注意:以下文档只适用于TOP接口,请谨慎使用!

文档中心 > 聚石塔

ACK Pro面向聚石塔的场景分析

更新时间:2022/01/18 访问次数:693


ACK Pro版集群是在ACK托管版基础上针对企业大规模生产环境进一步增强了可靠性、安全性,并且提供可赔付的SLA的Kubernetes集群。

ACK的Kubernetes Pro版集群是在原ACK托管版集群的基础上发展而来的集群类型,继承了原托管版集群的所有优势,例如Master节点托管、Master节点高可用等。同时,相比原托管版进一步增强了集群的可靠性、安全性和调度性,并且支持赔付标准的SLA,适合生产环境下有着大规模业务,对稳定性和安全性有高要求的企业客户。


使用场景

  • 互联网企业,大规模业务上线生产环境,对管控的稳定性、可观测性和安全性有较高要求。
  • 大数据计算企业,大规模数据计算、高性能数据处理、高弹性需求等类型业务,对集群稳定性、性能和效率有较高要求。
  • 开展中国业务的海外企业,对有赔付标准的SLA以及安全隐私等非常重视。
  • 金融企业,需要提供赔付标准的SLA。

功能特点

  • 更可靠的托管Master节点:API Server自动弹性,保障集群平滑扩容海量节点;etcd容灾和备份恢复,冷热备机制最大程度保障集群数据库的可用性;管控组件的关键指标可观测,助力您更好地预知风险。
  • 更安全的容器集群:管控面etcd默认采用加密盘存储;数据面通过选择安装kms-plugin组件实现Secrets数据落盘加密。开放安全管理,并提供针对运行中容器更强检测和自动修复能力的安全管理高级版。
  • 更智能的容器调度:集成更强调度性能的kube-scheduler,支持多种智能调度算法,支持NPU调度,优化在大规模数据计算、高性能数据处理等业务场景下的容器调度能力。
  • SLA保障:提供赔付标准的SLA保障,集群API Server的可用性达到99.95%。


计费说明

https://help.aliyun.com/document_detail/86759.html?spm=a2c4g.11186623.2.4.7b4f77dd2k9Ofb

ACK Pro版集群收取集群管理费,同时在使用过程中所创建的其他相关云产品资源,也会向您收取相应的资源费用。

计费说明

  • 集群管理费用如下所示。
计费方式 价格
按量计费

每个集群0.64元/小时


对比

ACK Pro版集群和标准版集群的对比详情如下表。


分类

Pro

托管版

稳定性

SLA99.95%(支持赔付)

master高规格保障

99.9%(不支持赔付)。

?自动弹性伸缩机制

?etcd高频冷热备机制,异地容灾

N/A

性能

最大10K节点

APIServer\Kubelet自定义参数

最大100节点

可观测

APIServer\etcd 核心指标透明可观测

N/A

安全

支持etcd落盘加密。

支持KMS

N/A

调度增强

?Gang scheduling

?CPU拓扑感知

?GP拓扑感知

?支持GPU share

N/A

节点自治

自升级自愈的托管节点池

N/A

自定义

核心管控组件参数调优/自定义调优

N/A


性能、稳定性提升场景

现有的标准版集群底层是托管在阿里云容器服务产品标准版,目前该产品对客户免费,其使用的K8s master使用共享Etcd。也就是若干个客户K8s集群共享一个Etcd集群。共享Etcd集群在各个客户集群进行大量K8s业务的时候,会产生资源竞争,导致用户K8s集群的性能可能出现抖动。对每个K8s客户集群,使用独享Etcd集群,可以彻底解决该问题,不存在多个客户K8s集群之间的资源竞争。对于集群规模大于50的集群,ACK Pro是容器服务推荐的集群形态,提供了更好的性能和稳定性。


ACK Pro相比于传统的标准版,显著提升SLA,从99.9%不支持赔付,提升到99.95%支持赔付。

底层基础设施的升级包括:

  1. 使用独享版三可用区的etcd集群,即使一个可用区故障,集群正常工作无任何影响。
  2. etcd数据存储后端是从ssd升级为essd,K8s etcd提升性能30%。
  3. etcd支持冷备的同时,新增支持同城或者异地热备,即便当前etcd集群全部挂掉,备用etcd依然可以保证K8s集群正常工作。
  4. 升级K8s master组件探活能力,高可靠保障99.95% SLA。

由于稳定性的显著提升,用户侧的部署、发布、运维工作变得更加稳定。尤其使用CoreDNS组件进行集群域名解析

ACK Pro相比于传统的标准版,托管组件优化升级,支撑的节点规模大幅提升,最大支持10K节点规模。

建议对于50+节点量级的集群使用ACK Pro。

安全提升场景

包括KMS加密和Etcd云盘加密两部分:

  1. KMS加密

在Kubernetes集群中,我们通常使用Secrets密钥模型存储和管理业务应用涉及的敏感信息,比如应用密码、TLS证书、Docker镜像下载凭据等敏感信息。Kubernetes会将所有的这些Secrets密钥对象数据存储在集群对应的etcd中。这些资源对于用户的安全至关重要。但是在K8s中,该部分数据只是进行base64编码,并没有实现用户自定义的加密,可以被逆向解码。


在ACK Pro托管集群中,您可以使用在阿里云密钥管理服务KMS(Key Management Service)中创建的密钥加密Kubernetes Secret密钥。本文主要介绍如何使用阿里云密钥管理服务(KMS)中管理的密钥对ACK Pro集群中的Kubernetes Secret密钥数据进行落盘加密。


在ACK Pro托管集群中,您可以使用在密钥管理服务(KMS)中创建的密钥加密Kubernetes Secret密钥,加密过程基于Kubernetes提供的KMS Encryption Provider机制,使用信封加密的方式对存储在etcd中的Kubernetes Secret密钥进行自动加密和解密,信封加密的详细介绍请参见什么是信封加密?以下介绍Kubernetes Secret密钥进行加密和解密的过程:

  • 当一个业务密钥需要通过Kubernetes Secret API存储时,数据会首先被API Server生成的一个随机的数据加密密钥加密,然后该数据密钥会被指定的阿里云KMS密钥加密为一个密文密钥存储在etcd中。
  • 解密Kubernetes Secret密钥时,系统会首先调用阿里云KMS服务的解密OpenAPI进行密文密钥的解密,然后使用解密后的明文密钥对Secret数据解密并最终返回给用户。


  1. Etcd云盘加密

K8s后端Etcd数据落盘会实现加密,即便其他人员窃取到Etcd云盘,也无法进行解密。


托管节点池实现免节点运维的场景

托管节点池是ACK Pro全新推出的具有自动升级、节点自愈能力的免运维型节点池,为您提供统一的、全托管的节点生命周期管理。用户无需关心节点运维操作,如节点组件版本更新,OS版本更新,CVE更新等,ACK会自行修复节点池内的故障节点。

ACK Pro会根据不同故障场景,实现定制化重启docker,kubelet,ECS等方式实现不同级别的节点自愈操作。


适用场景

  • 只关注上层应用开发,不希望主动运维worker节点。
  • 需要快速响应CVE安全漏洞。当新的CVE发布后,能够迅速升级,从而修补漏洞。
  • 对底层节点的变更不敏感,业务Pod对迁移有较高的容忍度,更加关注业务的弹性而非不可变性。
  • 需要升级节点上的Docker版本及OS镜像版本。

托管节点池与普通节点池对比

对比项 托管节点池 普通节点池
运维能力 托管于容器服务 用户自行管理
节点升级
  • 维护窗口内自动升级。
  • 也可以手动触发升级,支持升级OS、Docker版本、Kubelet版本、CVE漏洞等。
  • 升级方式为替换系统盘。
  • 仅支持手动触发升级。
  • 仅支持升级Kubelet版本。
  • 升级方式为原地升级。
自动故障修复 支持 不支持
密钥管理 仅支持密钥方式 同时支持密码和密钥方式

主要特征

  • 您可以为同一个集群创建多个托管节点池,不同节点池具有不同的配置,从而实现不同规格节点的支持。
  • 执行替盘轮转升级前会先尝试通过cordon命令将节点设置为不可调度,然后驱逐该节点上的Pod。如果超时15分钟后,Pod仍未被驱逐,容器服务将强制执行替盘操作。
  • 托管节点池会监控节点的运行状态,如果节点超过10分钟未上报节点状态,或者状态为NotReady,容器服务会通过尝试重启节点来恢复。
  • 您可以关闭托管节点池的自动升级功能。此时当有新的可用Docker及OS版本后,容器服务不会自动为节点池升级。
  • 托管节点池的自动升级的时候需要设置维护窗口。容器服务会尽可能遵守维护窗口计划,在维护窗口内已经开始的升级会继续完成,未开始的升级计划会被暂停。

image.png


标准版一键迁移Pro


为了能够让存量的ACK标准托管集群用户享受到ACK Pro托管集群的功能和特性,容器服务平台推出了标准版到Pro版的集群热迁移功能,使您可以动态地迁移ACK标准托管集群至Pro托管集群。下面介绍如何迁移ACK标准托管集群至Pro托管集群中。

背景信息

ACK Pro托管集群是在ACK标准托管集群基础上针对企业大规模生产环境,进一步增强了可靠性、安全性,并且提供可赔付的SLA的Kubernetes集群。关于ACK Pro托管集群的详细信息,请参见Kubernetes Pro版集群介绍

注意事项

  • 热迁移ACK标准托管版集群至Pro托管版集群功能,只支持集群Kubernetes 1.16及以上版本。
  • ACK不支持将Pro托管版集群迁移到标准托管版集群。
  • 迁移的端到端时间是5min左右,集群规模不同耗时略有不同。
  • 为保证数据一致性,前一期间集群APIServer不可用,请避免对集群进行增删改查等操作。

迁移流程

ACK标准托管集群到Pro版的集群迁移流程涉及两个部分:集群迁移前置检查和集群迁移。

只有通过了集群迁移前置检查,ACK标准托管集群才会被开始迁移至ACK Pro托管集群中。

  • 如果迁移前置检查未通过,您可以根据提示跳转到对应的检查页面,查看检查未通过的具体原因。
  • 如果迁移前置检查顺利通过,则正式开始集群迁移。

FAQ

关于此文档暂时还没有FAQ
返回
顶部