本文介绍容器服务ACK的优势以及自建Kubernetes的劣势。

ACK的优势

优势 说明
强大的集群管理
  • 三种集群形态:专有版Kubernetes集群、托管版Kubernetes集群、Serverless Kubernetes集群。
  • 托管版Kubernetes集群的管控节点默认为3个可用区的高可用部署。
  • 单集群支持千量级ECS节点。详细配额,请参见ACK集群配额限制
  • 支持跨可用区集群以及注册外部集群。关于注册集群的介绍,请参见注册集群概述
极致弹性的资源扩缩
  • 根据容器资源使用情况,快速自动地调整容器数量。
  • 数分钟内扩展到上千个节点。
  • 如果您使用了Serverless Kubernetes 版 (ASK) 和弹性容器实例ECI,可在30秒内启动500个容器组。
  • 支持一键垂直扩缩容。
  • 支持服务级别的亲和性策略和横向扩展。
  • 提供社区标准的HPA、VPA、Autoscaler等能力。
  • 提供类似CronHPA的定时伸缩能力,vk-autoscaler的无服务器弹性能力等。
  • 针对在线业务提供elastic workload的精细化调度弹性能力。
  • 针对不同的弹性场景提供了alibaba-metrics-adapter,实现诸如Ingress网关、Sentinel微服务限流等应用层弹性场景优化。
一站式容器管理
  • 应用管理:
    • 支持灰度发布,蓝绿发布、应用监控,应用弹性伸缩。
    • 内置应用商店,支持一键部署Helm应用。
  • 镜像仓库(什么是容器镜像服务ACR):
    • 高可用,支持大并发。
    • 支持镜像加速。
    • 支持大规模P2P分发,可自动执行并优化基本镜像分发流程,最大分发到1万个节点,效率提升4倍。
    说明 您如果使用自建的镜像仓库,在百万级的客户端同时拉取镜像的时候,会存在镜像仓库崩溃的可能性。使用容器服务ACR可以提高镜像仓库的可靠性,减少运维负担和升级压力。
  • 日志:
    • 支持日志采集及将采集的日志集成到日志服务。
    • 支持集成第三方开源日志解决方案。
  • 监控:
    • 支持容器级别和VM级别的监控。
    • 支持集成第三方开源监控解决方案。
丰富的工作节点
  • 按资源类型划分:
    • x86计算资源:x86计算类型ECS。
    • 异构计算资源:GPU ECS、NPU ECS、FPGA ECS。
    • 裸金属计算资源:神龙服务器。
    • Serverless计算资源:ACK virtual node。
    • 边缘节点:ACK@Edge支持统一管理云端和边缘节点,以及统一的应用发布,发布效率提升3倍。
  • 按付费模式划分:
    • 抢占式实例
    • 包年包月
    • 按量付费
最优的IaaS层能力
  • 网络:
    • 提供高性能VPC/ENI网络插件,性能比普通网络方案提升20%。
    • 支持容器访问策略和流控限制。
  • 存储:
    • 支持阿里云云盘、文件存储NAS、对象存储OSS,提供标准的CSI驱动。
    • 支持存储卷的动态创建和迁移。
  • 负载均衡:

    支持创建负载均衡实例(公网、内网)。

    说明 如果您在使用自建Kubernetes集群的过程中,使用自建的Ingress,频繁的业务发布可能会造成Ingress的配置压力并增加出错概率。容器服务ACK的SLB方案支持原生的阿里云高可用负载均衡,可以自动完成网络配置的修改和更新。该方案经历了大量用户长时间的使用,稳定性和可靠性都大大超过自建Ingress方案。
企业级的安全稳定 在开发生命周期之初便集成了多层安全防护功能,从底层基础设施到中间软件供应链,再到顶层运行时环境,为云原生架构提供全面保护。
  • 端到端的安全能力:
    • 基础架构安全:支持全方位网络安全隔离管控和全链路数据加密,提供阿里云主子账号和Kubernetes RBAC权限体系的联动,并支持细粒度的权限管理和完备的审计能力。
    • 软件供应链安全:支持镜像扫描、安全云原生交付链、镜像签名、镜像扫描、镜像同步构成的完整DevSecOps。
    • 运行时安全:提供应用维度的安全策略管理,配置巡检,运行时刻监控和告警,密钥加密和管理等运行时刻的纵深防御能力。
  • 默认安全:
    • 提供容器优化的操作系统镜像,提供经过稳定测试和安全加固的Kubernetes集群和Docker版本。
    • 基于CIS Benchmark和容器安全最佳实践,对集群配置和系统组件/镜像的安全合规进行加固。
    • 节点默认云资源权限的最小化收敛。
  • 安全沙箱:可以让应用运行在一个轻量虚拟机沙箱环境中,拥有独立的内核,具备更好的安全隔离能力。适用于不可信应用隔离、故障隔离、性能隔离、多用户间负载隔离等场景。
  • 机密计算:基于Intel SGX提供的可信应用或用于交付和管理机密计算应用的云原生一站式机密计算平台,帮助您保护数据使用中的安全性、完整性和机密性。机密计算可以让您把重要的数据和代码放在一个特殊的可信执行加密环境。
全天候技术支持 通过工单系统,为您提供7*24小时的专业技术支持。

自建Kubernetes的劣势

  • 搭建集群繁琐。

    您需要手动配置Kubernetes相关的各种组件、配置文件、证书、密钥、相关插件和工具,整个集群搭建工作需要花费专业人员数天到数周的时间。

  • 在公共云上,需要投入大量的成本实现和云产品的集成。

    与阿里云上其他产品的集成,需要您自己投入成本来实现,如日志服务、监控服务和存储管理等。

  • 容器是一个系统性工程,涉及网络、存储、操作系统、编排等各种技术,需要专门的人员投入。
  • 容器技术一直在不断发展,版本迭代快,需要不断地试错、升级、测试。