Container Service for Kubernetes:Gunakan Alibaba Cloud Linux 2 (EOL)

Alibaba Cloud Linux 2 dikembangkan untuk memaksimalkan platform IaaS Alibaba Cloud, dengan integrasi berbagai optimasi dan fitur:

• Distribusi Linux dengan waktu boot tercepat di Alibaba Cloud.

• Dioptimalkan untuk mesin virtual spesifikasi tinggi dan server bare metal, ideal untuk skenario multitasking dengan instans besar.

• Dilengkapi dengan perangkat lunak manajemen umum seperti Alibaba Cloud CLI dan cloud-init, mengurangi biaya manajemen sumber daya cloud.

• Kernel ringkas yang meminimalkan permukaan serangan dan pemanfaatan sumber daya sistem.

• Sistem dukungan teknis multi-saluran yang dioptimalkan di Alibaba Cloud.

• Memberikan perbaikan cepat untuk kerentanan berdasarkan Common Vulnerabilities and Exposures (CVE).

• Mendukung patching langsung kernel untuk memastikan kontinuitas layanan selama perbaikan kerentanan.

Alibaba Cloud Linux 2 menawarkan manfaat performa berikut untuk instans yang menjalankannya:

• Mengurangi waktu boot sistem ECS secara signifikan, menskalakan sumber daya komputasi ketika overload terdeteksi, dan mengurangi waktu boot sebesar 29% dibandingkan dengan CentOS 7.

• Memberikan optimasi multitasking untuk instans ECS dan meningkatkan performa instans besar hingga 16%.

• Meningkatkan efisiensi penjadwalan sistem sebesar 11%.

• Mengoptimalkan tumpukan jaringan Linux, memberikan peningkatan performa jaringan sebesar 7,8% dibandingkan dengan CentOS 7.

• Meningkatkan stabilitas bandwidth dalam skenario akses Internet sering. Alibaba Cloud Linux 2 mendukung algoritma pengendalian kemacetan Bottleneck Bandwidth and Round-trip Propagation Time (BBR), yang sudah dikompilasi dalam semua gambar.

• Mengoptimalkan enkripsi berbasis protokol TLS.

• Mendukung Penjadwal I/O Budget Fair Queueing (BFQ) untuk mengurangi latensi disk.

Alibaba Cloud menyediakan optimasi kernel untuk mendukung beban kerja berbasis kontainer tanpa gangguan layanan. ACK menawarkan optimasi tambahan untuk meningkatkan kecepatan dan stabilitas beban kerja berbasis kontainer dalam berbagai skenario. Optimasi ini didasarkan pada optimasi yang disediakan oleh Alibaba Cloud Linux 2 dan kernel sistem operasi ini.

• IP Virtual Server (IPVS)

  • Skenario 1: Mode IPVS diaktifkan pada instans spesifikasi tinggi dengan lebih dari 64 vCPU dan sejumlah besar alamat IP virtual.

    Masalah: Timer estimasi dalam mode IPVS secara berkala menghitung laju transmisi setiap koneksi. Saat banyak koneksi dibuat, operasi ini dapat memonopoli CPU dalam waktu lama, menunda penerimaan paket, dan menghasilkan waktu ping sebesar 200 ms.

    Solusi: Jadwalkan timer estimasi IPVS ke node dan tambahkan perintah sysctl untuk menonaktifkan timer estimasi IPVS.

    Hasil: Latensi yang disebabkan oleh timer estimasi tidak lagi ada.

  • Skenario 2: Melakukan pembaruan bergulir.

    Masalah: Selama pembaruan bergulir, jika 5-tupel tidak berubah dan paket TCP SYN baru cocok dengan catatan koneksi dalam 5-tupel IPVS asli, IPVS membuang paket SYN. Namun, paket SYN perlu dikirim ke alamat tujuan baru, menghasilkan retransmisi paket SYN dan latensi 1 detik.

    Solusi: Jika entri conntrack baru ada, lepaskan koneksi dalam status TIME_WAIT di tabel conntrack dan ganti dengan koneksi baru.

    Hasil: Lalu lintas jaringan dapat beralih ke server nyata hampir tanpa latensi.

• CoreDNS

  Skenario 1: Sejumlah besar kueri DNS mengakibatkan tabel conntrack penuh.

  Masalah: Saat aplikasi mengirim permintaan DNS untuk menanyakan alamat statis atau port, entri conntrack berubah ke mode aliran. Kueri DNS menggunakan protokol UDP, yang bersifat tanpa status, cepat, dan tidak memerlukan komunikasi sebelumnya untuk membangun koneksi. Ini menciptakan sejumlah besar entri UDP conntrack yang tidak lagi diperlukan. Jika entri UDP conntrack tidak dihapus tepat waktu, tabel conntrack mungkin penuh, menurunkan performa NAT.

  Solusi:

  • Entri conntrack diatur ke mode aliran jika koneksi UDP berlangsung lebih dari 2 detik, menghindari peningkatan cepat entri conntrack.

  • Persingkat durasi validitas UDP conntrack dari 180 detik menjadi 120 detik, mengurangi dampak permintaan UDP pada entri conntrack.

  Hasil: Dalam lingkungan pengujian, jumlah entri UDP conntrack berkurang sebesar 50%.

• Container networking

  Plug-in jaringan Terway mendukung driver IPVLAN, meningkatkan performa jaringan dalam komunikasi paket pendek sebesar 40% dibandingkan dengan antarmuka bridge tradisional dan routing berbasis kebijakan (PBR). Secara default, algoritma pengendalian kemacetan BBR dikompilasi di Alibaba Cloud Linux 2. Dalam skenario yang memerlukan akses Internet sering, Anda dapat mengubah algoritma pengendalian kemacetan kontainer menjadi BBR untuk meningkatkan stabilitas bandwidth akses Internet. Ini secara signifikan meningkatkan efisiensi saat kontainer berkomunikasi dengan Internet atau ACK menarik gambar dari Internet.

• Container security

  Alibaba Cloud telah bermitra dengan komunitas Kata Containers dan Clear Linux. Anda dapat menerapkan solusi Kata Containers pada instans bare metal ECS. ACK juga menyediakan optimasi untuk mengurangi waktu boot kontainer runV, memastikan bahwa solusi Kata Containers bekerja sesuai harapan. ACK juga menyediakan kluster yang menjalankan kontainer sandbox. Jenis kluster ini menawarkan pengalaman pengguna mirip dengan kluster normal. Anda dapat menerapkan aplikasi di lingkungan sandbox ringan untuk mengisolasi beban kerja beberapa penyewa atau aplikasi yang tidak tepercaya. Kontainer-Sandbox meningkatkan keamanan dengan sedikit dampak pada performa aplikasi.

• AutoScaler

  Alibaba Cloud Linux 2 mengurangi waktu boot sistem instans ECS. Waktu boot sistem rata-rata berkurang sebesar 60% dibandingkan dengan CentOS 7. Saat sistem kelebihan beban, fitur penskalaan otomatis dapat menambah instans ECS untuk membuat lebih banyak kluster ACK. Kemudian, ACK menjadwalkan dan memulai instans aplikasi. Alibaba Cloud Linux 2 juga menyediakan penskalaan cepat sumber daya komputasi untuk menangani lonjakan lalu lintas yang tidak terduga.

• Resource monitoring and control

  Kernel Alibaba Cloud Linux 2 menyediakan kemampuan visualisasi dan kontrol sumber daya granular untuk kontainer, termasuk metrik tekanan PSI, per-cgroup kswapd, dan prioritas memori. Dalam kluster ACK yang menjalankan Alibaba Cloud Linux 2, Anda dapat menggunakan CGroup Controllers untuk mengadopsi kemampuan ini, menerapkan konfigurasi sumber daya granular, dan melakukan penyesuaian langsung di atas alat seperti BufferIO Control, TCP, CPUSet, Mem, dan NUMA. Ini meningkatkan pemanfaatan sumber daya secara bertahap dan meminimalkan interferensi antar aplikasi.

• AI and data acceleration

  Alibaba Cloud Linux 2 memungkinkan instans besar menangani tugas komputasi berperforma tinggi lebih cepat. Sistem operasi ini juga mengoptimalkan pembacaan dan penulisan streaming untuk meningkatkan efisiensi baca/tulis file model besar, mempercepat komputasi berbantuan AI dan komputasi berperforma tinggi. Data berikut dicatat dalam lingkungan staging:

  • Uji: Gunakan Alluxio untuk memuat 1.152 objek OSS berukuran 144 GB melalui 64 thread. Instans CentOS memerlukan 3 menit dan 25 detik untuk menyelesaikan operasi ini. Instans Alibaba Cloud Linux 2 hanya memerlukan 2 menit dan 19,037 detik, 1,6 kali lebih cepat daripada CentOS.

  • Uji: Latih model ResNet50 dengan ukuran batch 128 dan cache data ke Alluxio. Instans CentOS dengan GPU NVIDIA V100 mencapai kecepatan 5.212,00 gambar/detik. Instans Alibaba Cloud Linux 2 dengan GPU NVIDIA V100 mencapai kecepatan 8.746,59 gambar/detik, 1,7 kali lebih cepat daripada CentOS.

• Resource visibility

  Beberapa kontainer dapat berada di server host dan memiliki akses langsung ke sumber daya di host, mengakibatkan aplikasi bersaing untuk sumber daya. Alibaba Cloud Linux 2 menyediakan optimasi untuk fitur cgroup kernel untuk meningkatkan visibilitas sumber daya dan memberikan informasi tentang penggunaan sumber daya kontainer individu. Informasi ini dari perintah seperti top, cpuinfo, dan meminfo membantu merampingkan observasi dan perencanaan sumber daya.

• Others

  • Alibaba Cloud Linux 2 dibangun di atas kernel Linux 4.19. ACK mengintegrasikan Alibaba Cloud Linux 2 dengan kemampuan inti dan praktik terbaik kontainerisasi dari Alibaba Group.

  • Kehilangan performa OverlayFS dikurangi, meminimalkan kerugian yang disebabkan oleh kontainerisasi dalam penyimpanan.

  • Di sebagian besar skenario, sysctls dinamakan ruang nama. Di Kernel 4.19, sebagian besar sysctls dapat dikonfigurasikan secara terpisah pada pod, memungkinkan Anda mengonfigurasi nilai timeout TCP dan nilai timeout retransmit yang berbeda untuk aplikasi yang berbeda. Anda tidak dapat memodifikasi parameter ini di CentOS 7, tetapi di Alibaba Cloud Linux 2, Anda dapat mengonfigurasinya pada pod.