1、银行容器云平台架构实践技术创新,变革未来分享内容分享内容 容器平台(PaaS)建设 应用推广为云原生应用开发和运维提供最佳为云原生应用开发和运维提供最佳技技术实术实践践持续集成、镜像分层和打包持续交付、镜像仓库分发、自 动化部署配置管理服务编排服务注册发现、负载均衡服务网关、服务限流、服务降级服务追踪断路器提高资源使用效率快速启动和扩缩容容器调度故障检测恢复屏蔽环境差异开发人员友好为微服务运行提供实用框架工为微服务运行提供实用框架工具具 为开发人员提供快速构建、运 行分布式应用的实用工具(配 置中心,服务注册发现,服务 网关,断路器,智能路由,分 布式事件追踪等) PaaS不仅提供轻量的容器基
2、础 设施,更为微服务运行而提供 专业支持的Spring Cloud框架, 应用无需再集成微服务框架DevOps流水线工具集流水线工具集1源代码开发团队构建报告源代码构建静态代码分析版本库代码覆盖率 分析构建完成23459自动化流水线自动化单元测试JunitJenkins6788自动部署自动部署BitbucketGITJenkins6容器扁平化网络方案容器扁平化网络方案Web容器172.17.0.2Web容器172.17.0.3MySQL容器 172.17.0.2容器宿主机1docker0 bridge192.168.1.2容器宿主机2docker0 bridge192.168.1.3192.1
3、68.1.3:3306172.17.0.2:3306(Port Mapping)docker0 bridgedocker0 bridgeWeb容器 10.1.1.10MySQL容器10.1.1.12Web容器 10.1.1.1155.0.1.255.0.1.3Docker ov-000100Docker ov-000100Web1容器 10.0.0.2MySQL2容器 10.0.1.3Web2容器 10.0.1.2MySQL1容器 10.0.0.3Docker ov-000101192.168.1.2Docker ov-000101192.168.1.3OverlayOverlay扁平网扁平网
4、 络方案络方案原生网原生网 桥桥+NAT方案方案Overlay 网络方网络方 案案原生网原生网桥桥+NAT方案技术特点:方案技术特点:同一主机容器间通过网桥,管理简单清晰不同主机容器间需要做MAP,性能损失大,端口竞争严重传统网络架构中防火墙、安全漏扫等服务不能为容器服务扁平扁平网络网络方方案技案技术术特点:特点:扁平网络,每个容器IP路由可达,无Overlay,性能达到最优,但消耗IP多容器网络充分发挥传统网络架构中防火墙、 负载均衡器、安全漏扫、APM等服务Overlay网络网络方案技术特点:方案技术特点:Docker engine间通信创建Overlay网络主机间容器通过VXLAN互联传
5、统网络架构中防火墙、安全漏扫等服务不能为容器服务应用统一建模和自动部应用统一建模和自动部署署应用建模微服务编排应用目录部署运行金融云服务门户金融云PAAS部署应用上架应用以TOSCA标准保存租户容器 集群应用 模型根据应用等级信息 和宿主机节点信息 部署微服务通过PaaS接口, 向PaaS传递应用 建模数据弹性扩缩微服务调度故障恢复负载均衡翻译成YML为微服务 运行管 理策略应用监控动态调整运行策略获取监控数据用于展现微服务运行框架容器调度满足金融业务的更高要满足金融业务的更高要求求符合监管合规的安全性符合监管合规的安全性租户隔离/权限分级应用安全分级、防火墙、WAF、漏洞扫描、事件审计、日志
6、分析等更高的可用性和连续性更高的可用性和连续性双活部署、两地三中心、同城备份/切换、异地备份/切换应用高可用和连续性分级租户A应用容 器租户B应用容 器等保2级应用容器等保3级 应用容器安全隔离方案支持多租户隔离及不同安全等级应用安全隔离方案支持多租户隔离及不同安全等级应用的的隔隔离离vFW容器宿 主机租户A等保2级应用容器租户租户A容器集群容器集群租户A等保3级应用容器vFW容器宿 主机租户B等保2级应用容器租户租户B容器集群容器集群租户B等保3级应用容器DC Core根据应用类型和等保级别设置网络安全区跨越网络区域时需要经过防火墙。 防火墙策略根据应用等保级别和应 用间必要的访问关系而设置
7、等保等保2区区隔离网等保等保3区区隔离网等保等保2区区隔离网等保等保3区区隔离网业务网业务网业务网业务网支持的安全与合规策略支持的安全与合规策略漏洞扫描系统(操作系统,中间件,数据库)应用(开放的服务端口,弱密码,跨站脚本,SQL注入)4A纳管Root账户上收App账户有限赋权WAF应用流量分析SSL通信链路加密应用审计应用日志,客户行为登记从多从多个个层级保障高可用和连续层级保障高可用和连续性性微服务微服务平台平台应用应用 微服务容器实例的放置策略(不同实例运行于不同可用区) 微服务容器实例的故障检测、迁移恢复 控制节点多活 + 数据库集群及一致性同步 镜像仓库高可用及数据备份 计算节点来自数据中心的不同高可用模块 不中断服务的平台升级方式 适应应用高可用等级的同城双中心双活部署 适应应用高可用等级的同城灾备切换 适应应用连续性等级的持久化数据备份方案 适应应用连续性等级的RTO/RPO分享内容分享内容 容器平台(PaaS)建设 应用推广应用微服务改造迁移应用微服务改造迁移 改造原则: 业务视角 自给自足 功能单一但完整 非事务性和最终一致性 平衡效率14感谢感谢!
