网易云基础设施技术总监：容器云基础设施优化之道

4月21号，由InfoQ主办的全球技术盛会QCon全球软件开发大会在北京开幕，吸引了国内外近百名技术专家及千名开发者的参加。网易云基础设施技术总监张晓龙受邀出席，同与会的技术同行们分享了网易蜂巢容器云在基础设施上的优化之道。

Docker容器诞生于2013年，是历史上发展最快的开源软件之一。目前Docker拥有极其活跃的开发者和用户社区，已经形成了日益完善的生态系统，获得亚马逊、谷歌等巨头支持。不仅是可提高资源利用率、实现资源隔离的轻量级虚拟化，更是一种全新的应用交付标准化方式，是应用交付的“集装箱”。使用Docker容器进行研发，减少了配置管理工作的负担，让持续集成与持续部署过程变得更流畅。蜂巢容器云运行支撑了网易云音乐、网易新闻、考拉等重量级产品，如何保证服务的安全稳定，并提供的用户体验?

作为网易云基础设施技术总监，张晓龙主导了网易私有云和网易蜂巢公有云基础设施服务的研发工作，在云计算基础设施、大数据、分布式系统、服务端方面有多年的研发实践经验。在QCon大会上，张晓龙作了名为《网易蜂巢容器云基础设施优化之道》的主题演讲，阐述了蜂巢容器云的研发历程、技术架构、核心技术，以及在容器隔离、启动性能、容器网络网络安全、网络带宽QoS、容器存储性能、支持有状态容器以及容器编排等方面的基础设施优化。正是在云计算基础设施的优化，才确保了蜂巢容器云服务的高效、安全、稳定。

和很多网易系云计算产品一样，蜂巢容器云也是网易云计算技术对外输出的产品。2015年秋，蜂巢容器公有云邀请用户试用，并在2015年底对外开放了容器公有云的注册。不同于其他容器云服务，蜂巢容器云在上线之初就瞄向创服圈。今年年初的时候，网易启动了致力于帮扶互联网开发者、创业者的“易启计划”，30余家创服机构现场签定战略合作协议，共同打造有利于科技创业的良好生态环境。蜂巢容器云便是网易云战略和“易启计划”的核心产品之一。

据张晓龙介绍，蜂巢容器云采用了流行的Docker容器化技术，提供自动化构建发布、应用性能管理、集群编排等服务，全面加速创业研发流程。此外，蜂巢还提供了丰富多样的PaaS云服务，比如关系数据库、缓存、负载均衡、应用性能监测等服务，全面助力创新创业团队进行快速研发。网易蜂巢基于网易自研IaaS深度定制优化，采用高规格的硬件设施如多线BGP网络接入、万兆网络互联、全SSD存储等，确保极速、安全、稳定的用户体验。

RightScale不久前发布的《2016年度云计算调查报告》显示，33%的云计算用户公司规模在100人以下，而1000人以下的员工占比更是高达58%。可以说，网易蜂巢瞄向了有着巨大潜力的创服市场，同时创业者对云服务的安全、效率、稳定性、性能等有着更迫切的需求。而网易蜂巢又是如何解决这些痛点的呢?张晓龙给出了下面的答案。

第一是提升容器安全性。由于是操作系统层面的轻量级虚拟化，容器安全性一直是用户非常关心的问题，也制约着容器技术的发展;容器安全性问题以“容器逃逸”问题最有名，也就是黑客可以通过容器的一些漏洞渗透到运行容器所在的宿主机上，对宿主机上的其他容器以及宿主机本身都造成巨大的威胁。网易蜂巢将容器运行于隔离性更强且基于硬件虚拟化技术的云主机，并且确保在一个云主机上只运行同一个租户的容器。这样的设计可以获得更好的容器安全性。网络安全一直是公有云用户非常关心的问题。蜂巢提供了包括二层、三层、四层在内的网络过滤功能，同时还为公有云用户提供了防止DDoS攻击的能力。

第二，提升容器的启动速度。由于容器运行于云主机中，容器启动时间依赖于云主机启动速度。而基于硬件虚拟化技术的云主机启动速度较慢，这导致容器启动速度较慢。网易蜂巢为了解决这一问题，通过定制云主机系统镜像，裁剪了不必要启动加载和服务，同时将云主机IP静态化，以加速网络初始化过程。同时值得一提的是，网易蜂巢还优化了OpenStack创建云主机的流程，包括增加ConfigDrive镜像缓存，优化镜像上传RBD操作、削减计算节点定时任务运行时间等等。未来还将更进一步加快容器启动速度。

第三，在容器网络设计上，蜂巢为每个用户提供一个私有网络以及一个公网。用户可以通过容器的网卡接入网络。容器私有网基于VxLAN技术实现，通过OpenStackNeutron创建提供，是一张虚拟的扁平二层网络，租户间完全隔离，用户可自主控制ip分配;容器公网是所有蜂巢用户共享。同时，在网络带宽上，蜂巢实现网络带宽QoS，不仅确保用户付费申请的带宽，还可以在网络带宽资源富余时免费提升用户带宽体验。

第四，在容器的存储上，蜂巢优化了底层分布式块存储服务Ceph的性能，大幅度降低了运维操作时存储性能的衰减和影响时间。另外，虽然Docker可以很好支持无状态服务的运行，但在业务开发中还是非常有可能需要容器具备持久化数据的能力。所以蜂巢也实现了对运行有状态应用的支持，包括允许持久化容器数据(运行环境、配置数据等)、快速备份以及恢复容器数据以及支持有状态容器的迁移。

第五，在容器编排上，蜂巢拓展了容器编排服务Kubernetes的多租户能力，实现其管理资源的租户隔离，完善了租户资源的安全访问控制、为每个租户实现独立的认证和授权。同时，蜂巢还优化了容器编排调度器和控制器的处理能力，以支持更大的集群规模以及更好的性能。

展望未来，张晓龙表示，网易蜂巢容器云还将加大基础设施和产品的研发投入力度。蜂巢不断推出更加丰富的容器云平台服务的同时也会继续深入优化基础设施，做真正专业的容器云平台，全面助力创新创业团对加速研发全流程，实现应用交付更快捷。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!