容器服務如何在企業客戶落地？Rancher解決之道分享。

以Docker為代表的容器技術風風火火，一些先鋒型的Startup和互聯網公司已經嘗到了甜頭，大量的金融、保險、電信等企業客戶也在摩拳擦掌、躍躍 欲試。然而，對這些企業的CIO來說，首先要考慮的問題就是“容器技術如何在我的企業平穩落地”。本次交流與大家分享Rancher的解決之道，內容將包 括Rancher這一開源容器管理平臺的諸多“企業級”功能特性的介紹以及通過Rancher構建的企業私有容器服務的典型應用場景。


Docker的優勢和趨勢我想不必再贅述，那么對于非互聯網公司的傳統企業客戶，以及我們大量的圍繞企業客戶做集成、交付解決方案的服務提供商， 需要考慮的一個問題就是怎么樣把容器技術以高質量、低成本、易維護的方式落地到企業的生產環境中來。換句話說，如果把容器技術比做KVM和Xen，我們需 要一個容器界的OpenStack或是CloudStack。

Rancher就是定位在提供“企業私有容器服務”這一核心業務需求上，并提出構建 "企業私有、混合容器云"、"像AppStore一樣的企業應用商店實現一鍵式應用部署"、”CI/CD 部署流水線優化踐行DevOps“以及”輕量級PaaS平臺“等多個被企業客戶所關注的一攬子解決方案。

Rancher公司是一家位于硅谷的美國公司，創建人梁勝博士和他的團隊一直是專注于計算技術在企業落地工作的，梁博士創建的 CloudStack 項目是很多大的公有、私有IaaS云的支撐平臺，他在早期時還是SUN公司JVM和JNI的開發帶頭人，所以“云計算”、“企業客戶”是Rancher公 司基因當中的兩大關注點。

純粹的Docker和可以落地到企業生產環境的容器平臺還是有很大距離的，需要做的工作至少有以下這些方面：

舉幾個例子， Rancher 可以統一管理企業內部多個數據中心的虛擬機、物理機容器環境，以及公有云（阿里、AWS等）內的容器主機，允許我們通過標簽把業務靈活的分配到不同屬性的"云"上。

以下調度策略為：把容器運行在阿里云上，并且容器盡量分散在多臺阿里云主機，以提高可用性。

為了實現公有云和私有云間以及同一片云的主機間的容器通訊，Rancher基于SDN技術創建了 overlay容器網絡：

當不同云和不同主機上的容器可以通過容器網絡通訊后，再配合Rancher實現的負載均衡、服務發現、健康檢查機制就可以幫助企業實現快速業務搭建和擴展，手動或是自動的實現容器甚至是容器主機的跨云動態擴容，這一點對“雙11”這樣的場景特別有用。

企業應用商店和一鍵部署是另外一個非常強大的功能，這引申出Rancher 對容器云未來發展方向的一個預見：單純提供容器編排能力是不夠的，提供容器應用的配置管理更能讓“以應用為中心”這一容器技術特點發揮得淋漓盡致。因此我 們提供了一個開放式的框架，在兼容docker-compose.yml 的基礎上把與應用配置相關的信息記錄在rancher-compose.yml中，并且允許用戶以靈活的方式實現對任何應用的配置管理 ： 你只要提供docker-compose.yml和rancher-compose.yml ，Rancher會自動在應用商店中探測到你上架的應用并支持管理你定義的配置項。

上架應用示例：

應用的配置管理：

基于上述技術，可以做的事情有很多，比如通過一個高可用的MySQL服務實現一個輕量及的PaaS平臺：

實現對SysDig 監控云的對接等：

Hadoop 動態擴容的支持等： http://www.iqiyi.com/w_19rt9qkn7d.html

再次強調，上述能力并非是Hadoop 進產品里的，而是通過任何人都可以創建的配置文件完成的，比如：大家可以通過這種技術實現WebLogic應用部署或是Zabbix 監控方案等。

CI/CD 優化部署流水線是Docker的拿手項目，Rancher通過上述一鍵部署能力提供快速構建的支持。

上面說的主要還是容器管理平臺Rancher，我們還有一款產品是RancherOS，它是一個只有20幾M的操作系統，專門運行容器的，可以看 到它的所有系統進程都是在容器里運行的，性能好，升級維護特別方便。更cool的是我們還支持把虛擬機(Windows or Linux)跑在容器里，這樣對于還沒有上IaaS云的企業來說，直接上容器云也是一個不錯的選擇。

Rancher 還有很多其它超Cool功能，比如用戶和權限管理，多租戶管理，界面上集成日志和shell訪問，API調用器等，由于時間關系這里不多說了。有興趣的網友請關注我們的Blog: http://rancher.com/blog/

說得再多都不如大家自已上手親自感受一下，一條命令安裝好Rancher的容器管理平臺：

sudo docker run -d --restart=always -p 8080:8080 rancher/server

Q&A

Q：rancher-compose 和 docker-compose 關系？

A：rancher-compose是對docker-compose的擴展，docker-compose 目前的能力太有限。

Q：Rancher自己有持續集成的工具？

A：我們本身產品中不帶CI，但會在CATALOG里提供這樣的工具讓客戶一鍵部署，我想這個比直接提供CI集成更COOL

Q：Rancher產品是付費還是開源的呀？

A: 我們是開源的，但也會有對應的企業版，像CentOS 和RHEL一樣。

Q：Rancher的網絡是如何實現的？

A：簡單來說，我們目前是IPSEC V*N+基于DNS的服務發現。

Q：我接觸Rancher有兩個月了，感覺是目前Docker管理平臺里比較出色的。stack、service管理邏輯很好。不過目前還是0.4*版，迭代應該比較頻繁。現在上業務的話，后期升級會有什么影響么？

A：升級非常容易，且向后兼容，在這一點上秉承CloudStack的設計原則。

Q：私有網絡與公有云之間的數據安全是怎么控制的？

A：通過ReverseNAT 下采用IPSec Tunnel，也就是數據是加密的，但要開在服務器間開兩個UDP端口。

Q：請問Rancher 在多租戶隔離方面做了那些事，采用哪些安全手段？

A：容器的隔離是和虛擬機不太一樣，目前我們用“環境”的概念做多租戶隔離，每個“環境”有自己的容器主機和容器。

Q：相比于Kubernetes、Mesos和 Swarm、Rancher的優勢在哪里？

A：我們和上述容器編排不是競爭關系（雖然目前編排是我們自己寫的），我們會根據用戶的需求提供Swarm、Kubernates甚至是Mesos的編排方式。 但容器編排不是全部企業容器服務內容。

Q：請問Rancher是自己實現了一套容器管理工具嗎，能介紹一下你們用到的技術棧嗎？

A：我們是完全自己實現的。借鑒了之前團隊做的CloudStack的成功經驗。

Q：Rancher推薦運行在什么樣的宿主機之上，Ubuntu or CentOS？

A：都行，Rancher可以管理標準Docker 主機。

Q: 我看新版本多了一個存儲池storage pool這個是什么作用，可以添加集群存儲來供容器使用么？

A: 這是很牛的一個與存儲有關的功能，請大家看視頻介紹：
http://rancher.com/how-rancher ... rage/。

Q：請問catalog離線可以使用嗎？

A：很多企業都是沒有互聯網訪問的，我們支持從本地鏡像庫Registry中拉images。

Q：請問你們跟Docker公司是如何合作的？是什么一種關系？他們會推廣你們的產品嗎？

A：都是硅谷公司，有深入的技術合作，很多Docker 組件如libcompose都是我們貢獻的。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
以上內容根據2015年12月15日晚微信群分享內容整理。分享人： 馬洪喜（Linkedin：Hongxi Ma），專注于企業客戶的虛擬化、云計算解決方案。目前擔任Rancher公司架構師，負責Rancher中國業務開展中技術方面的工作。曾供職于 Citrix公司咨詢服務部，Oracle公司Linux和OracleVM研發團隊。 DockOne每周都會組織定向的技術分享，歡迎感興趣的同學加微信：liyingjiesx，進群參與，您有想聽的話題可以給我們留言。

來自：http://dockone.io/article/904