AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

Datadog 使用大规模 Kubernetes 集群的艰辛之路

  • 2020-01-02
  • 本文字数:1518 字

    阅读完需:约 5 分钟

Datadog使用大规模Kubernetes集群的艰辛之路

来自 Datadog 的Laurent Bernaille柏林举行的Velocity会议上讨论了运维大型自管理 Kubernetes 集群所面临的挑战。Bernailed 聚焦在如何配置弹性和可扩展的控制平面,为何和如何频繁地循环更新证书,以及在 Kubernetes 中使用网络插件实现高效通信的必要性。


传统的架构方式会将所有的 Kubernetes master 组件都放到同一台服务器上,并且至少有三台这样服务器来保持高可用性。但是,这些组件有不同的职责,不能或者不需要以相同的方式进行扩展。举例来说,调度器(scheduler)和控制器(controller)是无状态的组件,这使得它们很易于扩展。但是,etcd 是有状态的,需要数据的冗余备份。同时,像调度器这样的组件会与一个选举机制协作,确保只有一个实例是处于激活状态的。Bernaille 认为扩展调度器并没有什么意义。


因此,Datadog 决定将 Kubernetes 组件切分到不同的服务器上,这些服务器有不同的资源并配置自定义的扩展策略。对于像 API 服务器这样的组件,他们在该组件之前放置了一个负载均衡器,从而能够正确地分配请求。而对于 etcd 服务器,他们也对其进行了拆分,形成了一个专门的 etcd 集群,只用来处理 Kubernetes 事件。



Bernaille 指出,Kubernetes 在所有的组件通信时会使用加密和 x509 证书。所以,为了避免出现证书的问题,比如证书过期,Datadog 决定每天都轮流更新证书。但是,轮流更新证书是一项很具挑战性的任务,因为 Kubernetes 需要在不同的组件和服务器上安装和使用不同的证书。同时,Datadog 意识到在每次轮流更新之后,他们必须要重新启动像 API 服务器这样的组件。因此,Datadog 决定将每天的证书轮流更新自动化并把该任务交给HaschiCorp Vault来实现。


但是,鉴于kubelet按需生成证书的运行方式,Datadog 决定在 kubelet 的每日轮流更新中采用一种例外规则。尽管存在挑战和复杂性,但是 Bernaille 依然建议要频繁地轮流更新证书。这不是一项简单的任务,不过用户能够避免将来在证书过期时出现问题,更糟糕的是在日志中可能并没有证书过期的明显标志。



Bernaille 提到,Datadog 还面临网络方面的挑战,因为需要大量的服务器来运行他们的平台。Bernaille 花了一些时间阐述 Kubernetes 节点会有一个 IP 地址的范围,它们被用来给 pod 分配 IP 地址。因此,对于小型集群来说,使用静态路由实现 pod 之间的通信能够运行地非常好。但是,对于中等规模的集群来说,一种有效的方式就是使用网络覆盖(networking overlays),在这种方式中,节点通过隧道进行通信。在 Datadog,有效的方式是在整个网络中,为 pod 分配一个可路由的 IP。通过这种方式,到 pod 的通信是直接连接的,不再需要像 kube-proxy 这样的中介。GCP以IP别名的方式支持该模型AWS也以弹性网络接口(elastic network interface,ENI)的形式提供了支持,对于企业的内建集群,用户可以使用像Calico这样的工具。


最后,Bernaille 讨论了跨不同集群的通信。默认情况下,在 Kubernetes 中,当一个外部请求到达集群时,Kubernetes 会通过 kube-proxy 来路由流量。但是,如果请求到达了一个不正确的节点,目标 pod 并没有运行,那么 kube-proxy 必须将请求重定向到正确的节点。有种替代方案是创建一个外部流量策略或者使用ingress控制器,但是该方案并不适用于大规模集群。因此,Datadog 借助AWS中的ALB ingress控制器针对 HTTP 通信实现了原生路由。



Bernaille 最后说,他们在 DNS、有状态应用和应用部署方面还面临着其他的挑战,但是他没有足够的时间来深入讨论这些话题。不过,他推荐观看Jerome Petazzoni关于Kubernetes内部核心的演讲以及更早的关于Datadog使用Kubernetes艰辛之路的演讲


原文链接:


Kubernetes the Very Hard Way With Large Clusters at Datadog


2020-01-02 09:002905

评论

发布
暂无评论
发现更多内容

对话在行人|达梦数据库:通过数智化转型推进国产替代

用友BIP

对话在行人

新云原生项目Kmesh正式开源,华为云持续创新,加速行业智能化升级

华为云开源

开源 云原生

软件测试/测试开发丨App自动化测试-弹窗异常处理

测试人

Python 软件测试 异常处理 弹窗

OpenHarmony组件内状态变量使用:@State装饰器

OpenHarmony开发者

OpenHarmony

精彩议程抢先看 | 第四届 CID 大会线下参会报名启动!

OpenAnolis小助手

云计算 架构 深圳 龙蜥社区 CID

源码, AST, IR, CFG之间的关系梳理

华为云PaaS服务小智

云计算 软件开发 华为云

【央企】一体化资金结算领先实践 统一集中 安全可控 实时高效

用友BIP

领先实践 央企资金管理

TDengine OSS 与 qStudio 实现无缝协同,革新数据分析和管理方式

TDengine

时序数据库 ​TDengine

这些负载均衡都解决哪些问题?服务、网关、NGINX

王中阳Go

nginx 负载均衡 微服务 面试题 网关

线程的五种状态

程序员万金游

Java】 #java #java程序员 #java面试

六个为Rust构建的IDE

树上有只程序猿

rust语言

当 FineReport 遇见 CnosDB

CnosDB

开源 时序数据库 CnosDB FineReport

软件测试/测试开发丨Python模块与包 学习笔记

测试人

Python 程序员 软件测试

HarmonyOS应用窗口管理(Stage模型)

HarmonyOS开发者

HarmonyOS

GaussDB(DWS)实践案例丨MERGE场景下语句不下推引起的性能瓶颈问题

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟

和鲸联合南开大学赵宏教授,共建新文科计算机交叉课程

ModelWhale

人才培养 数据科学 高等教育 新文科 双一流

天启科技联创郭志强:趟遍教育行业信数化沟坎,创业智能赛道重塑行业生态

科创人

音视频关键技术盘点!小白入行指南

X2Rtc

音视频 RTC

欢迎体验

开源物联卡管理平台-设备管理

物联网 IoT 国际化 通信系统 通信平台

这款可视化拖拽式低代码平台,真香!

树上有只程序猿

低代码平台 JNPF

数字时代 低代码赋能新零售系统

力软低代码开发平台

带宽优化新思路:RoCE网卡聚合实现X2增长

华为云开发者联盟

开发 华为云 宽带 网卡 华为云开发者联盟

第3期 | 立势 万物互联、全域融通

用友BIP

项目管理

华为云CodeArts Check代码检查服务用户声音反馈集锦(8)

华为云PaaS服务小智

云计算 软件开发 华为云

BOE(京东方)“照亮成长路”百所智慧教室落地偏远地区 携手故宫启动百堂公益课

科技热闻

C4D梦幻色彩的3种表现方法

Finovy Cloud

C4D

TE智库|《刻画未来的道路:中国服务机器人产业研究报告》发布

TE智库

服务机器人

Datadog使用大规模Kubernetes集群的艰辛之路_软件工程_Christian Melendez_InfoQ精选文章