摘要:现在大部分互联网平台都在使用容器,为什么有时扩容的速度跟不上流量增长的速度?大家应该都看过一些明星导致社交媒体平台宕机的新闻吧?明星事件带来的突如其来的流量,引发业务扩张。以前都是虚拟机扩容,速度慢可以理解。现在大多数互联网平台都使用容器。为什么扩张速度有时跟不上流量增长的步伐??这里有两个主要问题。01一是网口开通速度与容器扩容速度匹配的问题。如果是即时创建容器,比如10秒内启动5000个容器实例,这就要求在10秒内完成端到端的网口创建、挂载、网络连接。在处理流程中,容器网络控制器需要调用VPC网络API,批量创建5000个网络端口。VPC控制平面生成相应的配置并发送给各个宿主节点。主机根据配置创建所有网络端口,然后将它们附加到节点上。然后它附在容器上。同时,分布在各个主机和各个网关上的数据平面转发表也必须同步刷新。在传统的I层网络架构中,控制平面和数据平面都存在瓶颈点。整个过程中网络连接的速度跟不上容器扩容的速度。02另一个问题是网口规模。由于ENI原本是I层虚拟机或裸机的网卡扩展机制,数量受节点规格限制。一些厂商根据主机的口味限制了ENI规格的数量。一些厂商提供了固定的最大数量,比如8个,这些规格限制有商业成本的考虑,但根本原因是规模目标不同。为了挤出节点资源,容器支持0.1核甚至更小的容器。单个节点理论上可以部署近千个容器实例,这需要近千个网口。与现有VPC网络的控制平面和数据平面规模相比,这是一个数量级。差距。预热网络资源,秒级扩容成为可能。如何处理配送速度不匹配的问题?计算机体系结构经典答案:增加一个“Cache”层,就是在节点上按照预定的策略建立一个预分配ENI的温池。集群管理节点时,会自动创建多个弹性网卡并配置到池中,并批量启动容器。此时只需要将准备好的弹性网卡从暖池中取出挂钩到容器中即可。网络资源预热可以有效弥补VPC网络资源分配性能无法匹配容器生命周期的问题。加入'Cache'的机制可以支持容器的大规模创建和删除。Warmpool机制主要解决点对点网络连接时间长的问题。目前VPC网络的单节点网卡是串行处理的,单个网络设备的绑定时间已经达到30s-60s。在没有预热的情况下,容器网络端到端的连接时间超过一分钟。分钟的容器启动时间是不可接受的。暖池机制在裸金属节点上预挂一定数量的ENI(用户可根据服务部署的并发度自定义配置),容器调度在预热节点上有立即可用的ENI网卡任何时候。温池优化后,容器网络端到端连接时间缩短至1s-2s。华为云容器网络扬子暖池早在裸机容器之前就已经在云容器实例CCI中实践了。30秒扩容1000个容器是CCI的技术手段之一。突破ENI数量限制,支持大规模容器扩容。前文提到,单台服务器的弹性网卡规格上限限制了容器的高密部署和大规模快速扩容。在二代裸机容器中,我们将所有容器网络组件集成卸载到华为云Skycard上,突破了传统架构的束缚,将ENI的最大数量增加了数十倍,增加了容器的数量可以部署在单个服务器上。同时,受益于擎天架构资源共享池的优势,裸机容器也可以扩展为虚拟机容器,而在虚拟机容器上,容器网络Yangtse采用Trunkport技术,结合ENI的优势,在保证性能的前提下,单台服务器理论上可以同时为上千个容器提供直连网络能力。ELB与容器直连,更稳定应对海量冲击。解决了速度和规模的问题后,其实还有一个隐藏的杀手锏。如果处理不好,可能会把我们新扩容的容器全部干掉。在传统的容器网络连接外部ELB方案中,外部流量会先从ELB到Kubernetes的NodePort(工作节点所在主机的端口),再转发到后端容器。增加的跳数不仅会带来延迟和失败的概率,还会影响ELB使用的灵活性。当应用业务流量增长触发扩容时,如果ELB直接将分配的流量请求全额分发,海量请求会很快压垮(overload)新扩容的容器,导致扩容失败。这种情况与业务处理逻辑或运行时行为有关:新扩展的后端实例在处理请求的同时需要加载热点数据到本地缓存,或者需要根据接收到的请求编译(JIT)加载相应的代码模块,这些都需要一个“慢启动”的过程,即根据业务模型,自定义初始流量比例和步进增加率,例如:初始流量的15%,每5秒增加10%。但是当ELB连接到宿主服务器(节点)的网口(NodePort)时,尤其是一个节点上部署了多个容器时,由于节点的二次分布,ELB无法感知到最终的后端container,因此不能即使有容器级别的流量控制,也很难保证稳定状态后的负载均衡。容器网络Yangtse实现与华为云ELBv3专属负载均衡实例直连。专属ELBv3资源独立,实例性能不受其他实例影响,流量直接从ELB传到后端容器,保证转发性能和稳定性。这就是揭开裸机容器网络神秘面纱的全部内容。后续我们将围绕华为云的云原生技术平台Vessel,一一解读华为云容器的黑科技。点击关注,第一时间了解华为云的新鲜技术~
