360搜尋容器雲探索與實踐

隨著容器化行程的加速，容器編排的需求也越來越強烈。而容器編排也經歷了從Kubernetes、Mesos和Swarm三足鼎立到今天的Kubernetes一統江湖的局面。現在越來越多的公司選擇基於Kubernetes來構建企業內部的私有雲。本次分享將為大家介紹360搜尋基於Kubernetes打造私有雲的整體架構，以及遇到的一些問題和解決方案，希望可以使大家在打造私有雲過程中少走一些彎路。

360搜尋從2016年開始探索基於Kubernetes打造公司私有雲平臺，由於當時Kuebrnetes對有狀態服務支援力度有限以及歷史遺留業務容器化難度較大，因此Kubernetes主要負責部署一些無狀態的Web服務。

從2017年開始Kubernetes逐漸在私有雲市場佔據了絕對優勢，已然成為容器編排的標準。同時Kubernetes對有狀態的服務支援逐漸完善，我們開始完全基於Kubernetes打造私有雲平臺。目前已穩定執行上萬臺容器。

下圖是雲平臺整體架構。

網路

早期使用的是Flannel VXLAN網路模型，存在轉發表項太多的問題。 

後面Flannel最佳化，降低了轉發表項。

接入方面使用ExternalIP邊緣節點的樣式，由iptables做nat。

後面做了dsr最佳化，回程資料包不走Flannel網絡卡。

由於叢集規模擴張，同時公司基礎網路也支援了BGP，所有叢集都遷移到了Calico。 

下圖是Calico的通訊樣式，去掉了vxlan造成的overhead。

網路改造具體詳見團隊同事的文章:《容器網路——從CNI到Calico》。

由於搜尋有狀態的業務較多，最早有狀態的服務無法遷移，自己維護了一套Gluster叢集，支援了很長一段時間業務儲存。 

後來公司儲存團隊提供了Ceph RBD和Cephfs儲存服務，有狀態的業務逐漸遷移到了Ceph。儲存管理自己開發了Robin（即將開源，敬請期待）元件，用於管理RBD的image物件以及Cephfs的路徑。

目前我們的日誌蒐集方式是業務輸出日誌到std，Docker將std輸出存放到日誌目錄，Kubelet透過軟連的方式連線到/var/log/containers目錄。 

早期日誌是Logstash統一到/var/log/containers目錄下蒐集，經過處理髮送到Kafka，之後業務去Kafka消費或者直接進HDFS。但隨著業務日誌量的增加，Logstash耗費資源越來越多，日誌積壓也越來越嚴重，此時Filebeat功能已經逐漸完善，但缺少了一些解析Kubernetes資源的功能，於是我們自己擴充套件了一下Filebeat，自己實現了一個Kubernetes Processor，用於增加Kubernetes的相關標簽，比如Deployment Name、Pod Name等。同時還做了一些效能最佳化，使得單機處理能力大幅提升。

具體可以參見我之前寫過的部落格:《Filebeat最佳化實踐》。

Kubernetes雖然很強大，但並不是萬能的，要打造一個簡單易用的雲平臺僅僅有Kubernetes是遠遠不夠的。比如：

此時，Wayne作為一個私有雲平臺的統一入口應運而生。

Wayne是一個通用的、基於Web的Kubernetes多叢集一站式視覺化管理平臺。內建了豐富多樣的功能，滿足企業的通用需求，同時外掛化的方式可以方便整合定製化功能。

Wayne已大規模服務於360搜尋，承載了公司絕大部分業務，穩定管理了上萬個容器。

為了方便使用者線上檢視日誌及進入容器除錯，Wayne集成了WebShell功能，使用者可以檢視Pod串列並且可以進入容器進行除錯。 

踩過的一些坑

Iptables莫名丟棄syn包。

360搜尋私有雲平臺在搭建過程中從很多CNCF專案中收益，本著取之開源，回饋開源的精神，我們決定將Wayne平臺開源，並且會持續開發和長期維護。考慮到目前官方Dashboard並不太好用，而且不支援多叢集和多租戶管理。相信Wayne的開源會給很多人帶來收益。

目前私有雲平臺服務容器僅有上萬個，還有大量業務沒有遷移上雲，之後會加大力度協助適合的業務遷移到雲平臺。

A：統一使用LVS VIP呼叫的，叢集內部可以使用SVC域名訪問。

來源：Docker