中国电信CCSE容器云最佳实践——王宝

容器技术与容器云概述

容器技术通过打破传统软件交付模式，基于容器镜像实现软件交付，提升软件交付和迭代效率，成为云改数转的利器。其优势包括：

• 打破传统软件交付模式桎梏
• 基于容器镜像的软件交付
• 容器成为标准交付件，提升效率
• 微服务架构的有效实现载体
• 服务在研发和运维上实现松耦合
• 轻松实现大规模分布式系统的部署和运维
• 应用降低运行环境依赖影响
• 轻量以及秒级启动能力，确保系统连续性和高可用性

Kubernetes作为容器编排引擎，提供容器管理、调度、集群定义和服务发现等功能，将容器有机组合成微服务应用。其架构包括：

• API Server：提供REST API
• etcd：键值数据库，保证数据一致性
• Controller Manager：管理控制器
• Scheduler：负责容器调度
• Kubelet：节点管理器
• Container Runtime：容器运行时

容器云定义与要素

容器云是以容器为资源分割，封装软件运行时环境，为开发者和系统管理员提供构建、发布和运行分布式应用的平台。其要素包括：

• 集群：由Kubernetes统一管理与调度的主机资源集合
• 节点：安装了Docker与K8s的主机（物理机或虚拟机）
• 容器：通过Docker镜像创建的运行时实例
• 应用：服务的逻辑管理单元
• 服务：包含多个容器的服务单元

容器云上云最佳实践

中国电信容器云上云最佳实践强调统一标准，包括：

• 统一技术：相同规格、相同API，提供一致操作体验
• 统一调度：容器云服务统一调度、跨域协同
• 统一管理：多级租户管理，多维度授权控制，全局统一资源视图

容器云运维实践

容器云运维实践强调未雨绸缪，包括：

• 使用规范：合理规划用户权限、命名空间和标签
• 部署规范：保持主机网卡名一致、用户免密sudo权限、规划数据盘等
• 资源规范：控制Pod资源使用总量，设置CPU、内存限额
• 负载规范：优先使用无状态工作负载，配置健康检查和就绪检查
• 服务使用规范：仅将需要外部访问的微服务指定为NodePort类型
• 微服务的外部访问配置：规划端口号，使用NodePort或Ingress转发
• 配置使用规范：避免限定应用，确保配置全局可用

容器云运维不当行为排查

容器云运维不当行为可能导致问题，包括：

• 应用容器存储清理不及时，影响节点运行
• 业务关注集群节点运行状况，避免node运行状态异常
• 关注应用容器产生的网络流量，避免网络服务异常
• 关注应用容器占用的线程资源，避免影响集群稳定
• Docker存储路径放置不当，导致分区空间满
• 业务端口号冲突问题
• 内核版本过低导致参数配置问题
• 集群管理面和数据面未分离
• 生产业务使用daemonset部署
• 应用未进行命名空间配置配额和limits限制
• 应用副本不足或节点分布不合理
• 未配置容器健康检测
• 节点内核版本过低
• Cgroup资源限制不合理
• 容器跨网段通信问题

CCSE产品介绍

CCSE（Container Cloud Service Engine）是中国电信集团自研的容器云服务引擎，提供高度可扩展、高性能的Kubernetes集群及一站式容器服务，主要功能包括：

• 快速实现微服务化：通过合理微服务拆分，实现敏捷开发和部署
• 持续集成与持续交付：开放完整API给DevOps系统调用，实现完整流程自动化
• 业务快速上云：实现应用容器化部署，达到自动伸缩、按需部署等效果

CCSE产品特性

CCSE产品特性包括：

• 多租户、多集群统一管理
• 应用无侵入集成监控、日志、服务网格等基础能力
• 高可用、高性能的镜像管理功能
• 丰富的PaaS组件模板，支持界面化一键部署
• 简单易用：界面化一键创建K8S集群，一站式部署和运维
• 弹性伸缩：支持集群节点、工作负载的弹性伸缩
• 开放兼容：提供全面标准的OpenAPI，支持CI/CD快速接入
• 高效调度：集群控制面HA，多AZ保障业务高可用
• 安全可靠：基于角色的细粒度权限控制，自定义网络安全隔离策略

CCSE与原生K8S的比对

CCSE与原生K8S的比对：

• 应用：CCSE支持灰度/蓝绿发布、应用监控、弹性伸缩；原生K8S需要自行探索开发
• 网络：CCSE提供优化高性能的Calico网络插件；原生K8S需要挑选社区网络插件
• 运维：CCSE支持K8S新版本一键升级、集群自动添加节点；原生K8S需要自行探索开发

CCSE在翼龙平台产品线定位和上云体系中的作用

CCSE在翼龙平台产品线定位和上云体系中扮演重要角色：

• 企业应用开发平台（云道）：上线持续集成工程
• 统一PaaS平台（云翼）：提供容器小系统等
• IT智能运维平台（云眼）：CMDB计费等
• CCSE通过北向接口采集N/I/P/SaaS等数据，南向接口进行监控维护
• SaaS、统一PaaS平台、云道、智能运维平台能力开放到DCOOS

中国电信云荐社区

中国电信云荐社区提供组件下载、有问有答、技术论坛、行业动态等功能，为生态用户提供高效的上云交流平台。