先聊聊为啥非得在混合云里折腾云原生。 大部分企业手里都攒着一堆物理机或私有云,直接全迁公有云不现实------成本、数据安全、合规性都是坎儿。但业务又眼馋公有云的弹性,比如电商大促时临时扩容几百个节点,活动结束就缩容。混合云恰好捏住了这个痒处:核心数据放私有云,流量高峰时把无状态计算甩到公有云。而云原生技术,特别是容器和Kubernetes,成了实现这个目标的"万能胶水"。
混合云部署的关键点,首当其冲是网络打通。 曾经在项目里遇到过私有云Pod死活连不上公有云的Redis实例,最后发现是安全组规则没放开跨云段端口。混合云网络架构必须提前规划:是用专线打通底层,还是走VPN隧道?Pod之间的通信是否需要扁平网络?建议用Calico的IPIP模式或者Cilium的Overlay方案,但要注意性能损耗。如果追求极致,可以试试公有云提供的云企业网服务,比如阿里云的CEN,能自动构建混合云网络。
存储是另一个重灾区。 有状态服务在混合云里部署数据库?别硬干!跨云存储同步的延迟能让你怀疑人生。我们的做法是把MySQL集群主节点放在私有云,通过DRBD同步到公有云备节点,读写分离时用ProxySQL做路由。更彻底的方案是直接选用云原生数据库,比如TiDB,它的TiKV组件天然支持多数据中心部署。
K8s集群管理有三种主流玩法:
单集群跨云:用Kubeadm或K3s搭建一个集群,Master节点放私有云,Worker节点分散到多家公有云。优点是管理简单,但网络延迟可能导致节点失联。
多集群联邦:通过Karmada或Clusternet把不同云的集群粘起来,应用一键分发到目标集群。我们在生产环境用Karmada做金丝雀发布,先把应用推到私有云集群验证,再 federated到公有云。
混合云IaaS层统一调度:有些厂商提供了跨云管理平台,比如OpenStack的Kuryr项目能打通公有云VPC,但这个方案对技术栈绑架比较严重。
流量调度必须配合监控体系。 我们在每个集群都部署了Prometheus+Thanos组合,Thanos Sidecar把监控数据实时上传到公有云对象存储,Grafana做跨云聚合查询。当私有云监控指标显示CPU使用率超过80%,就通过HPA把Deployment的副本数扩容到公有云节点。
镜像仓库需要做智能同步。 最初我们在每个云环境各放一个Harbor,结果版本更新时总出现镜像不一致。后来改用Harbor的复制策略,在私有云搭建主仓库,自动同步增量镜像到公有云仓库。拉镜像时用地域解析,华北节点读华北仓库,华南节点读华南仓库。
最后给几个实战建议:
别在混合云里跑StatefulSet,除非存储层做了跨云同步
Ingress Controller按云环境独立部署,用DNS做全局负载均衡
证书管理用cert-manager配合Let's Encrypt,跨云域名统一用泛域名解析
日志收集用Fluentbit+ClickHouse组合,ClickHouse的分布式表引擎能自动合并多云日志
混合云下的云原生部署没有银弹,核心思路是"应用无状态化,数据异步化,调度智能化"。先把最简单的无状态服务扔进去跑通,再逐步啃存储、网络这些硬骨头。记住,混合云不是终点,只是通向全域弹性的中间站。