阿里云容器服务 ACK 的进化轨迹：探索 2022 年 8 月的重大更新

阿里云容器服务 ACK 8 月重大更新：迈向云原生时代的创新之路

容器沙箱逃逸安全能力再升级

容器沙箱逃逸是一种严重的安全威胁，会让攻击者利用漏洞逃离容器限制，从而控制宿主机或其他容器。阿里云容器服务 ACK 深度整合了阿里云安全团队的尖端技术，推出业界领先的容器沙箱逃逸防御能力。该能力采用主动防御和精准检测相结合的方式，可有效抵御沙箱逃逸攻击，确保容器环境的安全。

Service Mesh 双态能力全面增强

Service Mesh 是一种服务治理框架，它为微服务架构提供了丰富的功能，例如服务发现、负载均衡和故障注入。阿里云容器服务 ACK 紧跟市场趋势，对 Service Mesh 双态能力进行了全面增强。现在，ACK 支持 Service Mesh 的灰度发布和 canary 发布功能，帮助企业用户平滑、安全地部署和更新服务，大幅提升业务敏捷性。

GPU 加速功能再添新成员

GPU 加速对于深度学习、机器学习等人工智能应用至关重要。阿里云容器服务 ACK 深耕 GPU 加速领域，持续拓展 GPU 资源类型，本次更新中新增了 Tesla T4 和 Tesla A100 GPU 实例类型的支持。企业用户可以使用 ACK 轻松构建高性能的 GPU 加速容器化应用，满足各类人工智能计算需求。

云原生日志服务体验全面优化

日志是容器应用运行状态的重要反映，对故障排查和性能分析至关重要。阿里云容器服务 ACK 深度集成阿里云日志服务，为企业用户提供一站式云原生日志管理解决方案。本次更新优化了日志服务的使用体验，支持按需开启和关闭日志收集，并提供更加丰富的日志查询功能，帮助企业用户高效排查问题，提升运维效率。

Kubernetes 生态版本更新至 1.25

Kubernetes 是容器编排的行业标准，阿里云容器服务 ACK 始终紧跟 Kubernetes 社区的发展节奏，快速适配最新版本。本次更新将 Kubernetes 生态版本升级至 1.25，引入诸多新特性，包括 CSI 卷管理、CRD 自定义资源定义、Horizontal Pod Autoscaling 水平 Pod 自动扩缩容等，帮助企业用户构建更加强大、灵活的容器化应用。

全方位提升运维自动化能力

自动化是提升运维效率的利器。阿里云容器服务 ACK 深化与阿里云云效产品的协作，引入云效流水线和云效监控等工具，为企业用户提供端到端的运维自动化解决方案。通过流水线自动化部署、监控自动化告警和自愈，ACK 帮助企业用户大幅减少运维工作量，解放人力资源，专注于核心业务创新。

代码示例：创建支持 GPU 加速的容器化应用

apiVersion: v1
kind: Pod
metadata:
  name: gpu-accelerated-pod
  namespace: default
spec:
  containers:
    - name: gpu-accelerated-container
      image: nvidia/cuda
      command: ["nvidia-smi"]
      resources:
        limits:
          nvidia.com/gpu: 1

常见问题解答

• Q：容器沙箱逃逸防御能力如何工作？

A：容器沙箱逃逸防御能力采用主动防御和精准检测相结合的方式，主动防御基于策略封堵恶意行为，精准检测基于特征或行为检测异常行为，从而有效抵御沙箱逃逸攻击。

• Q：Service Mesh 灰度发布功能有什么好处？

A：Service Mesh 灰度发布功能允许企业用户逐步将新版本服务部署到生产环境中，从而降低部署风险，确保服务的平滑升级。

• Q：ACK 如何简化 GPU 加速应用的部署？

A：ACK 提供了对多种 GPU 实例类型的支持，企业用户可以通过简单的配置将 GPU 资源分配给容器，轻松构建高性能的 GPU 加速应用。

• Q：日志服务按需开启和关闭有什么好处？

A：日志服务按需开启和关闭功能允许企业用户根据实际需要灵活控制日志收集，从而优化资源利用率，降低成本。

• Q：ACK 的运维自动化解决方案有哪些优势？

A：ACK 的运维自动化解决方案集成了阿里云云效产品，提供端到端的自动化能力，帮助企业用户大幅提升运维效率，解放人力资源，专注于核心业务创新。