9月6日，由深圳金融信息服務(wù)協(xié)會(huì)主辦，我公司（深圳睿云智合科技有限公司）與Rancher Labs聯(lián)合協(xié)辦的，深圳金融IT界容器技術(shù)專題研討會(huì)隆重召開(kāi)并勝利閉幕！

 

會(huì)議匯聚了國(guó)內(nèi)外知名的云計(jì)算技術(shù)大咖，以及招商銀行、平安科技、富德生命人壽、廣發(fā)證券等國(guó)內(nèi)金融科技引領(lǐng)企業(yè)的容器技術(shù)實(shí)踐團(tuán)隊(duì)的經(jīng)驗(yàn)分享，為150多人的在場(chǎng)嘉賓奉上了一場(chǎng)堪稱金融行業(yè)與最前沿容器技術(shù)的巔峰碰撞！

 

除了深圳本地的金融行業(yè)技術(shù)人員，更有來(lái)自北京、上海、東北的多家金融機(jī)構(gòu)信息技術(shù)團(tuán)隊(duì)積極參與，大家紛紛表示會(huì)議干貨多多，收獲頗豐。

 

以下就是小編為大家整理的嘉賓分享內(nèi)容系列速遞，按照演講順序，今天為大家推出的是來(lái)自平安科技資深專家?– 陳春潤(rùn)的分享：《平安金融云之CaaS服務(wù)建設(shè)和應(yīng)用》

分享開(kāi)始，陳春潤(rùn)先生首先從平安云5大特性展開(kāi)介紹。和現(xiàn)在的公有云服務(wù)供應(yīng)商對(duì)比，平安云在系統(tǒng)、合規(guī)以及數(shù)據(jù)方面有著自己的特點(diǎn)。結(jié)合平安集團(tuán)的發(fā)展戰(zhàn)略，將平安云平臺(tái)定義成具備“專業(yè)、增值、可靠、安全與合規(guī)”特征的金融云服務(wù)供應(yīng)商。

 

專業(yè)：理解行業(yè)特性，利用平安科技多年的金融IT咨詢及研發(fā)能力，專業(yè)服務(wù)于金融行業(yè)客戶。

 

增值：為金融行業(yè)客戶提供軟件、數(shù)據(jù)、網(wǎng)絡(luò)、征信等一系列增值服務(wù)，構(gòu)建起金融同業(yè)共贏共生的“超級(jí)購(gòu)物中心”。

 

可靠：利用創(chuàng)新的高可用架構(gòu)和自動(dòng)化運(yùn)維平臺(tái)為用戶提供可靠的基礎(chǔ)設(shè)施服務(wù)打造可信賴的云計(jì)算平臺(tái)。

 

安全：打造適合金融行業(yè)的安全體系、符合CSA規(guī)范的有強(qiáng)防護(hù)能力的云計(jì)算平臺(tái)。

 

合規(guī)：重點(diǎn)研究與監(jiān)管(一行三會(huì))要求的契合度，成為金融云的標(biāo)桿，為金融行業(yè)客提供合規(guī)、便利的一攬子云計(jì)算服務(wù)。

 

除此之外，陳春潤(rùn)先生還表明，平安集團(tuán)子公司中包含金融行業(yè)的各個(gè)類別，不同企業(yè)、不同來(lái)源、不同開(kāi)發(fā)模式的業(yè)務(wù)系統(tǒng)對(duì)底層資源的需求差異很大。所有這些需求對(duì)于平安云來(lái)說(shuō)都是必須要滿足的。

 

因此平安云會(huì)為用戶提供不同類型的彈性計(jì)算服務(wù)，包括：

物理機(jī)：高性能，高規(guī)格

虛擬機(jī)：靈活、安全的共享

容器：靈活、輕量、快速交付

 

這些不同的計(jì)算模式可以共享相同的VPC網(wǎng)絡(luò)，用戶可以根據(jù)應(yīng)用架構(gòu)選擇將一部分應(yīng)用部署在物理機(jī)上，也可以部署在虛擬機(jī)上或容器服務(wù)中。

 

容器服務(wù)的設(shè)計(jì)目標(biāo)

對(duì)于容器服務(wù)的設(shè)計(jì)目標(biāo)，陳春潤(rùn)先生闡述了2點(diǎn)。

一、對(duì)于大多數(shù)租戶而言，希望能夠使用容器服務(wù)加快環(huán)境部署的速度，提高擴(kuò)容的效率，降低運(yùn)維成本。

因此，平安云提供一套簡(jiǎn)單有效的容器服務(wù)產(chǎn)品，使得用戶能夠自助完成容器部署工作。

自助式容器服務(wù)（私有或公有云服務(wù)）

– 用戶可定制容器基礎(chǔ)架構(gòu)

– 公共鏡像商城

– 私有鏡像管理

– 支持混合部署方式

– 兼容平安云基礎(chǔ)架構(gòu)

– 兼容平安應(yīng)用架構(gòu)規(guī)范

 

二、對(duì)于開(kāi)發(fā)團(tuán)隊(duì)而言，希望擁有一套從開(kāi)發(fā)測(cè)試到生產(chǎn)部署的流水線，容器服務(wù)作為流水線中的實(shí)際運(yùn)行環(huán)境，完成最后一公里的工作。

全流程部署自動(dòng)化（私有云服務(wù)）

– 提供API與開(kāi)發(fā)管理平臺(tái)緊密結(jié)合

– 支持開(kāi)發(fā)-測(cè)試-生產(chǎn)環(huán)境部署流水線

– 用戶可定制容器基礎(chǔ)架構(gòu)

– 支持“全容器”和“開(kāi)發(fā)測(cè)試容器+生產(chǎn)非容器”型部署需求

– 私有鏡像版本管理

– 平臺(tái)層服務(wù)支持

 

平安云容器服務(wù)架構(gòu)

容器它有自己運(yùn)行的方式，不改變?nèi)魏伍_(kāi)發(fā)的流程，但是從最終目的來(lái)講，開(kāi)發(fā)不改變傳統(tǒng)的架構(gòu)，容器的功能是很難的發(fā)揮的。

 

平安云統(tǒng)一管理區(qū)

 

我們會(huì)有一個(gè)統(tǒng)一的綜合管理區(qū)，這個(gè)區(qū)會(huì)部署我們一個(gè)自己caas服務(wù)主體和面對(duì)對(duì)客戶管理的vpi的部分。

– 容器服務(wù)門(mén)戶。

 

– 門(mén)戶系統(tǒng)，提供容器服務(wù)操作。

 

– 基于lvs+keepalived部署架構(gòu)，外接mysql集群。

平安云公共服務(wù)區(qū)

我們有自己的每個(gè)數(shù)據(jù)中心，整個(gè)平臺(tái)作為數(shù)據(jù)中心，每個(gè)數(shù)據(jù)中心內(nèi)部會(huì)有一個(gè)資源管理區(qū)，這里面會(huì)有一些公共的rancher組件，同時(shí)支持對(duì)每個(gè)用戶有單獨(dú)? rancher server，這是我們一個(gè)比較大的改動(dòng)，盡量減少管理域，鎖定在一個(gè)工作內(nèi)，這樣我們的風(fēng)險(xiǎn)，控制就會(huì)更細(xì)。

Rancher 服務(wù)

– 核心服務(wù)組件，主要用于容器調(diào)度與部署。

 

– 基于lvs+keepalived部署架構(gòu)，外接Mysql集群。

Docker節(jié)點(diǎn)

– 用于鏡像制作、上傳、下載，文件傳輸，執(zhí)行Docker命令。

Public Registry

– 平安官方公共鏡像倉(cāng)庫(kù)，同時(shí)是官方公共租戶的鏡像庫(kù)。

– 采取多節(jié)點(diǎn)掛載共享盤(pán)部署。

 

租戶VPC(某個(gè)租戶私有的VPC)

– 每個(gè)租戶擁有完整容器部署和運(yùn)行環(huán)境，包括Rancher Server、Docker節(jié)點(diǎn)、Private Registry。

– 隔離與其他租戶之間的影響，減少跨租戶的網(wǎng)絡(luò)訪問(wèn)。

 

CaaS核心功能

容器這個(gè)概念雖然簡(jiǎn)單，但是對(duì)于很多開(kāi)發(fā)人員來(lái)講，對(duì)于他們的要求還是很高的，所以我們把它簡(jiǎn)化，形成一個(gè)比較容易理解應(yīng)用管理，服務(wù)管理，鏡像管理三大功能，其他高級(jí)功能都藏起來(lái)，只有資深的管理人員才看的到管理。其它的只是做一些底下的接口之類的。

 

【租戶+環(huán)境+權(quán)限】

– 以租戶+環(huán)境+角色方式進(jìn)行權(quán)限控制。

– 租戶：一個(gè)租戶包含多個(gè)環(huán)境，由租戶管理員維護(hù)。

– 環(huán)境：同一類級(jí)別的服務(wù)集合，由環(huán)境管理員管理，包含多個(gè)應(yīng)用管理員。

 

【應(yīng)用編排】

– 提供官方編排模板。

– 支持Compose部署，擴(kuò)展了docker compose。

【服務(wù)管理】

– 豐富的服務(wù)創(chuàng)建配置：支持服務(wù)link、端口配置、環(huán)境變量配置、目錄掛載以及資源限制等配置。

– 詳細(xì)的服務(wù)管理：服務(wù)信息、服務(wù)事件、服務(wù)配置。

 

 

【鏡像倉(cāng)庫(kù)】

– 所有租戶共享鏡像商城，每個(gè)租戶擁有自己的公共倉(cāng)庫(kù)，租戶內(nèi)用戶共享租戶內(nèi)鏡像。

– 鏡像商城采取多節(jié)點(diǎn)+共享磁盤(pán)部署，租戶的鏡像倉(cāng)庫(kù)使用單節(jié)點(diǎn)+本地磁盤(pán)（基于云存儲(chǔ)）。

Mesos+Marathon環(huán)境

除了在平安云框架內(nèi)研發(fā)CaaS服務(wù)外，平安科技也嘗試過(guò)基于MM平臺(tái)對(duì)內(nèi)部互聯(lián)網(wǎng)產(chǎn)品線提供專屬容器服務(wù)。

– MM組合在生產(chǎn)實(shí)際部署，解決了部分互聯(lián)網(wǎng)應(yīng)用需要快速擴(kuò)容和穩(wěn)定運(yùn)行的要求。

– 三套環(huán)境有近1000物理核的部署規(guī)模。

– 實(shí)現(xiàn)了創(chuàng)新的IP管理，負(fù)載均衡，快速擴(kuò)容。

– 支持容器漂移、EJB集群、組播、zabbix監(jiān)控、CMDB等。

基于Bare metal和IaaS部署CaaS的區(qū)別

基于BM

– 計(jì)算性能更好。

– 隔離性稍差，適合獨(dú)占資源池

– 構(gòu)建容器網(wǎng)絡(luò)和存儲(chǔ)服務(wù)工作量大，與IaaS的工作相當(dāng)

基于IaaS

– 主機(jī)虛擬化層存在一定損耗

– 多租戶場(chǎng)景支持更好

– 可以靈活調(diào)整計(jì)算資源池

– 依托于IAAS層網(wǎng)絡(luò)和存儲(chǔ)服務(wù)，容器層工作量降低

目前業(yè)界實(shí)現(xiàn)的容器云無(wú)外乎基于bare metal構(gòu)建和基于IaaS構(gòu)建兩種，許多公共的容器云平臺(tái)也提供這兩種選擇，前者能夠提供較高的性能，當(dāng)用戶獨(dú)占bare metal集群時(shí)也能夠?qū)崿F(xiàn)足夠的安全性。后者為容器云的靈活部署提供了基礎(chǔ)，用戶能夠在更大的空間上獲得獨(dú)享的容器運(yùn)行環(huán)境，實(shí)現(xiàn)資源的按需申請(qǐng)和釋放。

在企業(yè)內(nèi)部構(gòu)建容器云，當(dāng)需求明確時(shí)，非常適合基于BARE METAL和K8S或MM部署，這種部署方式能夠充分利用bare metal的性能優(yōu)勢(shì)和容器管理平臺(tái)的功能優(yōu)勢(shì)，實(shí)現(xiàn)快速部署。

但當(dāng)企業(yè)規(guī)模和需求類型、用戶數(shù)不斷增加時(shí)，容器服務(wù)的進(jìn)程特性無(wú)法滿足多種多樣的需求，其對(duì)底層虛擬化的不徹底也會(huì)帶來(lái)隔離程度不夠以及安全性不夠的問(wèn)題。尤其是當(dāng)多租戶需求產(chǎn)生時(shí)，純粹基于容器構(gòu)建的云服務(wù)很難平衡這些差異。

因此對(duì)于已經(jīng)擁有IAAS平臺(tái)的企業(yè)來(lái)說(shuō)，直接在IAAS之上構(gòu)建通用的容器云平臺(tái)是一種很好的選擇，iaas平臺(tái)專注于資源池的管理和網(wǎng)絡(luò)的管理，容器平臺(tái)關(guān)注與鏡像構(gòu)建、容器編排，這種組合方式能夠降低彼此的復(fù)雜性，提高容器部署的靈活性。

應(yīng)用情況

2015年9月：對(duì)接平安科技研發(fā)管理部的WizardCI/CD平臺(tái)，提供一鍵部署接

2016年6月：平安容器服務(wù)第一個(gè)版本V1.1上線，面向內(nèi)部開(kāi)發(fā)人員，提供開(kāi)發(fā)測(cè)試環(huán)境

• 應(yīng)用管理、服務(wù)創(chuàng)建、多個(gè)容器部署
• 公共鏡像倉(cāng)庫(kù)，提供多種平安云官方鏡像、docker官方鏡像
• 私有鏡像倉(cāng)庫(kù)：創(chuàng)建私有倉(cāng)庫(kù)、制作鏡像

2016年7月：發(fā)布平安容器服務(wù)V1.2.1、V1.2.2

• 服務(wù)管理、服務(wù)事件
• 容器監(jiān)控、容器日志、webshell登陸容器、上傳文件到容器

2016年8月：發(fā)布平安容器服務(wù)V1.2.3

• 應(yīng)用編排
• 多租戶、多環(huán)境容器服務(wù)
• 更豐富的服務(wù)創(chuàng)建：支持端口配置、環(huán)境變量配置、目錄掛載以及資源限制