企业容器云管理平台选型指南

数字时代的容器云管理平台--数字时代，市场竞争日趋激烈，业务需求不断变化，敏感IT建设被越来越多的企业列入重点发展规划，而容器、Kubernetes的核心云原生是目前敏感IT最热门的技术架构。CNCF将云原生分为不同的领域，包括基础设施，应用程序开发和部署，服务发布和治理，运行时，网络，存储，观察和分析，安全性和合规性，每个领域都有丰富的开源项目。从技术角度来看，云原生构建是指找到满足不同领域需求的技术，然后将它们组合使用。在这个过程中，我们面临着如何选择正确的技术的问题。您将如何管理这一技术组合？如何对这些技术进行调整和优化，以实现高效和稳定的运行？容器云管理平台的概念是提供一组开箱即用的功能，以Kubernetes为中心，提供更多的扩展和创新。容器云管理平台是一种中间产品，可以实现集群的生命周期管理，对运行在Kubernetes 上的应用程序实现生命周期管理，同时还具备企业需要的租户管理、安全管理、用户身份验证、权限管理等功能。目前，国内有很多厂商专注于这一领域，提供了很多优秀的解决方案，面对一系列的产品，该如何选择呢？

平台选择--在与企业客户的日常沟通中，不难看出，在构建云原生平台的过程中，讨论最多的是规划和选择的问题。如果我们把选择过程比作通关游戏，我们有三个层次：自然思维、模式思维和能力思维。

从企业的实际应用场景来看，容器云管理平台是一个跨部门的平台，至少包括基础设施部门、研发部门和安全部门。当然，不同公司部门的划分可能更加微妙。此外，集装箱云管理平台与业务应用密切相关，影响着业务应用的构建和发布过程以及运营维护方式，因此集装箱云管理平台总体上具有两个特点：技术确定性和能力特异性。技术确定性：在构建容器云管理平台时，相关的技术堆栈基本上已经确定。例如，使用Kubernetes的容器编排调度引擎，使用Prometheus进行监控，使用ELK或Loki进行日志，使用Helm进行模板存储，容器运行时，网络，存储等也有明确的选择范围。能力的特殊性：每个企业的IT部门都有自己的工作方式、流程、组织结构和内部环境，对构建容器云管理平台有自己的看法。一些企业的容器云管理平台相对独立。有时需要与内部其他系统集成或协同工作，如与内部监控集成的集成环境监控、与内部日志平台集成的集成身份验证、与内部用户身份验证平台集成的SSO单点登录、根据组织架构的多租户功能等，需要不同的功能支持。从这个角度来看，完全根据自身需求，自行开发容器云管理平台是企业的最佳选择。但自我研究的门槛相对较高，需要一定的团队和技术力量，而大多数企业并不具备这样的能力。商业化是一个更实用的选择，有很多厂商提供相应的平台产品，但也面临着很多挑战。该平台基于Kubernetes构建，但由于产品概念不同，功能重点不同，未来开发和扩展路线也不同。有些产品有不同程度的捆绑，如果你做出了错误的选择，你可能会陷入困境。综合来看，选择开源、兼容的商业产品，可以在一定程度上达到自主开发和商业化的平衡。一方面，企业可以通过标准化的产品功能和供应商的专业技术支持和授权，快速培养和提升团队的云原生意识和技术水平。另一方面，当团队的能力达到标准，标准化不能满足内部需求时，公司可以很容易地在开源产品的基础上进行二次开发。实际上，如果团队实力达到标准，我不建议从一开始就做完全自主开发的平台。这是因为从0-1开始构建可能会遇到很多漏洞，遇到很多问题，并且一些功能可以通过直接重用开源产品来做更多的事情。同时，使用开源产品，保证了技术的连续性，在购买商业支持后，大大降低了人工成本，提高了工作效率，有更多的时间专注于主营业务。

在明确了模式思维特征的选择之后，我们面临着第二个选择问题。我应该选择全功能模式还是多功能模式？目前，各种容器云管理平台产品丰富，大致可分为两大类：功能齐全和开放兼容。功能齐全：平台的功能是高度封装的，基本上涵盖了云原生的所有元素，包括Kubernetes集群管理、应用管理、DevOps、微服务治理、中间件等关键功能。开放兼容性：该平台的功能基于保留核心功能，如Kubernetes集群管理，应用程序管理等，而其他功能则作为开箱即用的插件提供，具有高度可互换性。一个功能齐全的容器云管理平台可以阻止许多技术细节，并让企业立即使用。开放兼容的产品提供了更灵活的组合。在早期阶段，容器和Kubernetes技术还没有那么普及，全功能的产品是更好的选择，企业可以利用其综合功能快速构建，从而阻挡了一些技术门槛，提前研究云原生技术，带来价值。如今，容器和Kubernetes技术相对流行，整个CNCF生态系统进入了繁荣期，云原生的构建是更多的构建块和集成的组合。

“专业的事留给专业的人”，整个平台的问题在于整体功能是一致的、相互依存的、标准化的。用户在使用过程中经常会发现很多地方不适合自己的需要，需要更换功能模块。然而，在高聚布局中，剥离和更换模块往往是困难或昂贵的。因此，当越来越多的用户选择开放兼容的产品，需要更换平台中的一些功能模块时，就需要关闭相应的模块直接更换或集成。与此同时，更多功能齐全的平台开始归零，巩固了必要的基本功能，外围功能通过模块插件提供，用户可以互换。

考虑到达到这一步的能力，选择的想法就会变得更加清晰。最后一个问题是，除了性质和模式，我们还应该考虑什么？在与众多客户接触的基础上，我们总结出两点。

沉淀涉及产品迭代历史、用户数量、行业落地案例等多个方面。这些沉淀物可以很好地反映产品的成熟度和稳定性。毕竟，并不是每个人都想成为生产环境中第一个吃螃蟹的人，而是希望能有更好的参考。创新是企业的灵魂，云原生就像高铁，优秀的产品提供商需要能够跟上技术发展，不断创新。企业在使用集装箱云管理平台的同时，在不同阶段总会有不同的需求场景和问题，可以走在用户的前面，引领用户，陪伴用户的成长。通过以上三个层次，或许每个人都有选择的第一个想法。让我们从应用场景开始，看看产品选择能力指标。

场景--多集群和集成环境管理在企业中，越来越多的不同类型的Kubernetes集群，这增加了对混合管理的需求。当我们与客户讨论集群规划时，我们经常听到他们需要在各种环境中构建Kubernetes集群，包括开发、测试、UAT和生产环境。这些应用程序更重要，需要单独的集群支持。我们的X应用程序是从外部获取的，它的基础也是Kubernetes集群，我们需要管理平台。在以前的X部门，我们使用开源工具部署Kubernetes，但现在我们需要暂时管理它，然后考虑新的集群和迁移。除了私有云之外，公共云中也使用Kubernetes集群（我们也想在公共云中使用Kubernetes集群）我们现在容器和VM处于共存状态，整个应用包括容器的执行部分和VM的执行部分。有没有统一管理容器和虚拟机的方式？在云原生时代，随着企业的不断发展，多云混合云的场景越来越普遍。以零售企业为例，APP商城通常都是在私有数据中心运营的，无论是初期业务量小，还是大促销都能得到充分的支持。然而，随着企业的不断发展，推送带来的访问压力已经达到了本地无法支撑的水平，而扩大私有数据中心规模来应对推送是不经济的，通常会导致大量资源闲置。最终，他们采用了混合云解决方案，在公共云中使用Kubernetes集群，并通过统一门户管理私有云和公共云集群。当一个大的推动到来时，它会通过公共云暂时扩展集群节点，以应对压力。由此可见，多集群和环境的统一管理是考虑容器云管理平台的一个重要功能指标。作为一个通用的基础设施，Kubernetes可以很好地解决多云带来的差异化问题，满足企业多云战略的需求。从投资回报率的角度来看，容器云管理平台覆盖的公共云类型越多，FinOps和多云的议价能力就越强。

在增加安全性之前，人们关注的焦点是如何将应用程序容器化以及如何访问Kubernetes。人们对安全的关注越来越多。容器安全性还处于发展的早期阶段，仍然存在一些问题。从技术的角度来看，Kubernetes本身的安全功能较低，虽然以前的版本内置了PSP功能，但仅限于一些与权限相关的保护。另外，在上位版中，该功能被废止。CIS提供Kubernetes基线扫描，但它主要用于检测Kubernetes配置中的安全风险。从知识储备的角度来看，在大多数企业中，了解云原生的工程师并不了解安全性，他们了解安全性但不了解云原生，因此无法开始构建容器安全防护的工作。近年来，云原生相关安全事件接连发生，相关企业遭受了大量损失，安全建设成为一项紧迫任务。一个经过认证的云原生安全防护平台至少必须具备以下功能：CICD嵌入功能：可以在管道中启用保护，实现一定程度的安全左移，例如镜像包完成后进行扫描。访问控制功能：可以在应用程序部署期间提供相应的保护，并最大限度地减少集群中的不安全因素，例如可信仓库和镜像白名单，以及存在安全风险的部署配置块。运行时保护：可以在容器的运行状态中进行相应的保护，如网络保护、进程保护、文件保护等。以零信任为核心的安全保护理念：可以实现对零日攻击和未知攻击的防护。

现在，许多供应商都专注于这一领域，他们提供的产品具有一些功能，可以有效地弥补Kubernetes缺乏安全功能。考虑到体验、易用性和统一管理，容器云管理平台最适合提供适当安全功能的情况。

数据中心到边缘的计算在过去两年中一直是一个热门领域，许多公司都在利用容器和Kubernetes技术来充分利用云端协作的效率。行业对边缘的定义并不统一，不同企业由于格式不同，对边缘的定义也不一样，对于银行来说，边缘可以是网络或者各种金融终端设备，对于制造业来说，边缘可以是工厂侧或者生产线侧。对于有边缘应用场景的企业来说，选择时首先要考虑平台是否具有实现云边缘协同的能力。此外，我们还需要考虑云边缘协作程序是否具有可扩展性，是否能适应各种服务器，是否能覆盖小型计算资源设备，并能实现高度的自动化交付，从而提高效率。例如，目前边缘侧有大量的设备，一般的部署过程大致如下。安装操作系统部署边缘群集以安装相应的Kubernetes版本。部署在云管理平台上注册的各种应用程序当前热边缘计算分发方式分为两个步骤Day1设备通过自定义镜像自动部署OS和群集。根据实现Day2自动注册的编排要求，GitOps会自动将不同的应用程序同步到不同的边缘集群，通过自动化大大简化了交付过程，提高了整体效率。如果该平台能够提供足够灵活的云端协作解决方案和高度自动化的交付，它将为企业带来强大的边缘计算构建。目前，在实施大多数边缘计算解决方案时，需要在边缘端投入更多的人员进行初始工作，例如安装操作系统、安装半自动Kubernetes发行版和云注册，自动化程度越高，劳动力成本就越低。最后写的--这篇文章从行业角度出发，提供了一些普遍适用的容器云管理平台的考虑因素。在云原生领域，虽然有开源和闭源，但表面上有产品功能同质化的趋势，但其背景和概念是不同的。以Rancher为例，作为第一个完全开源的容器管理平台，它陪伴用户走过了Docker Swarm、mesos和Kubernetes三个时代。版本2.x针对社区和技术，并专注于Kubernetes 管理。在此过程中，Rancher积累了大量用户，是世界上使用最多的容器云管理平台，并且一直在努力让用户可以在任何地方管理Kubernetes集群，以实现无处不在的计算。

在此过程中，我们发布了一系列围绕Kubernetes的开源产品，包括存储产品Longhorn、边缘计算产品K3s和Elemental、持续交付产品Fleet、超融合产品Harvester、个人使用产品Rancher Desktop和安全产品NeuVector，以持续把握用户需求和挑战。此外，我们还在不断孵化新产品，如CICD产品EPINIO和AIOps产品OPNI，使我们能够通过Rancher更轻松地设计和构建云原生平台。