其中 “前沿开源技术领域解读” 部分,多位在其领域有所建树的一线开发者和开源商业化公司创始人,对目前国内外流行的前沿开源技术领域过去的发展和未来的趋势进行了深入的洞察,覆盖开源云原生、开源 AI、开源大前端、开源大数据、开源 DevOps、RISC-V、开源操作系统、开源数据库、编程语言九大领域。
软件架构经历了从单体架构、垂直架构到 SOA 架构,再到现在的以微服务、服务网格等云原生技术为主的演变过程。云原生正在被广泛用于构建统一的标准 IT 基础设施,并持续演进。与此同时,随着数字化转型加速,云原生技术正在从开始起步的互联网行业,逐渐覆盖到金融、政务、物流、能源、交通等各行各业,形成了一种千行百业拥抱云原生的局面。
2022 年,云原生展露了一些趋势。因我更多地关注服务网格领域,在此就该方向谈谈我的观点,欢迎其他专家交流。一是零信任的云原生安全备受关注。CNCF 在《云原生安全白皮书》中指出,“我们需要在应用安全生命周期中采用更自动化和安全的架构设计(如零信任)”,这表明云原生安全越来越受重视。零信任安全意味着默认情况下,网络内外都不信任任何人,并且要对试图访问网络资源的每一个人进行验证。部署服务网格有助于缩小云原生部署的攻击面,并为构建零信任应用网络提供关键框架。二是 API 网关与服务网格融合。Ingress 作为 Kubernetes 的初代入口网关,资源模型过于简单,以致无法适应当今的可编程网络。Gateway API 作为 Kubernetes 入口网关的最新成果,它通过角色划分将关注点分离,并提供跨 namespace 支持使其更适应多云环境,已获得大多数 API 网关的支持;入口网关(南北向)与服务网格(东西向,集群内路由)存在部分功能重叠,Gateway API 为两者的融合提供了新的参考模型。三是 eBPF 开始兴起。越来越多的开源项目使用 eBPF 技术,比如 Cilium 将 eBPF 引入容器原生网络,Merbridge 使用 eBPF 加速 Istio 中的透明流量劫持,Pixie 使用 eBPF 来构建可观察性堆栈,SkyWalking 使用 eBPF 来诊断服务网格的性能问题。四是无 Sidecar 模式的服务网格可供选择。Istio 推出了 Ambient 部署模式,这是一种新的 Istio 数据平面模式,旨在简化操作、扩大应用兼容性并降低基础设施成本。用户可以选择将 Ambient Mesh 集成到其基础设施的网格数据平面,放弃 sidecar 代理,同时保持 Istio 的零信任安全、遥测和流量管理等核心功能。五是 WebAssembly 崛起。WebAssembly 正在发展成为云原生环境中跨平台、多语言的沙箱环境,甚至可以替代容器运行时,在 Kubernetes 中编排调度。WasmEdge、KubeEdge、Istio 等项目可以从控制平面无缝编排 Wasm 工作负载。
宋净超
Tetrate 布道师/云原生社区创始人,CNCF 大使,《未来架构》《深入理解 Istio》图书作者之一,多本云原生图书译者,开源爱好者,个人博客 jimmysong.io 。
Alexei Starovoitov 在 2014 年引入了扩展 BPF (external BPF) 设计,可以直接将 BPF 虚拟机开放至用户空间,为内核运行用户空间程序。谁也不会预想到,它在 2022 年被火热追捧。eBPF 具备的安全以及高效的特点,在云、容器以及微服务应用发展迅速的今天,使基于 eBPF 的应用程序有了更多契合场景,在云安全、容器网络、分布式应用追踪以及可观测性等方面得到了广泛使用与创新。在可观测领域,eBPF 提供了一个面向云原生环境各层面数据获取的方式。从基础设施的角度,不仅降低监控数据获取代价,而且有效地覆盖运行云、容器平台之上的所有应用、系统、网络的监控与观测数据。这是一个非常值得关注的能力,它让基础设施紧密结合到应用成为可能。应用间 API 的调用、分布式性能追踪、容器平台弹性扩展后,直接关联到所属虚拟机或容器 POD 间的拓扑、网络流,包括异常、吞吐与时延等。类比宇宙中的虫洞,连接了不同时空的通道,多层抽象本身就是 IT 系统的特点,在云环境中,多分层的特点更为突出。eBPF 使应用、系统、容器、云等不同平面的观测数据整体化获取并关联成为可能,并且拥有所有这些数据的总体代价达到足够低。此外在实践中,观测数据拉齐以及汇总关联后,可在不同数据消费场景体现价值,如极大地提升部门间的协作效率,标准化的观测数据也将推进 AIOps 的进步,在技术运营、量化服务等提供支撑。
来源
云杉网络创始人兼 COO。云杉网络旗下开源项目 DeepFlow 是一款面向云原生开发者的高度自动化的可观测性平台,使用了 eBPF、WASM、OpenTelemetry 等新技术,创新地实现了 AutoTracing、AutoMetrics、AutoTagging、SmartEncoding 等核心机制,极大避免了埋点插码,显著降低了后端数仓的资源开销。
以 Kubernetes 为核心的技术体系自诞生之日起,就在持续推进云原生开源技术生态的发展。Kubernetes 作为分布式集群管理系统的核心本质,其生态同样需要能够应对以下挑战:一是对多形态异构资源的支持;二是对多样化工作负载的支持;三是满足多维度业务需求,包括效率、稳定性、利用率、开发效率等等;四是如何提供更加丰富、有效的手段来降本增效。而这,也正是云原生生态发展的主脉络。过去一年,云原生开源生态在以下几个领域取得了重要发展:(1)多云、多集群部署已经成为常态,云原生进入多云管理服务的时代。OCM(OpenClusterManagement)、Clusternet、Karmada、Kubevela 等众多云原生多云开源方案致力于打造面向多云、多集群场景的应用管理平台,支持用户将云原生化的应用扩展到分布式云,全局视角统一管理和运维分布式云资源,解决混合云、分布式云带来的技术挑战。(2)随着边缘计算发展,CI/CD、DevOps、MLOps、容器和微服务等云原生的概念越来越被应用到端和边缘。过去一年,边缘计算正在成为云原生领域的一个重要分支。面向不同的业务场景,CNCF 涌现了非常多的开源项目,并共同推动着这个新兴业务方向的发展(CNCF OpenYurt、KubeEdge、K3s、akri、SuperEdge 等),在云边协同、设备管理、轻量化、云边网络等方面带来了大量创新。(3)云原生技术的发展趋势正在朝着利用 Kubernetes 作为公共抽象层来实现高度一致的、跨云、跨环境的应用交付而不断迈进。然而,尽管 Kubernetes 在屏蔽底层基础架构细节方面表现出色,它并没有在混合与分布式的部署环境之上引入上层抽象来为软件交付进行建模。因此,在云原生开源领域诞生了以 OAM、KubeVela 为代表的应用交付与管理平台,也是一个独立于运行时集群的应用交付控制平台。过去一年,KubeVela 在资源状态可视化、插件化,自动化等方面进行了全面的升级。(4)“充分利用云的资源弹性、异构算力、标准化服务以及容器、自动化、微服务等云原生技术手段,为 AI/ML 提供工程效率高、成本低、可扩展、可复制的端到端解决方案。”这是业界对云原生 AI 的一种比较完整的定义。在过去一年,不论是开源社区(Kubeflow、Fluid)还是商业方案(阿里云 ACK 云原生 AI 套件)都聚焦在持续优化异构资源效率,和高效运行 AI 等异构工作负载上。(5)CNCF 和 FinOps 基金会在持续将 FinOps 最佳实践和标准进行推广,以改善云财务管理。Kubecost 开源的 OpenCost,有望成为 Kubernetes 成本监控的开源标准。另外,云原生成本优化开源项目 Crane 的核心能力和 FinOps 基金会提出的能力模型也非常契合。另外一个和降本增效相关的就是混部技术。Koordinator、Vocalno 等优秀的开源混部项目推出和落地普及,为整个行业带来了成熟的混部、调度能力。
黄玉奇
阿里云高级技术专家,Kubernetes Member,CNCF OpenYurt 项目发起人,开放原子基金会 TOC 成员。拥有丰富的云原生领域经验,多年来致力于持续探索云原生技术新场景,新边界。曾主导多个大型边缘计算项目的云原生转型,整体负责阿里云边缘计算云原生产品 ACK@Edge。
2022 年 5 月,基于开源网络代理 Envoy Proxy 构建的 API 网关项目 Envoy Gateway 宣布开源,最初的参与者包括 Ambassador Labs、Fidelity、Tetrate 和 VMware。它使用 Kubernetes Gateway API 作为配置源并提供基于 Envoy Proxy 的强大流量治理和观察能力。API 网关是微服务架构下最为关键的基础设施,是微服务集群的对外流量入口,提供路由代理、流量治理、流量观察、流量审计、API 管理等一系列功能。实际上在该领域并不缺少玩家,传统如 Kong、Zuul 等暂且不论,新兴的如 Gloo、Ambassador、Contour、Hango、Higress 等,均基于 Envoy Proxy 构建。Envoy Proxy 是 Lfty 开源的高性能网络代理项目,后被捐赠给 CNCF 基金会。如今,Envoy Proxy 已经被广泛应用于 API 网关(Gloo、Ambassador、Hango、Higress 等等)与服务网格(Istio、AWS Mesh、Open Service Mesh 等等)之中,作为核心数据面组件。然而即使同样基于 Envoy Proxy,不同 API 网关也提供了不同的上层抽象与控制 API。Envoy Gateway 项目的出现则有望实现各个基于 Envoy Proxy 的 API 网关在 API 层面的统一,避免无意义重复工作的同时,也降低了用户的学习和切换成本。此外,Envoy Gateway 使用 Kubernetes Gateway API 作为唯一的配置源,复用原生 Kubernetes 集群中微服务暴露的机制并减少差异。Envoy Gateway 开源或是推动网关基础设施走向标准化的关键一步。就像今时今日,Kubernetes 已经成为容器编排的事实标准,尽管在市场上存在着大量的基于 Kubernetes 的“发行版”且各有所长,但是其核心却是一致和稳定的。或许不远的将来,API 网关产品也能如此。
王佰平
网易数帆云原生专家、资深架构师,CNCF Envoy Maintainer,Hango/Slime Maintainer ,轻舟 API 网关与轻舟服务网格数据面负责人,通晓网关、负载均衡、服务网格等分布式技术原理,熟悉 Envoy 和 Istio,对于 API 网关、服务网格落地具有丰富的经验。
企业在面对不确定性和复杂性的时候,在面对敏捷精益和降本增效的时候,都可以在云原生的工具箱中找到最适合自己的那一把。作为一种最佳实践,云原生带来的除了工具和平台的更新,还有理念和经验的升级。越来越多的开源项目开始采用 Helm 和 Operator 的模式实现云原生交付和自动运维。一方面,各大主流开源项目纷纷推出了自己的 Helm Charts 制品,并推送到 ArtifactHub 公开发布,丰富了云原生应用商店。另一方面,基础设施即代码在 Kubernetes 的最佳体现就是 Operator 模式,对于那些想部署在 Kubernetes,但又因结构复杂、维护繁琐的应用来说可谓是一剂良药。通过声明的方式描述期望运行的状态,用编码实现相应的运维逻辑,以程序解决现实问题从而取代堆人肉运维。Prometheus、TiDB、Apache ShardingSphere 等知名项目都采用这种方式解放工程师生产力,并开源了相应的解决方案,如 ShardingSphere-on-Cloud。此外,利用 KubeVela 实现 GitOps 的持续交付,利用 ChaosMesh 持续提升应用的健壮性,还有利用 Database Mesh 建设云原生的数据库可靠性工程,正在引领着基础技术新风潮。
苗立尧
SphereEx 云研发负责人,开源布道师,专注于 SaaS 和 Database Mesh。2015 年起开始接触 Kubernetes,是国内最早一批云原生实践者,2016 年创办“容器时代”公众号,原创和翻译引进 600 余篇技术文章。曾在株式会社ネットスターズ、北京穿杨科技、蚂蚁金服、易宝支付等担任基础设施架构师、云产品负责人、云原生研发工程师等相关职位。
多云架构转型成为大势所趋,多云运维的一致性成为提升效率的关键。出于云成本和云安全的考虑,越来越多的企业不再依赖单一云服务提供商,而是将不同的业务分布在多个云上运行。此时他们面对的问题是,如何在本地和公有云、主机托管商、边缘云的环境中得到一致的运维体验来提高效率。使用 Kubernetes 托管服务可以应对多云和混合环境的一些挑战,Kubernetes 提供了利用跨本地和公有云基础架构的多云和混合 IT 环境的机会,它已经是云原生时代事实上的标准。应用程序的可移植性、一致性操作,以及一致的开发和部署等技术机遇会帮助企业转化为关键的利益:减少宕机时间、存储和计算资源的多样化以及风险最小化。零信任成为云原生应用程序和基础设施的新安全模型。公共云、私有云和混合云技术的发展使基础架构和应用程序能够立即部署到任何位置,安全边界也在不断缩小。安全内网概念不复存在,所有网络和系统都可能在某个时候受到损害,因此它们的安全不容忽视。零信任安全采用主动的安全方式,要求明确允许每个访问和操作,已经成为了一种更加可靠的安全思维方式,可以帮助企业改善安全态势。实施零信任安全控制是通过自动化 CI/CD 管道安全部署现代云原生应用程序的关键推动因素。应用程序和管道需要每天或每周数百次将新的或更新的应用程序自动部署到任何临时的基础设施上。这种自动化特征让传统的安全方法无法奏效。但是,零信任安全不能代替传统安全策略,企业需要用好安全的组合拳来创建 “纵深防御”,除了基于零信任的控制之外,还应应用传统的安全技术,例如 Web 应用程序防火墙 (WAF)、主机 IDS/IPS 和恶意软件扫描,给基础设施提供多层的保护。
陈毅威
陈毅威先生现任 SUSE 大中华区总裁,负责领导 SUSE 在大中华区市场的整体运营。陈毅威先生在大中华区 IT 领域拥有超过 30 年的丰富高层管理经验。在加入 SUSE 之前,陈毅威先生曾在 Tableau 担任中国区总裁,Symantec 大中华区负责整体业务超过 4 年。在此之前,在 EMC 公司大中华区任职超过 17 年。陈毅威先生拥有中国北京清华大学 EMBA 硕士学位。同时也毕业于澳大利亚莫纳什大学,拥有计算机科学、信息技术与商业管理及会计学士学位。
CPU 经历了单核到多核的发展,电脑、手机等个人电子设备也借助互联网和 5G 实现了社会数字化、万物互联。而 2022 年这一年,云原生领域,也在潜移默化地发生着类似的变化。以 Kubernetes 为内核的云原生基础设施的普及率增速不断提高,大量牵扯到国计民生的生产业务在向新的架构迁移和转变。一个普通的消费者可能感知不到这个变化,但相信 B 端 IT 从业者的感受是最明显的。这对我们的要求已经不是搭建和运维“一个” K8s 这么简单。首先从容器运行时及封装技术上,客户就有了更多的选择,如 docker、containerd、Kata 等,同时,从基础设施层面,从单 IDC 到混合云到分布式云,针对分布式云的多集群管理框架及边缘计算框架也呈现了百家争鸣的状态,如 Karmada、OCM、KubeEdge、SuperEdge 等。云原生技术的先进性和便利性让算力集中化的传统模式进一步被打破,混合云也不再是一个高高在上的复杂话题,人们更多是在向新一代的分布式算力模式去演进,借助云原生的技术、更强的“网”的能力,“家门口的”云原生算力已经不再是纸上谈兵。比如将能够实现屏蔽基础设施的统一函数计算视角的管理框架和云服务商的云、网、边、端、数据等服务能力相结合,就可以直接实现业务应用视角的价值变现,把各种云服务能力无缝地嫁接到用户的身边。从 CNCF 及旗下的各个组织及软件项目蓬勃发展来看,整个云原生业界的生态空前活跃。各个业务场景都有多种方案选择,从计算资源调度框架、运行环境、开发工具、应用标准、运维支撑等等应有尽有,也就是说木料、石料、锤子、改锥、螺丝都已经送到家门口了,那接下来能否利用好这些工具造出有用的东西,考验的是想象力、创造力和行动力。
于爽(Calvin Yu)
青云科技 KubeSphere 容器产品负责人,参与并研发了多款青云容器相关产品,如 Kubernetes On QingCloud,KubeSphere 等。在加入青云科技之前,于爽供职于 IBM,对中间件监控、电子商务等多个领域有深入研究。青云科技旗下开源项目 OpenFunction ,是一个现代化的函数即服务项目,它能够帮助开发者专注于他们的业务逻辑,而不必担心底层运行环境和基础设施,此外,它引入了 Knative、Tekton、Shipwright、Dapr、KEDA 等些技术栈,为打造新一代开源函数计算平台提供了无限可能。
https://gitee.com/report/china-open-source-2022/advanced-technology#AI
