HPE下结论：Kubernetes在裸机上运行更好

近日，HPE（Hewlett-Packard Enterprise）发布了Container Platform软件——该软件允许企业部署和管理容器化应用程序。HPE强调了该平台在裸机服务器上运行开源容器编排器Kubernetes的能力。

HPE Container Paltform的首席架构师Tom Phelan说，HPE的新平台旨在在内部数据中心、公有云和边缘计算场景中的裸机和虚拟化基础设施上运行云原生和非云原生应用程序。             

他说，举例来说，那些希望将遗留应用程序现代化并将其转移到云计算的企业，只需将它们放入容器中，就可以不必重构代码。

“这就是HPE Container Platform的亮点：它能够在内部容器化解决方案或公有云中运行所有类型的应用程序，无论它们是否为云原生应用程序。这是一个真正的混合云解决方案。”

他说，HPE将开源的Kubernetes软件与BlueData（于2018年被HPE收购）和MapR（于2019年被HPE收购）的技术相结合，构建了这个平台。

HPE优化了容器平台，可以直接在裸机服务器上运行容器，并能提供客户期望的性能和安全性。据Phelan称，这不仅降低了成本，因为企业不必有虚拟化软件许可，还可以提高性能，减少CPU、内存和存储资源的消耗。

“我们相信，如果客户使用裸机，我们可以降低他们的总拥有成本。”       

IDC软件定义计算研究总监Gary Chen说，随着越来越多的企业希望部署容器，与红帽和VMware这两个主要竞争对手相比，HPE在容器平台上的产品具有较强的竞争力。      

红帽的OpenShift Container Platform是市场领导者。VMware提供PKS，但一直忙于开发Project Pacific(以将Kubernetes原生于虚拟化平台vSphere)和Tanzu（一项并行举措，旨在构建一系列产品和服务，帮助企业在有或无vSphere的情况下使用Kubernetes）。

在HPE Container Platform发布的第二天，VMware发布了vSphere7（这是第一个内置Kubernetes的vSphere7），以及一整套Tanzu产品和服务。            

Chenye表示，HPE正在大力宣传裸机在与VMware竞争中的地位。这家虚拟化软件巨头的多数股权由戴尔科技持有，后者是惠普在数据中心市场的最大竞争对手。             

HPE还与它的云合作伙伴（AWS、Microsoft Azure和Google Cloud Platform）也有一定程度的竞争——它们都提供自己的云容器服务。        

去年6月，HPE与GCP合作，将其硬件与Google Anthos集成——这是一个开放平台，允许企业在公有云或自己的数据中心在Google Kubernetes引擎环境中运行应用程序。作为合作的一部分，HPE表示，它将在Greenlake上提供Anthos-as-a-Service服务，这是HPE的在线解决方案组合，可以订阅或按需付费。             

Chen说，HPE推出Container Platform是该公司混合IT战略的一部分，以使用户更容易部署和管理内部或混合云环境。

“这一点很重要，因为容器是下一代现代应用程序的平台。它还将在可移植性方面发挥关键作用。当我们转向多云和混合云时，Kubernetes是一个有助于实现这一点的工具。”Chenye表示，如今，超过50%的企业正在开发容器环境，约三分之一的企业在生产中使用容器，但其占比仍然很小，约占所有企业计算量的3.5%，预计五年后，运行的容器实例数量将增长100%。

“我们仍处于早期采用阶段，可能正在进入主流早期阶段。”             

让企业用Kubernetes更容易  

HPE为各种硬件上的特定容器用例创建了参考设计：HPE Apollo服务器上的机器学习和数据分析；HPE Edgeline边缘的分析和物联网，以及HPE Synergy上的DevOps。             

HPE咨询部门Pointnext Services将为容器平台用户提供设计、实现、培训和支持。             

今年晚些时候，HPE计划将Container Platform作为Greenlake服务提供。             

解决裸机的“noisy-neighbor”问题

HPE表示，性能和安全性都是裸机容器平台的主要设计目标。

为了解决常见的“noisy-neighbor”问题（共享虚拟机或裸机主机的容器会干扰彼此的性能），HPE的平台通过Linux cgroup调度实现了QoS功能。        

Phelan解释说：“cGroup是Linux用来控制分配给单个容器的资源的软件技术。因此，通过控制它，HPE Container Platform可以控制一个容器中的一个应用程序的影响，以免对在不同容器上运行的应用程序的性能产生不利影响。”              

他说，在虚拟化环境中，用户通常通过在单个虚拟机上运行容器来解决这个问题。“用户觉得他们需要在VMware和其他hypervisor上运行容器，以控制noisy-neighbor问题并获得额外的安全保护。”

但是，虚拟化平台（如VMware的vSphere）也抽象了底层基础设施的管理，许多人在Kubernetes部署环境中发现了这种方法的有用性。例如，谷歌就要求使用vSphere为Kubernetes内部部署Antos混合云平台。       

在裸机上运行容器是否能比在虚拟机中运行它们提供更好的性能也是有争议的。事实上，VMware已经证明了：虚拟机上的容器性能比裸机上的要好。             

Phelan说，HPE在裸机上的安全方法侧重于实施最佳实践，即以所需的最少权限运行应用程序。“我们没有给所有人所有的权限。为了成功运行应用程序，我们使用了最少的权限。”              

HPE计划通过将硅root-of-trust解决方案集成到现有的HPE服务器中，进一步提高裸机上容器的安全性。该公司安装了内置安全代码的特殊芯片。Phelan解释说，当服务器启动时，可以确保硬件和固件在出厂后没有被篡改。        

他说，公司将把root-of-trust概念扩展到软件层，包括Linux操作系统、Docker容器运行时和容器本身，这样就可以检查整个软件堆栈，确保它没有被破坏或篡改。             

HPE还计划与安全软件提供商合作，监控容器，并在发现异常行为时采取补救措施。             

Phelan说：“我们相信HPE Container Platform的这一功能路线图可以提供更好的避免noisy-neighbor和防止容器内的恶意软件攻击。”