于用戶的合法操作，大量的資源申請(qǐng)也會(huì)將主機(jī)推向崩潰的編譯。因此，有必要對(duì)用戶權(quán)限進(jìn)行限定，避免根權(quán)限的賦予，進(jìn)而減少主機(jī)暴露的攻擊面和潛力。同時(shí)，在CPU、內(nèi)存及進(jìn)程數(shù)等資源方面，限定用戶在單一容器中的可用配額，來防止惡意的無限資源申請(qǐng)給整體系統(tǒng)帶來的破壞。
鏡像及制作管理
對(duì)容器的鏡像來源進(jìn)行審核。容器鏡像制作的簡(jiǎn)化讓用戶可以輕而易舉的創(chuàng)建自定義的應(yīng)用鏡像，但制作的應(yīng)用程序千差萬別，功能完整性和測(cè)試完整性參差不齊。這讓用戶鏡像的產(chǎn)生面臨存在眾多漏洞的風(fēng)險(xiǎn)，因此需要對(duì)鏡像的制作過程盡量規(guī)范化，對(duì)放置的應(yīng)用程序盡量做到測(cè)試完備并符合安全標(biāo)準(zhǔn)，從源頭上減少漏洞鏡像的生成。而在創(chuàng)建容器過程中，避免使用不受信任的鏡像及應(yīng)用程序，采用標(biāo)準(zhǔn)及合格廠商如時(shí)速云的鏡像服務(wù)mirror，從而保證容器運(yùn)行時(shí)的正規(guī)及安全。
日志安全審計(jì)及升級(jí)補(bǔ)丁
對(duì)容器及系統(tǒng)中宿主機(jī)進(jìn)行定期安全檢查及漏洞補(bǔ)丁升級(jí)。定期針對(duì)容器及所在宿主機(jī)的網(wǎng)絡(luò)環(huán)境進(jìn)行滲透安全測(cè)試，及時(shí)發(fā)現(xiàn)可疑容器或危險(xiǎn)服務(wù)端口。對(duì)主機(jī)內(nèi)核及原始鏡像進(jìn)行定時(shí)更新，及時(shí)修補(bǔ)公開漏洞。在應(yīng)用層次，收集及檢測(cè)容器的安全日志，統(tǒng)計(jì)監(jiān)督應(yīng)用的運(yùn)行過程，及時(shí)發(fā)現(xiàn)服務(wù)異常。
InfoQ：Kubernetes已經(jīng)發(fā)布了1.0版本，你們有了很多的Kubernetes和Mesos的使用經(jīng)驗(yàn)。它們目前是否已經(jīng)成熟可用？相比于Mesos，Kubernetes有什么優(yōu)勢(shì)和缺點(diǎn)嗎？使用場(chǎng)景有什么不同？

黃啟功： Kubernetes的快速發(fā)展得益于開源社區(qū)眾多貢獻(xiàn)者的努力，Kubernetes 1.0的發(fā)布，意味著這個(gè)容器集群管理系統(tǒng)可以正式應(yīng)用到生產(chǎn)環(huán)境。

Kubernetes與Mesos同是集群管理系統(tǒng)，有著不同的應(yīng)用場(chǎng)景和各自的優(yōu)勢(shì)。Kubernetes作為專門的容器集群管理框架，其輕量級(jí)，易遷移，快捷部署的優(yōu)點(diǎn)顯而易見。Kubernetes的靈感來源于Google的內(nèi)部Borg系統(tǒng)，吸收了包括Omega在內(nèi)的容器管理器的經(jīng)驗(yàn)和教訓(xùn)，label、annotaion等功能的加入讓容器分類檢索信息標(biāo)記管理更加便捷。在網(wǎng)絡(luò)方面，Kubernetes可以和多種解決方案自然融合，插件化的構(gòu)成方式讓用戶可以很方便的使用自定義的網(wǎng)絡(luò)組件，進(jìn)而解決了容器跨機(jī)通信的問題。在資源調(diào)度方面，Kubernetes目前以預(yù)測(cè)規(guī)劃的方式為容器分配集群資源，保證局部資源擁擠的發(fā)生，并提供調(diào)度接口，允許用戶使用定制的調(diào)度算法。

Mesos是Apache下的開源分布式資源管理框架，被稱為是分布式系統(tǒng)的內(nèi)核。其特點(diǎn)在于資源管理和調(diào)度，能夠消除集群硬件的差異化。在使用場(chǎng)景上，Mesos可以作為資源池提供分配給上層的框架，同時(shí)支持多種用途的數(shù)據(jù)應(yīng)用框架比如Hadoop、Kafka、Spark等。而Kubernetes是專門的容器集群管理器。它本身的服務(wù)代理可以在集群范圍內(nèi)探知用戶服務(wù)，同時(shí)提供多種方式的服務(wù)組合，再加上其模型本身允許多容器共享資源的特點(diǎn)，Kubernetes從設(shè)計(jì)之初便提供了微服務(wù)實(shí)現(xiàn)的架構(gòu)模型。
InfoQ：你怎么看CaaS的發(fā)展以及CaaS的未來？

黃啟功：近幾年云計(jì)算技術(shù)飛速發(fā)展，不斷出現(xiàn)新的技術(shù)，從IaaS到PasS，再到SaaS，越來越多的廠商也意識(shí)到這些技術(shù)潛在的價(jià)值，而云計(jì)算作為一種全新的低成本、高效率的IT服務(wù)方式必將帶來行業(yè)的變革和創(chuàng)新。CaaS作為后起之秀，介于IaaS和PaaS之間，起到屏蔽底層系統(tǒng)（IaaS），支撐并豐富上層應(yīng)用平臺(tái)（PaaS）的作用，可以解決IaaS和PaaS的一些核心問題。比如IaaS很大程度上仍然是提供機(jī)器和系統(tǒng)，用戶需要關(guān)心資源的管理、分配和監(jiān)控，沒有減少用戶的使用成本，對(duì)各種各樣的業(yè)務(wù)應(yīng)用支持有限；PaaS則重點(diǎn)提供對(duì)主流應(yīng)用平臺(tái)的支持，但是沒有統(tǒng)一的服務(wù)接口標(biāo)準(zhǔn)，對(duì)用戶各種各樣的個(gè)性化需求不能很好的滿足。以容器為中心的CaaS則可以很好的將底層的IaaS封裝成一個(gè)大的資源池，用戶只要把自己的應(yīng)用部署到這個(gè)資源池中即可，不需要關(guān)心資源的申請(qǐng)、管理等與業(yè)務(wù)開發(fā)無關(guān)的事情；同時(shí)CaaS又有一套唯一標(biāo)準(zhǔn)的鏡像格式，可以把各種應(yīng)用打包成統(tǒng)一的格式，并在任意平臺(tái)之間部署遷移，容器服務(wù)之間又可以通過地址、端口服務(wù)來互相通信，做到既有序又靈活，既支持對(duì)應(yīng)用的無限定制，又可以規(guī)范服務(wù)的交互和編排。CaaS必然會(huì)很大程度上替代IaaS，并對(duì)PaaS提供更好的支持，未來云服務(wù)將會(huì)以應(yīng)用為中心，并讓開發(fā)和運(yùn)維人員更加關(guān)注業(yè)務(wù)上的改革和創(chuàng)新，而不用去擔(dān)心資源的事情。
InfoQ：目前技術(shù)上遇到的最大挑戰(zhàn)是什么？準(zhǔn)備如何解決？

黃啟功：在平臺(tái)搭建和優(yōu)化過程中，確實(shí)碰到了很多棘手的問題，這里分享幾個(gè)例子：

Docker的后端存儲(chǔ)方式，我們?cè)?jīng)嘗試過aufs、devicemapper、overlayfs、brtfs等方式，而且每種方式都碰到一些坑，在穩(wěn)定性和可用性上也掙扎了一段時(shí)間。最后的解決方案是在不同場(chǎng)景下應(yīng)用不同的存儲(chǔ)方式，以達(dá)到功能和性能的平衡。
集群調(diào)度效率不高，資源分配不合理的問題。改進(jìn)調(diào)度算法，結(jié)合資源預(yù)約和機(jī)器實(shí)際資源使用情況來共同決定容器的部署節(jié)點(diǎn)，考慮節(jié)點(diǎn)上非容器進(jìn)程的資源占用情況，既要充分利用機(jī)器資源，又要避免節(jié)點(diǎn)過載而失效。并根據(jù)節(jié)點(diǎn)的資源情況動(dòng)態(tài)遷移節(jié)點(diǎn)，最終實(shí)現(xiàn)節(jié)點(diǎn)資源的高利用和穩(wěn)定性。
容器中數(shù)據(jù)的持久性和可操作性。對(duì)于容器中需要做持久化的數(shù)據(jù)，我們也嘗試了不同的方式，包括共享網(wǎng)絡(luò)磁盤、容器中自動(dòng)掛載等等，最終確保數(shù)據(jù)跟隨容器可以隨意遷移到不同節(jié)點(diǎn)，以及數(shù)據(jù)的高可用。同樣，也要考慮數(shù)據(jù)的備份、回滾，讓用戶輕松管理自己的數(shù)據(jù)。

總結(jié)

以上是生活随笔為你收集整理的时速云CEO：相对于IaaS和PaaS，未来CaaS将如何定位？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。