2015开篇Docker Meetup：从技术概念到商业实践

Kubernetes系统架构介绍

　　Cisco高级工程师杨章显，首先介绍了Kubernetes的基本信息，Kubernetes是Google开源的容器集群管理工具，具有轻量、简单、适用度广、可扩展和自我修复等特点。

　　Kubernetes中有几个核心概念，理解了它们就能大概理解Kubernetes的核心架构：

Kubernetes的架构

• Pod：Docker容器的集合，可以通过Kubernetes创建、调度、管理；
• BoundPod：运行在主机上的容器集合；
• ReplicationController：Pod的集合，Replicas副本，确保任何时候指定数量Pod在运行，管理Pod的生命周期；
• Services：一系列Pod的单一访问portal，服务IP，服务端口，负载均衡器；
• Labels/Selector：键值对，用于管理和选择一组对象；

　　杨章显在这几个概念的基础上介绍了Kubernetes的系统架构，Kubernetes由哪些组件构成，各个组件的主要功能以及各个组件之间如何通信、协同工作。

Docker与数据库的应用结合

　　UCloud高级技术专家罗成对，带来的演讲内容是Docker与数据库的应用结合。早在2013年，UCloud就开始践行Docker。针对UCloud自身业务的快速增长和业务数据的暴涨，UDB产品本身具备高可用、高扩展性，所以内部业务将Docker化的UDB作为首选。按需申请、极速部署非常完美得解决了业务带来的存储压力。目前UDB集群运行稳定，内部有几千个docker容器提供数据服务和网络服务，完美地支撑公司云平台，支持众多产品线。

　　罗成对最后分享了实践中一些宝贵经验以及Docker的优缺点，笔者认为很有借鉴意义：

经验

• Image方面：保证来源干净可靠（推荐官网），并不是被引用越多的镜像越可靠；利用Dockerfile安装必要工具；要有合理的版本维护；
• 操作系统：内核版本和Docker要适配；cgroups挂载点；最大文件数，限制DB的连接数等等；
• 数据卷持久化数据：设置合理的读写权限；

　　安全性是很多人一直关注的问题，罗成对认为Docker已经提供了足够好的安全特性，如果对安全要求极高，还可以从以下几个方面进行进一步改进：

• 网络设置：自定义网桥，限制docker0；内网隔离；禁止暴露端口；配置DNS等；
• 安全加强：启用SELinux/GRSEC，启用能力机制，注意某些超级权限；
• DockerDaemon防护：禁止宿主机根目录映射，禁止滥用root权限。

Docker的问题及应对措施

罗成对主要介绍了以下几个问题及应对措施：

1. Service异常：出现停服、自动重启（概率极低）的问题，造成container存活状态存在不确定性，应对措施是实时监控dockerservice；
2. 数据卷读写异常：rw变ro（小概率事件），造成映射目录无法写入，应对措施是重启container；
3. Docker版本升级异常：向下不兼容，造成已存images消失，这种情况只能预防，保持存量机器不升级；
4. Dockercgroup异常，会造成资源使用超配额，导致OOM，应对措施是实时监控资源使用率。

　　本次Docker Meetup，笔者最大的感受就是大家已经都在实践中使用Docker，分享的内容越来越实际了，相信2015年我们会看到国内更多的实践应用，也会有更多相关的初创企业涌现出来，2015年会是Docker在国内真正落地的一年！