业务上云安全高效、稳定高可用是每一位涉云从业者的共同诉求。这一诉求实现的前提,离不开系统可用性、数据可靠性及运维稳定性三者的完美配合。本文将从评估项目、影响说明及评估参考三个角度为您阐述云上容器应用部署的各个检查项,以便帮助您扫除上云障碍、顺利高效地完成业务迁移至容器服务(TKE)。
| 类别 | 评估项目 | 类型 | 影响说明 | 评估参考 |
|---|---|---|---|---|
| 集群 | 创建集群前,结合业务场景提前规划节点网络和容器网络,避免后续业务扩容受限。 | 网络规划 | 集群所在子网或容器网段较小,将可能导致集群实际支持的可用节点数少于业务所需容量。 | |
| 创建集群前,提前梳理专线接入、对等连接、容器网段和子网网段等相关网段的规划,避免之后出现网段冲突,影响业务。 | 网络规划 | 简单组网场景按照页面提示配置集群相关网段,避免冲突;业务复杂组网 场景,例如对等连接、专线接入、VPN 等,网络规划不当将影响整体业务正常互访。 | VPC 连接 | |
| 创建集群时,会自动新建并绑定默认安全组,支持根据业务需求设置自定义安全组规则。 | 部署 | 安全组是重要的安全隔离手段,不当的安全策略配置可能会引起安全相关的隐患及服务连通性等问题。 | 容器服务安全组设置 | |
| Containerd 和 Docker 作为 TKE 当前支持的运行时组件,有不同的适用场景。创建集群时,请根据业务场景选择合适的容器运行时(Container Runtime)组件。 | 部署 | 集群一旦创建,便无法更改容器运行时,除非重新创建集群。 | 如何选择 Containerd 和 Docker | |
| 默认情况下,Kube-proxy 使用 iptables 来实现 Service 到 Pod 之间的负载均衡。创建集群时,支持快速开启 IPVS 来承接流量并实现负载均衡。 | 部署 | 当前支持在创建集群时开启 IPVS,之后对全集群生效且将不可关闭。 | 集群启用 IPVS | |
| 创建集群时,根据业务场景选择合适的集群模式:独立集群、托管集群。 | 部署 | 托管集群的 Master 和 Etcd 不属于用户资源,由腾讯云技术团队集中管理和维护,用户无法修改 Master 和 Etcd 的部署规模和服务参数。如需修改,请选用独立部署模式集群。 | ||
| 工作 负载 |
创建工作负载时需设置 CPU 和内存的限制范围,提高业务的健壮性。 | 部署 | 同一个节点上部署多个应用,当未设置资源上下限的应用出现应用异常资源泄露问题时,将会导致其它应用分配不到资源而异常,且其监控信息将会出现误差。 | 设置工作负载的资源限制 |
| 创建工作负载时可设置容器健康检查:“容器存活检查”和“容器就绪检查”。 | 可靠性 | 容器健康检查未配置,会导致用户业务出现异常时 Pod 无法感知,从而导致不会自动重启恢复业务,最终将会出现 Pod 状态正常,但 Pod 中的业务异常的现象。 | 服务健康检查设置 | |
| 创建服务时需要根据实际访问需求选择合适的访问方式,目前支持以下四种:提供公网访问、仅在集群内访问、VPC 内网访问及主机端口访问。 | 部署 | 选择不当的访问方式,可能造成服务内外部访问逻辑混乱和资源浪费。 | Service 管理 | |
| 工作负载创建时,避免单 Pod 副本数设置,请根据自身业务合理设置节点调度策略。 | 可靠性 | 如设置单 Pod 副本数,当节点异常或实例异常会导致服务异常。为确保您的 Pod 能够调度成功,请确保您在设置调度规则后,节点有空余的资源用于容器的调度。 |
| 类别 | 评估项目 | 类型 | 影响说明 | 评估参考 |
|---|---|---|---|---|
| 容器数据持久化 | 应用 Pod 数据存储,根据实际需求选择合适的数据卷类型。 | 可靠性 | 节点异常无法恢复时,存在本地磁盘中的数据无法恢复,而云存储此时可以提供极高的数据可靠性。 | Volume 管理 |
| 类别 | 评估项目 | 类型 | 影响说明 | 评估参考 |
|---|---|---|---|---|
| 工程 | CVM、VPC、子网及 CBS 等资源配额是否满足客户需求。 | 部署 | 配额不足将会导致创建资源失败,对于配置了自动扩容的用户尤其需要保障所使用的云服务配额充足。 | |
| 集群的节点上不建议用户随意修改内核参数、系统配置、集群核心组件版本、安全组及 LB 相关参数等。 | 部署 | 可能会导致 TKE 集群功能异常或安装在节点上的 Kubernetes 组件异常,节点状态变成不可用,无法部署应用到此节点。 | 容器服务高危操作 | |
| 主动 运维 | 容器服务提供多维度的监控和告警功能,同时结合云监控提供的基础资源监控,能保证更细的指标覆盖。配置监控告警,以便于异常时及时收到告警和故障定位。 | 监控 | 未配置监控告警,将无法建立容器集群性能的正常标准,在出现异常时无法及时收到告警,需要人工巡检环境。 |
2020年是人工智能技术发展的关键年。疫情之下,世界见证了人工智能在抗击疫情中发...
Kettle版本 8.2.0.0-342 MaxCompute JDBC driver版本 3.2.8 Setup下载并安装Kett...
2020年10月14日下午,“第五期 IPv6 +产业论坛”与北京“2020 年中国国际信息通...
【背景说明】 使用jmeter进行性能测试时,工具自带的查看结果方式往往不够直观和...
当项目周期快结束时,开发人员会越来越关注应用的安全性问题。一个安全的应用程...
域名注册 实名个人好还是单位好?这个其实不存在好坏,看 域名 的所有者是个人还...
操作场景 本文以 云服务器 的操作系统为“CentOS 7.4 64位”为例,采用Parted分...
删除SSH密钥对后不可恢复,但是正在使用该密钥对的实例不受影响,实例信息中仍然...
每日集成开发者社区精品内容,你错过的干货补给站 每日精选博文推荐 阿里集团业...
购买网站 域名 多少钱一年?这个取决于选择什么样的域名后缀作为网站域名,目前...
