京东如何打造K8s全球最大集群支撑万亿电商交易

如果在大规模生产环境中，高性能的负载均衡是必不可少的，但这个负载均衡又涉及到另外一些问题。首先，要跟现有的数据中心适配，京东自主研发了一套负载均衡以及DNS。虽然社区里有CoreDNS等等，但是这些DNS存在一个问题，就像昨天某厂的一个故障那样，你把所有的东西这个引导这个，那个引导那个。如果你的DNS不在容器内的话，带来的后果是很难料想的。因为京东容器已经发展了很多年，数据中心也比较大，我们单个Kubernetes集群能够做到8000到10000台。因为我们的机器实在太多，如果不做大集群的话，人力管理的投入上会非常大。后面我会解释怎么做到这么大规模的集群。

京东容器化的数据中心建设已经四五年了，已经比较稳定了，虽然我们的Kubernetes还比较老，是1.6版本，但是我们已经有很多改进，我们现在的重点就是往阿基米德，也就是往数据中心的资源调度这个方向发展。去年双十一的时候阿基米德已经上线了，Kubernetes使用到后期的时候，你会发现Kubernetes并不能解决数据中心资源使用率的问题，它其实仅仅解决了你的发布，或者是管理资源的容器这方面的一些东西。

其次，京东对controller也做了很多重构，虽然社区提供了很多controller，但我可以保证，这些controller绝对没有做严格的关联性测试，也就是说有些controller之间互相是有影响的。建议启用任何一个controller前都要做严格的分析跟测试。想做大集群的Kubernetes，必须得去改，而且是做减法式的改。

Kubernetes号称的deployment、金丝雀发布等等一切都非常美好，但是我来自京东基础架构部门，基础部门要服务业务，而业务会给你提很多需求，第一次你听上去可能觉得这需求非常扯，但是你跟他仔细沟通之后，你会发现人家的需求是非常合理的。比如说，他说你金丝雀发布的时候，副本数随机的挑几个，升级了50%，但有的业务方会要求就要升级某一个特定IP。他不是对这个IP特别有感情，而是因为他配了很多host，除了有研发还有测试等等，所以你不得不去面临这个问题，像IP不变等等这样的一些需求就会蹦出来，我们都要满足他，才能继续往下走。

还有比如说你的节点被物理故障重启等等，这个时候你要充分的考虑是先拉起新调度过来的容器，还是先拉起原来老的容器，这些策略都要针对你自己的业务去改变。

还有，比如有人说京东大促的时候，我们Kubenetes整个的弹性速度非常快等等。但是我可以向你保证，如果真正是那种流量高峰瞬间来的时候，这个弹性是绝对跟不上的。因为等你还没弹完，老的已经被打死了，弹几个死几个，所以一般来说，你要用更多的实例，用调度的方式来做，而不是说通过scale out这种弹来做，来不及的。

这怎么办？我们采取了一种古老的方法，跳过调度器，进行本地rebuild。因为你的调度有的在排队，有的depending，但是有一些业务在发布的时候，他会提出一个问题，我原来有100个容器，我发布完之后只剩80了，另外20个容器的资源被别的业务抢走了，这是不能接受的，所以我们也有了这种所谓的优先rebuild，就是就地rebuild，这会带来很多好处。

这么做最明显的一个好处，就是拉镜像至少省了一些时间。还有一个明显的好处是，虽然在数据中心依然很复杂，但当业务部署在某一台容器机器上之后，调用的依赖、调用数据库的链路都是经过了大量压测的，已达到相对最优的状态。如果你今天把这容器从pod1搬到pod2，我说物理pod，从房间1搬到房间2去了，那可能会带来抖动或者等等情况。当然这并不代表你损失了Kubernetes的很多特性。

补充前面的一点，我们的deployment做了大量定制，原生的deployment其实还是很难满足这样的要求。比如说在线上，因为是面向生产环境，但是生产环境不会那么美好。首先业务，可能上100个容器就有两个容器，它的响应很差，这个时候要去排查或者要去进行其他的操作，这个时候用deployment做不到，因为一升级就没了。而我们，让它可以指定把这两个停掉，或者是其他操作，反正就是能够指定，就相当于你要改一些东西，改动量不大，只是在它原来基础之上改。

这里面就涉及到一个问题，就是隔离性。大家都觉得Docker的隔离性已经很优秀了，其实并非如此，它的隔离性没有大家想象的那么好，你看到的隔离都是Namespace的隔离，真正的性能隔离其实并没有完全做到位。例如内存回收，它其实是操作系统统一进行回收的。比如上面10个容器有5个容器狂读小文件，这时候突然内存已经到一定阀值了，它就要做一次slab回收。一旦slab回收，它就都被block住了，其他的在线业务都会被卡住，虽然只是毫秒级的，但是会有毛刺，业务就会来问你发生了什么。特别是在线大数据进来之后，这个问题就会被无限放大，因此在这块你要做适当的改动。京东做得比较早，从2013年就开始做容器，在过去几年我们在这块已经做了很多工作。

还有另外一个，大家也都感同身受。业务说我需要100个容器，每个容器八个核，其实之后发现每个容器只跑了不到10%的CPU，这种情况是有可能的。那怎么办？你不能粗暴地只给业务两个核，出问题谁负责？那怎么办？我们就告诉业务我们给了他八个核（其实没有），只要不出事就行了，出了事解释也无用。这会带来一个巨大的收益，就像上图，绿色的部分是我们给的CPU，红色是实际使用的，那我们至少给他砍一半。这样做了之后你就会发现，即使一年不买机器，机器也是够的。

为解决这一问题，我们应用上线的时候会要选优先级，如果你的优先级不高的话，有可能会被优先级高的驱逐掉，相当于我们单独对Kubernetes重新做一个东西，即我们的驱逐器。驱逐器会对pod打上很多标签，比如优先级、容忍度、副本数等等（例如只有一个副本的话，它优先级再低也不能杀）。这很像OM的排序，当宿主机的CPU、内存load达到一定上限的时候，我们就会启动这种排序，很快地把它排出来，立马就驱逐，而且驱逐之后，会告诉调度器不要再往这台上调了。因为有可能资源满了，它又给调回来了，你又给驱逐，就形成一个死循环了。其实基本的理念也非常简单，就是保障优先级的系统，大数据是最先优先级，但是在线业务的话，也要往下放，这样就能在有限资源的情况下发挥最大的作用，特别是大促的时候，如果都是靠买机器来支撑的话，这是非常恐怖的一件事情。因为每次大促我们都要按20倍来估，这要买多少机器啊。

京东最早是Openstack，在2016年切换到了Kubernetes，这两种系统我一直做下来的，我的感受就是， Kubernetes正在往Openstack这条路上走，越做越庞大，这是一个非常大的问题。诚然，它有很多feature要加，这个也可以理解，可它还是得拆，拆成非常小的模块来做。像现在CNI、CRI、CSI这些模块的拆离应该是比较好的一个开始。Kubernetes在中小规模集群是没有问题的，但是它肯定没有官方号称的那样5000台没问题，如果是非常大的规模的话，肯定要去改，否则的话会崩溃。我们在早期的时候，上了一些非重要的系统，经历了非常痛苦的一段时间，它时常崩掉了。

有时候Etcd跑着跑着就发现版本差异越来越大，那只能把另外两个干掉，把另外一个副本用来复制另外两份，这会带来巨大的问题。Etcd的运维现在应该没有特别成熟的一些方案，它不像数据库有很成熟的运维方案，毕竟数据放在里面，如果它崩了，数据就很难找回来，这是非常麻烦的一件事。

还有它的API，因为它是长链接，一般的负载均衡要特别注意起API的时候不能一个一个起，起完了它都来连，搞不好都堆到一台上去了，会导致负载不均衡，所以正常来说要先把API起好，再去起Kubernetes，这样负载均衡才会起到作用。

另外，大家一定要特别注意Kubernetes对心跳的判断，因为它发生not ready的概率太高了。一旦发生节点not ready的话，会产生一系列难以预料的状态，比如网络抖动，某台交换机坏了，有可能它就会这样。所以我们建议心跳检测这一块尽量用另外一套系统来做，把你检测的结果反馈给Kubernetes，这样可能会更好一些。

这就是我今天演讲，谢谢大家。