Container Service for Kubernetes：產品優勢

優勢

說明

強大的叢集管理

• 三種叢集形態：ACK專有叢集、ACK託管叢集、ACK Serverless叢集。

• ACK託管叢集的管控節點預設為3個可用性區域的高可用部署。

• 單叢集支援千量級ECS節點。詳細配額，請參見配額限制。

• 支援跨可用性區域叢集以及註冊外部叢集。關於註冊叢集的介紹，請參見註冊叢集概述。

極致彈性的資源擴縮

• 根據容器資源使用方式，快速自動地調整容器數量。

• 數分鐘內擴充到上千個節點。

• 如果您使用了Container Service Serverless 版 和Elastic Container Instance，可在30秒內啟動500個容器組。

• 支援一鍵垂直擴縮容。

• 支援應用橫向擴充以及設定與資源的親和性策略。

• 提供社區標準的HPA、VPA、Autoscaler等能力。

• 提供類似CronHPA的定時伸縮能力，vk-autoscaler的無伺服器彈效能力等。

• 針對線上業務提供elastic workload的精細化調度彈效能力。

• 針對不同的彈性情境提供了alibaba-metrics-adapter，實現諸如Ingress網關、Sentinel微服務限流等應用程式層彈性情境最佳化。

一站式容器管理

• 應用管理：

  • 支援灰階發布、藍綠髮布、應用監控和應用Auto Scaling。

  • 內建應用程式商店，支援一鍵部署Helm應用。

• 鏡像倉庫（什麼是Container RegistryACR）：

  • 高可用，支援大並發。

  • 支援鏡像加速。

  • 支援大規模P2P分發，可自動執行並最佳化基本鏡像分發流程，最大分發到1萬個節點，效率提升4倍。

  說明

  您如果使用自建的鏡像倉庫，在百萬級的用戶端同時拉取鏡像的時候，會存在鏡像倉庫崩潰的可能性。使用Container ServiceACR可以提高鏡像倉庫的可靠性，減少營運負擔和升級壓力。

• 日誌：

  • 支援日誌採集及將採集的日誌整合到Log Service。

  • 支援整合第三方開源日誌解決方案。

• 監控：

  • 支援容器層級和VM層級的監控。

  • 支援整合第三方開源監控解決方案。

豐富的工作節點

• 按資源類型劃分：

  • x86計算資源：x86計算類型ECS。

  • 異構計算資源：GPU ECS、FPGA ECS、ASIC ECS。

  • 裸金屬計算資源：神龍伺服器。

  • Serverless計算資源：ACK virtual node。

  • 邊緣節點：ACK Edge叢集支援統一管理雲端和邊緣節點，以及統一的應用發布，發布效率提升3倍。更多資訊，請參見什麼是Container Service Edge 版。

• 按付費模式劃分：

  • 搶佔式執行個體

  • 訂用帳戶

  • 隨用隨付

最優的IaaS層能力

• 網路：

  • 提供高效能VPC/ENI網路外掛程式，效能比普通網路方案提升20%。

  • 支援容器存取原則和流控限制。

• 儲存：

  • 支援阿里雲雲端硬碟、Apsara File Storage NAS、Object Storage Service，提供標準的CSI驅動。

  • 支援儲存卷的動態建立和遷移。

• 負載平衡：

  支援建立Server Load Balancer執行個體（公網、內網）。

  說明

  如果您在使用自建Kubernetes叢集的過程中，使用自建的Ingress，頻繁的業務發布可能會造成Ingress的配置壓力並增加出錯機率。Container ServiceACK的SLB方案支援原生的阿里雲高可用負載平衡，可以自動完成網路設定的修改和更新。該方案經歷了大量使用者長時間的使用，穩定性和可靠性都大大超過自建Ingress方案。

企業級的安全穩定

在開發生命週期之初便整合了多層安全防護功能，從底層基礎設施到中間軟體供應鏈，再到頂層運行時環境，為雲原生架構提供全面保護。

• 端到端的安全能力：

  • 基礎架構安全：支援全方位網路安全隔離管控和全鏈路資料加密，提供阿里雲主子帳號和Kubernetes RBAC許可權體系的聯動，並支援細粒度的許可權管理和完備的審計能力。

  • 軟體供應鏈安全：支援鏡像掃描、安全雲原生交付鏈、鏡像簽名、鏡像掃描、鏡像同步構成的完整DevSecOps。

  • 運行時安全：提供應用維度安全性原則管理，配置巡檢，運行時刻監控和警示，祕密金鑰加密和管理等運行時刻的縱深防禦能力。

• 預設安全：

  • 提供容器最佳化的作業系統鏡像，提供經過穩定測試和安全強化的Kubernetes叢集和Docker版本。

  • 基於ACK安全強化和容器安全最佳實務，對叢集配置和系統組件/鏡像的安全合規進行加固。

  • 節點預設雲資源許可權的最小化收斂。

• 安全沙箱：可以讓應用運行在一個輕量虛擬機器沙箱環境中，擁有獨立的核心，具備更好的安全隔離能力。適用於不可信應用隔離、故障隔離、效能隔離、多使用者間負載隔離等情境。

• 機密計算：基於Intel SGX提供的可信應用或用於交付和管理機密計算應用的雲原生一站式機密計算平台，協助您保護資料使用中的安全性、完整性和機密性。機密計算可以讓您把重要的資料和代碼放在一個特殊的可信執行加密環境。

全天候支援人員

通過工單系統，為您提供7*24小時的專業支援人員。