搜索
银行容器云平台架构实践技术创新,变革未来分享内容容器平台(PaaS)建设应用推广为云原生应用开发和运维提供最佳技术实践•持续集成、镜像分层和打包•持续交付、镜像仓库分发、自动化部署•配置管理•服务编排•服务注册发现、负载均衡•服务网关、服务限流、服务降级•服务追踪•断路器•提高资源使用效率•快速启动和扩缩容•容器调度•故障检测恢复•屏蔽环境差异•开发人员友好为微服务运行提供实用框架工具•为开发人员提供快速构建、运行分布式应用的实用工具(配置中心,服务注册发现,服务网关,断路器,智能路由,分布式事件追踪等)•PaaS不仅提供轻量的容器基础设施,更为微服务运行而提供专业支持的SpringCloud框架,应用无需再集成微服务框架DevOps流水线工具集1源代码开发团队构建报告源代码构建静态代码分析版本库代码覆盖率分析构建完成23459自动化流水线自动化单元测试JunitJenkins6788自动部署BitbucketGITJenkins6容器扁平化网络方案Web容器172.17.0.2Web容器172.17.0.3MySQL容器172.17.0.2容器宿主机1docker0bridge192.168.1.2容器宿主机2docker0bridge192.168.1.3192.168.1.3:3306172.17.0.2:3306(PortMapping)docker0bridgedocker0bridgeWeb容器10.1.1.10MySQL容器10.1.1.12Web容器10.1.1.1155.0.1.255.0.1.3Dockerov-000100Dockerov-000100Web1容器10.0.0.2MySQL2容器10.0.1.3Web2容器10.0.1.2MySQL1容器10.0.0.3Dockerov-000101192.168.1.2Dockerov-000101192.168.1.3OverlayOverlay扁平网络方案原生网桥+NAT方案Overlay网络方案原生网桥+NAT方案技术特点:同一主机容器间通过网桥,管理简单清晰不同主机容器间需要做MAP,性能损失大,端口竞争严重传统网络架构中防火墙、安全漏扫等服务不能为容器服务扁平网络方案技术特点:扁平网络,每个容器IP路由可达,无Overlay,性能达到最优,但消耗IP多容器网络充分发挥传统网络架构中防火墙、负载均衡器、安全漏扫、APM等服务Overlay网络方案技术特点:Dockerengine间通信创建Overlay网络主机间容器通过VXLAN互联传统网络架构中防火墙、安全漏扫等服务不能为容器服务应用统一建模和自动部署应用建模微服务编排应用目录部署运行金融云服务门户金融云PAAS部署应用上架应用以TOSCA标准保存租户容器集群应用模型根据应用等级信息和宿主机节点信息部署微服务通过PaaS接口,向PaaS传递应用建模数据弹性扩缩微服务调度故障恢复负载均衡翻译成YML为微服务运行管理策略应用监控动态调整运行策略获取监控数据用于展现微服务运行框架容器调度满足金融业务的更高要求•符合监管合规的安全性租户隔离/权限分级应用安全分级、防火墙、WAF、漏洞扫描、事件审计、日志分析等•更高的可用性和连续性双活部署、两地三中心、同城备份/切换、异地备份/切换应用高可用和连续性分级租户A应用容器租户B应用容器等保2级应用容器等保3级应用容器安全隔离方案支持多租户隔离及不同安全等级应用的隔离vFW容器宿主机租户A等保2级应用容器租户A容器集群租户A等保3级应用容器vFW容器宿主机租户B等保2级应用容器租户B容器集群租户B等保3级应用容器DCCore•根据应用类型和等保级别设置网络安全区•跨越网络区域时需要经过防火墙。防火墙策略根据应用等保级别和应用间必要的访问关系而设置等保2区隔离网等保3区隔离网等保2区隔离网等保3区隔离网业务网业务网业务网业务网支持的安全与合规策略•漏洞扫描•系统(操作系统,中间件,数据库)•应用(开放的服务端口,弱密码,跨站脚本,SQL注入)•4A纳管•Root账户上收•App账户有限赋权•WAF•应用流量分析•SSL•通信链路加密•应用审计•应用日志,客户行为登记从多个层级保障高可用和连续性微服务平台应用•微服务容器实例的放置策略(不同实例运行于不同可用区)•微服务容器实例的故障检测、迁移恢复•控制节点多活+数据库集群及一致性同步•镜像仓库高可用及数据备份•计算节点来自数据中心的不同高可用模块•不中断服务的平台升级方式•适应应用高可用等级的同城双中心双活部署•适应应用高可用等级的同城灾备切换•适应应用连续性等级的持久化数据备份方案•适应应用连续性等级的RTO/RPO分享内容容器平台(PaaS)建设应用推广应用微服务改造迁移•改造原则:业务视角自给自足功能单一但完整非事务性和最终一致性平衡效率14感谢!