● 背景

● 需求分析與技術選型

● 容器鏡像

● 監控報警

● 可靠性保障

● 總結

商湯科技是一家計算機視覺領域的AI創業公司，公司內會有一些業務需要雲端API支持，一些客戶也會通過公網調用這些所謂SaaS服務。總體來講，雲API的架構比較簡單，另外由於公司成立不久，歷史包袱要輕許多，很多業務在設計之初就有類似微服務的架構，比較適合通過容器化來適配其部署較繁復的問題。

公司各個業務線相對獨立，在組織上，體現在人員，績效及匯報關系的差異；在技術上體現在編程語言，框架及技術架構的獨自演進，而服務的部署上線和後續維護的工作，則劃歸於運維部門。這種獨立性、差異性所加大的運維復雜度需要得到收斂。

我們遇到的問題不是新問題，業界也是有不少應對的工具和方法論，但在早期，我們對運維工具的復雜性增長還是保持了一定的克制：ssh + bash script扛過了早期的一段時光，ansible也得到過數月的應用，但現實所迫，我們最終還是投向了Docker的懷抱。

Docker是革命性的，幹凈利落的UX俘獲了技術人員的芳心，我們當時所處的時期，容器編排的大戰則正處於Docker Swarm mode發布的階段，而我們需要尋找那種工具，要既能應對日益增長的運維復雜度，也能把運維工程師從單調、重復、壓力大的發布中解放出來。

Rancher是我們在HackerNews上的評論上看到的，其簡單易用性讓我們看到了生產環境部署容器化應用的曙光，但是要真正能放心地在生產環境使用容器，不“翻車”，還是有不少工作要做。由於篇幅的原因，事無巨細的描述是不現實的。我接下來首先介紹我們當時的需求分析和技術選型，再談談幾個重要的組成部分如容器鏡像、監控報警和可靠性保障。

暫時拋開容器/容器編排/微服務這些時髦的詞在一邊，對於我們當時的情況，這套新的運維工具需要三個特性才能算成功：開發友好、操作可控及易運維。

能把應用打包的工作推給開發來做，來消滅自己打包/編譯如java/ruby/python代碼的工作，但又要保證開發打出的包在生產環境至少要能運行，所以怎麽能讓開發人員方便正確地打出發布包，後者又能自動流轉到生產環境是關鍵。長話短說，我們采取的是Docker + Harbor的方式，由開發人員構建容器鏡像，通過LDAP認證推送到公司內部基於Harbor的容器鏡像站，再通過Harbor的replication機制，自動將內部鏡像同步到生產環境的鏡像站，具體實現可參考接下來的容器鏡像

能讓開發人員參與到服務發布的工作中來，由於業務線迥異的業務場景/技術棧/架構，使得只靠運維人員來解決發布時出現的代碼相關問題是勉為其難的，所以需要能夠讓開發人員在受控的情境下，參與到服務日常的發布工作中來，而這就需要像其提供一些受限可審計且易用的接口，WebUI+Webhook就是比較靈活的方案。這方面，Rancher提供的功能符合需求。

運維復雜度實話說是我們關註的核心，畢竟容器化是運維部門為適應復雜度與日俱增而發起的，屁股決定腦袋。考慮到本身容器的黑盒性和穩定性欠佳的問題，再加上真正把容器技術搞明白的人寥寥無幾，能平穩落地的容器化運維在我們這裏體現為三個需求：多租戶支持，穩定且出了事能知道，故障切換成本低。多租戶是支持多個並行業務線的必要項；容器出問題的情況太多，線上環境以操作系統鏡像的方式限定每臺機器Docker和內核版本；由於傳統監控報警工具在容器化環境捉襟見肘，需要一整套新的監控報警解決方案；沒人有把握能現場調試所有容器問題（如跨主機容器網絡不通/掛載點泄漏/dockerd卡死/基礎組件容器起不來），需要藍綠部署的出故障後能立刻切換，維護可靠與可控感對於一個新系統至關重要。

總結一下，Rancher, Harbor, Prometheus/Alertmanager為主的開源系統組合可以基本滿足容器管理的大部分需求，總體架構如下圖

sudo -s
cat << EOF > /etc/docker/daemon.json
{
  "insecure-registries": ["quay.io", "gcr.io","k8s.gcr.io],
  "registry-mirrors": ["https://mirror.example.com"]
}
EOF
systemctl restart docker.service

# 測試解析，應解析到一個內網IP地址(private IP address)
# 拉取dockerhub鏡像
docker pull ubuntu:xenial
# 拉取google鏡像
docker pull gcr.io/google_containers/kube-apiserver:v1.10.0
# 拉取quay鏡像
docker pull quay.io/coreos/etcd:v3.2
# minikube
minikube start --insecure-registry gcr.io,quay.io,k8s.gcr.io --registry-mirror https://mirror.example.com

由於zabbix等傳統監控報警工具容器化環境中捉襟見肘，我們需要重新建立一套監控報警系統，幸虧prometheus/alertmanager使用還算比較方便，並且已有的zabbix由於使用不善，導致已有監控系統的用戶體驗很差（誤報/漏報/報警風暴/命名不規範/操作復雜等等），不然在有限的時間和人員條件下，只是為了kick start而什麽都得另起爐竈，還是很麻煩的。

其實分布式系統的監控報警系統，不論在是否用容器，都需要解決這些問題：能感知機器/容器（進程）/應用/三個層面的指標，分散在各個機器的日誌要能盡快收集起來供查詢檢索及報警低信噪比、不誤報不漏報、能“望文生義”等。

而這些問題就像之前提到的，prometheus/alertmanager已經解決得比較好了：通過exporter pattern，插件化的解決靈活適配不同監控目標(node-exporter, cAdvisor, mysql-exporter, elasticsearch-exporter等等)；利用prometheus和rancher dns服務配合，可以動態發現新加入的exporter/agent；alertmanager則是一款很優秀的報警工具，能實現alerts的路由/聚合/正則匹配，配合已有的郵件和我們自己添加的微信（現已官方支持）/電話（集成阿裏雲語音服務），每天報警數量和頻次達到了oncall人員能接受的狀態。

至於日誌收集，我們還是遵從了社區的推薦，使用了Elasticsearch + fluentd + Kibana的組合，fluentd作為Rancher的Global Serivce（對應於Kubernetes的daemon set），收集每臺機器的系統日誌，dockerd日誌，通過docker_metadata這個插件來收集容器標準輸出(log_driver: json_file)的日誌，rancher基礎服務日誌，既本地文件系統壓縮存檔也及時地發往相應的elasticsearch服務（並未用容器方式啟動），通過Kibana可視化供產品售後使用。基於的日誌報警使用的是Yelp開源的elastalert工具。

為每個環境手動創建監控報警stack還是蠻繁瑣的，於是我們也自定義了一個Rancher Catalog來方便部署。

監控報警系統涉及的方面太多，而至於什麽是一個“好”的監控報警系統，不是我在這裏能闡述的話題，Google的Site Reliability Engineering的這本書有我認為比較好的詮釋，但一個拋磚引玉的觀點可以分享，即把監控報警系統也當成一個嚴肅的產品來設計和改進，需要有一個人（最好是核心oncall人員）承擔產品經理般的角色，來從人性地角度來衡量這個產品是否真的好用，是否有觀感上的問題，特別是要避免破窗效應，這樣對於建立oncall人員對監控報警系統的信賴和認可至關重要。

分布式系統在提升了並發性能的同時，也增大了局部故障的概率。健壯的程序設計和部署方案能夠提高系統的容錯性，提高系統的可用性。可靠性保障是運維部門發起的一系列目的在於保障業務穩定/可靠/魯棒的措施和方法，具體包括：

● 生產就緒性檢查

● 備份管理體系

● 故障分析與總結

● chaos monkey

主要談談chaos monkey，總體思路就是流水不腐，戶樞不蠹。通過模擬各種可能存在的故障，發現系統存在的可用性問題，提醒開發／運維人員進行各種層面的改進。

• 大多數故障無需人立刻幹預

• 業務異常（如HTTP 502/503）窗口在兩分鐘以內

• 報警系統應該保證

• 不漏報

• 沒有報警風暴

• 報警分級別（郵件/微信/電話）發到該接收報警的人

我們需要進行測試的case有：

• service升級

• 業務容器隨機銷毀

• 主機遣散

• 網絡抖動模擬

• Rancher基礎服務升級

• 主機級別網絡故障

• 單主機機器宕機

• 若幹個主機機器宕機

• 可用區宕機

1、體量較小公司也可以搭建相對可用的容器平臺。

2、公司發展早期投入一些精力在基礎設施的建設上，從長遠來看還是有價值的，這種價值體現在很早就可以積累一批有能力有經驗有幹勁兒的團隊，來不斷對抗規模擴大後的復雜性猛增的問題。一個“讓人直觀感覺”，“看起來”混亂的基礎技術架構，會很大程度上影響開發人員編碼效率。甚至可以根據破窗原理揣測，開發人員可能會覺得將會運行在“臟”，“亂”，”差”平臺的項目沒必要把質量看得太重。對於一個大的組織來講，秩序是一種可貴的資產，是有無法估量的價值的。

3、鏡像拉取慢問題也可以比較優雅地緩解。

4、國內訪問國外網絡資源總體來講還是不方便的，即使沒有GFW，帶寬也是很大的問題。而我們的解決方案也很樸素，就是緩存加本地訪問，這樣用比較優雅高效地方法解決一個“蒼蠅”問題，改善了很多人的工作體驗，作為工程人員，心裏是很滿足的。

5、容器化也可以看作是一種對傳統運維體系的重構。

6、容器化本質上是當容器成為技術架構的所謂building blocks之後，對已有開發運維解決方案重新審視，設計與重構。微服務、雲原生催生了容器技術產生，而後者，特別是Docker工具本身美妙的UX，極大地鼓舞了技術人員與企業奔向運維“應許之地”的熱情。雖然大家都心知肚明銀色×××並不存在，但Kubernetes ecosystem越來越看起來前途不可限量，給人以無限希望。而販賣希望本身被歷史不斷證明，倒真是穩賺不虧的商業模式。

1、感謝Richard Stallman為代表的自由軟件運動的參與者、貢獻者們，讓小人物、小公司也能有大作為。

2、感謝Google Search讓搜索信息變得如此便利。

3、感謝Docker公司及Docker軟件的貢獻者們，催生了一個巨大的行業也改善了眾多開發/運維人員的生活。

4、感謝Rancher這個優秀的開源項目，提供了如Docker般的容器運維UX。

5、感謝GitHub讓軟件協作和代碼共享如此便利和普及。

6、感謝mermaid插件的作者們，可以方便地用markdown定義編輯好看的流程圖。