你问我答:容器篇(1)

数字化时代,数字经济带来的巨大优势,让企业不断向数字化转型迈进,企业在IT基础设施建设、混合多云管理等领域面临迫切的转型与升级,并在这一过程中遇到较多问题与难题。作为国内支撑企业数字化转型的云计算PaaS技术中台及多云管理服务商,博云时刻关注并深入了解企业IT建设的需求。

本周起,BoCloud博云将在微信公众号开通【你问我答】小栏目,我们将收集和整理企业在IT建设所遇到的问题与难题,由博云产品与技术团队进行针对性回答,每周五通过【你问我答】栏目进行发布,希望能为企业IT建设提供思路与方法。无论您是哪个行业的IT建设者,如果您有在容器云平台建设、微服务架构转型、DevOps平台建设、多云管理平台建设等技术方面所遇到的问题,欢迎您直接评论留言提问。

以下是本周问题精选:

01

网友1:容器平台、微服务平台、devops平台在规划建设的时候如何能有序整合起来?

 

博云产品团队:容器平台、微服务平台、DevOps平台目前是IT系统规划建设的重点,三个平台之间某些功能有重合的地方,比如容器平台本身有CI/CD的功能,那在建设的时候如何能统一进行规范, 各个平台单独建设时候的侧重点分别是什么,如何划分各平台的边界,以及如何将三个平台无缝对接起来?我们建议: 1. 容器平台与服务治理在以下维度相同,需要从统一化进行管理: ①应用管理;②服务管理;③实例管理;④聚合管理;采用统一权限中心管理,数据权限与操作权限灵活设置,以用户+权限定义产品形态和管理范畴。平台管理重点在于资源管理,租户管理重点在于应用管理和服务治理能力。 2. 在建设DevOps的过程中,需要结合企业自身开发运维的流程,与容器云与微服务治理平台的结合的过程中,更多的考虑整体DevOps过程中需要实现的场景,而不是仅仅考虑CI/CD。

 

02

网友2:在私有云中,在容器环境下安全区域怎么划分,是否设置DMZ区域? 

 

博云产品团队:可以考虑部署多个容器集群来设置不同区域。测试环境、生产环境完全隔离的情况下,可考虑建设DMZ区以实现可能需要的镜像流转等场景。

 

03

网友3:集团容器云如何建设?产品选型及标准上有哪些建议?

我们集团是一家大型中央企业,属下业务板块众多,有金融板块(银行、证券、保险等)、地产板块、交通物流板块、工业板块等,金融板块IT比较独立。集团在落实数字化转型中,提出两平台一体系的建设:云平台、大数据平台、数据治理体系。云平台建设是基础,是集团数字化转型的底座,云平台建设重点是PaaS平台。按照集团信息化的特点及现状,总部综合管控系统、下属公司业务系统等基本采用购置第三方的成熟产品套件,这块完全云化,不太现实,需要第三方厂家产品支持。

关于容器云建设,这个在传统行业也刚刚起步,在容器云建设大家认识不统一:

第一,完全自研不太现实,资源配置不足;

第二,采用容器云平台,行业的软件提供商在支持容器开发上产品不多。

基于这样的场景,集团容器云如何建设?采用k8s+docker是否能够满足未来的云化需求?行业内的PaaS平台缺乏统一标准,各厂家产品的组件化提供方式不太成熟(组件化输出为能力,移植到自有的PaaS平台)。在产品选型及标准上有什么好的建议?传统的应用是否有必要向容器云分拆成微服务?

 

博云产品团队:在考虑第三方容器云平台的选型上,这个问题有很多复杂的影响因素,包括技术和非技术的,不同的组织情况不尽相同。我们更建议在如下维度进行考察:

1.容器云的生产案例应用有哪些,平台生产级能力是否经过了长期有效验证,第三方团队的定制化能力,第三方团队技术赋能和为贵司团队培养的能力。2.在技术方面,开源贡献度如何,底层掌控力是否足够强。

结合您企业的现状,在考察PaaS平台时,我们建议除了关注容器云平台之外,也建议关注考察PaaS平台中是否有微服务治理平台及微服务拆分咨询的经验与能力。

容器云平台可重点考察是否具备多集群、多租户体系、统一认证能力、CICD能力、容器化及非容器化全生命周期统一管理的能力、中间件集成能力、网络方案是否符合贵司组网、安全方案、DevOps能力、应用容器化实施能力,与贵司已有系统对接整合的能力、与基础设施的融合能力等。

微服务治理平台可重点考察支持的微服务架构是否与贵司采用的架构一致,组件的性能如何,全链路调用链分析能力。

PaaS云平台既要与底层基础设施交互,又要支持顶层应用,涉及面和覆盖面都非常广,因此建设过程中与单位内部已有设备、流程等进行结合时需要进行综合考虑,上述内容仅作抛砖引玉的参考。

 

04

网友4:金融行业对网络监管、网络隔离要求严格,而容器提倡扁平化,如何考虑网络安全、隔离?

博云产品团队:借助网络命名空间,各个容器集合都能获得自己所要绑定的 IP 和端口范围,因此能使节点上的容器集网络相互分隔开;利用路由器或防火墙的方法来控制出口流量的容器平台,以便利用 IP 白名单来进行控制(例如控制数据库访问)。 SDN思路,基于2层网络方案,集群内外网络打通,实现容器重启IP地址不变,指定IP地址发布服务,控制平面数据平面分离,网络隔离等。

 

05

网友5:传统架构模式和云与docker模式结合后如何解决网络和SDN的问题?

博云产品团队:可以使用二层网络解决与SDN网络对接的问题。我们已经和多家客户进行过深入沟通,市面上主流的CNI插件对客户需求的支持并不理想,难以同时满足各种网络需求,集中体现在内外网互通、管理业务网络分离、灵活的网络隔离机制、易于运维管理和调试等问题上,我们自己基于openVswitch(OVS)自研一个Kubernetes CNI插件来解决这些痛点问题。 选择OVS的原因是,在主流的二层网络方案bridge、macvlan、OVS中,OVS的功能更加丰富,同时在主流的云技术平台中有着大量的应用,经受了足够的考验。我们的方案具有简单易用、支持underlay模式、支持固定IP地址、性能损耗低等特性,重点解决微服务上云过程中集群内外互相直接通信的问题,可以让企业落地容器云平台的复杂度大大降低。业务迁移到容器云后几乎感知不到基础设施从虚拟化到容器化变更带来的变化。这种部署模式可以很好的支持中间件和数据库在Kubernetes集群外部署,应用跑在Kubernetes集群内,或者微服务系统注册中心在虚拟机环境下部署但微服务跨集群内外部署,等需要Kubernetes内外直接互通的场景。

 

具体可以参考:

容器网络插件那么多,博云为什么基于OVS深度自研?

为什么我们要自主开发一个稳定可靠的容器网络

点击BoCloud博云_以创新云技术 为效率而进化,获取更多产品及案例信息。

你可能感兴趣的:(博云技术社区)