Container周报第135期：北欧最大3C电商如何打造内部K8s来省钱？CNCF大使力推的必读K8s上手书最新消息

2/1~2/25精选容器新闻

#服务网格 #零售业K8s实战 #POS容器化
年营收40亿美元的北欧老牌3C电商如何打造内部K8s平台来省钱？

最近北欧最大规模的3C零售电商Elkjop云端架构师Henry Hagnäs，揭露了自建K8s平台，来维运200支微服务应用，降低了8成主机代管费用的经验。

发源于挪威的Elkjop创立近60年，在北欧5国（丹麦、芬兰、冰岛、挪威和瑞典）以Elgiganten电商闻名，拥有超过4百家分店，员工超过1万2千人，年营收高达47亿美元。过开始改变策略，去Elkjop主要采取委外开发，再由小规模IT部门来管理和负责整合，不过，6年前，Elkjop决定拥抱微服务设计，来改造那些用来串接各委外系统间的API，尤其要自己开发一个进阶版支付API，来串接电商平台和店内POS系统。

最初第一批微服务都部署在Azure Web App服务上，后来Elkjop找来顾问，自己发展出一套微服务主机平台来维运这些微服务。这个平台有3个目标，功能要类似Azure Web App服务，但得更便宜更容易使用，也需要容易扩充，能统一自动或手动管理调度不同的应用，可以提高开发产量。另外，也希望借此来建立一个SRE团队。

Elkjop先将自家应用容器化，部署到K8s上，因为关闭了ingress控制器的TLS功能，所有服务间的呼叫都没有加密。Elkjop才意识到，需要一个监控矩阵来管理，所以，进一步采用了Linkerd。Henry Hagnäs解释，透过Linkerd控制界面，可以提供了一种在资料面的微代理服务器能力，可以用来提供加密或监控能力。

Elkjop利用Linkerd预设的RED（请求数、错误数和持续时间）监控矩阵，就足以可以建立足够的系统可观测性。另外，也建立了一个全靠内存运作的Prometheus服务器和Gragana实例提供仪表板功能。

将POS后端也搬上K8s后，原本以为就可以正常启用，却发现Linux主机启动失败率下滑，开始针对请求失败率来建立系统健康追踪机制。利用TCP连线的持续时间和是掰率，来监测POS后端每一支系统对内和对外的流量，最后才发现，是销售网站应用无法重复利用Socket通讯，这个问题无法从SNAT埠监控发现，需要详细的网络遥测（Telemetry）才能发现，后来透过增加系统对外通讯埠来解决这个问题。

为了优化后续维运，也采取HA架构来部署Linkerd，这个架构也有助于升级，可以轮流升级而不用关闭服务。透过Linkerd的设定注解和标签，很容易就可以建立HA架构。随着Elkjop在各国分店陆续用K8s平台上的POS，Elkjop也建立了一个跨国备援的丛集。Elkjop预计在2021年底，将K8s上的POS，部署到全球各国的分店据点。

#K8s自学教材 #第一手实战经验 #云端原生架构设计
14本导入和维运K8s必读的上手书

CNCF基金会推广大使Chris Short最近整理了14本K8s上手和维运的必读上手书，从最基本的CNCF发行的儿童K8s读本《Phippy and Friends》，到云端架构部署参考书，如以第一线工程师实战经验为主的《97件云端工程师应该知道的事》，提供多种主流云端原生架构设计样式的《Cloud Native Patterns》。还推荐了两位K8s创办人Brendan Burns和Joe Beda和另一名作者合写的K8s实践书《Kubernetes:Up and Running》，在这本书中，介绍了Google如何在一周内启用20亿个容器的管理秘诀，最后如何实践到K8s这套开源软件中，也从一个分散式应用系统的开发周期角度来介绍，如何自动扩充这样的分散式系统，有那些工具或API可用，或是如何自动扩充到实体环境，甚至是树莓派单版主机上。

特别一提的是，Chris Short也推荐了赫尔辛基大学开设的线上自学教材《DevOps with Kubernetes》，提供了K3s和GKE的入门线上课程，从微服务架构开发到自动化部署的建置都涵盖。

#云端K8s #新特色
快速一览三大云端龙头K8s代管服务的2月新功能

三大云端巨头的K8s服务GKE、EKS和AKS在这个月有那些新功能呢？快速整理一下，先来看Google的GKE，丛集自动扩充器可以从0节点的资源池开始启动，自动扩充设定可以预设指定最大支援32个vCPU和128GB内存的E2虚拟机器规格。而AWS的EKS在2月的主要新功能则增加了EKS丛集整合OpenID身份提供者（OIDC）的功能，可以用来代替AWS身份识别和IAM管理的替代机制。微软的AKS服务在2月主要更新是丛集启动关闭功能进入正式版，也释出了多项预览版功能，包括用自订DNS区域来建立私有丛集，可重复利用负载平衡流出IP作为流入IP，以及pod资安政策预览版等。

#GPU #K8s维运
Nvidia翻新GPU虚拟化软件，简化K8s部署GPU的维运框架

Nvidia发布GPU虚拟化软件12.0新版，除了支援Nvidia去年下半发表的3款Amepere架构GPU之外，更大幅简化了在Kubernetes环境部署与管理GPU的维运框架Nvidia GPU Operator。可以自动安装与更新vGPU Software用于容器平台的图形驱动程式。Nvidia GPU Operator就能自动决定vGPU Software图形驱动程式版本，是否相容于容器平台搭配的Virtual GPU Manager软件。可用于裸机、穿透虚拟化平台的GPU（GPU passthrough virtualization），以及GPU虚拟化共享（vGPU），也可支援vCS与RTX vWS。

#服务网格 #容器管理整合VM
开源服务网格Istio释出1.9新版，容器服务网格也能整合VM管理

在2月初，开源服务网格专案Istio发布了1.9新版，最大特色是Day2维运功能的改善，主要是推出了虚拟机器整合机制，可以将虚拟机器的维运和管理整合到Istio服务中，例如套用同一个政策，跨容器和VM都使用同样的遥测监控机制，开发社群也提供了多份参考文件，例如Istio架构如何整合VM，如何安装、除错等。不过，这项VM整合功能目前还处于Beta版本中。其他新功能如请求分类功能（Beta版），可在配置档中预先设定要搜集的遥测请求资料类型，方便更精细地追踪流量。另外也开始实验性的新功能是新增支援K8s服务（Alpha版）和外部授权验证系统（实验版本）等。这次新版功能大多聚焦在 Day2后续维运面的强化。

#容器资安 #Azure
Azure Functions出现容器脱逃漏洞，恶意程式能进入底层主机

资安公司Intezer研究人员发现微软的无服务器运算服务Azure Functions，存在一个特权提升漏洞，且程式码可从Azure Functions Docker容器逃脱（Escape）至底层的Docker主机，但微软在收到漏洞报告后，认为这个漏洞并不影响Azure Functions用户安全，因为即便可以逃脱，但Docker主机本身仍受Hyper-V边界保护，微软进一步限制了/etc和/sys的存取来防范。

#GitOPS #企业级K8s
Kubermatic企业级K8s平台小改版，强化GitOps政策管理

另一家企业级K8s软件商Kubermatic推出了最新的KKP 2.16版本，主要新增支援开放政策代理（Open Policy Agent，OPA），让用户可以更好地控制政策，并且新增动态资料中心和其他GitOps功能。OPA可以让用户用高阶宣告式语言来配置政策，KKP 2.16透过整合OPA，让用户可以在微服务、Kubernetes、CI/CD工作管线和API闸道器等，集中管理任务，并且强制应用政策。官方提到，用户现在可以透过Kubermatic API存取OPA，并且在稍晚时，将该功能整合到使用者界面中。

#Day2维运 #服务网格
网格管理要有企业级工具，Gloo Mesh企业版主推Day2管理观察工具

FaaS服务新创公司Solo.io正式发布企业级服务网格管理解决方案Gloo Mesh Enterprise，可增加服务网格的可用性和可控制性，简化Istio在多丛集和多云环境的复杂操作，同时还可以让用户以WebAssembly扩充网格资料平面。

Gloo Mesh强化Day 2操作，借由进阶API和可观察性工具，协助开发人员监控和维护系统，其提供的Gloo Portal，可以对Istio中运作的API进行分类并且对外开放，让开发人员或是其他合作伙伴，能够更容易使用API。随着企业的服务网格发展，Gloo Mesh可以让用户在其网格，加入回退或是委派等进阶功能，同时也促进WebAssembly的开发和部署，让用户可将WebAssembly扩展多个丛集中，进而供企业自订出符合特定需求的服务网格。

#政策管理引擎 #OPA
开源政策管理引擎OPA专案正式毕业，Google、微软和VMware将持续维护

经过3年孵化，政策管理引擎开源专案OPA（Open Policy Agent）正式从CNCF基金会毕业，进入独力发展阶段。这是一个通用型政策管理引擎，主要由Google、微软、VMware和Styra联手维护，这也意味着前三家主要科技巨头的混合云产品都大力支援同一个政策管理引擎。目前已有超过150家企业或组织采用OPA来派送和管理各种系统政策，尤其可以用OPA来管理微服务API授权政策的扩充和分配。其他常见用途则有用来整合K8s管理控制器，或应用程序授权、云端资安政策等。不少企业则是专门用OPA来搭配K8s管理控制器，进行政策派送。

责任编辑：王宏仁