解读

国内云原生落地节奏快，多数企业先有 Docker Compose 沉淀，后需迁到 Knative 享受 Serverless 弹性。面试官问“复用”而非“照搬”，核心考察两点：

1. 能否识别 Compose 与 Knative 在抽象层、网络模型、扩缩语义上的差异；
2. 能否给出最小改动、可落地、可 CI/CD 的迁移路径，而不是简单“跑起来就行”。
   回答时务必体现“国内镜像加速、合规扫描、灰度发布、成本优化”这些甲方真实痛点。

知识点

• Compose 规范 vs Knative Service 规范：Compose 是单机多容器，Knative 是单容器多 Revision；Compose 的 depends_on 在 Knative 无直接等价物。
• 镜像地址：国内必须替换为阿里云 ACR、腾讯云 TCR、华为云 SWR等加速域名，否则拉取超时。
• 配置注入：Compose 用 .env 文件，Knative 用 ConfigMap+Secret，且需挂载到 /ko-app/ 以外的路径避免权限问题。
• 健康检查：Compose 的 healthcheck 指令需显式写成 Knative containerConcurrency 与 timeoutSeconds 的 livenessProbe/readinessProbe。
• 资源限额：Compose 的 deploy.resources 要映射到 Knative container.resources，单位须从 MB 转为 Mi，否则 Kubernetes 会拒绝调度。
• 无状态约束：Knative 禁止写容器可写层，Compose 里任何 volumes 绑定都要改为对象存储或 PVC，并挂载为 emptyDir 或 persistentVolumeClaim。
• 自动扩缩：Knative 默认按并发数扩缩，Compose 的 replicas 需删除，改用 autoscaling.knative.dev/target: "100" 注解。
• 安全加固：国内等保要求容器以非 root 用户运行，Compose 中 user: root 必须移除，并在 Dockerfile 里加 USER 65534。

答案

步骤一：标准化镜像

1. 在 CI 阶段用 docker buildx 做多架构构建，推送到企业内网 Harbor 或公有云 ACR，并开启镜像签名与漏洞扫描。
2. 把 Compose 文件里 build: . 全部改为 image: registry.cn-hangzhou.aliyuncs.com/xxx/yyy:1.2.3，确保 Knative 拉取时无需构建。

步骤二：剥离有状态数据
将 Compose 中的 volumes 列表分类：

• 临时缓存 → 改为 Knative emptyDir: {}；
• 持久文件 → 提前创建 PVC，并在 Knative volumeMounts 中引用；
• 配置模板 → 提前 kubectl create configmap 并挂载到 /etc/config。

步骤三：一键转换工具
使用开源 Kompose 或 Compose on Kubernetes 仅生成 Deployment/Service，不能直接生成 Knative Service。因此用 kompose convert -f docker-compose.yml 后，再写脚本把 apps/v1 Deployment 字段映射到 serving.knative.dev/v1 Service：

• metadata.name 作为 Knative Service 名称；
• spec.template.spec.containers[0] 整段复制到 knative-service.yaml 的 spec.template.spec.containers[0]；
• 删除 replicas、restartPolicy，增加 autoscaling.knative.dev/target、autoscaling.knative.dev/minScale、maxScale 注解；
• 添加 containerConcurrency: 100 防止突发流量打满容器。

步骤四：配置与密钥
把 .env 文件内容 kubectl create secret generic xxx-env --from-env-file=.env，在 Knative Service 里通过 envFrom 注入；敏感字段如 DB 密码使用阿里云 KMS或腾讯云 SSM 进行密钥轮换，并通过 csi-secrets-store-driver 挂载，满足国内合规。

步骤五：灰度发布
利用 Knative 的 Revision 机制：

1. 先部署 v1 并设置 traffic: 100%；
2. 修改镜像 tag 为 v2 后 kubectl apply，生成新 Revision；
3. 通过 kn service update xxx --traffic v2=10,v1=90 做金丝雀发布，并配置阿里云日志服务 SLS 或腾讯云 CLS 做实时日志比对，确认无 5xx 后再全量切换。

步骤六：CI/CD 模板
在 GitLab CI 或 Jenkins 中固化以上步骤：

stages:
  - build
  - convert
  - deploy
build:
  script:
    - docker buildx build --platform linux/amd64,linux/arm64 -t $REGISTRY/$IMAGE:$CI_COMMIT_TAG .
    - docker push $REGISTRY/$IMAGE:$CI_COMMIT_TAG
convert:
  image: kompose:latest
  script:
    - kompose convert -f docker-compose.yml -o k8s/
    - python scripts/compose2knative.py k8s/ > knative-service.yaml
deploy:
  image: bitnami/kubectl
  script:
    - kubectl apply -f knative-service.yaml
    - kn service update $SERVICE --traffic $NEW_REVISION=100

至此，现有 Docker Compose 模板零侵入改造为 Knative 服务，研发团队只需继续维护 Compose 文件，平台侧自动享受 Serverless 弹性与灰度能力。

拓展思考

1. 如果 Compose 里混入了Init Container逻辑（如 command: ["flyway", "migrate"]），Knative 本身不支持 Init Container，需拆分为Tekton Pipeline任务，在 Knative Service 启动前完成数据库迁移，避免冷启动超时。
2. 国内金融客户要求双活容灾，可结合阿里云 ASK 多可用区 + Knative 的 traffic split，实现 Region 级流量切换，RTO 控制在 30 秒以内。
3. 成本敏感场景，可给 Knative Service 加 autoscaling.knative.dev/scale-to-zero-pod-retention-period: 30s，并配合抢占式实例 + Spot 容忍度，在保证 SLA 前提下节省 70% 计算费用。