銀行容器云平臺架構(gòu)實踐課件

銀行容器云平臺架構(gòu)實踐技術(shù)創(chuàng)新，變革未來銀行容器云平臺架構(gòu)實踐技術(shù)創(chuàng)新，變革未來1分享內(nèi)容容器平臺（PaaS）建設(shè)應(yīng)用推廣分享內(nèi)容應(yīng)用推廣2為云原生應(yīng)用開發(fā)和運維提供最佳技術(shù)實踐持續(xù)集成、鏡像分層和打包持續(xù)交付、鏡像倉庫分發(fā)、自動化部署配置管理服務(wù)編排服務(wù)注冊發(fā)現(xiàn)、負載均衡服務(wù)網(wǎng)關(guān)、服務(wù)限流、服務(wù)降級服務(wù)追蹤斷路器提高資源使用效率快速啟動和擴縮容容器調(diào)度故障檢測恢復(fù)屏蔽環(huán)境差異開發(fā)人員友好為云原生應(yīng)用開發(fā)和運維提供最佳技術(shù)實踐持續(xù)集成、鏡像分層和打3為微服務(wù)運行提供實用框架工具為開發(fā)人員提供快速構(gòu)建、運行分布式應(yīng)用的實用工具（配置中心，服務(wù)注冊發(fā)現(xiàn)，服務(wù)網(wǎng)關(guān)，斷路器，智能路由，分布式事件追蹤等）PaaS不僅提供輕量的容器基礎(chǔ)設(shè)施，更為微服務(wù)運行而提供專業(yè)支持的Spring

Cloud框架，應(yīng)用無需再集成微服務(wù)框架為微服務(wù)運行提供實用框架工具為開發(fā)人員提供快速構(gòu)建、運行分4DevOps流水線工具集1源代碼開發(fā)團隊構(gòu)建報告源代碼構(gòu)建靜態(tài)代碼分析版本庫代碼覆蓋率分析構(gòu)建完成23459自動化流水線自動化單元測試JunitJenkins6788自動部署B(yǎng)itbucketGITJenkinsDevOps流水線工具集1源代碼開發(fā)團隊構(gòu)建報告源代碼構(gòu)建靜56容器扁平化網(wǎng)絡(luò)方案Web容器172.17.0.2Web容器172.17.0.3MySQL容器172.17.0.2容器宿主機1docker0

bridge192.168.1.2容器宿主機2docker0

bridge192.168.1.3192.168.1.3:3306

172.17.0.2:3306(PortMapping)docker0bridgedocker0bridgeWeb容器10.1.1.10MySQL容器10.1.1.12Web容器10.1.1.1155.0.1.255.0.1.3Docker

ov-000100Docker

ov-000100Web1容器10.0.0.2MySQL2容器10.0.1.3Web2容器10.0.1.2MySQL1容器10.0.0.3Docker

ov-000101192.168.1.2Docker

ov-000101192.168.1.3OverlayOverlay扁平網(wǎng)絡(luò)方案原生網(wǎng)橋+NAT方案Overlay網(wǎng)絡(luò)方案原生網(wǎng)橋+NAT方案技術(shù)特點：同一主機容器間通過網(wǎng)橋，管理簡單清晰不同主機容器間需要做MAP，性能損失大，端口競爭嚴重傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中防火墻、安全漏掃等服務(wù)不能為容器服務(wù)扁平網(wǎng)絡(luò)方案技術(shù)特點：扁平網(wǎng)絡(luò)，每個容器IP路由可達，無Overlay，性能達到最優(yōu)，但消耗IP多容器網(wǎng)絡(luò)充分發(fā)揮傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中防火墻、負載均衡器、安全漏掃、APM等服務(wù)Overlay網(wǎng)絡(luò)方案技術(shù)特點：Docker

engine間通信創(chuàng)建Overlay網(wǎng)絡(luò)主機間容器通過VXLAN互聯(lián)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中防火墻、安全漏掃等服務(wù)不能為容器服務(wù)6容器扁平化網(wǎng)絡(luò)方案Web容器Web容器MySQL容器16應(yīng)用統(tǒng)一建模和自動部署應(yīng)用建模微服務(wù)編排應(yīng)用目錄部署運行金融云服務(wù)門戶金融云PAAS部署應(yīng)用上架應(yīng)用以TOSCA標準保存租戶容器集群應(yīng)用模型根據(jù)應(yīng)用等級信息和宿主機節(jié)點信息部署微服務(wù)通過PaaS接口，向PaaS傳遞應(yīng)用建模數(shù)據(jù)彈性擴縮微服務(wù)調(diào)度故障恢復(fù)負載均衡翻譯成YML為微服務(wù)運行管理策略應(yīng)用監(jiān)控動態(tài)調(diào)整運行策略獲取監(jiān)控數(shù)據(jù)用于展現(xiàn)微服務(wù)運行框架容器調(diào)度應(yīng)用統(tǒng)一建模和自動部署應(yīng)用建模應(yīng)用目錄部署運行金融云服務(wù)門戶7滿足金融業(yè)務(wù)的更高要求符合監(jiān)管合規(guī)的安全性

租戶隔離/權(quán)限分級

應(yīng)用安全分級、防火墻、WAF、漏洞掃描、事件審計、日志分析等更高的可用性和連續(xù)性

雙活部署、兩地三中心、同城備份/切換、異地備份/切換

應(yīng)用高可用和連續(xù)性分級滿足金融業(yè)務(wù)的更高要求符合監(jiān)管合規(guī)的安全性8租戶A應(yīng)用容器租戶B應(yīng)用容器等保2級應(yīng)用容器等保3級應(yīng)用容器安全隔離方案支持多租戶隔離及不同安全等級應(yīng)用的隔離vFW容器宿主機租戶A等保2級應(yīng)用容器租戶A容器集群租戶A等保3級應(yīng)用容器vFW容器宿主機租戶B等保2級應(yīng)用容器租戶B容器集群租戶B等保3級應(yīng)用容器DC

Core根據(jù)應(yīng)用類型和等保級別設(shè)置網(wǎng)絡(luò)安全區(qū)跨越網(wǎng)絡(luò)區(qū)域時需要經(jīng)過防火墻。防火墻策略根據(jù)應(yīng)用等保級別和應(yīng)用間必要的訪問關(guān)系而設(shè)置等保2區(qū)隔離網(wǎng)等保3區(qū)隔離網(wǎng)等保2區(qū)隔離網(wǎng)等保3區(qū)隔離網(wǎng)業(yè)務(wù)網(wǎng)業(yè)務(wù)網(wǎng)業(yè)務(wù)網(wǎng)業(yè)務(wù)網(wǎng)租戶A應(yīng)用容器租戶B應(yīng)用容器等保2級等保3級應(yīng)用容器安9支持的安全與合規(guī)策略漏洞掃描系統(tǒng)（操作系統(tǒng)，中間件，數(shù)據(jù)庫）應(yīng)用（開放的服務(wù)端口，弱密碼，跨站腳本，SQL注入）4A納管Root賬戶上收App賬戶有限賦權(quán)WAF應(yīng)用流量分析SSL通信鏈路加密應(yīng)用審計應(yīng)用日志，客戶行為登記支持的安全與合規(guī)策略漏洞掃描10從多個層級保障高可用和連續(xù)性微服務(wù)平臺應(yīng)用微服務(wù)容器實例的放置策略（不同實例運行于不同可用區(qū)）微服務(wù)容器實例的故障檢測、遷移恢復(fù)控制節(jié)點多活

+

數(shù)據(jù)庫集群及一致性同步鏡像倉庫高可用及數(shù)據(jù)備份計算節(jié)點來自數(shù)據(jù)中心的不同高可用模塊不中斷服務(wù)的平臺升級方式適應(yīng)應(yīng)用高可用等級的同城雙中心雙活部署適應(yīng)應(yīng)用高可用等級的同城災(zāi)備切換適應(yīng)應(yīng)用連續(xù)性等級的持久化數(shù)據(jù)備份方案適應(yīng)應(yīng)用連續(xù)性等級的RTO/RPO從多個層級保障高可用和連續(xù)