企業(yè)級(jí)容器云平臺(tái)解決方案V2.0

企業(yè)級(jí)容器云平臺(tái)解決方案V2.0目錄1容器技術(shù)簡(jiǎn)介2產(chǎn)品介紹3典型應(yīng)用場(chǎng)景4容器云平臺(tái)特性Docker簡(jiǎn)介Build,ShipandRunAnyAPP,Anywhere封裝分發(fā)部署運(yùn)行目的：基于Docker，可以做到應(yīng)用組件“一次封裝，到處運(yùn)行”DockerEnterpriseEditionDockerCommunityEditionDocker容器技術(shù)vs傳統(tǒng)虛擬機(jī)技術(shù)虛擬機(jī)容器啟動(dòng)架構(gòu)分鐘級(jí)秒級(jí)性能接近原生較弱內(nèi)存代價(jià)硬盤占用運(yùn)行密度安全性遷移性較多很小一般為GB一般為MB一般為幾十個(gè)單機(jī)支持上千個(gè)容器鏡像簽名&掃描完全隔離一般優(yōu)秀容器相關(guān)概念簡(jiǎn)述容器服務(wù)應(yīng)用1個(gè)應(yīng)用包含N個(gè)服務(wù)1個(gè)服務(wù)由一組基于相同鏡像和配置定義的容器組成節(jié)點(diǎn)集群1個(gè)集群由N個(gè)節(jié)點(diǎn)組成1個(gè)節(jié)點(diǎn)可以運(yùn)行N個(gè)容器DockerFile（原料）DockerImage（軟件交付品）DockerContainer（軟件運(yùn)行態(tài)）構(gòu)建運(yùn)行Docker解析DockerImage中的json文件，獲知應(yīng)該為該鏡像運(yùn)行什么進(jìn)程，并為該進(jìn)程配置怎樣的環(huán)境變量靜態(tài)動(dòng)態(tài)docker-compose.ymlservice1:etcd/consulservice2:Kafkaservice3:Redisservice4:MySQL典型困局：云遷移時(shí)，應(yīng)用部署需要重新部署&調(diào)試步驟1：安裝軟件步驟2：參數(shù)配置步驟3：應(yīng)用部署步驟4：功能調(diào)試當(dāng)云遷移發(fā)生時(shí)……“災(zāi)難”步驟N：每個(gè)應(yīng)用，重新部署步驟N+1：每個(gè)功能，重新調(diào)試根本原因：應(yīng)用直接部署在底層OS，無法保證同一份應(yīng)用在不同的環(huán)境中的行為一致Docker如何解決上述困局應(yīng)用容器Docker“容器”打包應(yīng)用——“解耦”應(yīng)用和平臺(tái)“遷云”無壓力——“不認(rèn)”IDC、平臺(tái)類型、操作系統(tǒng)商用案例：電商容器時(shí)代電費(fèi)服務(wù)器10萬臺(tái)VM5萬臺(tái)VM虛擬機(jī)時(shí)代容器化時(shí)代約5億RMB約2.5億RMB每秒訂單峰值約9萬筆/秒約17.5萬筆/秒電商平臺(tái)利用Docker技術(shù)支撐起所有核心交易應(yīng)用目錄1容器技術(shù)簡(jiǎn)介2產(chǎn)品介紹3典型應(yīng)用場(chǎng)景4容器云平臺(tái)特性DockerEE（企業(yè)版）今年3月份，Docker公司宣布Docker企業(yè)版（EnterpriseEdition,EE），并將開源版本重命名為Docker社區(qū)版（CommunityEdition,CE）；同時(shí)公布了產(chǎn)品迭代計(jì)劃企業(yè)版增強(qiáng)版（EEAdvanced）的特性專業(yè)的認(rèn)證架構(gòu)經(jīng)認(rèn)證——企業(yè)級(jí)操作系統(tǒng)（Ubuntu,CentOS）容器經(jīng)認(rèn)證——ISV（第三方軟件供應(yīng)商）提供的容器插件經(jīng)認(rèn)證——網(wǎng)絡(luò)&存儲(chǔ)供應(yīng)商提供的插件層次化管理鏡像管理——私有鏡像庫(kù)提升資源利用率、緩存加速鏡像層構(gòu)建效率容器管理——ISV（第三方軟件供應(yīng)商）提供的容器編排管理——編排（容器調(diào)度、集群管理）端到端安全訪問安全：基于角色訪問管控（RBAC）賬號(hào)安全：與LDAP/AD集成，支持多租戶鏡像安全：鏡像簽名、鏡像掃描可靠易用安全DockerEE（企業(yè)版）vsDockerCE（社區(qū)版）之版本周期DockerEE和CEstable版本的版本號(hào)保持一致，每個(gè)DockerEE版本都享受**為期一年**的支持與維護(hù)期，在此期間會(huì)持續(xù)提供安全與關(guān)鍵問題修正。將為企業(yè)用戶提供更加穩(wěn)定的容器運(yùn)行環(huán)境。DockerEEDockerEE（企業(yè)版）vsDockerCE（社區(qū)版）之關(guān)鍵特性社區(qū)版企業(yè)版基本企業(yè)版標(biāo)準(zhǔn)企業(yè)版高級(jí)容器引擎，編排，網(wǎng)絡(luò)，安全yesyesyesyesDocker認(rèn)證的基礎(chǔ)架構(gòu)，插件和ISV容器

yesyesyes鏡像管理（私有倉(cāng)庫(kù)，緩存）

yesyesDocker數(shù)據(jù)中心（集成容器應(yīng)用程序管理）

yesyesDocker數(shù)據(jù)中心(RBAC,LDAP/AD)

yesyes集成加密管理，鏡像簽名策略

yesyes鏡像安全掃描

yes安全修復(fù)的Backportyesyesyes售后支持社區(qū)支持（無可靠保障）5*8或7*245*8或7*245*8或7*24大企業(yè)（安全合規(guī)、運(yùn)維高要求）具備友好的管理界面，優(yōu)質(zhì)的售后服務(wù)，完善的安全管理DockerEE(EnterpriseEdition)產(chǎn)品介紹公有云專有云本地?cái)?shù)據(jù)中心DockerEngine（引擎）DockerTrustedRegistry（鏡像倉(cāng)庫(kù)）UniversalControlPlane（控制臺(tái)）Security（安全）網(wǎng)絡(luò)擴(kuò)展存儲(chǔ)擴(kuò)展監(jiān)控?cái)U(kuò)展日志擴(kuò)展開發(fā)測(cè)試云開源微服務(wù)架構(gòu)混合云統(tǒng)一管理UCP（控制臺(tái)）容器編排與管理集群管理應(yīng)用與服務(wù)管理網(wǎng)絡(luò)管理運(yùn)維管理用戶與組織管理安全管理DTR（鏡像倉(cāng)庫(kù)）公有鏡像倉(cāng)庫(kù)私有鏡像倉(cāng)庫(kù)DockerEngine（引擎）Linux(Ubuntu/Debian/CentOS…)Windows(Server/PC)在DockerEngine內(nèi)部集成了Swarm集群功能，完全兼容DockerAPI，極大的簡(jiǎn)化了用戶自己構(gòu)建Swarm集群的難度。DockerEE安全：鏡像安全和可信TrustedRegistryLogAggregatorAuthorizationServerRegistryServiceContentTrustLDAP/ADLogsStorageImageRepoImageRepoImageRepoAdminServerNotaryServerWebUICLIDockerTrustedRegistry（DTR）是Docker企業(yè)版中的組件，提供安全可信的鏡像托管服務(wù)DockerTrustedRegistry支持以本地文件系統(tǒng)作為存儲(chǔ)驅(qū)動(dòng)使用Docker的內(nèi)容授信機(jī)制，管理員可以對(duì)鏡像資源附加安全標(biāo)記，該機(jī)制會(huì)保證系統(tǒng)中運(yùn)行的是這些鏡像資源的最新版本支持用戶及資源管理和授權(quán)DockerEEDTR（鏡像倉(cāng)庫(kù)）安全掃描機(jī)制Docker安全掃描集成在DockerEE高級(jí)版中，在新的鏡像上傳到倉(cāng)庫(kù)時(shí)觸發(fā)一系列事件；這個(gè)服務(wù)包含一個(gè)掃描觸發(fā)器，掃描器，數(shù)據(jù)庫(kù)，框架插件和連接到CVE數(shù)據(jù)庫(kù)的驗(yàn)證服務(wù)。在收到新的漏洞庫(kù)時(shí)不必重新掃描所有鏡像，從而確保掃描過程的高效和低資源使用率。DockerEEDTR提供了分層（Layers）&組件（Components）級(jí)別的漏洞監(jiān)控DockerEE的安全掃描服務(wù)在用戶上傳鏡像到DockerDTR時(shí)啟動(dòng)。掃描服務(wù)將鏡像的各個(gè)層次和組件進(jìn)行分離；組件發(fā)送給校驗(yàn)服務(wù)來與CVE數(shù)據(jù)庫(kù)一起進(jìn)行檢查，不僅僅包括包名，版本，還包括二進(jìn)制層面的內(nèi)容掃描。雙高：掃描更高效（查全率），結(jié)果更準(zhǔn)確（查準(zhǔn)率）。DockerEE應(yīng)用案例容器云平臺(tái)，基于DockerEE更進(jìn)一步底層平臺(tái)無感：面向企業(yè)專有云敏捷應(yīng)用平臺(tái)，基于Docker

EE，可以直接部署在企業(yè)已有的x86等硬件之上（不區(qū)分廠商）底層基于Docker商業(yè)版，配合云計(jì)算容器服務(wù)的插件和多集群管理能力，為客戶打造了全功能的容器平臺(tái)和公有云上的云計(jì)算容器服務(wù)在界面和API方面保持一致采用Docker的存儲(chǔ)插件機(jī)制，可以對(duì)接企業(yè)現(xiàn)有的企業(yè)存儲(chǔ)，為容器應(yīng)用提供存儲(chǔ)支持提供對(duì)容器及應(yīng)用的指標(biāo)監(jiān)控的收集、集中、存儲(chǔ)和分析的能力，對(duì)接企業(yè)已有的監(jiān)控和日志分析系統(tǒng)，為企業(yè)打造完整的容器應(yīng)用監(jiān)控和日志分析平臺(tái)典型集群部署（10個(gè)節(jié)點(diǎn)組成一個(gè)集群）UCPManager（控制臺(tái)）：容器編排、應(yīng)用與服務(wù)管理、集群管理、網(wǎng)絡(luò)管理等3臺(tái)HA，可以容忍最多1個(gè)Manager節(jié)點(diǎn)下線DTR（鏡像倉(cāng)庫(kù)）公有/私有鏡像倉(cāng)庫(kù)3臺(tái)HA，可以容忍最多1個(gè)DTR節(jié)點(diǎn)下線DTR中1主2副，所有鏡像都寫在主。主、副都掛在同一個(gè)volume上，同一個(gè)volume指向同一個(gè)NFSWorker監(jiān)控日志分析Publisher（發(fā)布機(jī)）額外需要一臺(tái)，用于部署Publisher集群穩(wěn)定、生產(chǎn)環(huán)境可用技術(shù)支持專職支持團(tuán)隊(duì)，SLA保障，工單加現(xiàn)場(chǎng)式服務(wù)200+技術(shù)專家安全修復(fù)漏洞Hotfixes穩(wěn)定定期發(fā)布長(zhǎng)久支持的版本（1年期穩(wěn)定版本）缺陷修復(fù)向后移植集成和API支持Docker原生工具鏈活躍的生態(tài)驗(yàn)證過的配置經(jīng)過驗(yàn)證的操作系統(tǒng)，配置和交互性經(jīng)過驗(yàn)證的插件一致的產(chǎn)品路線開源和專有產(chǎn)品一致與開源方案對(duì)比·編排Docker編排（Swarm/Compose)KubernetesMesos/Marathon容器云平臺(tái)(兼容并擴(kuò)展Docker編排)學(xué)習(xí)復(fù)雜度低高中低運(yùn)維復(fù)雜度低中高低容器調(diào)度支持支持支持支持服務(wù)發(fā)現(xiàn)支持支持支持支持滾動(dòng)更新支持支持支持支持藍(lán)綠發(fā)布不支持支持支持支持自動(dòng)彈性伸縮不支持支持支持支持GPU調(diào)度不支持部分支持部分支持支持離線任務(wù)不支持支持支持支持秘鑰管理支持支持不支持支持配置管理不支持支持不支持支持與開源方案對(duì)比·資源集成Docker編排（Swarm/Compose)KubernetesMesos/Marathon容器云平臺(tái)(兼容并擴(kuò)展Docker編排)跨主機(jī)網(wǎng)絡(luò)內(nèi)置VXLAN支持插件機(jī)制依賴三方方案，如Flannel/Calico依賴三方方案，如Calico內(nèi)置VXLAN/MacVLAN支持插件機(jī)制持久化存儲(chǔ)支持插件機(jī)制依賴三方方案依賴三方方案內(nèi)置云計(jì)算存儲(chǔ)支持支持插件機(jī)制日志處理依賴三方方案依賴三方方案依賴三方方案集成日志服務(wù)支持商業(yè)ELK集成容器監(jiān)控依賴三方方案依賴三方方案依賴三方方案集成監(jiān)控服務(wù)支持商業(yè)ELK集成外部負(fù)載均衡依賴三方方案依賴三方方案依賴三方方案內(nèi)置，并支持SLB，F(xiàn)5等企業(yè)現(xiàn)有LB架構(gòu)鏡像管理DevOps依賴三方方案依賴三方方案依賴三方方案內(nèi)置多集群管理不支持支持不支持支持權(quán)限管理不支持支持不支持支持RBAC集群規(guī)模(節(jié)點(diǎn))3000100010003000幾類產(chǎn)品的關(guān)系（每一層都基于下一層做新增）DockerCE（社區(qū)版）DockerEE（企業(yè)版-基礎(chǔ)）DockerEE（企業(yè)版-標(biāo)準(zhǔn)）DockerEE（企業(yè)版-高級(jí)）容器云平臺(tái)插件基于命令行，無可視化GUI缺乏Docker官方售后服務(wù)缺乏高覆蓋率、高準(zhǔn)確性的鏡像安全掃描缺乏對(duì)第三方ISV的插件、容器等的專門認(rèn)證新增Docker認(rèn)證的基礎(chǔ)架構(gòu)（企業(yè)版的Ubuntu、CentOS等）新增Docker認(rèn)證的插件（網(wǎng)絡(luò)、存儲(chǔ)供應(yīng)商提供的插件）新增Docker認(rèn)證的ISV提供的容器新增UCP（管理控制臺(tái)，可視化GUI）新增DTR（鏡像倉(cāng)庫(kù)，可視化GUI）新增集成加密管理、鏡像簽名策略（防篡改）新增集成LDAP/AD，RBAC（角色訪問控制）新增鏡像安全掃描新增——支持自動(dòng)彈性伸縮特性新增——云計(jì)算獨(dú)有的存儲(chǔ)、網(wǎng)絡(luò)插件（基于長(zhǎng)期以來在容器使用方面的經(jīng)驗(yàn)）新增支持——應(yīng)用/服務(wù)/容器三級(jí)監(jiān)控&日志新增支持——混合云場(chǎng)景，多中心，云突發(fā)，應(yīng)用災(zāi)備，開發(fā)測(cè)試和生產(chǎn)環(huán)境在不同的中心或云上云下目錄1容器技術(shù)概述及市場(chǎng)概況2DockerEE產(chǎn)品介紹3典型應(yīng)用場(chǎng)景4容器云平臺(tái)特性典型需求場(chǎng)景業(yè)務(wù)部署：私有云/自建IDC資源使用率：無論虛擬機(jī)或物理機(jī)，

CPU/內(nèi)存的使用率都不高硬件：限制投資交付前：缺乏快速交付&迭代能力交付后：缺乏高效管理&運(yùn)維能力團(tuán)隊(duì)亟需：持續(xù)集成/交付、高效運(yùn)維一體化能力（DevOps）原架構(gòu)特征：基于SOA，大而全，適用于單體應(yīng)用新架構(gòu)特征：分布式部署，需滿足業(yè)務(wù)瞬時(shí)高并發(fā)應(yīng)用開發(fā)微服務(wù)化：軟件升級(jí)黑盒

白盒非開源：盡量不使用開源中間件合法規(guī)：IT系統(tǒng)必須符合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、以及相關(guān)行業(yè)信息安全規(guī)章IT資產(chǎn)可利舊IT流程待提升IT架構(gòu)需轉(zhuǎn)型IT安全要合規(guī)舉例：金融行業(yè)客戶需求剖析傳統(tǒng)業(yè)務(wù)收入比降低，新業(yè)務(wù)占比提高，“業(yè)務(wù)為中心”

“客戶需求為中心”圍繞“客戶、渠道、數(shù)據(jù)和平臺(tái)”，銀行IT部門的思考：如何快速實(shí)現(xiàn)業(yè)務(wù)上線來應(yīng)對(duì)快速變化的市場(chǎng)？應(yīng)用架構(gòu)如何應(yīng)對(duì)互聯(lián)網(wǎng)渠道帶來的瞬時(shí)大規(guī)模并發(fā)請(qǐng)求帶來的負(fù)載壓力？如何實(shí)現(xiàn)分布式業(yè)務(wù)應(yīng)用、服務(wù)與數(shù)據(jù)的統(tǒng)一化管理并確保上述兩個(gè)問題的解決？網(wǎng)絡(luò)安全合規(guī)，重中之重。

私有云/IDC原有資產(chǎn)的合理利用，減少重復(fù)投資。IT流程待提升IT架構(gòu)需轉(zhuǎn)型IT架構(gòu)需轉(zhuǎn)型IT安全要合規(guī)IT資產(chǎn)可利舊場(chǎng)景1：開發(fā)運(yùn)維一體化（DevOps）在傳統(tǒng)企業(yè)的交付流程中，由于不同部門的目標(biāo)和驅(qū)動(dòng)力不一致，造成部門間溝通成本過高；影響了企業(yè)整體的交付效率，減慢了企業(yè)整體交付業(yè)務(wù)價(jià)值的速度。傳統(tǒng)交付流程DevOps交付流程Docker+云效，打造DevOps最佳實(shí)踐；實(shí)現(xiàn)代碼變更后的環(huán)境自部署、應(yīng)用自測(cè)，以及保證高質(zhì)量的交付鏡像包，實(shí)現(xiàn)應(yīng)用的快速上線。場(chǎng)景1：對(duì)于開發(fā)、運(yùn)維的價(jià)值開發(fā)團(tuán)隊(duì)運(yùn)維團(tuán)隊(duì)構(gòu)建開